取消
显示结果 
搜索替代 
您的意思是: 
cancel
2833
查看次数
0
有帮助
4
评论
joeji
Level 1
Level 1

为了通过高工的职称评审,我在月初不得不参加了计算机专业的一些相应课程培训,其中让我印象最深的就是《云计算与虚拟化技术》。除了从课堂上学的干货,我也通过去图书馆以及上网等方式自我补足了一些知识点。在这里借着安全漫谈这个主题分享给大家吧。希望大家能指出我理解上错误,或者给我更好的虚拟化安全知识启发哦。多谢!

如今如同堆砌烟囱式的服务器机柜架构正在被虚拟化所逐渐取代。由虚拟化所带来的硬件成本的节省给各个企业的IT部门带来了耳目一新的感受。

网络隐患

传统网络架构是在防火墙上划分不同的区域(如DMZ)配以不同的策略来限制和隔离各个区域内服务器的连接。而今,各种虚拟机都集中连接到同一台虚拟交换机上与外部网络进行通信。那么问题来了,虚拟交换机反而成了一个单点。当网络架构发生变化,或者此虚拟交换机出现故障的时候,其相应的防火墙策略无法实施生效并保护虚拟机。而且一旦安全问题在整个网络中传播,其负面效果会迭代式扩散。这会让攻击者在整个内网中肆意横行,畅通无阻。

另外,由于虚拟交换机中的网络流量是不可见的,导致了一些传统的流量监测、过滤和隔离措施无法精准的实施。说它们不可见,是因为这些流量只存在服务器内部,而不会传送到服务器外部的物理防火墙中,进而导致物理防火墙无法对其进行安全防护。所以说运维人员对这些股“洪荒之力,难以做到有效隔离与防护。

主机隐患

大家通常维护和着眼于虚拟机及其操作系统的安全维护,而有时候忽略了其管理平台定期的补丁更新,以及对虚机溢出(VMEscape or Overflow)漏洞和虚机跳跃(VMHopping)风险的查缺补漏。一旦出现所谓的Hyperjacking,即黑客运用rootkit攻击手段获取底层权限,在正常操作系统启动前事先启动了VMM,让原先的OS执行在此VMM之上,使得恶意程序执行在一个与VMM评选的独立OS上,从而完全不被正常的OS所察觉。这些就会导致在虚机A被攻克后,其同一宿主机上的其他虚机甚至是宿主机本身也受到安全威胁。另外有一种是虚机迁移的攻击,也就是虚拟机(特别是虚机文件)被攻击者通过网络或USB复制出去。这样一旦攻击者拿到了副本,就可以通过分析对其进行各种模拟和重建来获取系统的内部配置信息。

我总结了一些在虚拟化建设和运维过程中的贴士,特分享给大家:

1. 部署虚拟化的FW/IPS/IDS。特别是在每台虚拟机上安装大厂商新近的虚拟防病毒产品,并保持病毒库的定期更新和维护。为什么强调虚化防毒产品?这是因为,传统的防病毒软件安装在各个虚机上后,由于通过常驻内存的方式进行定期扫描和病毒库更新,有可能导致将既有的硬件资源“抢夺一空”从而形成防病毒风暴

2. 运用虚拟化管理软件来实时监控各个虚拟机的硬件(包括CPU,内存以及硬盘和各个端口等)使用情况。一旦出现过载的情况,自动告知管理员或者动态进行资源调整与分配。

3. 祭出传统的方法,在数据库和应用层之间设置防火墙,从而阻止虚拟机溢出。

4. 选用具有TrustedPlatform Module的磁盘硬件来担当服务器。实现预引导密码保护及文件和文件夹加密等增强的用户身份认证技术。不过这适用于国外的服务器。我们就把它当作一直技术概念吧。

5. 多践行逻辑隔离。包括将虚拟机分配并安装在不同且独立的硬盘分区上;各个虚机划分至不同PVLAN(专用虚拟局域网),不同网段;用VPN的方式实现必要的通信。

6. 定制好策略,尽量自带的备份软件进行定期备份。有条件的话,在独立的测试环境中验证备份文件是否能被及时完整的恢复。

总的说来,由于虚拟化是对于普通黑客来说还是新事物,所以可用的工具和攻击事件尚不是很多。这就有点像是葵花宝典一样,江湖上一直有传言,但从来没人真正见识过。话说回来,大家总说的狼来了等到流氓有了文化万一哪一天真的来了?亡羊补牢,岂不晚矣?

评论
julianchen
Spotlight
Spotlight
真心觉得不错,我的漫谈中正缺少您这样关于虚拟化的安全版块。谢谢您的补足!非常赞!
suzhouxiaoniu
Spotlight
Spotlight
支持一下,虚拟化,热门。。。现在考证的也比较多
dourbest
Level 1
Level 1
我也觉得虚拟化的安全事件尚未到高发期,不过做好未雨绸缪是非常重要的。我复习的时候也了解过这些。
joeji
Level 1
Level 1
谢谢各位技术大咖给我的鼓励哦!
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接