相比傳統(tǒng)的物理安全,如何保護虛擬環(huán)境的安全則需要面對很多全新的問題����。在虛擬環(huán)境中存在更多需要被保護的易攻擊點(黑客可以實現(xiàn)對服務(wù)器OS控制的途徑)�。由于這些風險的存在��,虛擬安全中需要保護的不僅有宿主機�,還包括各個虛擬機。
在本文中����,TecgTarget中國的特約專家Eric Siebert介紹在部署虛擬環(huán)境安全策略時需要考慮到的攻擊類型,以及針對系統(tǒng)架構(gòu)中各個組件進行防護的一些最佳實踐��。
物理安全
物理環(huán)境的易攻擊點有很多�����,從物理控制臺到客戶機OS����,再到運行于OS之上的應用。為防護物理系統(tǒng)����,需要建立封閉的數(shù)據(jù)中心,所有到控制臺的訪問要在嚴格的管理機制下進行;然后�,保護好操作系統(tǒng)和應用軟件;最后�����,通過防火墻這樣的網(wǎng)絡(luò)層組件實現(xiàn)安全控制�����。但虛擬環(huán)境中����,就算這些方面都注意到了,攻擊者還是能通過其它的方式登錄到虛擬機上�。
虛擬安全:保護管理控制臺
虛擬安全的主要任務(wù)是做好對虛擬主機管理控制臺的防護。我們可以把虛擬主機想象成一座公寓大樓���,那么每個虛擬機就是帶有門鎖保護的單個公寓�����,管理控制臺就是大樓的管理員:他擁有所有的鑰匙�,在必要的情況下可以進入任何一個房間��。假如有人偷走了管理員的鑰匙����,那么他就可以訪問整個大樓內(nèi)的任何一個單元。所以在虛擬環(huán)境中�,管理控制臺一定要不惜一切代價進行防護:因為一個闖入控制臺的攻擊者可以輕易地訪問該主機上的所有虛擬機。不僅如此�,還會波及整個數(shù)據(jù)中心內(nèi)可以被該主機訪問的其它主機上的虛擬機。
在優(yōu)化后的虛擬安全方案中����,應該限制到主機控制臺的訪問。只在必須的情況下才為訪問控制臺的用戶分配超級用戶權(quán)限����。另外,通過使用防火墻或是物理隔離的方式確保管理控制臺所在的虛擬網(wǎng)絡(luò)是獨立的����。那樣的話,只有其它主機及管理員可以訪問控制臺�。
來自虛擬機內(nèi)部的攻擊
虛擬機的出現(xiàn)在系統(tǒng)中增加了一層傳統(tǒng)物理環(huán)境中完全沒有的被攻擊對象。被攻擊的不僅有管理控制臺�����,還包括宿主機上的每個虛擬機。攻擊者通過某臺虛機惡意占用大量資源���,從而對整個環(huán)境造成影響�����。
如果多個虛擬機受到惡意服務(wù)攻擊的話��,會導致宿主機的癱瘓���。而且這種攻擊很難防范,因為如何定義惡意占用是個難題���。資源占用有很多種實現(xiàn)方式��,可能是虛擬機的CPU使用率達到100%��,或者是寫滿為虛擬機分配的內(nèi)存空間����,還有可能是過度頻繁的硬盤讀寫�����。
對于虛擬安全而言,VM的監(jiān)控工具很重要�,它可以對惡意資源占用情況給出警報。監(jiān)控系統(tǒng)可以給出常規(guī)情況下資源使用的概況���,從而幫助我們識別出發(fā)生的異常行為。結(jié)合一些腳本程序�����,還可以添加對資源的限制條件����、隔離有問題的虛擬機并關(guān)閉它們
續(xù)費咨詢
提交工單