主機(jī)虛擬化可以讓一臺(tái)服務(wù)器變成幾臺(tái)甚至上百臺(tái)
主機(jī)虛擬化可以讓一臺(tái)服務(wù)器變成幾臺(tái)甚至上百臺(tái)相互隔離的虛擬服務(wù)器,不再受限于物理上的界限,而是讓CPU、內(nèi)存、磁盤(pán)、I/O等硬件變成可以動(dòng)態(tài)管理的“資源池”,從而提高資源的利用率,簡(jiǎn)化系統(tǒng)管理,實(shí)現(xiàn)服務(wù)器整合。
虛擬機(jī)本身是一款應(yīng)用程序,目前的安全問(wèn)題主要發(fā)生于虛擬機(jī)逃逸、Rootkit攻擊、DDoS攻擊、內(nèi)網(wǎng)滲透等。
一、虛擬機(jī)逃逸虛擬機(jī)逃逸指的是攻擊者在已控制一個(gè)VM的前提下,通過(guò)利用各種安全漏洞攻擊Hypervisor。
二、Rootkit攻擊Rootkit是一種特殊的惡意軟件,它的功能是在安裝目標(biāo)上隱藏自身及指定的文件、進(jìn)程和網(wǎng)絡(luò)鏈接等信息,較常見(jiàn)的是Rootkit和木馬、后門(mén)等其他惡意程序結(jié)合使用。這類(lèi)攻擊通常不會(huì)觸發(fā)自動(dòng)執(zhí)行的網(wǎng)絡(luò)安全控制功能,例如入侵檢測(cè)系統(tǒng)。
三、分布式拒絕服務(wù)攻擊分布式拒絕服務(wù)(DDoS)攻擊通過(guò)大量合法的請(qǐng)求占用大量網(wǎng)絡(luò)資源,以達(dá)到癱瘓網(wǎng)絡(luò)的目的。這種攻擊方式通常有以下幾種情況,通過(guò)使網(wǎng)絡(luò)過(guò)載來(lái)干擾甚至阻斷正常的網(wǎng)絡(luò)通訊;通過(guò)向服務(wù)器提交大量請(qǐng)求,使服務(wù)器超負(fù)荷;阻斷某一用戶(hù)訪問(wèn)服務(wù)器等。
四、虛擬機(jī)信息竊取和篡改虛擬機(jī)被封裝在一個(gè)宿主在虛擬宿主服務(wù)器上的單獨(dú)虛擬磁盤(pán)文件中,如果擁有訪問(wèn)虛擬化工作環(huán)境管理員權(quán)限,就可以輕松地進(jìn)入該虛擬化工作環(huán)境,讀取該文件中的數(shù)據(jù),且不會(huì)留下任何痕跡。企業(yè)如何解決虛擬化存在的安全隱患?
在數(shù)據(jù)即資產(chǎn)的年代,沒(méi)有什么比數(shù)據(jù)安全更為重要。由于企業(yè)存儲(chǔ)的數(shù)據(jù)會(huì)逐漸增多,不可避免地導(dǎo)致對(duì)虛擬機(jī)備份的網(wǎng)絡(luò)存儲(chǔ)空間的需求也會(huì)越來(lái)越大。對(duì)于企業(yè)來(lái)講,如何保護(hù)數(shù)據(jù)安全以維系業(yè)務(wù)的連貫,將是一個(gè)長(zhǎng)期持續(xù)存在的問(wèn)題。
第一,要從合規(guī)和安全管理的角度入手,把資產(chǎn)、配置和基線做好,建立安全管理的基礎(chǔ)。企業(yè)安全管理者需要從網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、虛擬機(jī)等基礎(chǔ)架構(gòu)到數(shù)據(jù)、應(yīng)用、終端等 IT 各個(gè)層面去全面考慮安全防御體系構(gòu)建問(wèn)題。
第二,建立完善的漏洞運(yùn)營(yíng)管理體系,結(jié)合威脅情報(bào),實(shí)現(xiàn)漏洞全生命周期閉環(huán)管理。當(dāng)創(chuàng)建虛擬機(jī)時(shí),要及時(shí)檢查企業(yè)的網(wǎng)站程序安全,做好網(wǎng)頁(yè)代碼漏洞修補(bǔ),對(duì)已被入侵或掛馬的代碼及文件進(jìn)行清理,對(duì)必要網(wǎng)站目錄及文件進(jìn)行保護(hù)。
第三,可以建立信息安全滲透測(cè)試機(jī)制,通過(guò)安全審計(jì)構(gòu)建事件發(fā)現(xiàn)和溯源能力。企業(yè)應(yīng)該測(cè)試和部署相關(guān)安全補(bǔ)丁,對(duì)發(fā)生的安全事件和非法數(shù)據(jù)流量進(jìn)行審計(jì)記錄,對(duì)安全事件提供追蹤溯源能力。
第四,持續(xù)對(duì) IT 系統(tǒng)進(jìn)行安全檢查和優(yōu)化改進(jìn),持續(xù)強(qiáng)化監(jiān)控和響應(yīng),保持最佳的風(fēng)險(xiǎn)控制和安全防御能力。限制網(wǎng)站程序存放目錄的讀寫(xiě)權(quán)限,切勿使用高權(quán)限用戶(hù)運(yùn)行服務(wù),關(guān)閉不必要的服務(wù)和端口,定期檢查服務(wù)器日志,避免虛擬機(jī)處于風(fēng)險(xiǎn)之中。