虛擬化技術(shù)是雙刃劍 保證安全是關(guān)鍵 |
發(fā)布時(shí)間: 2012/6/21 14:13:23 |
安全有時(shí)候被宣傳為服務(wù)器虛擬化的一個(gè)好處。但是,在考慮把全部雞蛋都放在一個(gè)籃子里的難題時(shí),很難確定上述說法是合理的。如果一個(gè)攻擊者攻破了一個(gè)虛擬機(jī),躲避那個(gè)虛擬機(jī)環(huán)境并且深入到這個(gè)管理程序,從而獲得那個(gè)主機(jī)托管的所有虛擬機(jī)的訪問權(quán)限,會發(fā)生什么事情呢?
這種情況有時(shí)候稱作虛擬化“虛擬機(jī)躲避”,是安全專業(yè)人員真正擔(dān)心的問題并且能夠阻礙機(jī)構(gòu)向虛擬化過渡。雖然這種類型的攻擊僅僅在VMware的工作站版本軟件中進(jìn)行過演示,但是,研究人員有一天發(fā)展這種威脅能夠用于虛擬化平臺的方法,這種方法就會落入壞蛋的手中。
不過,攻擊者從一臺機(jī)器跳到另一臺機(jī)器上并不是一件新鮮事。最近AVSIM網(wǎng)站被黑客攻破,在攻破期間托管網(wǎng)站的物理服務(wù)器和這個(gè)網(wǎng)站的備份服務(wù)器都成為惡意黑客的受害者就是一個(gè)這樣的例子。
同任何新興的技術(shù)經(jīng)常遇到的情況一樣,虛擬化的好處也是一把雙刃劍。例如,虛擬機(jī)移植性是一項(xiàng)有幫助的功能,允許虛擬機(jī)從一臺物理主機(jī)方便地遷移到另一臺主機(jī)。虛擬機(jī)能夠備份、作為一個(gè)“黃金鏡像”存檔以便重新生成同樣的系統(tǒng)、并且可以進(jìn)行快照以便用于快速回復(fù)。但是,這種移植性的方便性能夠產(chǎn)生一些潛在的問題。
第一個(gè)可能的問題是虛擬機(jī)蔓延。能夠快速和方便地不熟服務(wù)器并不意味著你應(yīng)該這樣做。適當(dāng)?shù)剡M(jìn)行規(guī)劃是必要的并且虛擬機(jī)清單要更新以反應(yīng)每一個(gè)新的服務(wù)器的狀況。部署一個(gè)虛擬機(jī)進(jìn)行一項(xiàng)快速測試并且在使用之后忘記撤銷這個(gè)虛擬機(jī)或者在管理軟件更新之后意外地啟動這個(gè)虛擬機(jī),就會在你的網(wǎng)絡(luò)中產(chǎn)生一個(gè)沒有人照看的有安全漏洞的系統(tǒng),只能等著被黑客攻破。
可移植性的第二個(gè)問題是數(shù)據(jù)竊賊現(xiàn)在能夠竊取你的整個(gè)虛擬化的服務(wù)器。這種情況在物理服務(wù)器環(huán)境中是不可能出現(xiàn)的。一個(gè)攻擊者不能滲透到你的任何敏感的生產(chǎn)服務(wù)器,但是能夠滲透到你的備份服務(wù)器。如果攻擊者能夠竊取一個(gè)虛擬機(jī),他就能夠像坐在物理服務(wù)器前面一樣訪問那個(gè)服務(wù)器的內(nèi)容。正如我們都知道的那樣,物理服務(wù)器訪問就意味著游戲結(jié)束了。
一些虛擬化廠商一直在研究圍繞虛擬化技術(shù)的這些安全問題并且研究一些方法以緩解期產(chǎn)品可能出現(xiàn)的問題。虛擬化廠商現(xiàn)在要解決的兩個(gè)主要問題是在同一臺物理主機(jī)上虛擬機(jī)通訊的可見性和如果一臺或者更多的物理主機(jī)出現(xiàn)故障之后的業(yè)務(wù)持續(xù)性。后一個(gè)問題已經(jīng)通過高可用性配置和無聊服務(wù)器集群部分地解決了。但是,VMware和思杰都希望最終確定各自的解決方案VMware FT(容錯(cuò))和Marathon everRun VM。
在網(wǎng)絡(luò)方面,每一個(gè)虛擬化廠商都在采用某種類型的基本虛擬交換機(jī),讓虛擬機(jī)的之間能夠相互通訊并且允許進(jìn)出物理主機(jī)的通訊。這個(gè)結(jié)果產(chǎn)生的問題是虛擬交換機(jī)上的通訊對于防火墻、代理以及入墻檢測系統(tǒng)/入侵防御系統(tǒng)等傳統(tǒng)的物理安全設(shè)備是不可見的。因此,VMware去年發(fā)布了VMsafe API(應(yīng)用程序編程接口),從而使一些廠商最近發(fā)布了一些產(chǎn)品幫助幫助網(wǎng)絡(luò)專業(yè)人員觀察虛擬機(jī)之間的通訊情況。這些新產(chǎn)品包括Lancope StealthWatch FlowSensor VE、思科Nexus 1000V和Altor Networks Altor VF。
安全肯定不是推動虛擬化增長的因素,但是,安全也不是虛擬化應(yīng)用的交易殺手。恰當(dāng)?shù)脑O(shè)計(jì)和清單以及保持虛擬化軟件補(bǔ)丁、安全問題和新的安全解決方案的最新更新將有助于你緩解把這樣多的虛擬雞蛋放在一個(gè)籃子里的不安。 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |