當(dāng)前位置 : 首頁>網(wǎng)絡(luò)\服務(wù)器>學(xué)堂>正文

虛擬化六大安全問題解決克不容緩

http://m.yibo1263.com　2008-8-13 9:09:54 　來源:51CTO 　編輯:葉子

　　隨著虛擬化技術(shù)不斷向前發(fā)展,許多單位面臨著實(shí)施虛擬化的誘人理由，如服務(wù)器的整合、更快的硬件、使用上的簡(jiǎn)單、靈活的快照技術(shù)等。這都使得虛擬化更加引人注目。在有些機(jī)構(gòu)中，虛擬化已經(jīng)成為其架構(gòu)中的重要組成部分。在這里，技術(shù)再次走在了最佳的安全方法的前面。隨著機(jī)構(gòu)對(duì)災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性的重視，特別是在金融界，虛擬環(huán)境正變得越來越普遍。我們應(yīng)該關(guān)注這種繁榮背后的隱憂。

　　使用虛擬化環(huán)境時(shí)存在的缺陷

　　1.如果主機(jī)受到破壞，那么主要的主機(jī)所管理的客戶端服務(wù)器有可能被攻克。

　　2.如果虛擬網(wǎng)絡(luò)受到破壞，那么客戶端也會(huì)受到損害。

　　3.需要保障客戶端共享和主機(jī)共享的安全，因?yàn)檫@些共享有可被不法之徒利用其漏洞。

　　4.如果主機(jī)有問題，那么所有的虛擬機(jī)都會(huì)產(chǎn)生問題。

　　5.虛擬機(jī)被認(rèn)為是二級(jí)主機(jī)，它們具有類似的特性，并以與物理機(jī)的類似的方式運(yùn)行。在以后的幾年中，虛擬機(jī)和物理機(jī)之間的不同點(diǎn)將會(huì)逐漸減少。

　　6.在涉及到虛擬領(lǐng)域時(shí)，最少特權(quán)技術(shù)并沒有得到應(yīng)有的重視，甚至遭到了遺忘。這項(xiàng)技術(shù)可以減少攻擊面，并且應(yīng)當(dāng)在物理的和類似的虛擬化環(huán)境中采用這項(xiàng)技術(shù)。

　　保障虛擬服務(wù)器環(huán)境安全的措施

　　1.升級(jí)你的操作系統(tǒng)和應(yīng)用程序，這應(yīng)當(dāng)在所有的虛擬機(jī)和主機(jī)上進(jìn)行。主機(jī)應(yīng)用程序應(yīng)當(dāng)少之又少，僅應(yīng)當(dāng)安裝所需要的程序。

　　2.在不同的虛擬機(jī)之間，用防火墻進(jìn)行隔離和防護(hù)，并確保只能處理經(jīng)許可的協(xié)議。

　　3.使每一臺(tái)虛擬機(jī)與其它的虛擬機(jī)和主機(jī)相隔離。盡可能地在所有方面都進(jìn)行隔離。

　　4.在所有的主機(jī)和虛擬機(jī)上安裝和更新反病毒機(jī)制，因?yàn)樘摂M機(jī)如同物理機(jī)器一樣易受病毒和蠕蟲的感染。

　　5.在主機(jī)和虛擬機(jī)之間使用IPSEC或強(qiáng)化加密，因?yàn)樘摂M機(jī)之間、虛擬機(jī)與主機(jī)之間的通信可能被嗅探和破壞。雖然廠商們?cè)谙敕皆O(shè)法改變這種狀況，但在筆者完成此文時(shí)，這仍是一真實(shí)的威脅。企業(yè)仍需要最佳的方法來對(duì)機(jī)器之間的通信實(shí)施加密。

　　6.不要從主機(jī)瀏覽互聯(lián)網(wǎng)，間諜軟件和惡意軟件所造成的感染仍有可能危害主機(jī)。記住，主機(jī)管理著虛擬機(jī)，發(fā)生在虛擬機(jī)上的問題會(huì)導(dǎo)致嚴(yán)重的問題和潛在的“宕機(jī)”時(shí)間、服務(wù)的喪失等。

　　7.在主機(jī)上保障管理員和管理員組賬戶的安全，因?yàn)槲词跈?quán)用戶對(duì)特權(quán)賬戶的訪問能導(dǎo)致嚴(yán)重的安全損害。調(diào)查發(fā)現(xiàn)，主機(jī)上的管理員（根）賬戶不如虛擬機(jī)上的賬戶安全。記住，你的安全性是由最弱的登錄點(diǎn)決定的。

　　8.強(qiáng)化主機(jī)操作系統(tǒng)，并終止和禁用不必要的服務(wù)。保持操作系統(tǒng)的精簡(jiǎn)，可以減少被攻擊的機(jī)會(huì)。

　　9.關(guān)閉不使用的虛擬機(jī)。如果你不需要一種虛擬機(jī)，就不要運(yùn)行它。

　　10.將虛擬機(jī)整合到企業(yè)的安全策略中。

　　11.保證主機(jī)的安全，確保在虛擬機(jī)離線時(shí)，非授權(quán)用戶無法破壞虛擬機(jī)文件。

　　12.采用可隔離虛擬機(jī)管理程序的方案，這些系統(tǒng)可以進(jìn)一步隔離和更好地保障虛擬環(huán)境的安全。

　　13.確保主機(jī)驅(qū)動(dòng)程序的更新和升級(jí)，這會(huì)保障你的硬件以最優(yōu)的速度運(yùn)行，而且軟件的更新可極大地減少漏洞利用和拒絕服務(wù)攻擊的機(jī)會(huì)。

　　14.要禁用虛擬機(jī)中未用的端口。如果虛擬機(jī)環(huán)境并不利用端口技術(shù)，就應(yīng)當(dāng)禁用它。

　　15.監(jiān)視主機(jī)和虛擬主機(jī)上的事件日志和安全事件。這些日志應(yīng)當(dāng)妥善保存，用于日后的安全審計(jì)。

　　16.限制并減少硬件資源的共享。從某種意義上講，安全與硬件資源共享，如同魚與熊掌，不可兼得。在資源被虛擬機(jī)輪流共享時(shí)，除發(fā)生數(shù)據(jù)泄漏外，拒絕服務(wù)攻擊也將是家常便飯。

　　17.在可能的情況下，保證網(wǎng)絡(luò)接口卡專用于每一個(gè)虛擬機(jī)。這里再次減輕了資源共享問題，并且虛擬機(jī)的通信也得到了隔離。

　　18.投資購買可滿足特定目的并且支持虛擬機(jī)的硬件。不支持虛擬機(jī)的硬件會(huì)產(chǎn)生潛在的安全問題。

　　19.分區(qū)可產(chǎn)生磁盤邊界，它可用于分離每一個(gè)虛擬機(jī)并可在其專用的分區(qū)上保障安全性。如果一個(gè)虛擬機(jī)超出了正常的限制，專用分區(qū)會(huì)限制它對(duì)其它虛擬機(jī)的影響。

　　20.要保證如果不需要互聯(lián)的話，虛擬機(jī)不能彼此連接。前面我們已經(jīng)說過網(wǎng)絡(luò)隔離的重要性。要進(jìn)行虛擬機(jī)之間的通信，可以使用一個(gè)在不同網(wǎng)絡(luò)地址上的獨(dú)立網(wǎng)絡(luò)接口卡，這要比將虛擬機(jī)之間的通信直接推向暴露的網(wǎng)絡(luò)要安全得多。

　　21.NAC正走向虛擬機(jī)，對(duì)于基于虛擬機(jī)服務(wù)器的設(shè)備尤其如此。如果這是一種可以啟用的特性，那么，正確的實(shí)施NAC將為你帶來更長(zhǎng)遠(yuǎn)的安全性。

本新聞共2頁,當(dāng)前在第1頁 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·Nehalem-EX臨近：虛擬化平臺(tái)新選擇

·服務(wù)器虛擬化引起的管理問題解決

·Linux虛擬化：10個(gè)讓你不得不愛的理由

·虛擬化應(yīng)用五大瓶頸與破解四大方略

·關(guān)于服務(wù)器虛擬化知識(shí)十二問

·新型虛擬化數(shù)據(jù)中心的三項(xiàng)必備技術(shù)

·導(dǎo)致虛擬化失敗的七項(xiàng)關(guān)鍵因素

·3PAR全球營銷副總裁Craig Nunes 談09年存儲(chǔ)

·服務(wù)器虛擬化常見的兩個(gè)陷阱及對(duì)策

·多廠商虛擬化環(huán)境管理七大竅門

·按需選擇服務(wù)器虛擬化技術(shù)

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费