- · 《中国报业》栏目设置[06/28]
- · 《中国报业》数据库收录[06/28]
- · 《中国报业》收稿方向[06/28]
- · 《中国报业》投稿方式[06/28]
- · 《中国报业》征稿要求[06/28]
- · 《中国报业》刊物宗旨[06/28]
报业私有云服务器虚拟化安全解析(2)
作者:网站采编关键词:
摘要:此外,再例如带宽隔离问题,如果网络带宽没有对各个虚拟机进行额度分配,都是按需尽量递送,在这种情况下对一台虚拟机发动DoS攻击,会导致宿主机的
此外,再例如带宽隔离问题,如果网络带宽没有对各个虚拟机进行额度分配,都是按需尽量递送,在这种情况下对一台虚拟机发动DoS攻击,会导致宿主机的物理带宽耗尽,那么整个宿主机上虚拟机都将断网。
从以上案例可以看出,服务器虚拟化面临的安全问题从根本上来说并不是新型的计算机安全问题,而是使传统的安全问题更加突出了。Gartner在2010年的一个研究报告称:虚拟化服务器的安全问题“不是因为虚拟化本身不安全,而是存在于系统配置方面”,因为“40%的虚拟化部署在最初的架构和规划阶段甚至都没有考虑到IT安全因素”,所以Gartner分析师建议“安全流程应该扩展到虚拟化管理程序和虚拟机监视器方面”,并“把虚拟化层当作企业数据中心中最重要的x86平台”。④云计算数据中心的管理员不能再像以前那样对安全事件抱有一些侥幸态度,打个比方,以前是一个篮子放一个鸡蛋,打坏一个篮子最多坏一个鸡蛋,而如今是一个篮子放很多鸡蛋,就要格外注意对篮子进行防护。
Gartner在2013年初又进一步总结了服务器虚拟化可能面临的五个风险:(1)虚拟化项目的规划和建设初期没有进行充足的安全设计;(2)在没有充分隔离的情况下,一个虚拟化层的妥协可能导致所有托管的工作负载的妥协;(3)如果虚拟机之间的沟通缺乏监控和保护,来自虚拟化内部的攻击就很难被发现和及时制止;(4)不同信任级别的工作负载整合到一台物理服务器中而没有足够的隔离;(5)缺乏适当的访问控制管理。⑤
其中的(2)、(3)、(4)都与虚拟机的隔离问题相关,这也是本部分开始着重指出的一点,(1)是指出虚拟化项目初期安全规划和设计的重要性,(5)是说虚拟化系统需要严格管控。
服务器虚拟化的安全防护措施
经过多年的发展和完善之后,目前主流的服务器虚拟化系统,比如VMware vSphere等,在配置合理和适当安全加固的情况下,基本上讲是非常安全的。其中具体的安全防护措施可以概括为以下几个方面的事项:
1.有关安全的规划设计
虚拟化项目的规划和建设初期要进行充足的安全设计,内容涉及要迁移到虚拟化平台上的应用的类型、数量、所需资源、权限等级、高可用性等级、数据安全和保密等级、相互关联度、网络位置、网络环境安全评估等,物理服务器的数量、架构、计算资源、内存资源的配置、网络接口的类型和数量,数据存储类型、数量、容量和网络类型,以及和物理主机的连接方式等,虚拟化软件平台的选择,以及该平台的优势和劣势分析,特别对于虚拟化平台的软件系统,如果存在有关安全方面的短板,应考虑在这方面具有优势的第三方系统加以补充。
2.远程访问管理
默认情况下,虚拟化系统关闭了很多方便管理员的服务,比如物理宿主机的Web管理界面、SSH远程连接等,因为启用这些服务可能会影响安全性。这些服务虽然都可以方便管理员的工作,但同时也为非授权访问提供了可能的机会:黑客可能会攻击到弱密码系统。最安全的方式是关闭宿主机的远程访问,因为部署完虚拟化系统之后,宿主机的配置相对固定,很少有机会再去更改,所以对于少量的配置修改可以直接去控制台完成。如果必须打开远程访问,那么一定要配备一个强密码管理策略,比如VMWare的ESXi来源于Linux系统,具有众所周知的超级账户root,平时应尽量减少root账户的使用,并为其配置一个足够强的密码,也为每类管理用户创建一个受限的账户,同时对每个账户进行审计。
3.虚拟化的网络配置
服务器虚拟化的网络系统包括虚拟机网络、存储网络、管理网络、迁移网络等。虚拟机网络一般是建立在服务器物理网卡上的虚拟交换系统,例如VMWare中的“标准交换机:vSwitch”,其上的虚拟交换机端口分配给虚拟机使用,此时对于网络流量需要相互分隔的多个虚拟机系统来说就显得比较关键,如同物理上的二层和三层交换机类似,虚拟交换机也需要VLAN等手段来隔离流量;⑥此外,除非必要,应关闭虚拟交换机上的混杂模式,以避免虚拟机之间的相互侦听。
存储网络目前有FC SAN、SAS SAN、IP SAN、iSCSI、NAS等多种方式,服务器虚拟化的存储网络最好独立。即使采用IP解决方案比如IP SAN和iSCSI,因为当前存储协议在物理线路上一般都不加密传送数据,最好建立独立的IP存储网。但从实践效果上看,独立存储网络一般都采用主流的FC SAN或者具有发展潜力的SAS SAN,这种存储网络仅连接于存储和服务器之间,独立于办公局域网,具备很好的安全性。
文章来源:《中国报业》 网址: http://www.zgbyzzs.cn/qikandaodu/2021/0203/719.html
上一篇:报业云计算信息安全数据中心建设
下一篇:报业云计算与虚拟化服务平台的建设研究