虚拟化六大安全问题 解决克不容缓
来源:51CTO 发布时间:2008-08-08 11:18:00
随着虚拟化技术不断向前发展,许多单位面临着实施虚拟化的诱人理由,如服务器的整合、更快的硬件、使用上的简单、灵活的快照技术等。这都使得虚拟化更加引人注目。在有些机构中,虚拟化已经成为其架构中的重要组成部分。在这里,技术再次走在了最佳的安全方法的前面。随着机构对灾难恢复和业务连续性的重视,特别是在金融界,虚拟环境正变得越来越普遍。我们应该关注这种繁荣背后的隐忧。
使用虚拟化环境时存在的缺陷
1.如果主机受到破坏,那么主要的主机所管理的客户端服务器有可能被攻克。
2.如果虚拟网络受到破坏,那么客户端也会受到损害。
3.需要保障客户端共享和主机共享的安全,因为这些共享有可被不法之徒利用其漏洞。
4.如果主机有问题,那么所有的虚拟机都会产生问题。
5.虚拟机被认为是二级主机,它们具有类似的特性,并以与物理机的类似的方式运行。在以后的几年中,虚拟机和物理机之间的不同点将会逐渐减少。
6.在涉及到虚拟领域时,最少特权技术并没有得到应有的重视,甚至遭到了遗忘。这项技术可以减少攻击面,并且应当在物理的和类似的虚拟化环境中采用这项技术。
保障虚拟服务器环境安全的措施
1.升级你的操作系统和应用程序,这应当在所有的虚拟机和主机上进行。主机应用程序应当少之又少,仅应当安装所需要的程序。
2.在不同的虚拟机之间,用防火墙进行隔离和防护,并确保只能处理经许可的协议。
3.使每一台虚拟机与其它的虚拟机和主机相隔离。尽可能地在所有方面都进行隔离。
4.在所有的主机和虚拟机上安装和更新反病毒机制,因为虚拟机如同物理机器一样易受病毒和蠕虫的感染。
5.在主机和虚拟机之间使用IPSEC或强化加密,因为虚拟机之间、虚拟机与主机之间的通信可能被嗅探和破坏。虽然厂商们在想方设法改变这种状况,但在笔者完成此文时,这仍是一真实的威胁。企业仍需要最佳的方法来对机器之间的通信实施加密。
6.不要从主机浏览互联网,间谍软件和恶意软件所造成的感染仍有可能危害主机。记住,主机管理着虚拟机,发生在虚拟机上的问题会导致严重的问题和潜在的“宕机”时间、服务的丧失等。
7.在主机上保障管理员和管理员组账户的安全,因为未授权用户对特权账户的访问能导致严重的安全损害。调查发现,主机上的管理员(根)账户不如虚拟机上的账户安全。记住,你的安全性是由最弱的登录点决定的。
8.强化主机操作系统,并终止和禁用不必要的服务。保持操作系统的精简,可以减少被攻击的机会。
9.关闭不使用的虚拟机。如果你不需要一种虚拟机,就不要运行它。
10.将虚拟机整合到企业的安全策略中。
11.保证主机的安全,确保在虚拟机离线时,非授权用户无法破坏虚拟机文件。
12.采用可隔离虚拟机管理程序的方案,这些系统可以进一步隔离和更好地保障虚拟环境的安全。
13.确保主机驱动程序的更新和升级,这会保障你的硬件以最优的速度运行,而且软件的更新可极大地减少漏洞利用和拒绝服务攻击的机会。
14.要禁用虚拟机中未用的端口。如果虚拟机环境并不利用端口技术,就应当禁用它。
15.监视主机和虚拟主机上的事件日志和安全事件。这些日志应当妥善保存,用于日后的安全审计。
16.限制并减少硬件资源的共享。从某种意义上讲,安全与硬件资源共享,如同鱼与熊掌,不可兼得。在资源被虚拟机轮流共享时,除发生数据泄漏外,拒绝服务攻击也将是家常便饭。
17.在可能的情况下,保证网络接口卡专用于每一个虚拟机。这里再次减轻了资源共享问题,并且虚拟机的通信也得到了隔离。
18.投资购买可满足特定目的并且支持虚拟机的硬件。不支持虚拟机的硬件会产生潜在的安全问题。
19.分区可产生磁盘边界,它可用于分离每一个虚拟机并可在其专用的分区上保障安全性。如果一个虚拟机超出了正常的限制,专用分区会限制它对其它虚拟机的影响。
20.要保证如果不需要互联的话,虚拟机不能彼此连接。前面我们已经说过网络隔离的重要性。要进行虚拟机之间的通信,可以使用一个在不同网络地址上的独立网络接口卡,这要比将虚拟机之间的通信直接推向暴露的网络要安全得多。
21.NAC正走向虚拟机,对于基于虚拟机服务器的设备尤其如此。如果这是一种可以启用的特性,那么,正确的实施NAC将为你带来更长远的安全性。
22.严格管理对虚拟机特别是对主机的远程访问可以使暴露的可能性更少。
23.记住,主机代表着单个失效点,备份和连续性要求可以有助于减少这种风险。
24.避免共享IP地址,这又是一个共享资源而造成问题和漏洞的典型实例。
业界已经开始认识到,虚拟化安全并不是像我们看待物理安全那样简单。这项技术带来了新的需要解决的挑战。
结论
虚拟化安全是一项必须的投资。如果一个单位觉得其成本太高,那么笔者建议它最好不要采用虚拟化,可坚持使用物理机器,但后者也需要安全保障。
猜你喜欢
- 很多Google AdSense发布商在达到了付款标准之后,对我们的付款过程有着很多的好奇和关注,在这里就大家普遍关心的问题,向大家略作说明
- 理解了活动目录的原理之后,现在我们就可以进行活动目录的安装与配置了,活动目录的安装配置过程并不是很复杂,因为WIN2K中提供了安装向导,只需
- 做站是可以取巧的,但取巧是无法成大事的,所以要一步一步脚踏实地的走,脚踏实地的做,用自己的勤奋来耕耘自
- 这几天有点忙,一直抽不出时间写这篇日记。最近很多站长一直催我把中篇写出来,所以我决定今天放下手中的工作,把中篇写完。自上次写了网站运营日记(
- 对于URL渠道,大家可能比较熟悉,当您有多个网站的时候,URL渠道可以跟踪不同网站的表现。而对于自定义渠道,可能有些人还不太熟悉。自定义渠道
- 随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当
- 参考了网络上很多关于WIN2003的安全设置以及自己动手做了一些实践,综合了这些安全设置文章整理而成,希望对大家有所帮助,另外里面有不足之处
- 本文探讨如何从内部链接、引入链接和引出链接三个方面来增加网站的链接广泛度。网站的链接广泛度(Link Popularity)在搜索引擎排名中
- 我在阿里妈妈上看到一个站长说李彦红根本没把阿里妈妈放在眼里,我们先不去说李彦红有没有讲过这句话,就这句话对于现在而言可以说是成立的。阿里妈妈
- 很多站长认为做方向链接是一个很简单的事情,其实做方向链接也是有一定的原则的.seo其实就是从一点一滴多起的,当很多小处改变了之后,就形成了一
- 我做seo已经有些年头多了,做了一些比较成熟的网站,而且所在的网站公司相对来说也是还说的过去的。我现在在阿邦网做网站优化工作。在工作中,我会
- 自从《精灵》之后,丁磊对于跟韩国人合作的兴趣大为减弱。他相信自己的团队可以开发出更优秀的产品,更相信运营自己开发的产品,无论是可控性还是利润
- 1、创建新的FTP站点 执行[开始]→[程序]→[管理工具]→[Internet服
- 粗略算下来,阿里妈妈离开张已经有一段时间了,跟一开始的高调宣传有所不同的是,阿里妈妈在做完了前期的网站积累之后,开始了自身消化的过程,炒作的
- 面对用户提出的需求,有时候经常感觉到千头万绪、无从下手,有时候又感觉需求本身就是答案、没有必要下手。面对需求分析这种事儿,就没有一个模式化的
- 我们在使用Windows 2000 server自带的IIS(Internet Information Server,Internet信息服
- 这二个月,我观察了几百个博客网站,发现有许多博客并不十分了解这些规则,所以将写出一系列比较常见的错误,以让大家对这些条例有进一步的认识,从而
- SEO之所以难学,经笔者分析最大的原因是大家把SEO太复杂化了,禅说:“简单就好”。现在各类有关SE
- 打开dede/inc/inc_batchup.php找到"//删除数据库的内容"前面加//删除缩略图 if($arcRo
- 10月21日早间消息(常山)美国芯片公司Marvell推出ARMADA系列应用处理器。该系列产品专为新一代ARM指令集智能手机、智能本、消费