54SA.COM|专注于系统运维管理,为中国SA提供动力!
Getting online shouldn't be tough. $7.99 .COMs
系统管理员之家Banner
当前位置: 主页 > 信息化 > 虚拟化 >

减少虚拟化安全风险需要物理的视角

时间:2011-12-17 00:00来源:网络 编辑:lavy

许多公司都已经配置了虚拟化架构来降低成本,提高效率,但是虚拟化方面的安全专家表示,这些公司应该再次评估他们的安全措施,从而解决这一技术所造成的缺陷。

像过去一样,当采用物理架构和系统来满足商业需求时,在许多早期虚拟化配置中安全需求一般被放在次要位置,Dave Shackleford说道(Shackleford是Voodoo Security公司的创始人兼首席顾问,该公司的总部位于亚特兰大)。但好的消息是,用于防御物理系统免受攻击的策略可以用于解决虚拟化安全风险,Shackleford表示。

“你仍然需要监测网络流量,同时还需要解决一些配置和补丁管理方面的问题。” Shackleford说,“从网络的角度来看,真正的改变仅仅是你现在可以通过同一个通道传输更多的流量。”

虚拟化打破了物理系统的界限,将网络转化成了各种配置和内存中的快照文件。该技术使用一个管理程序,使得硬件可以支持多个系统在一个物理平台上同时运行。Shackleford称虚拟化平台具有“令人难以置信的适应性”。推出这些平台的公司有VMware、Citrix Systems和Microsoft等厂商,并不断的对其漏洞进行修补。

这些对虚拟系统的威胁,比如:利用管理程序和其他组件发起的攻击,目前已得到了相关的概念验证,Shackleford说道。研究人员已经记录了侵入一个虚拟服务器并拥有一个虚拟机的复杂方法,不过至今利用虚拟机来攻击的风险还是很低的。事实上,最新的Verizon数据泄漏调查报告显示:所有这些被调查的泄漏案件中——超过了923个独立案件——没有一个是涉及利用管理程序来允许攻击者越过虚拟机的。

除了被记录的所有复杂的攻击外,Shackleford相信攻击者更有可能选择破坏用于支持虚拟机的管理基础设施。他说,许多公司都不能将管理基础设施从虚拟网络的其余部分中完全分隔出来。这个漏洞可以是网络犯罪分子用来获得敏感数据的攻击向量。

“你必须确保管理基础设施不仅仅集中在你的生产流量的其余部分,”他说,“这需要额外的工作,但在大多数情况下,人们不愿再这上面花时间。”

Shackleford是一位经认证的SANS研究所讲师,他正在改进由该组织举办的虚拟化培训,该培训的目的是围绕具体的最佳策略拓展其范围。他说,各组织应该评估他们的物理安全设备和系统,看其是否能够在虚拟基础架构上工作。一些传统的方法,比如:隔离包含敏感数据的系统,确保管理团队职责分离,保护管理层不受内部和外部的攻击等等,都应该被采用。另外,安全厂商正在针对虚拟化环境优化它们的产品。

Andy Ellis是Akamai Technologies公司的信息安全高级主管和首席安全架构师,他说他的公司在虚拟服务器上运行基于Java的计算环境。Akamai的客户端在这个环境下运行面向用户的网络应用程序,比如:一个网站组件可以用来寻找一个零售地点或者寻找让网站访问者可以按需求定制产品的配置工具。Ellis说,这个环境建立起来后,Akamai可以在需要的时候向基于Java的网络应用程序传送计算能力。

[责任编辑:admin]


------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
用户名:
最新评论 进入详细评论页>>