服务器虚拟化安全放在首位 服务器的虚拟化
如何利用虚拟化提高安全性
我们都知道虚拟化技术可以帮助企业节省开支,简化IT资源管理,但是我们能够利用虚拟化技术来加强系统和网络的安全性吗?随着虚拟蜜罐(honeypot)和蜜网(honeynet)技术的出现,到使用Hyper-V虚拟化技术分配服务器角色,再到虚拟应用程序的无缝沙盒(sandboxing)技术以及最新版本VMWare工作站的发布,答案是肯定的。本文将探讨如何使用虚拟化工具提高Windows环境的安全性等问题。
网站建设哪家好,找成都创新互联!专注于网页设计、网站建设、微信开发、成都微信小程序、集团企业网站建设等服务项目。为回馈新老客户创新互联还提供了龙湾免费建站欢迎大家使用!
虚拟化安全vs安全的虚拟化
经常会有人谈论虚拟环境中出现的安全问题,而大部分讨论都是围绕如何保护虚拟机问题的。诚然,虚拟化技术可能带来某些安全风险,然而,如果用得适当,虚拟化技术也能够帮助提高安全性。
控制力是保护系统的一个重要因素,包括对企业内部人员的控制和访问公司网络资源的外部人员的控制(例如远程用户使用便携式电脑和移动设备访问网络)。虚拟化技术能够帮助你集中控制最终用户所访问的应用程序,而桌面虚拟技术则能够为具有潜在危害的应用程序、网站等创建安全、孤立的计算机环境。
数据集中化管理能够确保数据的安全性,而基于服务器的虚拟化技术能够确保重要数据不被存储在台式机或者很容易遗失或者被偷窃的笔记本电脑中。
沙盒技术
沙盒是指器不能直接访问主一种相对孤立的环境,能够安全地运行那些可能对操作系统、其他应用程序或网络造成威胁的程序。虚拟机机资源,所以使沙盒技术十分安全。如果系统中存在不稳定的应用程序、有安全漏洞应用程序或者未知应用程序,你可以将这样的应用程序安装在虚拟机中,这样的话,当该应用程序出现问题时,就不会对主机系统的其他部分造成影响。
由于网络浏览器经常会成为恶意软件和病毒攻击的对象,我们可以将浏览器在虚拟机中运行,当然你也可以在虚拟机中运行其他互联网相关的程序(如电子邮件客户端、聊天程序和P2P文件共享程序等)。虚拟机能够访问互联网,但是不能访问公司的局域网,这能够帮助你保护主机操作系统以及访问本地资源的商业程序免受互联网中的攻击。
另一个好处就是,当虚拟机受到攻击时能够很简便地恢复,VM软件会在特定的时间点对机器进行“快照”,因此能够很快速地恢复到攻击前的状态。
无缝虚拟应用软件和丰富的VMWare Workstation 6.5实战经验
最新版本的VMWare Workstation (6.5版本)提供了最完整的桌面功能,并且其“Unity”功能能够让你在主机桌面中查看在主机操作系统的应用程序(来自虚拟机)。对用户而言,这意味着完全的无缝虚拟应用程序整合,操作过程更加方便。用户能够轻松在虚拟机和主机间进行拖放或者粘贴操作,根本不会感觉应用程序是在虚拟机中运行,这就是说对虚拟机中的应用程最新版本的VMWare Workstation (6.5版本)提供了最完整的桌面功能,并且其“Unity”功能能够让你在主机桌面中查看在主机操序(如网络浏览器)实施沙盒技术时不再会感觉到任何障碍。
这种新软件还能够帮助用户安装虚拟机以便跨越多个监控器进行操作,这很重要,尤其是当你需要在虚拟机中同事运行几个应用程序时。或者你也可以安装多个虚拟机在不同的监控器上显示,这样就更容易追踪用户在特定时间所操作的虚拟计算机。另外也可以在后台运行虚拟机,而不使用workstation用户界面。
服务器分离
服务器整合是很多企业使用虚拟化的主要目的,当然你也可以不使用虚拟化而在一台机器上运行多个服务器角色,你的域控制机还可以作为DNS服务器、DHCP服务器、RRAS服务器等。但是在一台服务器上运行多个角色,特别是在域控制器上,会造成重大的安全风险。虚拟化可以让你在同一物理机上运行所有这些相同的角色,并将服务器分离,因为他们是在单独的虚拟机上运行。
微软公司发布的Hyper-V虚拟软件能够防止VM间的未经授权的通信,且每个虚拟机在分离出来的单个工作进程中运行,并且在用户模式中仅有有限的权限,这能够保证主服务器和程序的安全性。其他能够分离虚拟机的安全机制包括分离虚拟设备,一种从每个虚拟机到主服务器的独立的VMBus,并且VM之间没有共享空间。
主机虚拟化安全主要从哪行方面着手?
随着虚拟化技术不断向前发展,许多单位面临着实施虚拟化的诱人理由,如服务器的整合、更快的硬件、使用上的简单、灵活的快照技术等。这都使得虚拟化更加引人注目。在有些机构中,虚拟化已经成为其架构中的重要组成部分。在这里,技术再次走在了最佳的安全方法的前面。随着机构对灾难恢复和业务连续性的重视,特别是在金融界,虚拟环境正变得越来越普遍。我们应该关注这种繁荣背后的隐忧。
使用虚拟化环境时存在的缺陷
1.如果主机受到破坏,那么主要的主机所管理的客户端服务器有可能被攻克。
2.如果虚拟网络受到破坏,那么客户端也会受到损害。
3.需要保障客户端共享和主机共享的安全,因为这些共享有可被不法之徒利用其漏洞。
4.如果主机有问题,那么所有的虚拟机都会产生问题。
5.虚拟机被认为是二级主机,它们具有类似的特性,并以与物理机的类似的方式运行。在以后的几年中,虚拟机和物理机之间的不同点将会逐渐减少。
6.在涉及到虚拟领域时,最少特权技术并没有得到应有的重视,甚至遭到了遗忘。这项技术可以减少攻击面,并且应当在物理的和类似的虚拟化环境中采用这项技术。
保障虚拟服务器环境安全的措施
1.升级你的操作系统和应用程序,这应当在所有的虚拟机和主机上进行。主机应用程序应当少之又少,仅应当安装所需要的程序。
2.在不同的虚拟机之间,用防火墙进行隔离和防护,并确保只能处理经许可的协议。
3.使每一台虚拟机与其它的虚拟机和主机相隔离。尽可能地在所有方面都进行隔离。
4.在所有的主机和虚拟机上安装和更新反病毒机制,因为虚拟机如同物理机器一样易受病毒和蠕虫的感染。
5.在主机和虚拟机之间使用IPSEC或强化加密,因为虚拟机之间、虚拟机与主机之间的通信可能被嗅探和破坏。虽然厂商们在想方设法改变这种状况,但在笔者完成此文时,这仍是一真实的威胁。企业仍需要最佳的方法来对机器之间的通信实施加密。
6.不要从主机浏览互联网,间谍软件和恶意软件所造成的感染仍有可能危害主机。记住,主机管理着虚拟机,发生在虚拟机上的问题会导致严重的问题和潜在的“宕机”时间、服务的丧失等。
7.在主机上保障管理员和管理员组账户的安全,因为未授权用户对特权账户的访问能导致严重的安全损害。调查发现,主机上的管理员(根)账户不如虚拟机上的账户安全。记住,你的安全性是由最弱的登录点决定的。
8.强化主机操作系统,并终止和禁用不必要的服务。保持操作系统的精简,可以减少被攻击的机会。
9.关闭不使用的虚拟机。如果你不需要一种虚拟机,就不要运行它。
10.将虚拟机整合到企业的安全策略中。
11.保证主机的安全,确保在虚拟机离线时,非授权用户无法破坏虚拟机文件。
12.采用可隔离虚拟机管理程序的方案,这些系统可以进一步隔离和更好地保障虚拟环境的安全。
13.确保主机驱动程序的更新和升级,这会保障你的硬件以最优的速度运行,而且软件的更新可极大地减少漏洞利用和拒绝服务攻击的机会。
14.要禁用虚拟机中未用的端口。如果虚拟机环境并不利用端口技术,就应当禁用它。
15.监视主机和虚拟主机上的事件日志和安全事件。这些日志应当妥善保存,用于日后的安全审计。
16.限制并减少硬件资源的共享。从某种意义上讲,安全与硬件资源共享,如同鱼与熊掌,不可兼得。在资源被虚拟机轮流共享时,除发生数据泄漏外,拒绝服务攻击也将是家常便饭。
17.在可能的情况下,保证网络接口卡专用于每一个虚拟机。这里再次减轻了资源共享问题,并且虚拟机的通信也得到了隔离。
18.投资购买可满足特定目的并且支持虚拟机的硬件。不支持虚拟机的硬件会产生潜在的安全问题。
19.分区可产生磁盘边界,它可用于分离每一个虚拟机并可在其专用的分区上保障安全性。如果一个虚拟机超出了正常的限制,专用分区会限制它对其它虚拟机的影响。
20.要保证如果不需要互联的话,虚拟机不能彼此连接。前面我们已经说过网络隔离的重要性。要进行虚拟机之间的通信,可以使用一个在不同网络地址上的独立网络接口卡,这要比将虚拟机之间的通信直接推向暴露的网络要安全得多。
21.NAC正走向虚拟机,对于基于虚拟机服务器的设备尤其如此。如果这是一种可以启用的特性,那么,正确的实施NAC将为你带来更长远的安全性。
22.严格管理对虚拟机特别是对主机的远程访问可以使暴露的可能性更少。
23.记住,主机代表着单个失效点,备份和连续性要求可以有助于减少这种风险。
24.避免共享IP地址,这又是一个共享资源而造成问题和漏洞的典型实例。
业界已经开始认识到,虚拟化安全并不是像我们看待物理安全那样简单。这项技术带来了新的需要解决的挑战。
结论
虚拟化安全是一项必须的投资。如果一个单位觉得其成本太高,那么笔者建议它最好不要采用虚拟化,可坚持使用物理机器,但后者也需要安全保障。
如何应对虚拟化的三种安全风险
1、虚拟化项目最初并未涉及信息安全。有一项权威的研究发现,在最初创建以及策划时,少于一半的科研项目是不符合安全规定的。有时团体工作时会刻意地把安全问题忘记,可是虚拟化过程中带来的问题是不容忽视的,多个虚拟化服务器工作时带来的弊端比未被虚拟化时带来的问题更为严重。所以研究这些问题时也更为繁琐。
2、底层虚拟化平台的隐患影响所有托管虚拟机。将服务器虚拟化就像在电脑上运行程序一样,都需要借助一个平台。而该平台或多或少会有一些bug而被人们疏忽。最近一些大型虚拟化厂商多次传出虚拟化生产线存在安全隐患,这些隐患尚未得到解决。所以一些人想要攻击时都会选择进攻底层虚拟化平台,通过控制住中枢系统,逃脱安全检测。进而将病毒带入各个服务器中,攻击其弊端,获得了阅览所有信息的权限,导致信息的泄露。
3、虚拟机之间的虚拟网络使现有的安全策略失效。一些知名的虚拟化生产厂商使用建立虚拟机和虚拟网卡的办法使各虚拟机之间能相互关联以此来实现信息发送与接受的能力。一些主流的保护系统的保护范围都只能保护常规服务器的进出流量,却无法看到各个虚拟机之间的流量传输,无法对虚拟化的流量传输提供保障。
4、将不同安全等级的虚拟机未进行有效隔离。一些虚拟化生产厂商正在尝试将服务器全部虚拟化,这样既减少了经费又加快了生产速度。这些服务器包括许多隐私等级较高的系统,所以就要求虚拟机足够安全。而如果未将安全指数不同的服务器分离开,它们由相同的服务器支配,高等级的虚拟机的安全性也会降低并被较低的所控制。
如需了解更多,请访问蛙云官网wwwwayuncn
专业领域十余载,倾情奉献
一次沟通,终生陪伴
分享题目:服务器虚拟化安全放在首位 服务器的虚拟化
网站URL:http://azwzsj.com/article/ddohjgg.html