相比傳統(tǒng)的物理安全,如何保護(hù)虛擬環(huán)境的安全則需要面對(duì)很多全新的問(wèn)題���。在虛擬環(huán)境中存在更多需要被保護(hù)的易攻擊點(diǎn)(黑客可以實(shí)現(xiàn)對(duì)服務(wù)器OS控制的途徑)���。由于這些風(fēng)險(xiǎn)的存在,虛擬安全中需要保護(hù)的不僅有宿主機(jī)�����,還包括各個(gè)虛擬機(jī)���。
在本文中�����,TecgTarget中國(guó)的特約專家Eric Siebert介紹在部署虛擬環(huán)境安全策略時(shí)需要考慮到的攻擊類型����,以及針對(duì)系統(tǒng)架構(gòu)中各個(gè)組件進(jìn)行防護(hù)的一些最佳實(shí)踐。
物理安全
物理環(huán)境的易攻擊點(diǎn)有很多��,從物理控制臺(tái)到客戶機(jī)OS�,再到運(yùn)行于OS之上的應(yīng)用。為防護(hù)物理系統(tǒng)�����,需要建立封閉的數(shù)據(jù)中心���,所有到控制臺(tái)的訪問(wèn)要在嚴(yán)格的管理機(jī)制下進(jìn)行��;然后�,保護(hù)好操作系統(tǒng)和應(yīng)用軟件����;最后,通過(guò)防火墻這樣的網(wǎng)絡(luò)層組件實(shí)現(xiàn)安全控制�����。但虛擬環(huán)境中,就算這些方面都注意到了����,攻擊者還是能通過(guò)其它的方式登錄到虛擬機(jī)上。
虛擬安全:保護(hù)管理控制臺(tái)
虛擬安全的主要任務(wù)是做好對(duì)虛擬主機(jī)管理控制臺(tái)的防護(hù)����。我們可以把虛擬主機(jī)想象成一座公寓大樓��,那么每個(gè)虛擬機(jī)就是帶有門鎖保護(hù)的單個(gè)公寓�,管理控制臺(tái)就是大樓的管理員:他擁有所有的鑰匙,在必要的情況下可以進(jìn)入任何一個(gè)房間�����。假如有人偷走了管理員的鑰匙�����,那么他就可以訪問(wèn)整個(gè)大樓內(nèi)的任何一個(gè)單元����。所以在虛擬環(huán)境中,管理控制臺(tái)一定要不惜一切代價(jià)進(jìn)行防護(hù):因?yàn)橐粋(gè)闖入控制臺(tái)的攻擊者可以輕易地訪問(wèn)該主機(jī)上的所有虛擬機(jī)�����。不僅如此,還會(huì)波及整個(gè)數(shù)據(jù)中心內(nèi)可以被該主機(jī)訪問(wèn)的其它主機(jī)上的虛擬機(jī)����。
在優(yōu)化后的虛擬安全方案中,應(yīng)該限制到主機(jī)控制臺(tái)的訪問(wèn)����。只在必須的情況下才為訪問(wèn)控制臺(tái)的用戶分配超級(jí)用戶權(quán)限。另外��,通過(guò)使用防火墻或是物理隔離的方式確保管理控制臺(tái)所在的虛擬網(wǎng)絡(luò)是獨(dú)立的�。那樣的話,只有其它主機(jī)及管理員可以訪問(wèn)控制臺(tái)�。
來(lái)自虛擬機(jī)內(nèi)部的攻擊
虛擬機(jī)的出現(xiàn)在系統(tǒng)中增加了一層傳統(tǒng)物理環(huán)境中完全沒(méi)有的被攻擊對(duì)象。被攻擊的不僅有管理控制臺(tái)��,還包括宿主機(jī)上的每個(gè)虛擬機(jī)���。攻擊者通過(guò)某臺(tái)虛機(jī)惡意占用大量資源�,從而對(duì)整個(gè)環(huán)境造成影響����。
如果多個(gè)虛擬機(jī)受到惡意服務(wù)攻擊的話����,會(huì)導(dǎo)致宿主機(jī)的癱瘓���。而且這種攻擊很難防范���,因?yàn)槿绾味x惡意占用是個(gè)難題。資源占用有很多種實(shí)現(xiàn)方式���,可能是虛擬機(jī)的CPU使用率達(dá)到100%�����,或者是寫滿為虛擬機(jī)分配的內(nèi)存空間,還有可能是過(guò)度頻繁的硬盤讀寫��。
對(duì)于虛擬安全而言�����,VM的監(jiān)控工具很重要����,它可以對(duì)惡意資源占用情況給出警報(bào)�����。監(jiān)控系統(tǒng)可以給出常規(guī)情況下資源使用的概況��,從而幫助我們識(shí)別出發(fā)生的異常行為��。結(jié)合一些腳本程序��,還可以添加對(duì)資源的限制條件���、隔離有問(wèn)題的虛擬機(jī)并關(guān)閉它們
問(wèn)題搜索 : 