服務器虛擬化安全加固 服務器虛擬化安全加固怎么解決

服務器虛擬化的安全風險

破壞了正常的網(wǎng)絡架構采用服務器虛擬化技術，需要對原來的網(wǎng)絡架構進行一定的改動，建立新的網(wǎng)絡架構，以適應服務器虛擬化的要求。但是，網(wǎng)絡架構的改動打破了原來平衡的網(wǎng)絡架構系統(tǒng)，也就會產(chǎn)生一些危險系統(tǒng)安全的風險安全問題。比如：如果不使用服務器虛擬化技術，客戶可以把幾個隔離區(qū)設置在防火墻的設備上。這樣一來，一個隔離區(qū)就可以管理著一個服務器，服務器之間可以不同的管理原則，不同的服務器也就可以有不同的管理方法。這樣，當有一個服務器被外界攻擊時，其它的服務器就不會受到影響，可以正常運行。但是，如果采用了服務器虛擬化技術，就需要把虛擬的服務器一起連接到同一個虛擬交換機上。通過虛擬交換機就把所有的虛擬的服務器同外部網(wǎng)絡聯(lián)系了起來。因為所有的虛擬的服務器都連接在同一個虛擬交換機上，這就造成了一方面原來設置的防火墻功能失去了防護作用，另一方面給所有的虛擬服務器增加了安全風險。當一個虛擬服務器遭受到攻擊或出現(xiàn)狀況時，其它的虛擬服務器也會受到影響。可能致使系統(tǒng)服務器超載服務器虛擬化雖然能產(chǎn)生若干個服務器供用戶使用，但是這些產(chǎn)生的服務器只是虛擬的，還需要借用物理服務器的硬件系統(tǒng)來進行各種應用程序的運行。各個虛擬服務器的應用程序非常多，這些應用程序一旦全部運行起來，就會大量占用物理服務器的內(nèi)存、中央處理器、網(wǎng)絡等硬件系統(tǒng)，從而給物理服務器帶來沉重的運行負擔。如果有一天，所有的虛擬服務器都在運行大量的應用程序，就有可能使物理服務器負荷太大，從而出現(xiàn)服務器超載的現(xiàn)象。服務器超載到一定程度，就有可能造成各個虛擬服務器運行程序速度太慢，影響客戶的使用。更嚴重的還可能造成物理服務器系統(tǒng)崩潰，給客戶帶來無法估量的損失。致使虛擬機失去安全保護服務器虛擬化后，每個虛擬機都會被裝上自己的管理程序，供客戶操作和使用虛擬服務器。但是不是所有的管理程序都是完美無缺，沒有安全漏洞的。管理程序在設計中都有可能會產(chǎn)生一些安全漏洞和缺陷。而這些安全漏洞和缺陷則有可能成為電腦黑客的攻擊服務器的著手點。他們通過這些安全漏洞和缺陷會順利地進入服務器，進行一些非法操作。更重要的是，一臺虛擬機管理程序的安全漏洞和缺陷會傳染給其它虛擬機。當一臺虛擬機因安全漏洞和缺陷遭受黑客攻擊時，其它的虛擬機也會受到影響，致使虛擬機失去安全保護。服務器被攻擊的機會大大增加連接于同一臺物理服務器的所有服務器虛擬機是能相互聯(lián)系的。在相互聯(lián)系的過程中，就有可能產(chǎn)生一些安全風險，致使服務器遭受黑客的攻擊。而且，黑客不需要對所有的服務器虛擬機逐個進行攻擊，只需要對其中的一臺虛擬機進行攻擊。只要攻下一臺虛擬機，其它的虛擬機就可以被攻下。因為，所有的虛擬機都是相互聯(lián)系的。所以說，服務器虛擬化后被攻擊的機會大大增加了。虛擬機補丁帶來的安全風險每個虛擬機都有著自己的管理系統(tǒng)，而這些管理系統(tǒng)是經(jīng)常需要及時安裝最新補丁以防止被攻擊。但是，一個物理服務器可以帶許多個虛擬機，每個虛擬機就是一臺服務器，都需要安裝補丁，工作量太大。這就給虛擬機的補丁安裝帶來麻煩，會大大影響補丁的安裝速度，使虛擬機不能夠及時安裝不斷，從而帶來安全隱患。另外，一些客戶會通過一些技術手段保留個別虛擬機用于虛擬機的災難恢復。但是，保留的虛擬機很可能沒有及時安裝新的補丁，從而會給災難恢復的虛擬機帶來運行的安全風險。

興安盟ssl適用于網(wǎng)站、小程序/APP、API接口等需要進行數(shù)據(jù)傳輸應用場景，ssl證書未來市場廣闊！成為創(chuàng)新互聯(lián)公司的ssl證書銷售渠道，可以享受市場價格4-6折優(yōu)惠！如果有意向歡迎電話聯(lián)系或者加微信：13518219792（備注：SSL證書合作）期待與您的合作！

云計算應用存在哪些問題，采取哪些安全防護措施

云計算存在的一些問題:

虛擬化安全問題：如果物理主機受到破壞，其所管理的虛擬服務器由于存在和物理主機的交流，有可能被攻克，若物理主機和虛擬機不交流，則可能存在虛擬機逃逸。如果物理主機上的虛擬網(wǎng)絡受到破壞，由于存在物理主機和虛擬機的交流，以及一臺虛擬機監(jiān)控另一臺虛擬機的場景，導致虛擬機也會受到損害。

2.數(shù)據(jù)集中的安全問題：用戶的數(shù)據(jù)存儲、處理、網(wǎng)絡傳輸?shù)榷寂c云計算系統(tǒng)有關，包括如何有效存儲數(shù)據(jù)以避免數(shù)據(jù)丟失或損壞，如何對多租戶應用進行數(shù)據(jù)隔離，如何避免數(shù)據(jù)服務被阻塞等等。

3.云平臺可用性問題：用戶的數(shù)據(jù)和業(yè)務應用處于云平臺遭受攻擊的問題系統(tǒng)中，其業(yè)務流程將依賴于云平臺服務連續(xù)性、SLA和IT流程、安全策略、事件處理和分析等提出了挑戰(zhàn)。另外，當發(fā)生系統(tǒng)故障時，如何保證用戶數(shù)據(jù)的快速恢復也成為一個重要問題。

4.云平臺遭受攻擊的問題：云計算平臺由于其用戶、信息資源的高度集中，容易成為黑客攻擊的目標，由此拒絕服務造成的后果和破壞性將會明顯超過傳統(tǒng)的企業(yè)網(wǎng)應用環(huán)境。

5.法律風險：云計算應用地域弱、信息流動性大，信息服務或用戶數(shù)據(jù)可能分布在不同地區(qū)甚至是不同國家，在政府信息安全監(jiān)管等方面存在法律差異與糾紛;同時由于虛擬化等技術引起的用戶間物理界限模糊可能導致的司法取證問題也不容忽視

云計算的安全防護措施：

1基礎設施安全

基礎設施安全包括服務器系統(tǒng)安全、網(wǎng)絡管理系統(tǒng)安全、域名系統(tǒng)安全、網(wǎng)絡路由系統(tǒng)安全、局域網(wǎng)和VLAN配置等。主要的安全措施包括安全冗余設計、漏洞掃描與加固，IPS/IDS、DNSSec等?？紤]到云計算環(huán)境的業(yè)務持續(xù)性，設備的部署還須要考慮到高可靠性的支持，諸如雙機熱備、配置同步，鏈路捆綁聚合及硬件Bypass等特性，實現(xiàn)大流量匯聚情況下的基礎安全防護。

2數(shù)據(jù)安全

云數(shù)據(jù)安全包含的內(nèi)容遠遠不只是簡單的數(shù)據(jù)加密。數(shù)據(jù)安全的需求隨著三種服務模式，四種部署模式(公共云、私有云、社區(qū)云、混合云)以及對風險的承受能力而變化。滿足云數(shù)據(jù)安全的要求，需要應用現(xiàn)有的安全技術，并遵循健全的安全實踐，必須對各種防范措施進行全盤考慮，使其構成一道彈性的屏障。主要安全措施包括對不同用戶數(shù)據(jù)進行虛擬化的邏輯隔離、使用身份認證及訪問管理技術措施等，從而保障靜態(tài)數(shù)據(jù)和動態(tài)數(shù)據(jù)的保密性、完整性、可用性、真實性、授權、認證和不可抵賴性。

3虛擬化安全

虛擬化的安全包括兩方面的問題：一是虛擬技術本身的安全，二是虛擬化引入的新的安全問題。虛擬技術有許多種，最常用的是虛擬機(VM)技術，需考慮VM內(nèi)的進程保護，此外還有Hypervisor和其他管理模塊這些新的攻擊層面?？梢圆捎玫陌踩胧┯校禾摂M鏡像文件的加密存儲和完整性檢查、VM的隔離和加固、VM訪問控制、虛擬化脆弱性檢查、VM進程監(jiān)控、VM的安全遷移等。

4身份認證與訪問管理(IAM，IdentityandAccessManagement)

IAM是用來管理數(shù)字身份并控制數(shù)字身份如何訪問資源的方法、技術和策略，用于確保資源被安全訪問的業(yè)務流程和管理手段，從而實現(xiàn)對企業(yè)信息資產(chǎn)進行統(tǒng)一的身份認證、授權和身份數(shù)據(jù)集中化的管理與審計。IAM是保證云計算安全運行的關鍵所在。傳統(tǒng)的IAM管理范疇，例如自動化管理用戶賬號、用戶自助式服務、認證、訪問控制、單點登錄、職權分離、數(shù)據(jù)保護、特權用戶管理、數(shù)據(jù)防丟失保護措施與合規(guī)報告等，都與云計算的各種應用模式息息相關。

IAM并不是一個可以輕易部署并立即產(chǎn)生效果的整體解決方案，而是一個由各種技術組件、過程和標準實踐組成的體系架構。標準的企業(yè)級IAM體系架構包含技術、服務和過程等幾個層面，其部署體系架構的核心是目錄服務，目錄服務是機構用戶群的身份、證書和用戶屬性的信息庫。

5應用安全

由于云環(huán)境的靈活性、開放性以及公眾可用性等特性，給應用安全帶來了很多挑戰(zhàn)。云計算的應用主要通過Web瀏覽器實現(xiàn)。因此，在云計算中，對于應用安全，尤其需要注意的是Web應用的安全。要保證SaaS的應用安全，就要在應用的設計開發(fā)之初，制定并遵循適合SaaS模式的安全開發(fā)生命周期規(guī)范和流程，從整體生命周期上去考慮應用安全?？梢圆捎玫姆雷o措施有訪問控制、配置加固、部署應用層防火墻等。

主機虛擬化安全主要從哪行方面著手？

隨著虛擬化技術不斷向前發(fā)展,許多單位面臨著實施虛擬化的誘人理由，如服務器的整合、更快的硬件、使用上的簡單、靈活的快照技術等。這都使得虛擬化更加引人注目。在有些機構中，虛擬化已經(jīng)成為其架構中的重要組成部分。在這里，技術再次走在了最佳的安全方法的前面。隨著機構對災難恢復和業(yè)務連續(xù)性的重視，特別是在金融界，虛擬環(huán)境正變得越來越普遍。我們應該關注這種繁榮背后的隱憂。

使用虛擬化環(huán)境時存在的缺陷

1.如果主機受到破壞，那么主要的主機所管理的客戶端服務器有可能被攻克。

2.如果虛擬網(wǎng)絡受到破壞，那么客戶端也會受到損害。

3.需要保障客戶端共享和主機共享的安全，因為這些共享有可被不法之徒利用其漏洞。

4.如果主機有問題，那么所有的虛擬機都會產(chǎn)生問題。

5.虛擬機被認為是二級主機，它們具有類似的特性，并以與物理機的類似的方式運行。在以后的幾年中，虛擬機和物理機之間的不同點將會逐漸減少。

6.在涉及到虛擬領域時，最少特權技術并沒有得到應有的重視，甚至遭到了遺忘。這項技術可以減少攻擊面，并且應當在物理的和類似的虛擬化環(huán)境中采用這項技術。

保障虛擬服務器環(huán)境安全的措施

1.升級你的操作系統(tǒng)和應用程序，這應當在所有的虛擬機和主機上進行。主機應用程序應當少之又少，僅應當安裝所需要的程序。

2.在不同的虛擬機之間，用防火墻進行隔離和防護，并確保只能處理經(jīng)許可的協(xié)議。

3.使每一臺虛擬機與其它的虛擬機和主機相隔離。盡可能地在所有方面都進行隔離。

4.在所有的主機和虛擬機上安裝和更新反病毒機制，因為虛擬機如同物理機器一樣易受病毒和蠕蟲的感染。

5.在主機和虛擬機之間使用IPSEC或強化加密，因為虛擬機之間、虛擬機與主機之間的通信可能被嗅探和破壞。雖然廠商們在想方設法改變這種狀況，但在筆者完成此文時，這仍是一真實的威脅。企業(yè)仍需要最佳的方法來對機器之間的通信實施加密。

6.不要從主機瀏覽互聯(lián)網(wǎng)，間諜軟件和惡意軟件所造成的感染仍有可能危害主機。記住，主機管理著虛擬機，發(fā)生在虛擬機上的問題會導致嚴重的問題和潛在的“宕機”時間、服務的喪失等。

7.在主機上保障管理員和管理員組賬戶的安全，因為未授權用戶對特權賬戶的訪問能導致嚴重的安全損害。調(diào)查發(fā)現(xiàn)，主機上的管理員(根)賬戶不如虛擬機上的賬戶安全。記住，你的安全性是由最弱的登錄點決定的。

8.強化主機操作系統(tǒng)，并終止和禁用不必要的服務。保持操作系統(tǒng)的精簡，可以減少被攻擊的機會。

9.關閉不使用的虛擬機。如果你不需要一種虛擬機，就不要運行它。

10.將虛擬機整合到企業(yè)的安全策略中。

11.保證主機的安全，確保在虛擬機離線時，非授權用戶無法破壞虛擬機文件。

12.采用可隔離虛擬機管理程序的方案，這些系統(tǒng)可以進一步隔離和更好地保障虛擬環(huán)境的安全。

13.確保主機驅(qū)動程序的更新和升級，這會保障你的硬件以最優(yōu)的速度運行，而且軟件的更新可極大地減少漏洞利用和拒絕服務攻擊的機會。

14.要禁用虛擬機中未用的端口。如果虛擬機環(huán)境并不利用端口技術，就應當禁用它。

15.監(jiān)視主機和虛擬主機上的事件日志和安全事件。這些日志應當妥善保存，用于日后的安全審計。

16.限制并減少硬件資源的共享。從某種意義上講，安全與硬件資源共享，如同魚與熊掌，不可兼得。在資源被虛擬機輪流共享時，除發(fā)生數(shù)據(jù)泄漏外，拒絕服務攻擊也將是家常便飯。

17.在可能的情況下，保證網(wǎng)絡接口卡專用于每一個虛擬機。這里再次減輕了資源共享問題，并且虛擬機的通信也得到了隔離。

18.投資購買可滿足特定目的并且支持虛擬機的硬件。不支持虛擬機的硬件會產(chǎn)生潛在的安全問題。

19.分區(qū)可產(chǎn)生磁盤邊界，它可用于分離每一個虛擬機并可在其專用的分區(qū)上保障安全性。如果一個虛擬機超出了正常的限制，專用分區(qū)會限制它對其它虛擬機的影響。

20.要保證如果不需要互聯(lián)的話，虛擬機不能彼此連接。前面我們已經(jīng)說過網(wǎng)絡隔離的重要性。要進行虛擬機之間的通信，可以使用一個在不同網(wǎng)絡地址上的獨立網(wǎng)絡接口卡，這要比將虛擬機之間的通信直接推向暴露的網(wǎng)絡要安全得多。

21.NAC正走向虛擬機，對于基于虛擬機服務器的設備尤其如此。如果這是一種可以啟用的特性，那么，正確的實施NAC將為你帶來更長遠的安全性。

22.嚴格管理對虛擬機特別是對主機的遠程訪問可以使暴露的可能性更少。

23.記住，主機代表著單個失效點，備份和連續(xù)性要求可以有助于減少這種風險。

24.避免共享IP地址，這又是一個共享資源而造成問題和漏洞的典型實例。

業(yè)界已經(jīng)開始認識到，虛擬化安全并不是像我們看待物理安全那樣簡單。這項技術帶來了新的需要解決的挑戰(zhàn)。

結論

虛擬化安全是一項必須的投資。如果一個單位覺得其成本太高，那么筆者建議它最好不要采用虛擬化，可堅持使用物理機器，但后者也需要安全保障。

服務器虛擬化的定義到底是什么？

您使用服務器虛擬化了嗎？ 虛擬服務器技術正是虛擬化技術的代表，它為人們帶來了前所未有的體驗。關于服務器虛擬化的概念，各個廠商都有自己不同的定義，然而其核心思想是一致的，即它是一種方法，能夠通過區(qū)分資源的優(yōu)先次序，并隨時隨地能將服務器資源分配給最需要它們的工作負載來簡化管理和提高效率，從而減少為單個工作負載峰值而儲備的資源。用更加直白的語言來講，所謂虛擬化技術應該有兩個方向來幫助服務器更加合理地分配資源，一種方向就是把一個物理的服務器虛擬成若干個獨立的邏輯服務器，使用戶可以在這些看似獨立的虛擬服務器上運行不同的操作系統(tǒng)和應用，這個方向的典型代表就是分區(qū)；虛擬技術的另一個方向，就是把若干個分散的物理服務器虛擬為一個大的邏輯服務器，使用戶可以像使用同一臺服務器的資源一樣支配這些物理上獨立的服務器，從而達到最大化利用資源的目的，這個方向的典型應用就是網(wǎng)格。 現(xiàn)在的虛擬服務器技術絕不是什么精巧的小玩意，它可以帶來實實在在的好處。一套精心設計的虛擬化解決方案的作用包括簡化IT管理、降低硬件成本、提高系統(tǒng)敏捷性、提高生產(chǎn)率等方面：合并硬件管理，降低成本；根據(jù)需求情況進行資源分配；安裝和配置新系統(tǒng)的時間極大縮短；應用程序以及操作系統(tǒng)的錯誤不至于影響系統(tǒng)的整體狀態(tài)；降低異質(zhì)資源管理的難度；在受控環(huán)境中方便測試和查錯。 服務器虛擬技術的產(chǎn)生和發(fā)展 “虛擬化”并非剛剛出現(xiàn)的新技術，作為計算領域的一項傳統(tǒng)技術，虛擬化的產(chǎn)生與發(fā)展可以追溯到上世紀60年代?！疤摂M”一詞最早來源于光學，用于理解鏡子里的物體。之所以使用“虛擬”的概念定義一項技術，是因為人們希望虛擬機看起來和工作起來都與真正的機器一模一樣，這同時也意味著，虛擬機并不是真正的機器，但是它能像真正的機器一樣工作。 服務器虛擬化的最初應用是將利用程度較低的服務器硬件設備集中起來，構成由少量計算機組成的高效計算方案。從最初出現(xiàn)到現(xiàn)在，服務器虛擬化已經(jīng)發(fā)展成為一種多用途的解決方法。 近來，Intel和AMD都爭相推出dual-core甚至4-core的CPU以瞄準高性能服務器市場；同時，IBM和Sony等公司聯(lián)合推出了有多達8個處理器單元的Cell芯片，它們掀起了高性能服務器向多核/多線程技術的轉移，可以預見4-core或者8-core SMP不久將推向市場。另一方面，隨著深亞微米技術的蓬勃發(fā)展，SoC體系結構在不久的將來將成為現(xiàn)實，到那時，擁有幾十億只晶體管的SoC將可能統(tǒng)治高性能計算領域。例如，如果技術能夠降低到35nm，制造擁有多達32/64處理器的SoC將成為可能。因此，網(wǎng)絡服務器必須采用多核SMP與SoC技術。這就要求網(wǎng)絡服務器的體系結構必須做出變革，以擁抱新的硬件技術的發(fā)展。在關注硬件技術發(fā)展的同時，必須注意到虛擬化技術的迅猛發(fā)展。Intel和AMD分別開發(fā)了VanderPool和Pacifica技術，在底層硬件上就支持虛擬化。IBM、Sun Microsystem （例如Solaris Zone）、HP（例如HP research Lab’s SoftUDC）、VMWare（例如ESX server）、Transitive和Microsoft（例如Virtual Server）等也都大力發(fā)展服務器級的虛擬化技術，以實現(xiàn)對服務器的加固，特別是提高服務器資源的利用率、性能與故障隔離、安全性、管理性和可擴展性。因此，高性能的網(wǎng)絡服務器也必須充分利用虛擬化技術的重大成果，迫切需要發(fā)展新的面向虛擬化技術基于多核與SoC技術的體系結構。 進入2006年以來，服務器虛擬化技術的隊伍大大擴充了，從處理器層面的AMD和Intel到操作系統(tǒng)層面的微軟的加入，從數(shù)量眾多的第三方軟件廠商的涌現(xiàn)到服務器系統(tǒng)廠商的高調(diào)，我們看到一個趨于完整的服務器虛擬化技術生態(tài)系統(tǒng)正在逐漸形成。它們在虛擬化技術方面不斷推出的新技術、新產(chǎn)品，對虛擬化技術在用戶端的應用，將起到很大的推動作用。 硬虛擬、軟虛擬各有所長實際上，從原理上看虛擬技術虛擬的是指令集。所有的IT設備，不管是PC、服務器還是存儲設備，都有一個共同點：它們被設計用來完成一組特定的指令，這些指令組成一個指令集。對于虛擬技術而言，“虛擬”實際上就是指這些指令集。虛擬機有許多不同的類型，但是它們有一個共同的主題就是模擬一個指令集的概念。每個虛擬機都有一個用戶可以訪問的指令集，虛擬機通過把這些虛擬指令“映射”到計算機的實際指令集來完成工作。 當“虛擬”成為現(xiàn)實，它所帶來的好處也顯而易見：有利于整合服務器資源，降低系統(tǒng)的總擁有成本；有利于服務那些希望使用服務器資源，但并不希望購買服務器的用戶；有利于提高系統(tǒng)的資源利用率；有利于提供對操作系統(tǒng)的監(jiān)控，提供HA支持和資源使用的負載平衡，簡化滿足新的應用需求的工作；有利于減少操作系統(tǒng)對硬件平臺的依賴。 鑒于服務器在使用效率、維護難度及升級成本等方面的問題，虛擬機技術長期以來一直是一個研究熱點。在網(wǎng)絡服務器方面，Stanford大學提出了基于虛擬機的vMatrix服務器以服務在線游戲?？傮w來說，虛擬機技術是一種通過在一組集中的計算資源上按需的為用戶構造虛擬硬件平臺，并在其上運行傳統(tǒng)操作系統(tǒng)以提供應用運行環(huán)境的技術。目前主要存在兩種實現(xiàn)虛擬機的技術路線：物理虛擬機和軟件虛擬機。

文章名稱：服務器虛擬化安全加固 服務器虛擬化安全加固怎么解決
分享網(wǎng)址：http://www.muchs.cn/article12/dohchgc.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站排名、網(wǎng)站內(nèi)鏈、搜索引擎優(yōu)化、網(wǎng)站營銷、定制網(wǎng)站、App開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉載內(nèi)容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)