扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
上周在美国拉斯维加斯召开的VMworld大会上,参会者就虚拟环境潜在的风险问题进行了讨论。
IBM/ISS首席安全分析师Joshua Corman表示:“至少就目前看来,用于管理虚拟服务器的hypervisor、用于控制虚拟服务器的管理平台以及安装和运行虚拟服务器的IT技术人员都是潜在的攻击者,虚拟化技术扮演了转变好坏的角色。”
那些迫于财务压力运行虚拟服务器的IT人员可能会不恰当地计划安全配置。他说:“与以前相比,虚拟化技术要求更多的策略和强制执行。”
因为负责服务器、网络、安全和应用的专家小组往往会忽略传统物理服务器群的配置,所以他们也应该对虚拟环境进行谨慎配置。但是往往存在这样一个问题,服务器专家小组承担安全小组的责任,却没有适当的安全专业技术。他说:“从前,在不同管理者所掌握的技术之间存在一个良好的平衡。”
与此同时,虚拟化技术为入侵者提供了一个可利用的漏洞。“虚拟化技术可能会暴露你存在的风险。”尤其虚拟化环境对管理者来说是一个“管理的噩梦”,因为在这个环境中每台虚拟机都有可能发生蔓延,使整个环境看上去似乎处处都是虚拟化的。这就让我们很难找到服务器实例,更不要说对其实施保护了,而且这种“服务器蔓延”可能导致严重的故障。
因为虚拟机不使用的时候出于中断状态,所以独立服务器可能会变成容易收到攻击的架构。当用户主机需要应用的时候,他们就恢复在线状态,但同时可能会错过一些关键的升级程序,更容易受到入侵者攻击。
一旦客户主机上线它就会在同一台硬件设备内获得可用的处理能力,这就导致了同一台物理设备内其他客户机的性能瓶颈。
Corman举了一个企业的例子,该企业安装了2200台虚拟服务器。当其中一些虚拟机超负载的时候就向其他物理设备中进行复制,他们占用这些设备上的CPU看将导致更多的虚拟服务器迁移到其他硬件服务器上,导致其超负载。这就可能导致服务器的崩溃。
Corman说,如果不对可以虚拟机迁移进行限制的话,这种向新物理主机的实时迁移本身会成为一个漏洞。虽然镜像是从一个硬件服务器迁移到另一个硬件服务器上的,但是它未经加密,并且很容易受到某些中间人攻击,例如修改复制虚拟机的管理员权限。然后攻击者就可以控制新的虚拟服务器。
控制虚拟服务器的hypervisor被设计成小型化很难受到攻击,但是它缺乏一定的加密功能。hypervisor允许对虚拟机不限制数量的访问,“如果入侵者进入虚拟机就糟糕了。”
采用虚拟化技术对企业产生很大的影响,不过企业是否能够满足法规要求,例如支付卡行业的安全标准等等。
Corman表示:“真正的服务器架构,它本身是遵循法规要求的,但是安装到虚拟环境下就不一定了。”他建议用户随时与法规监督员保持联系,了解他们是如何界定虚拟环境是否满足法规要求的。他说:“现在虚拟化技术走在了法规遵从的前面。”
虽然人们普遍认为虚拟机存在一些问题,但是Corman认为这是可以被有效解决的,在这里他提出了几点建议:
·确保新的虚拟机接受了安全配置
·对哪些虚拟服务器可以实时迁移到物理服务器上进行严格设定
·对托管虚拟环境的物理环境进行全面的安全检查
·在每台客户虚拟机上安装基于主机的安全程序
·关闭管理平台,这样只能访问需要的功能特性
·在一个服务器机架内采用虚拟LAN将不同客户进行区分
·对于那些承诺能够确保虚拟安全的安全产品谨慎一些
未来,安全的API将允许第三方安全厂商开发出有效的虚拟安全产品。开发出的新工具将帮助用户发现可能存在安全风险的虚拟机。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者