虛擬化通常用于公共、混合和私有云計(jì)算模式和部署中,因?yàn)樗峁┝撕芏嗪锰帲ǔ杀拘б?、增加正常運(yùn)行時(shí)間、改善災(zāi)難恢復(fù)和應(yīng)用程序隔離等。
虛擬化通常用于公共、混合和私有云計(jì)算模式和部署中,因?yàn)樗峁┝撕芏嗪锰?,包括成本效益、增加正常運(yùn)行時(shí)間、改善災(zāi)難恢復(fù)和應(yīng)用程序隔離等。
盡管虛擬化帶來了很多好處,它同樣也帶來了很多安全問題:
虛擬機(jī)管理程序:在相同物理機(jī)器運(yùn)行多個(gè)虛擬機(jī)的程序。如果管理程序中存在漏洞,攻擊者將可以利用該漏洞來獲取對(duì)整個(gè)主機(jī)的訪問,從而他/她可以訪問主機(jī)上運(yùn)行的每個(gè)訪客虛擬機(jī)。由于管理程序很少更新,現(xiàn)有漏洞可能會(huì)危及整個(gè)系統(tǒng)的安全性。如果發(fā)現(xiàn)一個(gè)漏洞,企業(yè)應(yīng)該盡快修復(fù)漏洞以防止?jié)撛诘陌踩孤妒鹿省?/span>
資源分配:當(dāng)物理內(nèi)存數(shù)據(jù)存儲(chǔ)被一臺(tái)虛擬機(jī)使用,并重新分配給另一臺(tái)虛擬機(jī)時(shí),可能會(huì)發(fā)生數(shù)據(jù)泄露;當(dāng)不再需要的虛擬機(jī)被刪除,釋放的資源被分配給其他虛擬機(jī)時(shí),同樣可能發(fā)生數(shù)據(jù)泄露。當(dāng)新的虛擬機(jī)獲得更多的資源,它可以使用取證調(diào)查技術(shù)來獲取整個(gè)物理內(nèi)存以及數(shù)據(jù)存儲(chǔ)的鏡像。該而鏡像隨后可用于分析,并獲取從前一臺(tái)虛擬機(jī)遺留下的重要信息。
虛擬機(jī)攻擊:如果攻擊者成功地攻擊一臺(tái)虛擬機(jī),他或她在很長(zhǎng)一段時(shí)間內(nèi)可以攻擊網(wǎng)絡(luò)上相同主機(jī)的其他虛擬機(jī)。這種跨虛擬機(jī)攻擊的方法越來越流行,因?yàn)樘摂M機(jī)之間的流量無法被標(biāo)準(zhǔn)IDS/IPS軟件程序所檢測(cè)。
遷移攻擊:在必要時(shí),在大多數(shù)虛擬化界面,遷移虛擬機(jī)都可以輕松地完成。虛擬機(jī)通過網(wǎng)絡(luò)被發(fā)送到另一臺(tái)虛擬化服務(wù)器,并在其中設(shè)置一個(gè)相同的虛擬機(jī)。但是,如果這個(gè)過程沒有得到管理,虛擬機(jī)可能被發(fā)送到未加密的通道,這可能被執(zhí)行中間人攻擊的攻擊者嗅探到。為了做到這一點(diǎn),攻擊者必須已經(jīng)獲得受感染網(wǎng)絡(luò)上另一臺(tái)虛擬機(jī)的訪問權(quán)。
下面這些方法可以緩解上述的安全問題:
管理程序:定期檢查是否有管理程序的新的更新,并相應(yīng)地更新系統(tǒng)。通過保持管理程序的更新,企業(yè)可以阻止攻擊者利用已知漏洞以及控制整個(gè)主機(jī)系統(tǒng),包括在其上運(yùn)行的所有虛擬機(jī)。
資源分配:當(dāng)從一臺(tái)虛擬機(jī)分配資源到另一臺(tái)時(shí),企業(yè)應(yīng)該對(duì)它們進(jìn)行保護(hù)。物理內(nèi)存以及數(shù)據(jù)存儲(chǔ)中的舊數(shù)據(jù)應(yīng)該使用0進(jìn)行覆蓋,使其被清除。這可以防止從虛擬機(jī)的內(nèi)存或數(shù)據(jù)存儲(chǔ)提取出數(shù)據(jù),以及獲得仍然保持在內(nèi)的重要信息。
虛擬機(jī)攻擊:企業(yè)有必要區(qū)分相同物理主機(jī)上從虛擬機(jī)出來以及進(jìn)入虛擬機(jī)的流量。這將使我們部署入侵檢測(cè)和防御算法來盡快捕捉來自攻擊者的威脅。例如我們可以通過端口鏡像來發(fā)現(xiàn)威脅,其中復(fù)制交換機(jī)上一個(gè)端口的數(shù)據(jù)流到另一個(gè)端口,而交換機(jī)中IDS/IPS則在監(jiān)聽和分析信息。
遷移攻擊:為了防止遷移攻擊,企業(yè)必須部署適當(dāng)?shù)陌踩胧﹣肀Wo(hù)網(wǎng)絡(luò)抵御中間人滲透威脅。這樣一來,即使攻擊者能夠攻擊一臺(tái)虛擬機(jī),他/她將無法成功地執(zhí)行中間人攻擊。此外,還可以通過安全通道(例如TLS)發(fā)送數(shù)據(jù)。雖然有人稱在遷移時(shí)有必要破壞并重建虛擬機(jī)鏡像,但企業(yè)也可以謹(jǐn)慎地通過安全通道以及不可能執(zhí)行中間人的網(wǎng)絡(luò)來遷移虛擬機(jī)。
結(jié)論:針對(duì)虛擬化云計(jì)算環(huán)境有各種各樣的攻擊,但如果在部署和管理云模式時(shí),企業(yè)部署了適當(dāng)?shù)陌踩刂坪统绦颍@些攻擊都可以得以緩解。
河南億恩科技股份有限公司(1tcdy.com)始創(chuàng)于2000年,專注服務(wù)器托管租用,是國(guó)家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營(yíng)商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù),另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù),使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話:
0371-60135900
虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話:
0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報(bào)電話:
0371-60135995
服務(wù)熱線:
0371-60135900