監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 甲方項(xiàng)目管理系統(tǒng) | 簽約案例 | 客戶案例 | 在線試用
X 關(guān)閉

如何保護(hù)數(shù)據(jù)中心虛擬化安全

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

摘要:黑客攻擊:這會(huì)涉及對(duì)管理程序的干擾或者插入流氓管理程序。由于管理程序是在處理器專屬級(jí)別上運(yùn)行的,因?yàn)楣芾沓绦蛏线\(yùn)行的任何操作系統(tǒng)都很難甚至不可能偵測到這些虛擬化安全威脅。從理論上來說,控制了管理程序的黑客會(huì)控制任何在物理服務(wù)器上運(yùn)行的虛擬機(jī)。       虛擬服務(wù)器安全性為什么就不如他們所取代的物理服務(wù)器呢?虛擬化安全尤為重要。導(dǎo)致服務(wù)器安全級(jí)別較低的原因包括:

●許多服務(wù)器虛擬化項(xiàng)目實(shí)施之初就沒有將虛擬化安全問題考慮在內(nèi)

●所有的虛擬工作負(fù)載存在虛擬軟件受到安全威脅的可能

●不同信任級(jí)別的虛擬工作負(fù)載通常被整合在單個(gè)物理主機(jī)上,沒有進(jìn)行足夠的隔離

●許多企業(yè)對(duì)管理程序/虛擬機(jī)監(jiān)管層管理訪問的足夠控制和管理工具

這些對(duì)虛擬環(huán)境的實(shí)際威脅以管理程序?yàn)橹行目梢詣澐譃閹讉€(gè)類別:

黑客攻擊:這會(huì)涉及對(duì)管理程序的干擾或者插入流氓管理程序。由于管理程序是在處理器專屬級(jí)別上運(yùn)行的,因?yàn)楣芾沓绦蛏线\(yùn)行的任何操作系統(tǒng)都很難甚至不可能偵測到這些虛擬化安全威脅。從理論上來說,控制了管理程序的黑客會(huì)控制任何在物理服務(wù)器上運(yùn)行的虛擬機(jī)。

虛擬機(jī)溢出:會(huì)導(dǎo)致虛擬機(jī)溢出的漏洞會(huì)允許黑客威脅到特定的虛擬機(jī),將黑客攻擊從虛擬服務(wù)器升級(jí)到控制底層的管理程序。

虛擬機(jī)跳躍:與虛擬化溢出類似,虛擬機(jī)跳躍會(huì)允許攻擊從一個(gè)虛擬機(jī)轉(zhuǎn)而去威脅在同一個(gè)物理硬件上運(yùn)行的其他虛擬服務(wù)器。

虛擬機(jī)被盜:這是一種用電子方式竊取虛擬機(jī)文件然后四處傳播和運(yùn)行的能力。是一種相當(dāng)于竊取了完整的物理服務(wù)器的攻擊,而且無需進(jìn)入安全的數(shù)據(jù)中心和移除計(jì)算設(shè)備。

所有這些威脅方式是當(dāng)企業(yè)部署虛擬化安全環(huán)境時(shí),他們使用了一種全新的關(guān)鍵任務(wù)元素:管理程序。由于對(duì)管理程序的成功攻擊會(huì)導(dǎo)致對(duì)所有托管的工作負(fù)載都造成威脅——而對(duì)個(gè)別虛擬工作負(fù)載的成功攻擊也會(huì)對(duì)管理程序造成威脅,因此企業(yè)的管理程序應(yīng)該被認(rèn)定為關(guān)鍵任務(wù)軟件并進(jìn)行適當(dāng)?shù)陌踩雷o(hù)。

在傳統(tǒng)的IT環(huán)境中,網(wǎng)絡(luò)流量可以使用一系列服務(wù)器安全防護(hù)系統(tǒng)來偵測惡意行為以實(shí)現(xiàn)監(jiān)控,檢查和過濾。但是虛擬環(huán)境的問題是通過虛擬交互及運(yùn)行的虛擬機(jī)之間的通信很大一部分是無形的:它不是通過有線電纜來實(shí)現(xiàn)通信,也就無法用正常方式來實(shí)施監(jiān)控。

一個(gè)復(fù)雜的問題是虛擬數(shù)據(jù)中心中經(jīng)常會(huì)出現(xiàn)職責(zé)的分離。服務(wù)器和運(yùn)營團(tuán)隊(duì)通常負(fù)責(zé)虛擬交換機(jī)的配置和管理。幾乎或者完全沒有綜合性的應(yīng)用工具和安全控制。

對(duì)于網(wǎng)絡(luò)和安全團(tuán)隊(duì)而言,這會(huì)導(dǎo)致實(shí)施配置審核可視性的缺失,進(jìn)而虛擬化安全受到損害。就很難對(duì)拓?fù)浜团渲米兓M(jìn)行偵測。

專家推薦了三種方式來實(shí)現(xiàn)這一目標(biāo):

1.硬件方式

硬件途徑會(huì)涉及迫使ESX主機(jī)之間的流量由入侵檢測系統(tǒng)加以審核。描述這個(gè)系統(tǒng)的每個(gè)ESX托管都配置了獨(dú)一無二的出入虛擬本地局域網(wǎng),配置了虛擬本地局域網(wǎng)的入侵檢測系統(tǒng)要配置每個(gè)入口虛擬本地局域網(wǎng)和出口虛擬本地局域網(wǎng)。這樣能保證所有虛擬機(jī)到虛擬機(jī)的流量可以通過有線發(fā)送到入侵檢測系統(tǒng)進(jìn)行審核,只有干凈的流量才能在每個(gè)入口/出口虛擬本地局域網(wǎng)之間進(jìn)行通行。

2.完全虛擬化的方式

采用這種方式,每個(gè)ESX主機(jī)都配置了虛擬入侵檢測系統(tǒng)和防火墻,每個(gè)虛擬機(jī)配置的協(xié)議可以判斷什么流量應(yīng)該被檢測。這種方式能保證所有被許可的內(nèi)部虛擬機(jī)流量都能被檢測到,而且當(dāng)虛擬機(jī)在物理主機(jī)之間遷移時(shí),安全協(xié)議也會(huì)隨之一起遷移,不過不足之處是這種方式是影響數(shù)據(jù)中心安全架構(gòu)的性能為代價(jià)的。

3.綜合方式

這是一種可以大幅度緩解完全虛擬化方式所導(dǎo)致的數(shù)據(jù)中心安全的折衷方式。這種方式是在每個(gè)虛擬機(jī)上運(yùn)行虛擬轉(zhuǎn)向器,虛擬機(jī)配置了什么流量應(yīng)該被改變方向-轉(zhuǎn)向物理入侵檢測系統(tǒng)的協(xié)議來進(jìn)行檢測。

入侵檢測系統(tǒng)只允許通過檢測的干凈流量在虛擬機(jī)之間進(jìn)行通行。


發(fā)布:2007-03-05 15:27    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:
北京OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費(fèi)獲取試用系統(tǒng)

QQ在線咨詢

泛普北京OA快博其他應(yīng)用

北京OA軟件 北京OA新聞動(dòng)態(tài) 北京OA信息化 北京OA快博 北京OA行業(yè)資訊 北京軟件開發(fā)公司 北京門禁系統(tǒng) 北京物業(yè)管理軟件 北京倉庫管理軟件 北京餐飲管理軟件 北京網(wǎng)站建設(shè)公司