虛擬機(jī)服務(wù)器安全防護(hù) 虛擬機(jī)服務(wù)器安全防護(hù)怎么關(guān)閉

虛擬機(jī)安全防護(hù)特點(diǎn)？

虛擬主機(jī)在網(wǎng)站搭建時(shí)最常用的空間類(lèi)型之一，由于其性?xún)r(jià)比比較高，非常適合中小型企業(yè)或者個(gè)人站長(zhǎng)，能夠降低服務(wù)器方面的成本。今天呢，美國(guó)主機(jī)商-BlueHost主要給大家介紹8種虛擬主機(jī)常見(jiàn)的安全防護(hù)方式。

成都創(chuàng)新互聯(lián)-專(zhuān)業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性?xún)r(jià)比廣平網(wǎng)站開(kāi)發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫(kù),直接使用。一站式廣平網(wǎng)站制作公司更省心,省錢(qián),快速模板網(wǎng)站建設(shè)找我們，業(yè)務(wù)覆蓋廣平地區(qū)。費(fèi)用合理售后完善，10多年實(shí)體公司更值得信賴(lài)。

?

虛擬主機(jī)常見(jiàn)的8種安全防護(hù)方式！

一、數(shù)據(jù)驗(yàn)證

非法輸入是程序與數(shù)據(jù)庫(kù)常見(jiàn)的漏洞之一，在數(shù)據(jù)被輸入前應(yīng)該對(duì)其合法性進(jìn)行檢驗(yàn)。通常使用的檢驗(yàn)方式是數(shù)據(jù)驗(yàn)證，設(shè)置程序，對(duì)任何輸入的內(nèi)容進(jìn)行檢查，接收能接收的內(nèi)容，拒絕不能接收的內(nèi)容。

二、地址欄變量驗(yàn)證

對(duì)于從地址欄上收到的變量，需要驗(yàn)證其合法性，比如收到了ID值，則需要確定ID是否為數(shù)字，有沒(méi)有攻擊符號(hào)等。

三、目錄權(quán)限

確保用戶(hù)只能訪問(wèn)網(wǎng)站目錄下的內(nèi)容，而無(wú)法目錄以外的，并且要確認(rèn)程序中包含的文件位置正確。

四、頁(yè)面操作授權(quán)驗(yàn)證

如果想要訪問(wèn)或更改頁(yè)面，在登入后臺(tái)程序時(shí)需經(jīng)過(guò)授權(quán)驗(yàn)證，否則不允許登入。

五、配置文件安全

對(duì)程序中的配置文件應(yīng)該進(jìn)行重點(diǎn)防護(hù)，并不允許用戶(hù)直接訪問(wèn)，將文件擴(kuò)展名更改為asp/php等。

六、資源釋放

程序中使用了關(guān)鍵資源后，應(yīng)進(jìn)行顯示釋放和關(guān)閉。

七、錯(cuò)誤提示

過(guò)于詳細(xì)的錯(cuò)誤提示可能會(huì)暴露數(shù)據(jù)庫(kù)文件的路徑，也有攻擊者會(huì)通過(guò)給出的提示信息來(lái)發(fā)現(xiàn)可能存在的漏洞。

八、驗(yàn)證碼的使用

使用驗(yàn)證碼是防止機(jī)器人重復(fù)提交垃圾信息有效的方式之一，包括用戶(hù)登錄、表單提交、在線反饋等。

服務(wù)器虛擬化的安全風(fēng)險(xiǎn)

破壞了正常的網(wǎng)絡(luò)架構(gòu)采用服務(wù)器虛擬化技術(shù)，需要對(duì)原來(lái)的網(wǎng)絡(luò)架構(gòu)進(jìn)行一定的改動(dòng)，建立新的網(wǎng)絡(luò)架構(gòu)，以適應(yīng)服務(wù)器虛擬化的要求。但是，網(wǎng)絡(luò)架構(gòu)的改動(dòng)打破了原來(lái)平衡的網(wǎng)絡(luò)架構(gòu)系統(tǒng)，也就會(huì)產(chǎn)生一些危險(xiǎn)系統(tǒng)安全的風(fēng)險(xiǎn)安全問(wèn)題。比如：如果不使用服務(wù)器虛擬化技術(shù)，客戶(hù)可以把幾個(gè)隔離區(qū)設(shè)置在防火墻的設(shè)備上。這樣一來(lái)，一個(gè)隔離區(qū)就可以管理著一個(gè)服務(wù)器，服務(wù)器之間可以不同的管理原則，不同的服務(wù)器也就可以有不同的管理方法。這樣，當(dāng)有一個(gè)服務(wù)器被外界攻擊時(shí)，其它的服務(wù)器就不會(huì)受到影響，可以正常運(yùn)行。但是，如果采用了服務(wù)器虛擬化技術(shù)，就需要把虛擬的服務(wù)器一起連接到同一個(gè)虛擬交換機(jī)上。通過(guò)虛擬交換機(jī)就把所有的虛擬的服務(wù)器同外部網(wǎng)絡(luò)聯(lián)系了起來(lái)。因?yàn)樗械奶摂M的服務(wù)器都連接在同一個(gè)虛擬交換機(jī)上，這就造成了一方面原來(lái)設(shè)置的防火墻功能失去了防護(hù)作用，另一方面給所有的虛擬服務(wù)器增加了安全風(fēng)險(xiǎn)。當(dāng)一個(gè)虛擬服務(wù)器遭受到攻擊或出現(xiàn)狀況時(shí)，其它的虛擬服務(wù)器也會(huì)受到影響?？赡苤率瓜到y(tǒng)服務(wù)器超載服務(wù)器虛擬化雖然能產(chǎn)生若干個(gè)服務(wù)器供用戶(hù)使用，但是這些產(chǎn)生的服務(wù)器只是虛擬的，還需要借用物理服務(wù)器的硬件系統(tǒng)來(lái)進(jìn)行各種應(yīng)用程序的運(yùn)行。各個(gè)虛擬服務(wù)器的應(yīng)用程序非常多，這些應(yīng)用程序一旦全部運(yùn)行起來(lái)，就會(huì)大量占用物理服務(wù)器的內(nèi)存、中央處理器、網(wǎng)絡(luò)等硬件系統(tǒng)，從而給物理服務(wù)器帶來(lái)沉重的運(yùn)行負(fù)擔(dān)。如果有一天，所有的虛擬服務(wù)器都在運(yùn)行大量的應(yīng)用程序，就有可能使物理服務(wù)器負(fù)荷太大，從而出現(xiàn)服務(wù)器超載的現(xiàn)象。服務(wù)器超載到一定程度，就有可能造成各個(gè)虛擬服務(wù)器運(yùn)行程序速度太慢，影響客戶(hù)的使用。更嚴(yán)重的還可能造成物理服務(wù)器系統(tǒng)崩潰，給客戶(hù)帶來(lái)無(wú)法估量的損失。致使虛擬機(jī)失去安全保護(hù)服務(wù)器虛擬化后，每個(gè)虛擬機(jī)都會(huì)被裝上自己的管理程序，供客戶(hù)操作和使用虛擬服務(wù)器。但是不是所有的管理程序都是完美無(wú)缺，沒(méi)有安全漏洞的。管理程序在設(shè)計(jì)中都有可能會(huì)產(chǎn)生一些安全漏洞和缺陷。而這些安全漏洞和缺陷則有可能成為電腦黑客的攻擊服務(wù)器的著手點(diǎn)。他們通過(guò)這些安全漏洞和缺陷會(huì)順利地進(jìn)入服務(wù)器，進(jìn)行一些非法操作。更重要的是，一臺(tái)虛擬機(jī)管理程序的安全漏洞和缺陷會(huì)傳染給其它虛擬機(jī)。當(dāng)一臺(tái)虛擬機(jī)因安全漏洞和缺陷遭受黑客攻擊時(shí)，其它的虛擬機(jī)也會(huì)受到影響，致使虛擬機(jī)失去安全保護(hù)。服務(wù)器被攻擊的機(jī)會(huì)大大增加連接于同一臺(tái)物理服務(wù)器的所有服務(wù)器虛擬機(jī)是能相互聯(lián)系的。在相互聯(lián)系的過(guò)程中，就有可能產(chǎn)生一些安全風(fēng)險(xiǎn)，致使服務(wù)器遭受黑客的攻擊。而且，黑客不需要對(duì)所有的服務(wù)器虛擬機(jī)逐個(gè)進(jìn)行攻擊，只需要對(duì)其中的一臺(tái)虛擬機(jī)進(jìn)行攻擊。只要攻下一臺(tái)虛擬機(jī)，其它的虛擬機(jī)就可以被攻下。因?yàn)?，所有的虛擬機(jī)都是相互聯(lián)系的。所以說(shuō)，服務(wù)器虛擬化后被攻擊的機(jī)會(huì)大大增加了。虛擬機(jī)補(bǔ)丁帶來(lái)的安全風(fēng)險(xiǎn)每個(gè)虛擬機(jī)都有著自己的管理系統(tǒng)，而這些管理系統(tǒng)是經(jīng)常需要及時(shí)安裝最新補(bǔ)丁以防止被攻擊。但是，一個(gè)物理服務(wù)器可以帶許多個(gè)虛擬機(jī)，每個(gè)虛擬機(jī)就是一臺(tái)服務(wù)器，都需要安裝補(bǔ)丁，工作量太大。這就給虛擬機(jī)的補(bǔ)丁安裝帶來(lái)麻煩，會(huì)大大影響補(bǔ)丁的安裝速度，使虛擬機(jī)不能夠及時(shí)安裝不斷，從而帶來(lái)安全隱患。另外，一些客戶(hù)會(huì)通過(guò)一些技術(shù)手段保留個(gè)別虛擬機(jī)用于虛擬機(jī)的災(zāi)難恢復(fù)。但是，保留的虛擬機(jī)很可能沒(méi)有及時(shí)安裝新的補(bǔ)丁，從而會(huì)給災(zāi)難恢復(fù)的虛擬機(jī)帶來(lái)運(yùn)行的安全風(fēng)險(xiǎn)。

虛擬服務(wù)器的虛擬服務(wù)器安全

虛擬服務(wù)器并不具有物理服務(wù)器內(nèi)置的諸多安全保障機(jī)制。盡管現(xiàn)在入侵虛擬服務(wù)器已經(jīng)成為一件非常困難的事情，但是從虛擬服務(wù)器當(dāng)中成功竊取數(shù)據(jù)也并不會(huì)令人感到驚訝。

盡管虛擬化環(huán)境存在單點(diǎn)故障和安全漏洞等可能性，但是從另一方面來(lái)說(shuō)其縮小了需要保護(hù)的虛擬服務(wù)器設(shè)備范圍。借助于虛擬化技術(shù)提供的整合特性，企業(yè)的虛擬服務(wù)器硬件設(shè)備規(guī)模不斷縮小，這種趨勢(shì)可以幫助減少一些和網(wǎng)絡(luò)及電力供應(yīng)相關(guān)的高可用性需求。

虛擬服務(wù)器技術(shù)使用更加小型化的不間斷電源線路和發(fā)電機(jī)以保證電力的持續(xù)供應(yīng)，減少物理網(wǎng)絡(luò)接口數(shù)量能夠降低網(wǎng)絡(luò)受到攻擊的風(fēng)險(xiǎn)，甚至可以在處于活動(dòng)狀態(tài)的端口上增加監(jiān)控。盡管這種方式能夠減少和硬件相關(guān)的安全問(wèn)題，但是不幸的是，虛擬服務(wù)器會(huì)對(duì)軟件資源造成很大的威脅。用戶(hù)能夠輕松創(chuàng)建并部署虛擬服務(wù)器和網(wǎng)絡(luò)，在某些情況當(dāng)中甚至不需要得到提前批準(zhǔn)。

當(dāng)然，如果認(rèn)為僅僅依靠一臺(tái)惡意虛擬服務(wù)器或者虛擬服務(wù)器交換機(jī)就能夠造成整個(gè)基礎(chǔ)架構(gòu)全部癱瘓，這種想法是十分牽強(qiáng)的。然而，如果一個(gè)未經(jīng)注冊(cè)的系統(tǒng)進(jìn)入到受控制的基礎(chǔ)架構(gòu)之后，它的存在對(duì)于基礎(chǔ)架構(gòu)的穩(wěn)定性來(lái)說(shuō)確實(shí)造成了威脅。惡意系統(tǒng)將會(huì)成為虛擬服務(wù)器數(shù)據(jù)中心防護(hù)鎧甲上的一道裂紋，這種情況正在變得越來(lái)越普遍，因?yàn)樵谔摂M服務(wù)器環(huán)境當(dāng)中部署新系統(tǒng)并不會(huì)面臨物理硬件開(kāi)銷(xiāo)等種種限制。過(guò)去，在虛擬服務(wù)器項(xiàng)目開(kāi)始之前需要提前申請(qǐng)資金購(gòu)買(mǎi)物理服務(wù)器，最后這個(gè)過(guò)程居然成為一種防御惡意部署的安全保障措施。

對(duì)于虛擬服務(wù)器環(huán)境來(lái)說(shuō)，只需要簡(jiǎn)單點(diǎn)擊幾次鼠標(biāo)就可以創(chuàng)建大量的虛擬服務(wù)器，之前成本方面的限制不復(fù)存在。保護(hù)基礎(chǔ)架構(gòu)需要首先了解其中包含哪些組件，但是完成這項(xiàng)工作正在變得越來(lái)越困難。每臺(tái)新增加的虛擬服務(wù)器都有可能成為數(shù)據(jù)中心盔甲上的一個(gè)可能裂紋。限制虛擬服務(wù)器環(huán)境用戶(hù)權(quán)限以及制定審計(jì)報(bào)告是防止部署惡意系統(tǒng)的最佳方式。

伴隨虛擬服務(wù)器技術(shù)所產(chǎn)生的、傳統(tǒng)硬件環(huán)境并不會(huì)遇到的另外一種安全問(wèn)題就是數(shù)據(jù)竊取。過(guò)去，數(shù)據(jù)竊賊在嘗試獲取虛擬服務(wù)器的敏感數(shù)據(jù)之前都需要花費(fèi)一段時(shí)間來(lái)破解操作系統(tǒng)的安全防護(hù)機(jī)制。這是因?yàn)橥ǔ８`賊并沒(méi)有其他可用方式：他們只能通過(guò)物理方式訪問(wèn)硬件或者復(fù)制數(shù)據(jù)，而硬件通常被放置在封閉的環(huán)境當(dāng)中，使用攝像頭和保安進(jìn)行監(jiān)控，而虛擬服務(wù)器數(shù)據(jù)和軟件由操作系統(tǒng)進(jìn)行加密和保護(hù)。登陸虛擬服務(wù)器操作系統(tǒng)之后竊取數(shù)據(jù)是一種更加具有挑戰(zhàn)性的方式，如果有人想要訪問(wèn)這些受保護(hù)的數(shù)據(jù)，還有可能觸發(fā)監(jiān)控告警，并且其訪問(wèn)信息也將會(huì)被記錄下來(lái)。

而當(dāng)虛擬服務(wù)器技術(shù)出現(xiàn)之后，虛擬服務(wù)器不再是硬件設(shè)備，而是位于虛擬服務(wù)器存儲(chǔ)設(shè)備當(dāng)中的一系列文件集合。和任何其他類(lèi)型文件一樣，我們可以復(fù)制虛擬服務(wù)器操作系統(tǒng)當(dāng)中的任何數(shù)據(jù)，并且不會(huì)影響原始虛擬服務(wù)器的正常運(yùn)行。這種特性不是bug，而是用來(lái)幫助部署虛擬服務(wù)器的全新特性。將虛擬服務(wù)器的所有文件復(fù)制之后，可以對(duì)其進(jìn)行重命名之后再次開(kāi)機(jī)，或者轉(zhuǎn)移到其他站點(diǎn)用于災(zāi)難恢復(fù)。不幸的是，這種可移植性帶來(lái)了新的隱患。盡管虛擬服務(wù)器文件的體積非常龐大并且不容易移動(dòng)或者復(fù)制，但也并非完全不能實(shí)現(xiàn)的。

由于虛擬服務(wù)器復(fù)制的數(shù)據(jù)并不是處在活動(dòng)狀態(tài)，因此虛擬服務(wù)器可以輕松下載并復(fù)制到可插拔的USB設(shè)備當(dāng)中，之后使用這些文件構(gòu)建新的虛擬機(jī)。盡管竊賊需要使用額外權(quán)限才能夠訪問(wèn)虛擬服務(wù)器環(huán)境，但是并不需要全部的管理員權(quán)限。虛擬服務(wù)器技術(shù)使得竊取整臺(tái)虛擬服務(wù)器甚至整個(gè)數(shù)據(jù)中心變?yōu)榭赡堋８`賊不再需要物理訪問(wèn)權(quán)限就能夠竊取虛擬服務(wù)器或者破壞現(xiàn)有的安全防護(hù)機(jī)制。

虛擬服務(wù)器是一系列文件的集合，這意味著除了復(fù)制這些文件之外，某些用戶(hù)還可以刪除它們。不論是故意的——比如員工惡意報(bào)復(fù)；或者是異常的應(yīng)用程序進(jìn)程——比如失控的快照，在這些操作面前你的虛擬服務(wù)器都是十分脆弱的。VMware和其他廠商都擁有多種機(jī)制來(lái)保護(hù)和恢復(fù)數(shù)據(jù)，但是本質(zhì)上，你的虛擬服務(wù)器仍然是一些可以被輕易刪除的文件集合。

虛擬服務(wù)器的數(shù)據(jù)竊取和破壞等情況可能出現(xiàn)在多種IT系統(tǒng)當(dāng)中，不論是基于硬件還是軟件的。然而，如果虛擬服務(wù)器位于硬件環(huán)境當(dāng)中，就存在一種受制于虛擬服務(wù)器數(shù)量和蔓延的天然防護(hù)機(jī)制，為數(shù)據(jù)提供安全保障。而對(duì)于虛擬服務(wù)器環(huán)境來(lái)說(shuō)，這些防護(hù)機(jī)制當(dāng)中的大多數(shù)都不復(fù)存在。事實(shí)上，我們錯(cuò)誤利用的很多工具和特性都有可能導(dǎo)致數(shù)據(jù)竊取和數(shù)據(jù)丟失事件的發(fā)生。虛擬服務(wù)器技術(shù)并不會(huì)在短時(shí)間內(nèi)消失，因此要求IT部門(mén)從不同的角度來(lái)重新思考系統(tǒng)的冗余性、可用性和安全性。

保證虛擬服務(wù)器的安全性，避免運(yùn)行中斷不僅包括確保有恰當(dāng)?shù)膫浞?、防火墻及密碼。保證虛擬服務(wù)器的安全性，不但要有簡(jiǎn)單的策略、規(guī)程、管理，還涉及需要識(shí)別并解決彼此環(huán)環(huán)相扣的方方面面。對(duì)（物理以及虛擬）系統(tǒng)的保護(hù)包括兩個(gè)關(guān)鍵階段：初始設(shè)計(jì)以及運(yùn)維管理。

虛擬服務(wù)器系統(tǒng)運(yùn)行出現(xiàn)中斷嚴(yán)重程度千差萬(wàn)別。當(dāng)虛擬服務(wù)器組織意識(shí)到系統(tǒng)可能而且將會(huì)發(fā)生中斷時(shí)就會(huì)采取相關(guān)措施。盡管我們希望并試圖避免虛擬服務(wù)器系統(tǒng)出現(xiàn)中斷或者出現(xiàn)故障，但虛擬服務(wù)器卻無(wú)法完全避免。盡管無(wú)法避免所有的虛擬服務(wù)器中斷問(wèn)題，但我們能夠限制虛擬服務(wù)器出現(xiàn)頻率以及中斷持續(xù)時(shí)間。人們通常以數(shù)字9的個(gè)數(shù)來(lái)衡量虛擬服務(wù)器系統(tǒng)的可用性，例如，虛擬服務(wù)器系統(tǒng)的可用性是99%或者99.9999%。兩者之間主要的區(qū)別不只是增加更多的虛擬服務(wù)器技術(shù)，每增加一個(gè)9都需要付出更多的代價(jià)。取決于環(huán)境，支付的費(fèi)用可能從數(shù)千美元到數(shù)十萬(wàn)美元不等，因此理解可用性對(duì)虛擬服務(wù)器組織意味著什么是很重要的。

虛擬服務(wù)器系統(tǒng)可用性達(dá)到99%，乍聽(tīng)起來(lái)虛擬服務(wù)器給人的印象很不錯(cuò)，但當(dāng)一整年的虛擬服務(wù)器可用性為99%時(shí)，你會(huì)發(fā)現(xiàn)有一些問(wèn)題。

在瀏覽虛擬服務(wù)器宕機(jī)時(shí)間時(shí)，請(qǐng)記住指的是虛擬服務(wù)器非計(jì)劃宕機(jī)。如果虛擬服務(wù)器宕機(jī)發(fā)生在周末，那么在一年當(dāng)中虛擬服務(wù)器宕機(jī)3.65天聽(tīng)起來(lái)沒(méi)任何問(wèn)題，但實(shí)際上更可能出現(xiàn)的情況是虛擬服務(wù)器宕機(jī)發(fā)生在業(yè)務(wù)最繁忙、系統(tǒng)不能出現(xiàn)業(yè)務(wù)中斷的時(shí)候。墨菲定律在當(dāng)今仍舊發(fā)揮著重要作用。

盡管虛擬服務(wù)器可用性達(dá)到6個(gè)9非常理想，但虛擬服務(wù)器付出的成本卻不一定劃算。無(wú)法簡(jiǎn)單地計(jì)算可用性從2個(gè)9達(dá)到6個(gè)9需要付出多少成本，因?yàn)樾枰紤]很多變量。該過(guò)程可能涉及雙重的虛擬服務(wù)器、存儲(chǔ)架構(gòu)、網(wǎng)絡(luò)、電力供應(yīng)乃至冗余的數(shù)據(jù)中心。既然涉及如此眾多的虛擬服務(wù)器變量，那么虛擬服務(wù)器組織如何找到合理的虛擬服務(wù)器安全架構(gòu)呢？

虛擬服務(wù)器安全性中的一個(gè)重要方面是保持系統(tǒng)的可用性。無(wú)論是由于拒絕虛擬服務(wù)器攻擊還是虛擬服務(wù)器系統(tǒng)運(yùn)行中斷導(dǎo)致用戶(hù)無(wú)法訪問(wèn)系統(tǒng)，對(duì)用戶(hù)來(lái)說(shuō)沒(méi)什么區(qū)別。在當(dāng)今的環(huán)境中，虛擬服務(wù)器化以及整合使得組織能夠高效地解決用戶(hù)需求。不足之處是越來(lái)越多的系統(tǒng)依賴(lài)越來(lái)越少的虛擬服務(wù)器硬件，這使得硬件變得比以往更關(guān)鍵。

虛擬服務(wù)器冗余設(shè)計(jì)存在挑戰(zhàn)，在虛擬服務(wù)器冗余設(shè)計(jì)中考慮虛擬服務(wù)器安全性是數(shù)據(jù)中心的基本方法論，這涉及到多種虛擬服務(wù)器技術(shù)。更多的時(shí)候虛擬服務(wù)器安全性被束之高閣，關(guān)注的焦點(diǎn)通常是虛擬服務(wù)器冗余。虛擬服務(wù)器冗余涉及方方面面，如果并非所有因素都就緒，那么你可能無(wú)法達(dá)到你所希望的保護(hù)等級(jí)。

例如，理解虛擬服務(wù)器基礎(chǔ)設(shè)施的供電需求需要在眾多階段予以解決是非常重要的。

虛擬服務(wù)器設(shè)備冗余電力供應(yīng)往往是保護(hù)硬件出現(xiàn)故障的起點(diǎn)。理想情況下，虛擬服務(wù)器電力供應(yīng)后端與冗余的UPS以及發(fā)電機(jī)相連，這類(lèi)虛擬服務(wù)器冗余的電力基礎(chǔ)設(shè)施是基礎(chǔ)設(shè)施達(dá)到最高級(jí)別可用性的一個(gè)關(guān)鍵因素。然而，如果虛擬服務(wù)器基礎(chǔ)設(shè)施仍舊包括單點(diǎn)故障，比如單個(gè)發(fā)電機(jī)，那么發(fā)電機(jī)將成為安全脆弱點(diǎn)。

用戶(hù)需要使用網(wǎng)絡(luò)連接應(yīng)用于虛擬服務(wù)器系統(tǒng)。虛擬服務(wù)器具備冗余的網(wǎng)絡(luò)連接是個(gè)起點(diǎn)，但如果連接的是同一臺(tái)虛擬服務(wù)器那就談不上虛擬服務(wù)器冗余了?；蛘哌B接的是不同的虛擬服務(wù)器，但虛擬服務(wù)器連接的是同一個(gè)電源。即使基礎(chǔ)設(shè)施實(shí)現(xiàn)了合理的虛擬服務(wù)器冗余，IDS或者防火墻實(shí)現(xiàn)了冗余了嗎？共享的IDS或者防火墻系統(tǒng)是一個(gè)瓶頸以及可能的脆弱點(diǎn)。

即使虛擬服務(wù)器組織擁有虛擬服務(wù)器冗余數(shù)據(jù)中心，在嘗試進(jìn)行故障切換時(shí)也可能會(huì)發(fā)現(xiàn)缺少核心組件。盡管很多容錯(cuò)站點(diǎn)包括了虛擬服務(wù)器常見(jiàn)組件，比如AD或者NTP服務(wù)器，但有IDS或者得到恰當(dāng)升級(jí)的虛擬服務(wù)器防火墻嗎？切換所有的虛擬服務(wù)器系統(tǒng)包括審計(jì)以及日志服務(wù)器是不可能的。我們往往能夠理解存在限制，但需要將相應(yīng)的風(fēng)險(xiǎn)記錄在案并進(jìn)行管理。

虛擬服務(wù)器可用性是安全保護(hù)傘的一個(gè)重要方面，不單單是一組配置。虛擬服務(wù)器可用性與識(shí)別單點(diǎn)故障并予以解決有關(guān)—最糟糕的情況是記錄在案并進(jìn)行虛擬服務(wù)器管理。虛擬服務(wù)器冗余層能夠提供幫助，但當(dāng)虛擬服務(wù)器單點(diǎn)故障被利用時(shí)虛擬服務(wù)器冗余就被打破了。只是購(gòu)買(mǎi)可用性等級(jí)更高的虛擬服務(wù)器、軟件包或者硬件設(shè)備并非冗余或?qū)崿F(xiàn)虛擬服務(wù)器安全的解決方案。

主機(jī)虛擬化安全主要從哪行方面著手？

隨著虛擬化技術(shù)不斷向前發(fā)展,許多單位面臨著實(shí)施虛擬化的誘人理由，如服務(wù)器的整合、更快的硬件、使用上的簡(jiǎn)單、靈活的快照技術(shù)等。這都使得虛擬化更加引人注目。在有些機(jī)構(gòu)中，虛擬化已經(jīng)成為其架構(gòu)中的重要組成部分。在這里，技術(shù)再次走在了最佳的安全方法的前面。隨著機(jī)構(gòu)對(duì)災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性的重視，特別是在金融界，虛擬環(huán)境正變得越來(lái)越普遍。我們應(yīng)該關(guān)注這種繁榮背后的隱憂(yōu)。

使用虛擬化環(huán)境時(shí)存在的缺陷

1.如果主機(jī)受到破壞，那么主要的主機(jī)所管理的客戶(hù)端服務(wù)器有可能被攻克。

2.如果虛擬網(wǎng)絡(luò)受到破壞，那么客戶(hù)端也會(huì)受到損害。

3.需要保障客戶(hù)端共享和主機(jī)共享的安全，因?yàn)檫@些共享有可被不法之徒利用其漏洞。

4.如果主機(jī)有問(wèn)題，那么所有的虛擬機(jī)都會(huì)產(chǎn)生問(wèn)題。

5.虛擬機(jī)被認(rèn)為是二級(jí)主機(jī)，它們具有類(lèi)似的特性，并以與物理機(jī)的類(lèi)似的方式運(yùn)行。在以后的幾年中，虛擬機(jī)和物理機(jī)之間的不同點(diǎn)將會(huì)逐漸減少。

6.在涉及到虛擬領(lǐng)域時(shí)，最少特權(quán)技術(shù)并沒(méi)有得到應(yīng)有的重視，甚至遭到了遺忘。這項(xiàng)技術(shù)可以減少攻擊面，并且應(yīng)當(dāng)在物理的和類(lèi)似的虛擬化環(huán)境中采用這項(xiàng)技術(shù)。

保障虛擬服務(wù)器環(huán)境安全的措施

1.升級(jí)你的操作系統(tǒng)和應(yīng)用程序，這應(yīng)當(dāng)在所有的虛擬機(jī)和主機(jī)上進(jìn)行。主機(jī)應(yīng)用程序應(yīng)當(dāng)少之又少，僅應(yīng)當(dāng)安裝所需要的程序。

2.在不同的虛擬機(jī)之間，用防火墻進(jìn)行隔離和防護(hù)，并確保只能處理經(jīng)許可的協(xié)議。

3.使每一臺(tái)虛擬機(jī)與其它的虛擬機(jī)和主機(jī)相隔離。盡可能地在所有方面都進(jìn)行隔離。

4.在所有的主機(jī)和虛擬機(jī)上安裝和更新反病毒機(jī)制，因?yàn)樘摂M機(jī)如同物理機(jī)器一樣易受病毒和蠕蟲(chóng)的感染。

5.在主機(jī)和虛擬機(jī)之間使用IPSEC或強(qiáng)化加密，因?yàn)樘摂M機(jī)之間、虛擬機(jī)與主機(jī)之間的通信可能被嗅探和破壞。雖然廠商們?cè)谙敕皆O(shè)法改變這種狀況，但在筆者完成此文時(shí)，這仍是一真實(shí)的威脅。企業(yè)仍需要最佳的方法來(lái)對(duì)機(jī)器之間的通信實(shí)施加密。

6.不要從主機(jī)瀏覽互聯(lián)網(wǎng)，間諜軟件和惡意軟件所造成的感染仍有可能危害主機(jī)。記住，主機(jī)管理著虛擬機(jī)，發(fā)生在虛擬機(jī)上的問(wèn)題會(huì)導(dǎo)致嚴(yán)重的問(wèn)題和潛在的“宕機(jī)”時(shí)間、服務(wù)的喪失等。

7.在主機(jī)上保障管理員和管理員組賬戶(hù)的安全，因?yàn)槲词跈?quán)用戶(hù)對(duì)特權(quán)賬戶(hù)的訪問(wèn)能導(dǎo)致嚴(yán)重的安全損害。調(diào)查發(fā)現(xiàn)，主機(jī)上的管理員(根)賬戶(hù)不如虛擬機(jī)上的賬戶(hù)安全。記住，你的安全性是由最弱的登錄點(diǎn)決定的。

8.強(qiáng)化主機(jī)操作系統(tǒng)，并終止和禁用不必要的服務(wù)。保持操作系統(tǒng)的精簡(jiǎn)，可以減少被攻擊的機(jī)會(huì)。

9.關(guān)閉不使用的虛擬機(jī)。如果你不需要一種虛擬機(jī)，就不要運(yùn)行它。

10.將虛擬機(jī)整合到企業(yè)的安全策略中。

11.保證主機(jī)的安全，確保在虛擬機(jī)離線時(shí)，非授權(quán)用戶(hù)無(wú)法破壞虛擬機(jī)文件。

12.采用可隔離虛擬機(jī)管理程序的方案，這些系統(tǒng)可以進(jìn)一步隔離和更好地保障虛擬環(huán)境的安全。

13.確保主機(jī)驅(qū)動(dòng)程序的更新和升級(jí)，這會(huì)保障你的硬件以最優(yōu)的速度運(yùn)行，而且軟件的更新可極大地減少漏洞利用和拒絕服務(wù)攻擊的機(jī)會(huì)。

14.要禁用虛擬機(jī)中未用的端口。如果虛擬機(jī)環(huán)境并不利用端口技術(shù)，就應(yīng)當(dāng)禁用它。

15.監(jiān)視主機(jī)和虛擬主機(jī)上的事件日志和安全事件。這些日志應(yīng)當(dāng)妥善保存，用于日后的安全審計(jì)。

16.限制并減少硬件資源的共享。從某種意義上講，安全與硬件資源共享，如同魚(yú)與熊掌，不可兼得。在資源被虛擬機(jī)輪流共享時(shí)，除發(fā)生數(shù)據(jù)泄漏外，拒絕服務(wù)攻擊也將是家常便飯。

17.在可能的情況下，保證網(wǎng)絡(luò)接口卡專(zhuān)用于每一個(gè)虛擬機(jī)。這里再次減輕了資源共享問(wèn)題，并且虛擬機(jī)的通信也得到了隔離。

18.投資購(gòu)買(mǎi)可滿(mǎn)足特定目的并且支持虛擬機(jī)的硬件。不支持虛擬機(jī)的硬件會(huì)產(chǎn)生潛在的安全問(wèn)題。

19.分區(qū)可產(chǎn)生磁盤(pán)邊界，它可用于分離每一個(gè)虛擬機(jī)并可在其專(zhuān)用的分區(qū)上保障安全性。如果一個(gè)虛擬機(jī)超出了正常的限制，專(zhuān)用分區(qū)會(huì)限制它對(duì)其它虛擬機(jī)的影響。

20.要保證如果不需要互聯(lián)的話，虛擬機(jī)不能彼此連接。前面我們已經(jīng)說(shuō)過(guò)網(wǎng)絡(luò)隔離的重要性。要進(jìn)行虛擬機(jī)之間的通信，可以使用一個(gè)在不同網(wǎng)絡(luò)地址上的獨(dú)立網(wǎng)絡(luò)接口卡，這要比將虛擬機(jī)之間的通信直接推向暴露的網(wǎng)絡(luò)要安全得多。

21.NAC正走向虛擬機(jī)，對(duì)于基于虛擬機(jī)服務(wù)器的設(shè)備尤其如此。如果這是一種可以啟用的特性，那么，正確的實(shí)施NAC將為你帶來(lái)更長(zhǎng)遠(yuǎn)的安全性。

22.嚴(yán)格管理對(duì)虛擬機(jī)特別是對(duì)主機(jī)的遠(yuǎn)程訪問(wèn)可以使暴露的可能性更少。

23.記住，主機(jī)代表著單個(gè)失效點(diǎn)，備份和連續(xù)性要求可以有助于減少這種風(fēng)險(xiǎn)。

24.避免共享IP地址，這又是一個(gè)共享資源而造成問(wèn)題和漏洞的典型實(shí)例。

業(yè)界已經(jīng)開(kāi)始認(rèn)識(shí)到，虛擬化安全并不是像我們看待物理安全那樣簡(jiǎn)單。這項(xiàng)技術(shù)帶來(lái)了新的需要解決的挑戰(zhàn)。

結(jié)論

虛擬化安全是一項(xiàng)必須的投資。如果一個(gè)單位覺(jué)得其成本太高，那么筆者建議它最好不要采用虛擬化，可堅(jiān)持使用物理機(jī)器，但后者也需要安全保障。

分享題目：虛擬機(jī)服務(wù)器安全防護(hù) 虛擬機(jī)服務(wù)器安全防護(hù)怎么關(guān)閉
網(wǎng)站路徑：http://muchs.cn/article34/dohdppe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供做網(wǎng)站、面包屑導(dǎo)航、App開(kāi)發(fā)、網(wǎng)頁(yè)設(shè)計(jì)公司、移動(dòng)網(wǎng)站建設(shè)、靜態(tài)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)