虛擬安全市場(chǎng)正在迅速解決與客戶虛擬機(jī)有關(guān)的安全問題。雖然從戰(zhàn)術(shù)方面看管理程序是數(shù)據(jù)中心中最不容易被利用的部分，但是，從戰(zhàn)略上看，管理程序是虛擬數(shù)據(jù)中心最誘人的攻擊目標(biāo)，因?yàn)楣テ七@一點(diǎn)就可以訪問數(shù)據(jù)中心的多個(gè)虛擬系統(tǒng)。

企業(yè)應(yīng)該分析自己使用的虛擬平臺(tái)的具體風(fēng)險(xiǎn)。重要的是要知道這個(gè)架構(gòu)的變化如何影響到現(xiàn)有的安全管理系統(tǒng)。企業(yè)IT部門在向虛擬機(jī)遷移或者應(yīng)用虛擬機(jī)之前還應(yīng)該制定戰(zhàn)術(shù)的和戰(zhàn)略的安全計(jì)劃。這些安全計(jì)劃是通過對(duì)現(xiàn)有的虛擬安全進(jìn)行綜合分析實(shí)現(xiàn)的，同時(shí)還要計(jì)劃應(yīng)付虛擬平臺(tái)的未來的安全威脅。規(guī)劃以及當(dāng)前架構(gòu)和安全管理中的小的變化有助于防御未來的管理程序和平臺(tái)級(jí)的虛擬化攻擊。總的來說，作為整個(gè)虛擬化安全架構(gòu)的一部分，IT部門應(yīng)該把重點(diǎn)放在三個(gè)虛擬化方面：

按照位置分開虛擬機(jī)

虛擬安全領(lǐng)域經(jīng)常討論的問題之一是在隔離區(qū)使用虛擬平臺(tái)。經(jīng)?？吹揭粋€(gè)物理虛擬機(jī)主機(jī)在隔離區(qū)運(yùn)行公共的和專有的虛擬機(jī)，這兩個(gè)安全領(lǐng)域的區(qū)分是在軟交換機(jī)上實(shí)施的。在實(shí)踐上，這種架構(gòu)沒有物理環(huán)境的架構(gòu)那樣安全，因?yàn)檫@種架構(gòu)的虛擬機(jī)和物理機(jī)器共享運(yùn)行環(huán)境。在物理領(lǐng)域，公共機(jī)器應(yīng)該插入同一臺(tái)交換機(jī)，虛擬局域網(wǎng)應(yīng)該與專用機(jī)器分開。采用虛擬平臺(tái)，這個(gè)計(jì)算的區(qū)分就消失了。一臺(tái)主機(jī)上所有的虛擬機(jī)將共享CPU、內(nèi)存、總線和網(wǎng)絡(luò)資源。從理論上說，這個(gè)共享的虛擬架構(gòu)提供了從公共網(wǎng)絡(luò)向?qū)Ｓ芯W(wǎng)絡(luò)機(jī)器實(shí)施直接攻擊的線路。這相當(dāng)于把你的全部隔離區(qū)的雞蛋都放在一個(gè)籃子里。虛擬平臺(tái)上的一切都是由相同的軟件共享和管理的?？刂铺摂M局域網(wǎng)部分的軟件也控制這個(gè)主機(jī)的IP堆棧。那個(gè)主機(jī)上的IP堆棧中的安全漏洞會(huì)使整個(gè)客戶網(wǎng)絡(luò)處于危險(xiǎn)之中。

消除共享的隔離區(qū)資源的安全威脅的解決方案是在物理上把公共的虛擬機(jī)與專用的虛擬機(jī)分開，在不同的主機(jī)上運(yùn)行和管理這些虛擬機(jī)。所有公開的虛擬機(jī)都應(yīng)該放置在公開的主機(jī)服務(wù)器上，用電纜線連接到物理地分開的網(wǎng)絡(luò)。如果公共的和專有的主機(jī)在一個(gè)集群中是共享的，一個(gè)DRS事件就可以根據(jù)資源的需求把一個(gè)專用的虛擬機(jī)遷移到公共主機(jī)服務(wù)器，從而取消了任何資源區(qū)分的好處。

根據(jù)服務(wù)類型分開虛擬機(jī)

一旦根據(jù)位置分開虛擬資源之后，下一步就是根據(jù)任務(wù)或者服務(wù)分開虛擬機(jī)。換句話說，就是讓全部的網(wǎng)絡(luò)服務(wù)器虛擬機(jī)在一個(gè)資源池和集群中，讓所有的應(yīng)用虛擬機(jī)在另一個(gè)資源池或者集群中。同在隔離區(qū)內(nèi)分開位置一樣，這個(gè)架構(gòu)旨在限制那些與攻破虛擬平臺(tái)有關(guān)的風(fēng)險(xiǎn)。如果一個(gè)攻擊者能夠攻破一個(gè)客戶虛擬機(jī)，在同一個(gè)物理主機(jī)上運(yùn)行的其它客戶機(jī)預(yù)計(jì)也會(huì)被攻破，因?yàn)樗鼈児蚕硗瑯拥倪\(yùn)行環(huán)境。如果在一個(gè)主機(jī)上運(yùn)行的所有的虛擬機(jī)都是相同的并且都執(zhí)行同樣的任務(wù)，而且整個(gè)系統(tǒng)沒有完全暴露，攻擊者不必利用10個(gè)虛擬機(jī)安全漏洞，能夠利用一個(gè)虛擬機(jī)的漏洞就夠了。

另一方面，如果一個(gè)主機(jī)服務(wù)器正在所有的應(yīng)用層運(yùn)行(這些應(yīng)用層包括網(wǎng)絡(luò)服務(wù)器、應(yīng)用程序服務(wù)器和數(shù)據(jù)庫服務(wù)器)，攻擊者通過利用前端網(wǎng)路瀏覽器漏洞能夠獲得后端數(shù)據(jù)庫的訪問權(quán)限?，F(xiàn)在，數(shù)據(jù)庫將有更大的風(fēng)險(xiǎn)，因?yàn)樗c網(wǎng)絡(luò)服務(wù)器在同一臺(tái)主機(jī)上運(yùn)行，共享同樣的資源。根據(jù)服務(wù)分開虛擬機(jī)有助于緩解這個(gè)風(fēng)險(xiǎn)，方法是隔離虛擬應(yīng)用程序并且讓虛擬機(jī)保持與具體的硬件資源和集群的聯(lián)系。利用一種類型的虛擬機(jī)任務(wù)的安全漏洞不會(huì)直接使其它虛擬機(jī)任務(wù)面臨風(fēng)險(xiǎn)。

整個(gè)虛擬機(jī)生命周期內(nèi)有預(yù)見性的安全管理

虛擬機(jī)和平臺(tái)的主要好處之一是能夠方便地創(chuàng)建、移動(dòng)和撤銷虛擬機(jī)。當(dāng)需要新的服務(wù)的時(shí)候，可以創(chuàng)建虛擬機(jī)或者提取存檔的虛擬機(jī)，然后根據(jù)需要進(jìn)行設(shè)置。隨著需求的增長，人們可以克隆虛擬機(jī)或者動(dòng)態(tài)地為虛擬機(jī)分配額外的資源。隨著需求的減少，人們可以撤銷這些虛擬機(jī)的設(shè)置，使這些虛擬機(jī)不再消耗資源。虛擬機(jī)的創(chuàng)建、移動(dòng)和銷毀過程構(gòu)成了虛擬機(jī)的生命周期。

虛擬機(jī)在生命周期的每一個(gè)步都容易受到安全威脅。當(dāng)從頭開始創(chuàng)建新的虛擬機(jī)的時(shí)候，重要的是要保證虛擬機(jī)使用最新的安全補(bǔ)丁和軟件。當(dāng)克隆虛擬機(jī)鏡像和移動(dòng)虛擬機(jī)的時(shí)候，重要的是保持每一個(gè)虛擬機(jī)的穩(wěn)定狀態(tài),以便了解這些虛擬機(jī)是否需使用了最新的補(bǔ)丁或者是否需要使用補(bǔ)丁。隨著時(shí)間的推移，很容易重復(fù)地克隆一個(gè)使用了補(bǔ)丁的鏡像，最終使各種虛擬機(jī)保持各種補(bǔ)丁水平。由于鏡像存儲(chǔ)很長時(shí)間沒有使用，這些虛擬機(jī)可能會(huì)過時(shí)，需要在使用的間歇時(shí)間里離線使用補(bǔ)丁，以保證它們?cè)谙乱淮螁?dòng)的時(shí)候盡可能是安全的。同遷移的虛擬機(jī)一樣，資產(chǎn)管理對(duì)于銷毀虛擬機(jī)和防止閑置的虛擬機(jī)在數(shù)據(jù)中心蔓延成為未知威脅的攻擊目標(biāo)是非常重要的。

河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年，專注服務(wù)器托管租用，是國家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù)，另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù)，使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話：0371-60135900
虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話：0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報(bào)電話：0371-60135995
服務(wù)熱線：0371-60135900