如何缓解企业虚拟化系统中的安全风险?

来源:http://www.chinese-glasses.com 作者:操作系统 人气:168 发布时间:2020-05-07
摘要:即使当虚拟化层与之前的物理架构一样安全,提供更多的虚拟机的趋势意味着你的足迹扩大,也就是安全风险扩大。 Hoff举例说:如果要加强服务器安全,就应当对虚拟服务器采取与物

即使当虚拟化层与之前的物理架构一样安全,提供更多的虚拟机的趋势意味着你的足迹扩大,也就是安全风险扩大。

Hoff举例说: 如果要加强服务器安全,就应当对虚拟服务器采取与物理服务器同样的一套做法。

Harper表示,客户既需要新产品,也需要防止虚拟化出现问题的程序,因为将虚拟机当作裸金属机来管理根本行不通。

许多IT部门表示,在2007年开始创建成千上万个新的虚拟机时,他们认为运行速度比其他因素(如安全规划)更重要。IDC公司负责企业系统管理软件的研究主任Stephen Elliott说: 安全是虚拟化扩建过程中被遗忘的一个角落。要是想想现在虚拟机的数量,确实挺让人担忧。据IDC声称,如今,员工总数不少于1000人的公司当中有75%在使用虚拟化技术。

(责任编辑:admin)

下面是企业为了加强虚拟机安全可以采取的十个积极步骤:

10bet,虚拟化并不是天生就是不安全的,然而,很多虚拟化的工作负载正在被不安全地部署,Gartner研究公司分析师Neil MacDonald表示。

虚拟化数据中心安全步骤一:控制虚拟机的数量

Turner正在寻找一些系统管理工具,例如Cfengine、Puppet Labs和Chef,来将检查补丁修复、移除旧的用户帐户和确保配置文件没有被篡改的程序自动化。

为了保护这些虚拟机的安全,DiMarzio决定继续使用现有的防火墙和安全产品,包括IBM的Tivoli Access Manager、思科防火墙工具以及赛门铁克的入侵检测系统(IDS)监控工具。

我觉得对于虚拟空间正在发生的事情有更好的能见度和更多的控制将是件好事,Brewster表示。

虚拟化数据中心安全步骤三:利用安全工具

管理程序本身同样也可能成为攻击对象。例如,Vmware正在修复其自身的虚拟化架构来去掉基于Linux的服务控制台以将攻击面从2GB减少到100MB。

虚拟化数据中心安全步骤五:限制访问虚拟机权限

不过,Harper和Sabre公司的高级IT专家Jim Brewster对于虚拟世界的安全性都感到十分乐观。对安全区域的物理分隔被基于软件的安全区取代,虚拟化管理工具可能会让捣乱的IT管理员难以改变系统,在不对他们的行为进行日志记录的情况下。

虚拟化数据中心安全步骤二:运行更多流程

Harper指出,他的工作人员必须手动更改所有Windows Server每周扫描的时间,因为否则会立即造成过高的I/O负载。

一大批拼命推销虚拟化产品和服务的厂商、顾问在风险及如何防范风险方面存在相左的观点。同时,一些安全研究人员也在大肆宣传理论上存在的风险,比如可能会出现的恶意软件。市场研究公司伯顿集团的高级分析师Chris Wolf说: 现在虚拟化方面的动静很大,让人晕头转向。

虽然这是一种改进,但用户们仍然有很多安全问题需要考虑。Gartner公司建议,从安全和管理角度,将虚拟化平台当作是你的数据中心内最重要的IT平台

Gartner公司的副总裁Neil MacDonald在去年10月举办的Symposium/ITxpo大会上预测,到2009年,60%的生产虚拟机安全性将不如物理服务器。

10bet 1

安全专家Chris Hoff认为,到目前为止,围绕虚拟化安全的讨论大部分都是片面的。他是优利系统公司安全创新部门的首席架构师。其实应该这么考虑: 已经把知道的安全知识运用到了虚拟化环境中吗?我们应当确保构建的虚拟网络要与构建的物理网络一样可靠、安全。

IT部门必须关注安装在管理程序层的所有代码的漏洞情况,包括驱动器、插件和第三方工具等,保持所有这些的最新更新以及补丁修复。

如果赋予了访问虚拟机的管理员级别权限,也就是赋予了访问该虚拟机上所有数据的权限。伯顿集团的Wolf建议,要慎重考虑员工需要哪种账户和访问权限。更复杂的问题是,有些第三方厂商针对虚拟机的存储和备份安全的建议是过时的。Wolf又说: 有些厂商甚至本身就没有遵守VMware针对VMware Consolidated Backup的最佳实践。

即使是相对简单的工作,例如运行杀毒软件,在系统被虚拟化后,都可能变得更加复杂。

别以为平台层面的工具(如VMware的工具)足够好。要看一看新兴公司和传统管理厂商。对那些传统厂商施加压力,要求他们做更多的工作,并为他们提供指导。

因为系统管理程序对所有在物理服务器上运行的工作负载进行监管,因此管理程序受到攻击的话,可能会导致所有托管的工作负载的破坏,MacDonald表示。在传统的架构中,对一台服务器的威胁只会对一部分工作负载带来风险,但是在虚拟化数据中心却不只是这样。

Arch Coal公司负责IT的CIO Michael Abbene说: 我们先对很不重要的测试和开发设备进行了虚拟化处理,然后转向一些不太重要的应用服务器。因为一直很成功,所以我们把目标放在比较重要的服务器上,但这么做会加大风险系数。该公司目前大约有45个虚拟机,包括活动目录服务器以及几台应用服务器和Web服务器。

对虚拟化项目进行规划通常都应该包括信息安全团队,但是根据Gartner公司的调查数据显示,40%的虚拟化项目的初步架构和规划阶段是在没有安全团队的参与下进行的。

(责任编辑:admin)

Gartner 建议,IT部门需要建立关于不同信任级别的工作负载整合的政策,并且在评估新安全和管理工具时,选择那些在物理环境和虚拟环境拥有相同管理、政策和报告标准的工具。

IDC的Elliott说: 保护物理环境的工具用于保护虚拟化环境是一种虚假的安全感。同时他又说: 对虚拟化环境的新型安全工具而言,目前处于市场的早期阶段。这意味着必须对传统厂商以及潜在的新兴厂商施加压力。

微软和Vmware一直都在争论在操作系统中保留多少进程以及多少进程应该推到系统管理程序层的问题,但是Brewster表示,期待更多的安全功能转移到管理程序层。

马自达北美公司的CIOJim DiMarzio就在他的企业中采用了这项策略。与Arch Coal一样,马自达北美公司也在虚拟服务器的核心处运行VMware的ESX Server 3软件,最近一直在增加虚拟机的数量。DiMarzio说,他预计到2008年3月会有150个虚拟机。

伯顿集团的Wolf说: 虚拟化绝大部分靠规划,而规划必须让全部团队参与进来,包括网络、安全和存储等团队。而事实上,大多数IT团队在迅速推进虚拟化的项目,安全方面的工作跟不上。如果错失了与所有专家一起规划的大好机会,那该怎么办呢?Wolf说: 安全方面想迎头赶上,不妨从认真审查虚拟基础设施入手,这要借助工具或者顾问。

本文由10bet发布于操作系统,转载请注明出处:如何缓解企业虚拟化系统中的安全风险?

关键词:

上一篇:盘点2010八大最著名的操作系统研发事件

下一篇:没有了

最火资讯