虛擬架構與網絡安全
此文章主要描述的是虛擬架構如何影響網絡安全,虛擬基礎架構是通過變換現代數據中心的結構來做到這些。 虛擬架構對影響網絡安全有什么樣的影響? 虛擬架構是如何影響網絡安全的?
[2] 數據中心的安全問題非常普遍又是一直存在的,偶爾引入的新元素往往需要管理員重新審視系統的安全策略。虛擬基礎架構僅僅通過變換現代數據中心的結構來做到這些。服務器虛擬化可以提供功能強大的操作模式以及其它很多優勢。在運行虛擬基礎架構時,物理服務器就變成可以歸入到一個資源池中的計算資源。另外,服務器提供主體——終端用戶交互方——就變成了虛擬機。資源池和虛擬服務提供主體之間的競爭改變了管理員看待數據中心安全的傳統方式。
安全問題:清楚風險
數據中心除了這個轉換之外,虛擬基礎架構也帶來其自身的安全問題。新安全威脅的出現自然就需要新方法來處理。但是虛擬化將會給當前的安全實踐帶來什么樣的影響呢?網絡安全中心——一個負責起草操作系統、網絡設備和其它應用設備標準的非盈利組織——的專家曾經試圖通過出撰寫虛擬機安全標準報告來回答這個問題,該報告標識出若干種潛在的虛擬化技術安全威脅。但是隨著越來越多的單位開始部署虛擬化基礎架構,各種各樣的新安全威脅也不斷出現。
如果關注虛擬基礎架構中的安全問題,就需要在保護該架構時考慮如下幾個方面。在很多情況下,每個問題就依賴于已有的工具和實施,但是這兩者都必須及時更新才可以滿足消除虛擬基礎架構安全威脅的條件。
單位部署服務器虛擬化的一個主要原因就是實施物理機器的整合——把物理計算機轉換成虛擬機。在整合機器設備時,在把具有不同安全背景的系統配置在同一臺宿主主機上時需要格外仔細。在把承載不同操作系統的虛擬機放在同一臺主機上時也需要特別注意。
具有不同安全背景的機器如果配置不正確的話就會損壞系統的安全。確保連接到每一臺給定安全背景的虛擬機上的虛擬網絡適配器都綁定在主機服務器上的物理網絡適配器。絕對不能把具有不同安全背景的機器連接到同一個物理適配器上,因為這可能引發安全數據通信泄露到不安全的網絡上。
承載不同操作系統的機器可能遲滯不同級別的補丁包和更新——有些機器可能沒有得到特定脆弱性的保護,而其它機器有得到保護。這些容易受到安全威脅的機器就會影響到其它機器的安全。
在主機上運行的虛擬機,可能在虛擬機和主機之間共享剪切板。該共享剪切板不僅支持數據轉化,同時也能夠使惡意程序“順便捎帶”剪切板上的數據,從而影響到其它虛擬機或者主機本身。尤其在使用軟件虛擬化管理程序(該應用程序采取和操作系統上應用程序相似的方式運行)時更容易出現這類問題。部分軟件虛擬化管理程序是VMware Workstation、Sun xVM VirtualBox、Microsoft Virtual Server以及Microsoft Virtual PC。
運行硬件虛擬化管理程序——直接運行在硬件之上——能夠緩解這個問題。硬件虛擬化管理程序包括Microsoft Hyper-V、VMware vSphere、Virtual Iron或者Citrix XenServer。
有些主機記錄運行在主機上虛擬機的登錄按鍵和屏幕操作。用戶可以通過虛擬基礎架構管理界面控制這個稱為主機虛擬機登錄的行為。如果選擇記錄虛擬機活動,就需要確保主機日志文件一直都是完全安全的。
虛擬機內的程序可能會從虛擬機“逃離”,從而影響到主機安全。因此必須保證虛擬機配置合適的防火墻和惡意軟件防護程序,諸如防病毒和反惡意軟件程序。還需要保證的是所有的簽名和補丁能夠及時更新。
監控可能會成為一個問題。主機可以監控虛擬機,虛擬機也可以監控其它虛擬機,虛擬機也可以監控主機服務器。在所有的這些場景中,監控記錄和數據庫必須是安全的。也必須控制對所有監控數據和管理界面的訪問。
虛擬機也可能引起對主機的拒絕服務攻擊,所有運行在一臺主機上的虛擬機共享主機資源。可能會有虛擬機失去控制占用主機上的所有資源,拒絕向其它虛擬機提供服務器。需要通過對所有虛擬機實施合適的資源訪問控制來防止此類問題的發生。
保護虛擬機——尤其是高安全虛擬機——不受外部不可控的修改。防止修改的理想方案是確保構成虛擬機的所有文件都是經過數字簽名的。
同虛擬化管理程序的通信也應該自始至終都得到保護,因為這些數據中可能包含重要的信息,如特權賬號的用戶名和口令。大多數虛擬基礎架構在所有的管理通信中都支持安全套接層(SSL:Secure Sockets Layer)的使用,但是這一項功能在默認情況下通常都沒有安裝。確保必須部署該功能來防止受到潛在的管理通信問題的影響。
虛擬機也可以看作是一個文件夾中的一系列文件,但是這些文件中包括了相當敏感的信息,確保組成虛擬機的所有文件都放在同一個文件夾中。有些虛擬化管理程序默認情況下并不存儲虛擬機文件,如同一個文件中的配置、虛擬磁盤、快照文件、內存內數據等。把這些文件保存在一起,更容易進行跟蹤和監控以防止非授權訪問,甚至是偷竊。
由于虛擬機是由不同的文件組成的,所以通過使用含有惡意軟件的文件替換虛擬磁盤中的一個文件可以很容易威脅到系統安全。這就是要監控組成虛擬機文件很重要的一個原因。
上述的相關內容就是對虛擬架構是如何影響網絡安全的描述,希望會給你帶來一些幫助在此方面。
【編輯推薦】
