對于系統管理員來說,使用KVM設備進行遠程服務器訪問非常便利。這在帶來便捷的同時也有代價:安全。
鍵盤、視頻與鼠標(KVM)連接讓系統管理員可在數據中心機架中管理多個設備。并且現在擁有遠程可訪問的KVM控制臺,管理就更加得心應手。有了任何遠程可訪問的設備,遠程KVM就成為控制脆弱性變量的持久戰爭。
遠程KVM簡介
通常,遠程KVM配置與交換機機制一起完成,在機架或機架連接組中的所有IP啟用的設備作為一個中心控制點。在許多現代的KVM配置中,KVM交換器擁有一個內置的Web服務器,用于遠程訪問的服務器管理接口。那就是潛在的攻擊媒介。
不可否認,要越過KVM控制臺獲得未授權控制比較困難,因為多數遠程KVM設備只能通過內部的局域網LAN訪問。在內部配置KVM的IP地址,那么你就已經限制了LAN入侵者的攻擊媒介。
在2013年4月,英國逮捕了12名人員,他們利用英國巴萊克銀行分支機構中的KVM從外部進行訪問。一名犯罪者裝成IT技師,成功安裝了擁有3G連通性的USB電子狗。一旦他們獲得對KVM的物理訪問,蜂窩技術就開啟了攻擊。這個事件說明在未授權訪問KVM時是很難的,但并不意味著不可能。
遠程KVM的Web服務器將系統管理任務放在圖形用戶界面中。必要的頻繁的服務器掃描可以揭示任何開放端口。當你在監控時發現某個不該打開的端口打開了,立即與相關單位聯系確認。
協作的價值
遠程可訪問KVM固有的速度與便利在提升網絡的同時也加速了其退化。任由擁有訪問KVM的系統管理員可能更新任何與之相連的服務器,結果可能更好也可能更糟。
在有些配置下,一個KVM交換器能夠最多訪問24臺裸金屬服務器,因此會影響到所有宿主其上的虛擬機。例如,一個管理員申請一個大型補丁安裝,但沒有經過測試或者是不安全的話,就可能一次性破壞多臺服務器上的專有軟件。
協作是會議演講者與寫書作者喜歡的話題,但協作對不同組織意味著不同的事情。例如在IT與數據中心管理中,協作發生在多樣性的Confluence與SharePoint平臺中到組文本。不過在嘗試控制變更管理時,什么都沒有面對面會議來得快。這個無可避免的災禍由于遠程可訪問KVM的速度與便捷性擴散得更快更糟糕。
京公網安備 11010502049343號