業(yè)界經(jīng)常會(huì)有聲音質(zhì)疑虛擬服務(wù)器的安全性不如物理服務(wù)器��。這是個(gè)有趣的問(wèn)題,因?yàn)槌松婕拔锢矸⻊?wù)器的各種安全問(wèn)題外����,虛擬服務(wù)器又增加了其自身特有的安全問(wèn)題�。在前不久召開(kāi)的2008微軟TechDays 上,我出席了有關(guān)問(wèn)題的研討會(huì)����。
上面我所指的來(lái)自業(yè)界的質(zhì)疑聲音,來(lái)自著名的IDG 和 Gartner.
物理服務(wù)器我們已經(jīng)接觸了很久����,它也是我們最喜歡的服務(wù)器��。每臺(tái)服務(wù)器上安裝的應(yīng)用服務(wù)和操作系統(tǒng)可能都不盡相同�,但是為了維護(hù)這些物理服務(wù)器的安全,我們所做的工作卻沒(méi)有太大區(qū)別�。
對(duì)于所有物理服務(wù)器來(lái)說(shuō),面對(duì)的主要安全問(wèn)題無(wú)非以下幾項(xiàng):
· 控制物理訪問(wèn)
· 監(jiān)控網(wǎng)絡(luò)訪問(wèn)
· 限制管理特權(quán)
上面列出的安全問(wèn)題可能很少���,但是對(duì)于物理服務(wù)器來(lái)說(shuō)��,所有安全問(wèn)題都已經(jīng)是擺在臺(tái)面上了���。但是與物理服務(wù)器相比,虛擬服務(wù)器又有哪些不同呢?
虛擬服務(wù)器額外的安全挑戰(zhàn)
對(duì)于虛擬服務(wù)器或者物理服務(wù)器來(lái)說(shuō),不論它是運(yùn)行Windows系統(tǒng)還是Unix系統(tǒng)�,都仍然需要監(jiān)控。服務(wù)器上運(yùn)行的操作系統(tǒng)也需要進(jìn)行安全升級(jí)����,其上的軟件也需要及時(shí)進(jìn)行升級(jí)或者打補(bǔ)丁。這種狀況一直都沒(méi)有變過(guò)��,而且Unix系統(tǒng)同樣存在安全漏洞����。在我看來(lái),Unix系統(tǒng)的漏洞比Windows系統(tǒng)少一些�,但是采用Windows系統(tǒng)的服務(wù)器數(shù)量要比采用Unix系統(tǒng)的服務(wù)器多很多,因此存在較大安全風(fēng)險(xiǎn)的服務(wù)器更多�。
除了系統(tǒng)漏洞外,虛擬服務(wù)器還有很多自身的安全問(wèn)題����。想象一下,整個(gè)虛擬服務(wù)器都包含在叫做虛擬硬盤(pán) 的資源中�����,而整個(gè)虛擬硬盤(pán)實(shí)際上都是一堆文件而已����。
想象一個(gè) Word文檔的安全問(wèn)題���,再與作為一個(gè)超大文件的虛擬服務(wù)器對(duì)比一下,我們不難明白����,這種文件化的服務(wù)器問(wèn)題實(shí)在太多了。
同時(shí)需要進(jìn)行安全保護(hù)的內(nèi)容還包括服務(wù)器的配置文件�����,這些配置文件包含了與服務(wù)器名稱(chēng)���,Ram配置���,網(wǎng)絡(luò)配置等重要內(nèi)容相關(guān)的文件��。
在這種情況下��,我們能馬上意識(shí)到對(duì)于虛擬服務(wù)器來(lái)說(shuō)�����,來(lái)自?xún)?nèi)部的威脅可能性變大了。這主要是由于作為文件的虛擬服務(wù)器遠(yuǎn)比物理服務(wù)器更容易被移動(dòng)�����。
另一個(gè)需要考慮的安全問(wèn)題是如何控制對(duì)這些“文件”的訪問(wèn)��。一旦存儲(chǔ)虛擬服務(wù)器的物理服務(wù)器被入侵�����,那么受影響的決不僅僅是某一個(gè)虛擬服務(wù)器��。
現(xiàn)在如果說(shuō)���,我們盡力保護(hù)物理服務(wù)器的安全�,并且肯定其上的文檔都是安全的����,那么其上的虛擬服務(wù)器會(huì)和文檔一樣安全嗎?
實(shí)際上,虛擬服務(wù)器要比文檔更容易成為攻擊目標(biāo)���。
我們可以通過(guò)技術(shù)手段讓某個(gè)服務(wù)器與網(wǎng)絡(luò)連接隔離���,這可以降低通過(guò)網(wǎng)絡(luò)入侵虛擬服務(wù)器的可能性���。但是對(duì)于內(nèi)部威脅來(lái)說(shuō)這種技術(shù)手段毫無(wú)用處。
我們采用和物理服務(wù)器一樣的手段來(lái)保護(hù)虛擬服務(wù)器的訪問(wèn)安全��,比如采用最小特權(quán)訪問(wèn)���,NTFS安全性��,ACL許可���,活動(dòng)目錄組成員等技術(shù)手段,但是這些手段能夠確保虛擬服務(wù)器的安全嗎?歡迎廣大讀者一起討論這個(gè)問(wèn)題�。
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
