精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當前位置:虛擬化行業動態 → 正文

虛擬化安全架構的三個重點

責任編輯:Lee |來源:企業網D1Net  2014-06-02 10:18:15 本文摘自:天極網

目前數據中心中普遍采用虛擬化技術,而虛擬平臺增加了額外的一層安全要求。當引進新的虛擬化技術時,數據中心增加了新的安全風險,例如,在一個管理管理程序中運行多個虛擬機的風險。同時還有虛擬機鏡像和客戶操作系統的安全以及物理安全設備的虛擬實例,例如,從一個物理防火墻和入侵防御系統進入運行同樣的服務的虛擬鏡像。

企業數據中心虛擬化安全架構的三個重點

虛擬安全市場正在迅速解決與客戶虛擬機有關的安全問題。雖然從戰術方面看管理程序是數據中心中最不容易被利用的部分,但是,從戰略上看,管理程序是虛擬數據中心最誘人的攻擊目標,因為攻破這一點就可以訪問數據中心的多個虛擬系統。

企業應該分析自己使用的虛擬平臺的具體風險。重要的是要知道這個架構的變化如何影響到現有的安全管理系統。企業IT部門在向虛擬機遷移或者應用虛擬機之前還應該制定戰術的和戰略的安全計劃。這些安全計劃是通過對現有的虛擬安全進行綜合分析實現的,同時還要計劃應付虛擬平臺的未來的安全威脅。規劃以及當前架構和安全管理中的小的變化有助于防御未來的管理程序和平臺級的虛擬化攻擊。

總的來說,作為整個虛擬化安全架構的一部分,IT部門應該把重點放在三個虛擬化方面:

按照位置分開虛擬機

虛擬安全領域經常討論的問題之一是在隔離區使用虛擬平臺。經常看到一個物理虛擬機主機在隔離區運行公共的和專有的虛擬機,這兩個安全領域的區分是在軟交換機上實施的。在實踐上,這種架構沒有物理環境的架構那樣安全,因為這種架構的虛擬機和物理機器共享運行環境。在物理領域,公共機器應該插入同一臺交換機,虛擬局域網應該與專用機器分開。采用虛擬平臺,這個計算的區分就消失了。一臺主機上所有的虛擬機將共享CPU、內存、總線和網絡資源。從理論上說,這個共享的虛擬架構提供了從公共網絡向專有網絡機器實施直接攻擊的線路。這相當于把你的全部隔離區的雞蛋都放在一個籃子里。虛擬平臺上的一切都是由相同的軟件共享和管理的。控制虛擬局域網部分的軟件也控制這個主機的IP堆棧。那個主機上的IP堆棧中的安全漏洞會使整個客戶網絡處于危險之中。

消除共享的隔離區資源的安全威脅的解決方案是在物理上把公共的虛擬機與專用的虛擬機分開,在不同的主機上運行和管理這些虛擬機。所有公開的虛擬機都應該放置在公開的主機服務器上,用電纜線連接到物理地分開的網絡。對于使用VMware公司的vCenter技術大規模實施虛擬化的企業來說,把公共資源與專用資源集群(許多組主機根據資源組成一個單一的管理池)分開也是很重要的。例如,VMware公司的DRS軟件能夠在一個集群中的主機之間動態遷移虛擬機。如果公共的和專有的主機在一個集群中是共享的,一個DRS事件就可以根據資源的需求把一個專用的虛擬機遷移到公共主機服務器,從而取消了任何資源區分的好處。

根據服務類型分開虛擬機

一旦根據位置分開虛擬資源之后,下一步就是根據任務或者服務分開虛擬機。換句話說,就是讓全部的網絡服務器虛擬機在一個資源池和集群中,讓所有的應用虛擬機在另一個資源池或者集群中。同在隔離區內分開位置一樣,這個架構旨在限制那些與攻破虛擬平臺有關的風險。如果一個攻擊者能夠攻破一個客戶虛擬機,在同一個物理主機上運行的其它客戶機預計也會被攻破,因為它們共享同樣的運行環境。如果在一個主機上運行的所有的虛擬機都是相同的并且都執行同樣的任務,而且整個系統沒有完全暴露,攻擊者不必利用10個虛擬機安全漏洞,能夠利用一個虛擬機的漏洞就夠了。

另一方面,如果一個主機服務器正在所有的應用層運行(這些應用層包括網絡服務器、應用程序服務器和數據庫服務器),攻擊者通過利用前端網路瀏覽器漏洞能夠獲得后端數據庫的訪問權限。現在,數據庫將有更大的風險,因為它與網絡服務器在同一臺主機上運行,共享同樣的資源。根據服務分開虛擬機有助于緩解這個風險,方法是隔離虛擬應用程序并且讓虛擬機保持與具體的硬件資源和集群的聯系。利用一種類型的虛擬機任務的安全漏洞不會直接使其它虛擬機任務面臨風險。

整個虛擬機生命周期內有預見性的安全管理

虛擬機和平臺的主要好處之一是能夠方便地創建、移動和撤銷虛擬機。當需要新的服務的時候,可以創建虛擬機或者提取存檔的虛擬機,然后根據需要進行設置。隨著需求的增長,人們可以克隆虛擬機或者動態地為虛擬機分配額外的資源。隨著需求的減少,人們可以撤銷這些虛擬機的設置,使這些虛擬機不再消耗資源。虛擬機的創建、移動和銷毀過程構成了虛擬機的生命周期。

虛擬機在生命周期的每一個步都容易受到安全威脅。當從頭開始創建新的虛擬機的時候,重要的是要保證虛擬機使用最新的安全補丁和軟件。當克隆虛擬機鏡像和移動虛擬機的時候,重要的是保持每一個虛擬機的穩定狀態,以便了解這些虛擬機是否需使用了最新的補丁或者是否需要使用補丁。隨著時間的推移,很容易重復地克隆一個使用了補丁的鏡像,最終使各種虛擬機保持各種補丁水平。由于鏡像存儲很長時間沒有使用,這些虛擬機可能會過時,需要在使用的間歇時間里離線使用補丁,以保證它們在下一次啟動的時候盡可能是安全的。同遷移的虛擬機一樣,資產管理對于銷毀虛擬機和防止閑置的虛擬機在數據中心蔓延成為未知威脅的攻擊目標是非常重要的。

關鍵字:架構安全虛擬化

本文摘自:天極網

x 虛擬化安全架構的三個重點 掃一掃
分享本文到朋友圈
當前位置:虛擬化行業動態 → 正文

虛擬化安全架構的三個重點

責任編輯:Lee |來源:企業網D1Net  2014-06-02 10:18:15 本文摘自:天極網

目前數據中心中普遍采用虛擬化技術,而虛擬平臺增加了額外的一層安全要求。當引進新的虛擬化技術時,數據中心增加了新的安全風險,例如,在一個管理管理程序中運行多個虛擬機的風險。同時還有虛擬機鏡像和客戶操作系統的安全以及物理安全設備的虛擬實例,例如,從一個物理防火墻和入侵防御系統進入運行同樣的服務的虛擬鏡像。

企業數據中心虛擬化安全架構的三個重點

虛擬安全市場正在迅速解決與客戶虛擬機有關的安全問題。雖然從戰術方面看管理程序是數據中心中最不容易被利用的部分,但是,從戰略上看,管理程序是虛擬數據中心最誘人的攻擊目標,因為攻破這一點就可以訪問數據中心的多個虛擬系統。

企業應該分析自己使用的虛擬平臺的具體風險。重要的是要知道這個架構的變化如何影響到現有的安全管理系統。企業IT部門在向虛擬機遷移或者應用虛擬機之前還應該制定戰術的和戰略的安全計劃。這些安全計劃是通過對現有的虛擬安全進行綜合分析實現的,同時還要計劃應付虛擬平臺的未來的安全威脅。規劃以及當前架構和安全管理中的小的變化有助于防御未來的管理程序和平臺級的虛擬化攻擊。

總的來說,作為整個虛擬化安全架構的一部分,IT部門應該把重點放在三個虛擬化方面:

按照位置分開虛擬機

虛擬安全領域經常討論的問題之一是在隔離區使用虛擬平臺。經常看到一個物理虛擬機主機在隔離區運行公共的和專有的虛擬機,這兩個安全領域的區分是在軟交換機上實施的。在實踐上,這種架構沒有物理環境的架構那樣安全,因為這種架構的虛擬機和物理機器共享運行環境。在物理領域,公共機器應該插入同一臺交換機,虛擬局域網應該與專用機器分開。采用虛擬平臺,這個計算的區分就消失了。一臺主機上所有的虛擬機將共享CPU、內存、總線和網絡資源。從理論上說,這個共享的虛擬架構提供了從公共網絡向專有網絡機器實施直接攻擊的線路。這相當于把你的全部隔離區的雞蛋都放在一個籃子里。虛擬平臺上的一切都是由相同的軟件共享和管理的。控制虛擬局域網部分的軟件也控制這個主機的IP堆棧。那個主機上的IP堆棧中的安全漏洞會使整個客戶網絡處于危險之中。

消除共享的隔離區資源的安全威脅的解決方案是在物理上把公共的虛擬機與專用的虛擬機分開,在不同的主機上運行和管理這些虛擬機。所有公開的虛擬機都應該放置在公開的主機服務器上,用電纜線連接到物理地分開的網絡。對于使用VMware公司的vCenter技術大規模實施虛擬化的企業來說,把公共資源與專用資源集群(許多組主機根據資源組成一個單一的管理池)分開也是很重要的。例如,VMware公司的DRS軟件能夠在一個集群中的主機之間動態遷移虛擬機。如果公共的和專有的主機在一個集群中是共享的,一個DRS事件就可以根據資源的需求把一個專用的虛擬機遷移到公共主機服務器,從而取消了任何資源區分的好處。

根據服務類型分開虛擬機

一旦根據位置分開虛擬資源之后,下一步就是根據任務或者服務分開虛擬機。換句話說,就是讓全部的網絡服務器虛擬機在一個資源池和集群中,讓所有的應用虛擬機在另一個資源池或者集群中。同在隔離區內分開位置一樣,這個架構旨在限制那些與攻破虛擬平臺有關的風險。如果一個攻擊者能夠攻破一個客戶虛擬機,在同一個物理主機上運行的其它客戶機預計也會被攻破,因為它們共享同樣的運行環境。如果在一個主機上運行的所有的虛擬機都是相同的并且都執行同樣的任務,而且整個系統沒有完全暴露,攻擊者不必利用10個虛擬機安全漏洞,能夠利用一個虛擬機的漏洞就夠了。

另一方面,如果一個主機服務器正在所有的應用層運行(這些應用層包括網絡服務器、應用程序服務器和數據庫服務器),攻擊者通過利用前端網路瀏覽器漏洞能夠獲得后端數據庫的訪問權限。現在,數據庫將有更大的風險,因為它與網絡服務器在同一臺主機上運行,共享同樣的資源。根據服務分開虛擬機有助于緩解這個風險,方法是隔離虛擬應用程序并且讓虛擬機保持與具體的硬件資源和集群的聯系。利用一種類型的虛擬機任務的安全漏洞不會直接使其它虛擬機任務面臨風險。

整個虛擬機生命周期內有預見性的安全管理

虛擬機和平臺的主要好處之一是能夠方便地創建、移動和撤銷虛擬機。當需要新的服務的時候,可以創建虛擬機或者提取存檔的虛擬機,然后根據需要進行設置。隨著需求的增長,人們可以克隆虛擬機或者動態地為虛擬機分配額外的資源。隨著需求的減少,人們可以撤銷這些虛擬機的設置,使這些虛擬機不再消耗資源。虛擬機的創建、移動和銷毀過程構成了虛擬機的生命周期。

虛擬機在生命周期的每一個步都容易受到安全威脅。當從頭開始創建新的虛擬機的時候,重要的是要保證虛擬機使用最新的安全補丁和軟件。當克隆虛擬機鏡像和移動虛擬機的時候,重要的是保持每一個虛擬機的穩定狀態,以便了解這些虛擬機是否需使用了最新的補丁或者是否需要使用補丁。隨著時間的推移,很容易重復地克隆一個使用了補丁的鏡像,最終使各種虛擬機保持各種補丁水平。由于鏡像存儲很長時間沒有使用,這些虛擬機可能會過時,需要在使用的間歇時間里離線使用補丁,以保證它們在下一次啟動的時候盡可能是安全的。同遷移的虛擬機一樣,資產管理對于銷毀虛擬機和防止閑置的虛擬機在數據中心蔓延成為未知威脅的攻擊目標是非常重要的。

關鍵字:架構安全虛擬化

本文摘自:天極網

電子周刊
回到頂部

關于我們聯系我們版權聲明隱私條款廣告服務友情鏈接投稿中心招賢納士

企業網版權所有 ©2010-2024 京ICP備09108050號-6 京公網安備 11010502049343號

^ 
    • <menuitem id="jw4sk"></menuitem>
    

    • 

      3. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      
主站蜘蛛池模板:
讷河市|
肇州县|
沈阳市|
邛崃市|
杨浦区|
翁源县|
华池县|
石阡县|
桓台县|
万全县|
凉山|
平舆县|
鹤壁市|
海伦市|
攀枝花市|
芦溪县|
星座|
平顶山市|
巴青县|
西藏|
宁城县|
东宁县|
依兰县|
扶余县|
陈巴尔虎旗|
乌兰浩特市|
胶州市|
霍林郭勒市|
博罗县|
洞口县|
盘锦市|
得荣县|
浦江县|
贺兰县|
濮阳县|
漾濞|
文化|
丰原市|
七台河市|
治县。|
平邑县|