如何利用虛擬化提高安全性

我們都知道虛擬化技術(shù)可以幫助企業(yè)節(jié)省開支，簡(jiǎn)化IT資源管理，但是我們能夠利用虛擬化技術(shù)來(lái)加強(qiáng)系統(tǒng)和網(wǎng)絡(luò)的安全性嗎?隨著虛擬蜜罐(honeypot)和蜜網(wǎng)(honeynet)技術(shù)的出現(xiàn)，到使用Hyper-V虛擬化技術(shù)分配服務(wù)器角色，再到虛擬應(yīng)用程序的無(wú)縫沙盒(sandboxing)技術(shù)以及最新版本VMWare工作站的發(fā)布，答案是肯定的。本文將探討如何使用虛擬化工具提高Windows環(huán)境的安全性等問(wèn)題。

網(wǎng)站建設(shè)哪家好，找成都創(chuàng)新互聯(lián)！專注于網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、成都微信小程序、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了龍灣免費(fèi)建站歡迎大家使用！

虛擬化安全vs安全的虛擬化

經(jīng)常會(huì)有人談?wù)撎摂M環(huán)境中出現(xiàn)的安全問(wèn)題，而大部分討論都是圍繞如何保護(hù)虛擬機(jī)問(wèn)題的。誠(chéng)然，虛擬化技術(shù)可能帶來(lái)某些安全風(fēng)險(xiǎn)，然而，如果用得適當(dāng)，虛擬化技術(shù)也能夠幫助提高安全性。

控制力是保護(hù)系統(tǒng)的一個(gè)重要因素，包括對(duì)企業(yè)內(nèi)部人員的控制和訪問(wèn)公司網(wǎng)絡(luò)資源的外部人員的控制(例如遠(yuǎn)程用戶使用便攜式電腦和移動(dòng)設(shè)備訪問(wèn)網(wǎng)絡(luò))。虛擬化技術(shù)能夠幫助你集中控制最終用戶所訪問(wèn)的應(yīng)用程序，而桌面虛擬技術(shù)則能夠?yàn)榫哂袧撛谖：Φ膽?yīng)用程序、網(wǎng)站等創(chuàng)建安全、孤立的計(jì)算機(jī)環(huán)境。

數(shù)據(jù)集中化管理能夠確保數(shù)據(jù)的安全性，而基于服務(wù)器的虛擬化技術(shù)能夠確保重要數(shù)據(jù)不被存儲(chǔ)在臺(tái)式機(jī)或者很容易遺失或者被偷竊的筆記本電腦中。

沙盒技術(shù)

沙盒是指器不能直接訪問(wèn)主一種相對(duì)孤立的環(huán)境，能夠安全地運(yùn)行那些可能對(duì)操作系統(tǒng)、其他應(yīng)用程序或網(wǎng)絡(luò)造成威脅的程序。虛擬機(jī)機(jī)資源，所以使沙盒技術(shù)十分安全。如果系統(tǒng)中存在不穩(wěn)定的應(yīng)用程序、有安全漏洞應(yīng)用程序或者未知應(yīng)用程序，你可以將這樣的應(yīng)用程序安裝在虛擬機(jī)中，這樣的話，當(dāng)該應(yīng)用程序出現(xiàn)問(wèn)題時(shí)，就不會(huì)對(duì)主機(jī)系統(tǒng)的其他部分造成影響。

由于網(wǎng)絡(luò)瀏覽器經(jīng)常會(huì)成為惡意軟件和病毒攻擊的對(duì)象，我們可以將瀏覽器在虛擬機(jī)中運(yùn)行，當(dāng)然你也可以在虛擬機(jī)中運(yùn)行其他互聯(lián)網(wǎng)相關(guān)的程序(如電子郵件客戶端、聊天程序和P2P文件共享程序等)。虛擬機(jī)能夠訪問(wèn)互聯(lián)網(wǎng)，但是不能訪問(wèn)公司的局域網(wǎng)，這能夠幫助你保護(hù)主機(jī)操作系統(tǒng)以及訪問(wèn)本地資源的商業(yè)程序免受互聯(lián)網(wǎng)中的攻擊。

另一個(gè)好處就是，當(dāng)虛擬機(jī)受到攻擊時(shí)能夠很簡(jiǎn)便地恢復(fù)，VM軟件會(huì)在特定的時(shí)間點(diǎn)對(duì)機(jī)器進(jìn)行“快照”，因此能夠很快速地恢復(fù)到攻擊前的狀態(tài)。

無(wú)縫虛擬應(yīng)用軟件和豐富的VMWare Workstation 6.5實(shí)戰(zhàn)經(jīng)驗(yàn)

最新版本的VMWare Workstation (6.5版本)提供了最完整的桌面功能，并且其“Unity”功能能夠讓你在主機(jī)桌面中查看在主機(jī)操作系統(tǒng)的應(yīng)用程序(來(lái)自虛擬機(jī))。對(duì)用戶而言，這意味著完全的無(wú)縫虛擬應(yīng)用程序整合，操作過(guò)程更加方便。用戶能夠輕松在虛擬機(jī)和主機(jī)間進(jìn)行拖放或者粘貼操作，根本不會(huì)感覺(jué)應(yīng)用程序是在虛擬機(jī)中運(yùn)行，這就是說(shuō)對(duì)虛擬機(jī)中的應(yīng)用程最新版本的VMWare Workstation (6.5版本)提供了最完整的桌面功能，并且其“Unity”功能能夠讓你在主機(jī)桌面中查看在主機(jī)操序(如網(wǎng)絡(luò)瀏覽器)實(shí)施沙盒技術(shù)時(shí)不再會(huì)感覺(jué)到任何障礙。

這種新軟件還能夠幫助用戶安裝虛擬機(jī)以便跨越多個(gè)監(jiān)控器進(jìn)行操作，這很重要，尤其是當(dāng)你需要在虛擬機(jī)中同事運(yùn)行幾個(gè)應(yīng)用程序時(shí)。或者你也可以安裝多個(gè)虛擬機(jī)在不同的監(jiān)控器上顯示，這樣就更容易追蹤用戶在特定時(shí)間所操作的虛擬計(jì)算機(jī)。另外也可以在后臺(tái)運(yùn)行虛擬機(jī)，而不使用workstation用戶界面。

服務(wù)器分離

服務(wù)器整合是很多企業(yè)使用虛擬化的主要目的，當(dāng)然你也可以不使用虛擬化而在一臺(tái)機(jī)器上運(yùn)行多個(gè)服務(wù)器角色，你的域控制機(jī)還可以作為DNS服務(wù)器、DHCP服務(wù)器、RRAS服務(wù)器等。但是在一臺(tái)服務(wù)器上運(yùn)行多個(gè)角色，特別是在域控制器上，會(huì)造成重大的安全風(fēng)險(xiǎn)。虛擬化可以讓你在同一物理機(jī)上運(yùn)行所有這些相同的角色，并將服務(wù)器分離，因?yàn)樗麄兪窃趩为?dú)的虛擬機(jī)上運(yùn)行。

微軟公司發(fā)布的Hyper-V虛擬軟件能夠防止VM間的未經(jīng)授權(quán)的通信，且每個(gè)虛擬機(jī)在分離出來(lái)的單個(gè)工作進(jìn)程中運(yùn)行，并且在用戶模式中僅有有限的權(quán)限，這能夠保證主服務(wù)器和程序的安全性。其他能夠分離虛擬機(jī)的安全機(jī)制包括分離虛擬設(shè)備，一種從每個(gè)虛擬機(jī)到主服務(wù)器的獨(dú)立的VMBus，并且VM之間沒(méi)有共享空間。

主機(jī)虛擬化安全主要從哪行方面著手？

隨著虛擬化技術(shù)不斷向前發(fā)展,許多單位面臨著實(shí)施虛擬化的誘人理由，如服務(wù)器的整合、更快的硬件、使用上的簡(jiǎn)單、靈活的快照技術(shù)等。這都使得虛擬化更加引人注目。在有些機(jī)構(gòu)中，虛擬化已經(jīng)成為其架構(gòu)中的重要組成部分。在這里，技術(shù)再次走在了最佳的安全方法的前面。隨著機(jī)構(gòu)對(duì)災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性的重視，特別是在金融界，虛擬環(huán)境正變得越來(lái)越普遍。我們應(yīng)該關(guān)注這種繁榮背后的隱憂。

使用虛擬化環(huán)境時(shí)存在的缺陷

1.如果主機(jī)受到破壞，那么主要的主機(jī)所管理的客戶端服務(wù)器有可能被攻克。

2.如果虛擬網(wǎng)絡(luò)受到破壞，那么客戶端也會(huì)受到損害。

3.需要保障客戶端共享和主機(jī)共享的安全，因?yàn)檫@些共享有可被不法之徒利用其漏洞。

4.如果主機(jī)有問(wèn)題，那么所有的虛擬機(jī)都會(huì)產(chǎn)生問(wèn)題。

5.虛擬機(jī)被認(rèn)為是二級(jí)主機(jī)，它們具有類似的特性，并以與物理機(jī)的類似的方式運(yùn)行。在以后的幾年中，虛擬機(jī)和物理機(jī)之間的不同點(diǎn)將會(huì)逐漸減少。

6.在涉及到虛擬領(lǐng)域時(shí)，最少特權(quán)技術(shù)并沒(méi)有得到應(yīng)有的重視，甚至遭到了遺忘。這項(xiàng)技術(shù)可以減少攻擊面，并且應(yīng)當(dāng)在物理的和類似的虛擬化環(huán)境中采用這項(xiàng)技術(shù)。

保障虛擬服務(wù)器環(huán)境安全的措施

1.升級(jí)你的操作系統(tǒng)和應(yīng)用程序，這應(yīng)當(dāng)在所有的虛擬機(jī)和主機(jī)上進(jìn)行。主機(jī)應(yīng)用程序應(yīng)當(dāng)少之又少，僅應(yīng)當(dāng)安裝所需要的程序。

2.在不同的虛擬機(jī)之間，用防火墻進(jìn)行隔離和防護(hù)，并確保只能處理經(jīng)許可的協(xié)議。

3.使每一臺(tái)虛擬機(jī)與其它的虛擬機(jī)和主機(jī)相隔離。盡可能地在所有方面都進(jìn)行隔離。

4.在所有的主機(jī)和虛擬機(jī)上安裝和更新反病毒機(jī)制，因?yàn)樘摂M機(jī)如同物理機(jī)器一樣易受病毒和蠕蟲的感染。

5.在主機(jī)和虛擬機(jī)之間使用IPSEC或強(qiáng)化加密，因?yàn)樘摂M機(jī)之間、虛擬機(jī)與主機(jī)之間的通信可能被嗅探和破壞。雖然廠商們?cè)谙敕皆O(shè)法改變這種狀況，但在筆者完成此文時(shí)，這仍是一真實(shí)的威脅。企業(yè)仍需要最佳的方法來(lái)對(duì)機(jī)器之間的通信實(shí)施加密。

6.不要從主機(jī)瀏覽互聯(lián)網(wǎng)，間諜軟件和惡意軟件所造成的感染仍有可能危害主機(jī)。記住，主機(jī)管理著虛擬機(jī)，發(fā)生在虛擬機(jī)上的問(wèn)題會(huì)導(dǎo)致嚴(yán)重的問(wèn)題和潛在的“宕機(jī)”時(shí)間、服務(wù)的喪失等。

7.在主機(jī)上保障管理員和管理員組賬戶的安全，因?yàn)槲词跈?quán)用戶對(duì)特權(quán)賬戶的訪問(wèn)能導(dǎo)致嚴(yán)重的安全損害。調(diào)查發(fā)現(xiàn)，主機(jī)上的管理員(根)賬戶不如虛擬機(jī)上的賬戶安全。記住，你的安全性是由最弱的登錄點(diǎn)決定的。

8.強(qiáng)化主機(jī)操作系統(tǒng)，并終止和禁用不必要的服務(wù)。保持操作系統(tǒng)的精簡(jiǎn)，可以減少被攻擊的機(jī)會(huì)。

9.關(guān)閉不使用的虛擬機(jī)。如果你不需要一種虛擬機(jī)，就不要運(yùn)行它。

10.將虛擬機(jī)整合到企業(yè)的安全策略中。

11.保證主機(jī)的安全，確保在虛擬機(jī)離線時(shí)，非授權(quán)用戶無(wú)法破壞虛擬機(jī)文件。

12.采用可隔離虛擬機(jī)管理程序的方案，這些系統(tǒng)可以進(jìn)一步隔離和更好地保障虛擬環(huán)境的安全。

13.確保主機(jī)驅(qū)動(dòng)程序的更新和升級(jí)，這會(huì)保障你的硬件以最優(yōu)的速度運(yùn)行，而且軟件的更新可極大地減少漏洞利用和拒絕服務(wù)攻擊的機(jī)會(huì)。

14.要禁用虛擬機(jī)中未用的端口。如果虛擬機(jī)環(huán)境并不利用端口技術(shù)，就應(yīng)當(dāng)禁用它。

15.監(jiān)視主機(jī)和虛擬主機(jī)上的事件日志和安全事件。這些日志應(yīng)當(dāng)妥善保存，用于日后的安全審計(jì)。

16.限制并減少硬件資源的共享。從某種意義上講，安全與硬件資源共享，如同魚與熊掌，不可兼得。在資源被虛擬機(jī)輪流共享時(shí)，除發(fā)生數(shù)據(jù)泄漏外，拒絕服務(wù)攻擊也將是家常便飯。

17.在可能的情況下，保證網(wǎng)絡(luò)接口卡專用于每一個(gè)虛擬機(jī)。這里再次減輕了資源共享問(wèn)題，并且虛擬機(jī)的通信也得到了隔離。

18.投資購(gòu)買可滿足特定目的并且支持虛擬機(jī)的硬件。不支持虛擬機(jī)的硬件會(huì)產(chǎn)生潛在的安全問(wèn)題。

19.分區(qū)可產(chǎn)生磁盤邊界，它可用于分離每一個(gè)虛擬機(jī)并可在其專用的分區(qū)上保障安全性。如果一個(gè)虛擬機(jī)超出了正常的限制，專用分區(qū)會(huì)限制它對(duì)其它虛擬機(jī)的影響。

20.要保證如果不需要互聯(lián)的話，虛擬機(jī)不能彼此連接。前面我們已經(jīng)說(shuō)過(guò)網(wǎng)絡(luò)隔離的重要性。要進(jìn)行虛擬機(jī)之間的通信，可以使用一個(gè)在不同網(wǎng)絡(luò)地址上的獨(dú)立網(wǎng)絡(luò)接口卡，這要比將虛擬機(jī)之間的通信直接推向暴露的網(wǎng)絡(luò)要安全得多。

21.NAC正走向虛擬機(jī)，對(duì)于基于虛擬機(jī)服務(wù)器的設(shè)備尤其如此。如果這是一種可以啟用的特性，那么，正確的實(shí)施NAC將為你帶來(lái)更長(zhǎng)遠(yuǎn)的安全性。

22.嚴(yán)格管理對(duì)虛擬機(jī)特別是對(duì)主機(jī)的遠(yuǎn)程訪問(wèn)可以使暴露的可能性更少。

23.記住，主機(jī)代表著單個(gè)失效點(diǎn)，備份和連續(xù)性要求可以有助于減少這種風(fēng)險(xiǎn)。

24.避免共享IP地址，這又是一個(gè)共享資源而造成問(wèn)題和漏洞的典型實(shí)例。

業(yè)界已經(jīng)開始認(rèn)識(shí)到，虛擬化安全并不是像我們看待物理安全那樣簡(jiǎn)單。這項(xiàng)技術(shù)帶來(lái)了新的需要解決的挑戰(zhàn)。

結(jié)論

虛擬化安全是一項(xiàng)必須的投資。如果一個(gè)單位覺(jué)得其成本太高，那么筆者建議它最好不要采用虛擬化，可堅(jiān)持使用物理機(jī)器，但后者也需要安全保障。

如何應(yīng)對(duì)虛擬化的三種安全風(fēng)險(xiǎn)

1、虛擬化項(xiàng)目最初并未涉及信息安全。有一項(xiàng)權(quán)威的研究發(fā)現(xiàn)，在最初創(chuàng)建以及策劃時(shí)，少于一半的科研項(xiàng)目是不符合安全規(guī)定的。有時(shí)團(tuán)體工作時(shí)會(huì)刻意地把安全問(wèn)題忘記，可是虛擬化過(guò)程中帶來(lái)的問(wèn)題是不容忽視的，多個(gè)虛擬化服務(wù)器工作時(shí)帶來(lái)的弊端比未被虛擬化時(shí)帶來(lái)的問(wèn)題更為嚴(yán)重。所以研究這些問(wèn)題時(shí)也更為繁瑣。

2、底層虛擬化平臺(tái)的隱患影響所有托管虛擬機(jī)。將服務(wù)器虛擬化就像在電腦上運(yùn)行程序一樣，都需要借助一個(gè)平臺(tái)。而該平臺(tái)或多或少會(huì)有一些bug而被人們疏忽。最近一些大型虛擬化廠商多次傳出虛擬化生產(chǎn)線存在安全隱患，這些隱患尚未得到解決。所以一些人想要攻擊時(shí)都會(huì)選擇進(jìn)攻底層虛擬化平臺(tái)，通過(guò)控制住中樞系統(tǒng)，逃脫安全檢測(cè)。進(jìn)而將病毒帶入各個(gè)服務(wù)器中，攻擊其弊端，獲得了閱覽所有信息的權(quán)限，導(dǎo)致信息的泄露。

3、虛擬機(jī)之間的虛擬網(wǎng)絡(luò)使現(xiàn)有的安全策略失效。一些知名的虛擬化生產(chǎn)廠商使用建立虛擬機(jī)和虛擬網(wǎng)卡的辦法使各虛擬機(jī)之間能相互關(guān)聯(lián)以此來(lái)實(shí)現(xiàn)信息發(fā)送與接受的能力。一些主流的保護(hù)系統(tǒng)的保護(hù)范圍都只能保護(hù)常規(guī)服務(wù)器的進(jìn)出流量，卻無(wú)法看到各個(gè)虛擬機(jī)之間的流量傳輸，無(wú)法對(duì)虛擬化的流量傳輸提供保障。

4、將不同安全等級(jí)的虛擬機(jī)未進(jìn)行有效隔離。一些虛擬化生產(chǎn)廠商正在嘗試將服務(wù)器全部虛擬化，這樣既減少了經(jīng)費(fèi)又加快了生產(chǎn)速度。這些服務(wù)器包括許多隱私等級(jí)較高的系統(tǒng)，所以就要求虛擬機(jī)足夠安全。而如果未將安全指數(shù)不同的服務(wù)器分離開，它們由相同的服務(wù)器支配，高等級(jí)的虛擬機(jī)的安全性也會(huì)降低并被較低的所控制。

如需了解更多，請(qǐng)?jiān)L問(wèn)蛙云官網(wǎng)wwwwayuncn

專業(yè)領(lǐng)域十余載，傾情奉獻(xiàn)

一次溝通，終生陪伴

網(wǎng)站名稱：服務(wù)器虛擬化安全放在首位 服務(wù)器的虛擬化
本文網(wǎng)址：http://www.chinadenli.net/article16/ddohjgg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供Google、網(wǎng)站收錄、移動(dòng)網(wǎng)站建設(shè)、標(biāo)簽優(yōu)化、網(wǎng)站設(shè)計(jì)公司、全網(wǎng)營(yíng)銷推廣

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)