如何提高虛擬機配置的安全性?
保持hypervisor更新最新的補丁是防止攻擊的重要步驟,但適當的虛擬機配置管理對確保整體安全性而言依然非常重要。
有幾個常見的做法,可以提高hypervisor和托管虛擬機的安全性。
確保hypervisor是最新版本或及時更新補丁。hypervisor開發者比如Xen,已經應對Xen的安全漏洞傳播制定了詳細的安全協議設計。組織應該測試和部署這些安全補丁,預防可能發生的攻擊。
主機和客戶虛擬機各自運行一個操作系統,保持操作系統更新最新的安全補丁非常重要。當每個虛擬機運行相同的操作系統,安全漏洞被攻擊的可能性大大增加,因此組織的第一次評估和測試補丁應該關注安全補丁測試,以避免零時差攻擊。變更管理工具對于追蹤供應商和版本是非常有用的,當補丁是可用的會發送警報,并且確保每個虛擬機的操作系統都是正常的。
反惡意軟件工具通常安裝在位于hypervisor的虛擬主機上——并不是每一臺虛擬機。這樣可以提高系統的性能,因為你不會在同一時間啟用多個虛擬機掃描惡意軟件,但這是保持任何反惡意軟件工具更新的關鍵,可能包括病毒掃描、防火墻和入侵檢測系統。啟用自動更新和允許反惡意軟件工具執行自主簽名或參考文件的更新,這些可能每天發生,有時甚至一天發生幾次。
虛擬機配置也可以幫助防御攻擊。大多數虛擬機采用的基礎圖像稱為金色圖像。圖像包括虛擬機配置,如開放端口,包括服務等。在許多情況下,圖像本質上是不安全的,圖像可能包括不必要的開放端口。這種情況經常發生,因為圖像的出現是響應特定的工作負載,而沒有仔細考慮圖像安全配置問題。這樣大大了提高虛擬機的攻擊面,使每一臺虛擬機處于風險之中。檢查金色圖像并檢查配置的每個屬性——它可能需要后續的虛擬機創建一個新的金色圖像。同時,也有必要檢查虛擬機配置,最好手動調整好每個配置。
一旦一個新的實例被克隆,虛擬機配置管理就不能停止。每個虛擬機的配置應該監控和管理整個生命周期。虛擬化工具如SolarWinds,Puppet等有助于控制虛擬機配置,保持虛擬機的安全性。當檢測到配置更改時,還應該能夠編譯日志并向管理員發出警報。
