采用五方案,让虚拟化更安全

存储虚拟化技术已经在市场上杀出了一片天地。当然我们还是需要不断的学习。关于存储虚拟化技术的安全性,在真实世界中唯一出现的主要供应商的脆弱性报告是微软的升级漏洞,而这是有关Xbox 360中运行的嵌入hypervisor,在Hyper-V或Virtual PC中没有发现漏洞。

无论如何,存储虚拟化技术已经成为主流,在过去几年中虚拟机大量占据了数据中心,IT安全专家们在不断重复着hypervisor如果受侵会带来的可怕后果。黑帽大会在继续讨论潜在的风险和漏洞。Gartner预计去年年底hypervisor就会出现需要修补的大漏洞,很高兴他们没有预测对。

但现实情况是,虚拟化是简单的软件问题。它本质上还是软件,无论怎样严格书写,效率有多高,在代码和设计上总会出现缺陷,并且会越来越多,这和任何复杂的,广泛流行的应用程序都是一样的。

因此,什么才是最可能出现的威胁?虚拟服务器只是服务器。存储虚拟化技术的硬件抽象和灵活性让你能够更容易地进行创建、部署和安排,同时也更容易出现问题甚至丢失。在虚拟世界,你的最大威胁不是挥舞着BIOS病毒或者想方设法控制主机的坏人。相反,最薄弱的环节可能是你自己,如果你缺乏规划,不知道怎样照顾、维护和管理狂野的虚拟农场。

存储虚拟化技术搭建常规防御

无论是小型还是大型的虚拟商店都有一个长长的安全问题清单。你应该关注潜在的漏洞,避免客户虚拟机威胁到主机或hypervisor,信息安全咨询公司Neohapsis的CTO Greg Shipley说,但你应该更关心没打补丁的客户虚拟机,防止它们遗忘在测试主机,或者由于不完善的现场迁移规则在主机间穿梭。

每个人都可以从基本的风险管理思想中受益,Shipley说。大多数企业都有基本的安全设计和底层架构,用来搭建物理和虚拟环境。虽然是老生常谈,但从总体上解决安全问题比任何单一用途的虚拟机工具都更有效。也可以说,先把你的物理环境搭建好,然后才能谈到虚拟机的安全问题。

传统的自动修补策略不考虑离线服务器。在物理世界中,一个断了电的服务器是无法工作的。但在虚拟世界,暂停或存档的服务器可以通过虚拟化补丁管理工具进行更新。虚拟机模板和基准镜像必须保证维护和修补,当然我们也不妨从原始的物理机安全防御体系中吸取营养。

存储虚拟化技术将单点故障降到最低

在过去,你可以靠传统的一台服务器一个盒子的模型合理的避开风险和硬件故障。但在虚拟世界里,随着每台主机上的客户机越来越多,风险也越来越大。因此,在试图通过整合来节省资金的同时,也必须准备好以防万一的计划。

基本的设计方案应该包括至少三台主机,提供现场迁移选择,增强高峰性能,以及保证硬件升级、维护和打补丁的灵活性,确保不出现生产中断。几乎所有的存储虚拟化技术供应商都已经增加了入门级的功能,但获得真正高可用性的唯一方法也只有支付更高的许可费,你需要从虚拟化节约的成本中划出这部分费用。

在软件支持上,Citrix的XenServer提供免费的XenMotion,具有高可用性功能。微软承诺Hyper-V今年晚些时候也会具有现场迁移能力。VMware的vSphere Essentials Plus针对小企业提供三台服务器的集中管理,具有高可用性,而更进一步的vSphere Advanced拥有普遍用途的vMotion,性能更加出众。

存储虚拟化技术检查物理主机内部

当被入侵的客户服务器开始传染其他服务器时,就会发生“混合威胁”。传统的安全工具可以在物理堆栈检测到异常行为,并发出警报。但是,由于存储虚拟化技术网络的通信方式设计在一台单一的物理主机里,黑客可能利用被入侵的虚拟机攻击同一台主机上的其他虚拟机。这样传统的通过网线的监测系统是不能发出警报的。

一些供应商开发了虚拟安全设备来对付这种阴暗的行为,寻找不经过物理网线的虚拟网络流量,并提供虚拟防火墙和入侵检测和预防。VMware在其VMsafe旗下有很多合作伙伴,提供特有的安全API,目的是使虚拟机的可见度能够类似于我们已经习惯的传统物理IP安全方式。

存储虚拟化技术加强控制

所有的主要供应商和少数第三方供应商提供了集中式的虚拟农场管理工具。管理员可以从单独的控制台控制和查看每一个虚拟机,这些工具是跨平台的,从而能够控制不同结构的环境。但是,这些控制台也存在着管理权限和角色的冲突。在过去,大企业可以依靠物理手段来进行访问限制,控制谁可以碰到某一台特定的服务器。而存储虚拟化技术移除了那些墙壁,基于网络的控制台可以让任何人坐在办公桌前操纵虚拟农场。

虚拟机的管理和服务器管理员的职责应当明确界定。处理敏感的医疗、金融或其他重要隐秘数据的服务器必须明确区别开。对所有虚拟设备、控制台和CLI管理应进行周密的考虑,IP接入规则和网络管理条例也必须明确界定。

存储虚拟化技术避免交叉对话

除了对主机网络的管理,对虚拟机迁移渠道的控制也应成为你主要考虑的问题,这关系到网络的性能和安全性。无论是vMotion还是XenMotion都拥有在两台主机之间现场迁移虚拟机的良好能力。数据传输应该发生在类似于iSCSI SAN的私有安全网络结构上。为现场迁移而设置专门的网络分段在所有虚拟主机平台上都应该是理所当然的工作。

关于存储虚拟化技术安全市场上的众多新产品,Neohapsis公司的Shipley说,他没有看到任何值得花钱的东西。大多数企业“应该把建立虚拟环境下的标准操作流程放在第一位,”他说,“太多的企业缺乏基本的管理、漏洞和补丁管理工具。”

把基本的东西做到位之后,在虚拟机防火墙或主机内部的虚拟安全设备上继续投资才会变得有意义。

原文发布于微信公众号 - 云计算D1net(D1Net02)

原文发表时间:2014-09-17

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏极乐技术社区

小程序 · 一周报 | 小程序获取用户信息接口优化调整 / 小游戏视频广告发布

1832
来自专栏北京马哥教育

2016年度中国Oracle数据库使用现状分析报告

云和恩墨旗下智能诊断平台Bethune今日发布了【2016年度中国Oracle数据库使用现状分析报告】,该报告采样2016年度国内18个大行业、485位用户(个...

3967
来自专栏IT技术精选文摘

小程序开发指南

8508
来自专栏云计算D1net

云计算托管将在2018年成为主流

导语 采用共享托管,组织就可以得到其想要的东西。如果每月的支付金额是每月3美元,那么组织将获得一台拥有数百个网站的服务器,并且具有在其网站上同时使用三个用户的处...

3969
来自专栏BIT泽清

IOS提审金融理财小额贷App被拒,怎么修改代码才能通过?

5月份,越来越多的金融理财期货贷款类APP更新时都收到了iOS应用商店被拒的信息(《应用商店评论指南》5.2.1条例)(2.1大礼包的问题也非常多)。基本上都是...

3246
来自专栏linux、Python学习

你到底懂不懂什么是Linux运维工程师?

作为互联网的幕后英雄,Linux运维工程师长期隐匿在大众认知范围之外,关于运维的讨论仍旧是一片无人涉足的荒漠。在某知名行业研究调查结果中,非互联网从业者对于运维...

3142
来自专栏WeTest质量开放平台团队的专栏

你的手游遭遇信任危机了吗?从XcodeGhost漏洞事件看手游安全测试

这两天的安全领域被一个词刷屏了,XcodeGhost,这种病毒不仅会在应用运行时窃取用户信息,甚至还会模拟收费或帐号弹窗来窃取你的iCloud及iTunes密码...

962
来自专栏安全领域

给道德黑客的十大建议

你是否每天都突破各种防火墙?睡觉都在想着利用漏洞?可以轻而易举入侵加密网站?为了人们的利益而做这些事?如果你对这四个问题的回答都是肯定的,你就是道德黑客——或者...

1482
来自专栏BestSDK

想成为技术大咖?那就从API的使用开始吧

近几年,API经济纷纷崛起,无论是国外还是国内,众多厂商积极开放API。从2011年开始,数据通过API开发出来已成为一种趋势,与此同时它也逐渐发成为企业的核心...

33110
来自专栏IT大咖说

超实用案例:美团终端主动监控平台的建设

内容来源:2018 年 01 月 05 日,美团高级技术专家李燕青在“2018 移动技术创新大会”进行《终端主动监控平台的建设》演讲分享。IT 大咖说(微信id...

1653

扫码关注云+社区

领取腾讯云代金券