服務(wù)器虛擬化的安全風(fēng)險(xiǎn)

破壞了正常的網(wǎng)絡(luò)架構(gòu)采用服務(wù)器虛擬化技術(shù)，需要對(duì)原來(lái)的網(wǎng)絡(luò)架構(gòu)進(jìn)行一定的改動(dòng)，建立新的網(wǎng)絡(luò)架構(gòu)，以適應(yīng)服務(wù)器虛擬化的要求。但是，網(wǎng)絡(luò)架構(gòu)的改動(dòng)打破了原來(lái)平衡的網(wǎng)絡(luò)架構(gòu)系統(tǒng)，也就會(huì)產(chǎn)生一些危險(xiǎn)系統(tǒng)安全的風(fēng)險(xiǎn)安全問(wèn)題。比如：如果不使用服務(wù)器虛擬化技術(shù)，客戶可以把幾個(gè)隔離區(qū)設(shè)置在防火墻的設(shè)備上。這樣一來(lái)，一個(gè)隔離區(qū)就可以管理著一個(gè)服務(wù)器，服務(wù)器之間可以不同的管理原則，不同的服務(wù)器也就可以有不同的管理方法。這樣，當(dāng)有一個(gè)服務(wù)器被外界攻擊時(shí)，其它的服務(wù)器就不會(huì)受到影響，可以正常運(yùn)行。但是，如果采用了服務(wù)器虛擬化技術(shù)，就需要把虛擬的服務(wù)器一起連接到同一個(gè)虛擬交換機(jī)上。通過(guò)虛擬交換機(jī)就把所有的虛擬的服務(wù)器同外部網(wǎng)絡(luò)聯(lián)系了起來(lái)。因?yàn)樗械奶摂M的服務(wù)器都連接在同一個(gè)虛擬交換機(jī)上，這就造成了一方面原來(lái)設(shè)置的防火墻功能失去了防護(hù)作用，另一方面給所有的虛擬服務(wù)器增加了安全風(fēng)險(xiǎn)。當(dāng)一個(gè)虛擬服務(wù)器遭受到攻擊或出現(xiàn)狀況時(shí)，其它的虛擬服務(wù)器也會(huì)受到影響?？赡苤率瓜到y(tǒng)服務(wù)器超載服務(wù)器虛擬化雖然能產(chǎn)生若干個(gè)服務(wù)器供用戶使用，但是這些產(chǎn)生的服務(wù)器只是虛擬的，還需要借用物理服務(wù)器的硬件系統(tǒng)來(lái)進(jìn)行各種應(yīng)用程序的運(yùn)行。各個(gè)虛擬服務(wù)器的應(yīng)用程序非常多，這些應(yīng)用程序一旦全部運(yùn)行起來(lái)，就會(huì)大量占用物理服務(wù)器的內(nèi)存、中央處理器、網(wǎng)絡(luò)等硬件系統(tǒng)，從而給物理服務(wù)器帶來(lái)沉重的運(yùn)行負(fù)擔(dān)。如果有一天，所有的虛擬服務(wù)器都在運(yùn)行大量的應(yīng)用程序，就有可能使物理服務(wù)器負(fù)荷太大，從而出現(xiàn)服務(wù)器超載的現(xiàn)象。服務(wù)器超載到一定程度，就有可能造成各個(gè)虛擬服務(wù)器運(yùn)行程序速度太慢，影響客戶的使用。更嚴(yán)重的還可能造成物理服務(wù)器系統(tǒng)崩潰，給客戶帶來(lái)無(wú)法估量的損失。致使虛擬機(jī)失去安全保護(hù)服務(wù)器虛擬化后，每個(gè)虛擬機(jī)都會(huì)被裝上自己的管理程序，供客戶操作和使用虛擬服務(wù)器。但是不是所有的管理程序都是完美無(wú)缺，沒(méi)有安全漏洞的。管理程序在設(shè)計(jì)中都有可能會(huì)產(chǎn)生一些安全漏洞和缺陷。而這些安全漏洞和缺陷則有可能成為電腦黑客的攻擊服務(wù)器的著手點(diǎn)。他們通過(guò)這些安全漏洞和缺陷會(huì)順利地進(jìn)入服務(wù)器，進(jìn)行一些非法操作。更重要的是，一臺(tái)虛擬機(jī)管理程序的安全漏洞和缺陷會(huì)傳染給其它虛擬機(jī)。當(dāng)一臺(tái)虛擬機(jī)因安全漏洞和缺陷遭受黑客攻擊時(shí)，其它的虛擬機(jī)也會(huì)受到影響，致使虛擬機(jī)失去安全保護(hù)。服務(wù)器被攻擊的機(jī)會(huì)大大增加連接于同一臺(tái)物理服務(wù)器的所有服務(wù)器虛擬機(jī)是能相互聯(lián)系的。在相互聯(lián)系的過(guò)程中，就有可能產(chǎn)生一些安全風(fēng)險(xiǎn)，致使服務(wù)器遭受黑客的攻擊。而且，黑客不需要對(duì)所有的服務(wù)器虛擬機(jī)逐個(gè)進(jìn)行攻擊，只需要對(duì)其中的一臺(tái)虛擬機(jī)進(jìn)行攻擊。只要攻下一臺(tái)虛擬機(jī)，其它的虛擬機(jī)就可以被攻下。因?yàn)?，所有的虛擬機(jī)都是相互聯(lián)系的。所以說(shuō)，服務(wù)器虛擬化后被攻擊的機(jī)會(huì)大大增加了。虛擬機(jī)補(bǔ)丁帶來(lái)的安全風(fēng)險(xiǎn)每個(gè)虛擬機(jī)都有著自己的管理系統(tǒng)，而這些管理系統(tǒng)是經(jīng)常需要及時(shí)安裝最新補(bǔ)丁以防止被攻擊。但是，一個(gè)物理服務(wù)器可以帶許多個(gè)虛擬機(jī)，每個(gè)虛擬機(jī)就是一臺(tái)服務(wù)器，都需要安裝補(bǔ)丁，工作量太大。這就給虛擬機(jī)的補(bǔ)丁安裝帶來(lái)麻煩，會(huì)大大影響補(bǔ)丁的安裝速度，使虛擬機(jī)不能夠及時(shí)安裝不斷，從而帶來(lái)安全隱患。另外，一些客戶會(huì)通過(guò)一些技術(shù)手段保留個(gè)別虛擬機(jī)用于虛擬機(jī)的災(zāi)難恢復(fù)。但是，保留的虛擬機(jī)很可能沒(méi)有及時(shí)安裝新的補(bǔ)丁，從而會(huì)給災(zāi)難恢復(fù)的虛擬機(jī)帶來(lái)運(yùn)行的安全風(fēng)險(xiǎn)。

創(chuàng)新互聯(lián)長(zhǎng)期為成百上千家客戶提供的網(wǎng)站建設(shè)服務(wù)，團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年，關(guān)注不同地域、不同群體，并針對(duì)不同對(duì)象提供差異化的產(chǎn)品和服務(wù)；打造開(kāi)放共贏平臺(tái)，與合作伙伴共同營(yíng)造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為海城企業(yè)提供專業(yè)的成都網(wǎng)站建設(shè)、成都做網(wǎng)站，海城網(wǎng)站改版等技術(shù)服務(wù)。擁有10年豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開(kāi)發(fā)。

主機(jī)虛擬化安全主要從哪行方面著手？

隨著虛擬化技術(shù)不斷向前發(fā)展,許多單位面臨著實(shí)施虛擬化的誘人理由，如服務(wù)器的整合、更快的硬件、使用上的簡(jiǎn)單、靈活的快照技術(shù)等。這都使得虛擬化更加引人注目。在有些機(jī)構(gòu)中，虛擬化已經(jīng)成為其架構(gòu)中的重要組成部分。在這里，技術(shù)再次走在了最佳的安全方法的前面。隨著機(jī)構(gòu)對(duì)災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性的重視，特別是在金融界，虛擬環(huán)境正變得越來(lái)越普遍。我們應(yīng)該關(guān)注這種繁榮背后的隱憂。

使用虛擬化環(huán)境時(shí)存在的缺陷

1.如果主機(jī)受到破壞，那么主要的主機(jī)所管理的客戶端服務(wù)器有可能被攻克。

2.如果虛擬網(wǎng)絡(luò)受到破壞，那么客戶端也會(huì)受到損害。

3.需要保障客戶端共享和主機(jī)共享的安全，因?yàn)檫@些共享有可被不法之徒利用其漏洞。

4.如果主機(jī)有問(wèn)題，那么所有的虛擬機(jī)都會(huì)產(chǎn)生問(wèn)題。

5.虛擬機(jī)被認(rèn)為是二級(jí)主機(jī)，它們具有類似的特性，并以與物理機(jī)的類似的方式運(yùn)行。在以后的幾年中，虛擬機(jī)和物理機(jī)之間的不同點(diǎn)將會(huì)逐漸減少。

6.在涉及到虛擬領(lǐng)域時(shí)，最少特權(quán)技術(shù)并沒(méi)有得到應(yīng)有的重視，甚至遭到了遺忘。這項(xiàng)技術(shù)可以減少攻擊面，并且應(yīng)當(dāng)在物理的和類似的虛擬化環(huán)境中采用這項(xiàng)技術(shù)。

保障虛擬服務(wù)器環(huán)境安全的措施

1.升級(jí)你的操作系統(tǒng)和應(yīng)用程序，這應(yīng)當(dāng)在所有的虛擬機(jī)和主機(jī)上進(jìn)行。主機(jī)應(yīng)用程序應(yīng)當(dāng)少之又少，僅應(yīng)當(dāng)安裝所需要的程序。

2.在不同的虛擬機(jī)之間，用防火墻進(jìn)行隔離和防護(hù)，并確保只能處理經(jīng)許可的協(xié)議。

3.使每一臺(tái)虛擬機(jī)與其它的虛擬機(jī)和主機(jī)相隔離。盡可能地在所有方面都進(jìn)行隔離。

4.在所有的主機(jī)和虛擬機(jī)上安裝和更新反病毒機(jī)制，因?yàn)樘摂M機(jī)如同物理機(jī)器一樣易受病毒和蠕蟲(chóng)的感染。

5.在主機(jī)和虛擬機(jī)之間使用IPSEC或強(qiáng)化加密，因?yàn)樘摂M機(jī)之間、虛擬機(jī)與主機(jī)之間的通信可能被嗅探和破壞。雖然廠商們?cè)谙敕皆O(shè)法改變這種狀況，但在筆者完成此文時(shí)，這仍是一真實(shí)的威脅。企業(yè)仍需要最佳的方法來(lái)對(duì)機(jī)器之間的通信實(shí)施加密。

6.不要從主機(jī)瀏覽互聯(lián)網(wǎng)，間諜軟件和惡意軟件所造成的感染仍有可能危害主機(jī)。記住，主機(jī)管理著虛擬機(jī)，發(fā)生在虛擬機(jī)上的問(wèn)題會(huì)導(dǎo)致嚴(yán)重的問(wèn)題和潛在的“宕機(jī)”時(shí)間、服務(wù)的喪失等。

7.在主機(jī)上保障管理員和管理員組賬戶的安全，因?yàn)槲词跈?quán)用戶對(duì)特權(quán)賬戶的訪問(wèn)能導(dǎo)致嚴(yán)重的安全損害。調(diào)查發(fā)現(xiàn)，主機(jī)上的管理員(根)賬戶不如虛擬機(jī)上的賬戶安全。記住，你的安全性是由最弱的登錄點(diǎn)決定的。

8.強(qiáng)化主機(jī)操作系統(tǒng)，并終止和禁用不必要的服務(wù)。保持操作系統(tǒng)的精簡(jiǎn)，可以減少被攻擊的機(jī)會(huì)。

9.關(guān)閉不使用的虛擬機(jī)。如果你不需要一種虛擬機(jī)，就不要運(yùn)行它。

10.將虛擬機(jī)整合到企業(yè)的安全策略中。

11.保證主機(jī)的安全，確保在虛擬機(jī)離線時(shí)，非授權(quán)用戶無(wú)法破壞虛擬機(jī)文件。

12.采用可隔離虛擬機(jī)管理程序的方案，這些系統(tǒng)可以進(jìn)一步隔離和更好地保障虛擬環(huán)境的安全。

13.確保主機(jī)驅(qū)動(dòng)程序的更新和升級(jí)，這會(huì)保障你的硬件以最優(yōu)的速度運(yùn)行，而且軟件的更新可極大地減少漏洞利用和拒絕服務(wù)攻擊的機(jī)會(huì)。

14.要禁用虛擬機(jī)中未用的端口。如果虛擬機(jī)環(huán)境并不利用端口技術(shù)，就應(yīng)當(dāng)禁用它。

15.監(jiān)視主機(jī)和虛擬主機(jī)上的事件日志和安全事件。這些日志應(yīng)當(dāng)妥善保存，用于日后的安全審計(jì)。

16.限制并減少硬件資源的共享。從某種意義上講，安全與硬件資源共享，如同魚(yú)與熊掌，不可兼得。在資源被虛擬機(jī)輪流共享時(shí)，除發(fā)生數(shù)據(jù)泄漏外，拒絕服務(wù)攻擊也將是家常便飯。

17.在可能的情況下，保證網(wǎng)絡(luò)接口卡專用于每一個(gè)虛擬機(jī)。這里再次減輕了資源共享問(wèn)題，并且虛擬機(jī)的通信也得到了隔離。

18.投資購(gòu)買可滿足特定目的并且支持虛擬機(jī)的硬件。不支持虛擬機(jī)的硬件會(huì)產(chǎn)生潛在的安全問(wèn)題。

19.分區(qū)可產(chǎn)生磁盤(pán)邊界，它可用于分離每一個(gè)虛擬機(jī)并可在其專用的分區(qū)上保障安全性。如果一個(gè)虛擬機(jī)超出了正常的限制，專用分區(qū)會(huì)限制它對(duì)其它虛擬機(jī)的影響。

20.要保證如果不需要互聯(lián)的話，虛擬機(jī)不能彼此連接。前面我們已經(jīng)說(shuō)過(guò)網(wǎng)絡(luò)隔離的重要性。要進(jìn)行虛擬機(jī)之間的通信，可以使用一個(gè)在不同網(wǎng)絡(luò)地址上的獨(dú)立網(wǎng)絡(luò)接口卡，這要比將虛擬機(jī)之間的通信直接推向暴露的網(wǎng)絡(luò)要安全得多。

21.NAC正走向虛擬機(jī)，對(duì)于基于虛擬機(jī)服務(wù)器的設(shè)備尤其如此。如果這是一種可以啟用的特性，那么，正確的實(shí)施NAC將為你帶來(lái)更長(zhǎng)遠(yuǎn)的安全性。

22.嚴(yán)格管理對(duì)虛擬機(jī)特別是對(duì)主機(jī)的遠(yuǎn)程訪問(wèn)可以使暴露的可能性更少。

23.記住，主機(jī)代表著單個(gè)失效點(diǎn)，備份和連續(xù)性要求可以有助于減少這種風(fēng)險(xiǎn)。

24.避免共享IP地址，這又是一個(gè)共享資源而造成問(wèn)題和漏洞的典型實(shí)例。

業(yè)界已經(jīng)開(kāi)始認(rèn)識(shí)到，虛擬化安全并不是像我們看待物理安全那樣簡(jiǎn)單。這項(xiàng)技術(shù)帶來(lái)了新的需要解決的挑戰(zhàn)。

結(jié)論

虛擬化安全是一項(xiàng)必須的投資。如果一個(gè)單位覺(jué)得其成本太高，那么筆者建議它最好不要采用虛擬化，可堅(jiān)持使用物理機(jī)器，但后者也需要安全保障。

服務(wù)器虛擬化都能解決哪些問(wèn)題？

1、降低總體擁有成本（TCO）、提高投資回報(bào)率（ROI）

通過(guò)服務(wù)器整合，控制和減少物理服務(wù)器的數(shù)量，明顯提高每個(gè)物理服務(wù)器及其CPU的資源利用率，從而降低硬件成本。

降低運(yùn)營(yíng)和維護(hù)成本，包括數(shù)據(jù)中心空間、機(jī)柜、網(wǎng)線，耗電量，冷氣空調(diào)和人力成本等。

2、提高運(yùn)營(yíng)效率

加快新服務(wù)器和應(yīng)用的部署，大大降低服務(wù)器重建和應(yīng)用加載時(shí)間。

主動(dòng)地提前規(guī)劃資源增長(zhǎng)，這樣對(duì)客戶和應(yīng)用的需求響應(yīng)快速，不需要象以前那樣，需要長(zhǎng)時(shí)間的采購(gòu)流程，然后進(jìn)行嘗試。

不需要象以前那樣，硬件維護(hù)需要數(shù)天/周的變更管理準(zhǔn)備和1 - 3小時(shí)維護(hù)窗口，現(xiàn)在可以進(jìn)行快速的硬件維護(hù)和升級(jí)。

3、系統(tǒng)安全性

由于采用了虛擬化技術(shù)的高級(jí)功能，使業(yè)務(wù)系統(tǒng)脫離了單臺(tái)物理硬件的束縛，可以實(shí)現(xiàn)更高級(jí)別的業(yè)務(wù)連續(xù)性要求，提升了系統(tǒng)安全性、可靠性。

通過(guò)虛擬化技術(shù)，降低了物理硬件的故障影響力，減少了硬件的安全隱患。

通過(guò)虛擬化整合，減少了設(shè)備的接入數(shù)量，安全防范的范圍能夠得到更有效地控制。

4、提高服務(wù)水平

幫助您建立業(yè)務(wù)和IT資源之間的關(guān)系，使IT和業(yè)務(wù)優(yōu)先級(jí)對(duì)應(yīng)。

將所有服務(wù)器作為統(tǒng)一資源池進(jìn)行管理，并按需進(jìn)行資源調(diào)配，快速響應(yīng)業(yè)務(wù)部門提出的系統(tǒng)資源需求。

5、陳舊硬件和操作系統(tǒng)的投資保護(hù)

虛擬化平臺(tái)具有更廣泛的操作系統(tǒng)（OS）兼容性，不再擔(dān)心舊系統(tǒng)的無(wú)法使用，并且通過(guò)自動(dòng)更新功能實(shí)現(xiàn)維護(hù)和升級(jí)等一系列問(wèn)題。

6、云計(jì)算基礎(chǔ)環(huán)境準(zhǔn)備

網(wǎng)站題目：服務(wù)器虛擬化安全管理 服務(wù)器虛擬化管理平臺(tái)
網(wǎng)址分享：http://chinadenli.net/article28/ddeiijp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站收錄、網(wǎng)站設(shè)計(jì)、網(wǎng)站維護(hù)、關(guān)鍵詞優(yōu)化、靜態(tài)網(wǎng)站、網(wǎng)站策劃

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)