日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
保護數(shù)據(jù)中心虛擬化安全的深度剖析

以下的文章主要描述的是深度剖析之如何正確保護數(shù)據(jù)中心虛擬化安全,一個復雜的問題是虛擬數(shù)據(jù)中心中常常會出現(xiàn)職責的分離。服務器與運營團隊通常負責虛擬交換機的配置和管理。以下就是文章的主要內(nèi)容講述。

成都創(chuàng)新互聯(lián)專注于廣河網(wǎng)站建設服務及定制,我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗。 熱誠為您提供廣河營銷型網(wǎng)站建設,廣河網(wǎng)站制作、廣河網(wǎng)頁設計、廣河網(wǎng)站官網(wǎng)定制、小程序設計服務,打造廣河網(wǎng)絡公司原創(chuàng)品牌,更為您提供廣河網(wǎng)站排名全網(wǎng)營銷落地服務。

盡管服務器虛擬化技術以爆炸式速度席卷全世界的數(shù)據(jù)中心,但維護虛擬環(huán)境安全的技術卻嚴重滯后。據(jù)隸屬惠普公司的網(wǎng)絡安全解決方案提供商TippingPoint的產(chǎn)品線管理總監(jiān)詹姆斯.考利格的說法,這個事實可能會讓某些部署了虛擬化的企業(yè)為服務器安全問題而頭疼不已??祭裨诮衲瓿鯀⒓觽惗嘏e行的信息化安全歐洲2010峰會時表達了這番觀點。

根據(jù)Gartner咨詢公司的數(shù)據(jù)統(tǒng)計:從某方面來說,2009年下半年至少有16%的企業(yè)級工作負載是在虛擬服務器上運行的,但是這個比例到了2012年有望增長到50%--即以X86為基礎的虛擬機將達到大概5800萬個。但是Gartner咨詢公司也預測稱,這些虛擬服務器中大約有60%的安全性要遜于他們所取代的物理服務器。

Forrester研究公司也指出,采用虛擬化管理程序軟件的企業(yè)中有98%正在使用VMware虛擬化技術。這意味著如果VMware軟件被發(fā)現(xiàn)存在零日漏洞的話,黑客可能會通過諸如電子郵件,網(wǎng)絡或者域名服務器等各種途徑來發(fā)動攻擊。

虛擬服務器的安全性為什么就不如他們所取代的物理服務器呢?考利格所提到的某些導致服務器安全級別較低的原因包括:

*許多服務器虛擬化項目實施之初就沒有將虛擬化安全問題考慮在內(nèi)

*所有的虛擬工作負載存在虛擬軟件受到安全威脅的可能

*不同信任級別的虛擬工作負載通常被整合在單個物理主機上,沒有進行足夠的隔離

*許多企業(yè)對管理程序/虛擬機監(jiān)管層管理訪問的足夠控制和管理工具

這些對虛擬環(huán)境的實際威脅以管理程序為中心可以劃分為幾個類別:

黑客攻擊:這會涉及對管理程序的干擾或者插入流氓管理程序。由于管理程序是在處理器專屬級別上運行的,因為管理程序上運行的任何操作系統(tǒng)都很難甚至不可能偵測到這些威脅。從理論上來說,控制了管理程序的黑客會控制任何在物理服務器上運行的虛擬機。

虛擬機溢出:會導致虛擬機溢出的漏洞會允許黑客威脅到特定的虛擬機,將黑客攻擊從虛擬服務器升級到控制底層的管理程序。

虛擬機跳躍:與虛擬化溢出類似,虛擬機跳躍會允許攻擊從一個虛擬機轉(zhuǎn)而去威脅在同一個物理硬件上運行的其他虛擬服務器。

虛擬機被盜:這是一種用電子方式竊取虛擬機文件然后四處傳播和運行的能力。是一種相當于竊取了完整的物理服務器的攻擊,而且無需進入安全的數(shù)據(jù)中心和移除計算設備。

所有這些威脅方式是當企業(yè)部署虛擬環(huán)境時,他們使用了一種全新的關鍵任務元素:管理程序。由于對管理程序的成功攻擊會導致對所有托管的工作負載都造成威脅--而對個別虛擬工作負載的成功攻擊也會對管理程序造成威脅,因此企業(yè)的管理程序應該被認定為關鍵任務軟件并進行適當?shù)奶摂M化安全防護,考利格強調(diào)說。

在傳統(tǒng)的IT環(huán)境中,網(wǎng)絡流量可以使用一系列服務器安全防護系統(tǒng)來偵測惡意行為以實現(xiàn)監(jiān)控,檢查和過濾。但是虛擬環(huán)境的問題是通過虛擬交互及運行的虛擬機之間的通信很大一部分是無形的:它不是通過有線電纜來實現(xiàn)通信,也就無法用正常方式來實施監(jiān)控??祭裾J為只有一種解決方案可以解決這個問題"那就是必須建立虛擬機到虛擬機的流量可視化和控制"。

一個復雜的問題是虛擬數(shù)據(jù)中心中經(jīng)常會出現(xiàn)職責的分離。服務器和運營團隊通常負責虛擬交換機的配置和管理。幾乎或者完全沒有綜合性的應用工具和安全控制。對于網(wǎng)絡和安全團隊而言,這會導致實施配置審核可視性的缺失,就很難對拓撲和配置變化進行偵測,考利格強調(diào)會所"網(wǎng)絡和安全團隊必須掌控訪問層的一舉一動"。

考利格推薦了三種方式來實現(xiàn)這一目標:

1.硬件方式

硬件途徑會涉及迫使ESX主機之間的流量由入侵檢測系統(tǒng)加以審核??祭衩枋鲞@個系統(tǒng)的每個ESX托管都配置了獨一無二的出入虛擬本地局域網(wǎng),配置了虛擬本地局域網(wǎng)的入侵檢測系統(tǒng)要配置每個入口虛擬本地局域網(wǎng)和出口虛擬本地局域網(wǎng)。這樣能保證所有虛擬機到虛擬機的流量可以通過有線發(fā)送到入侵檢測系統(tǒng)進行審核,只有干凈的流量才能在每個入口/出口虛擬本地局域網(wǎng)之間進行通行。這種方法的不足之處就是在多個數(shù)據(jù)中心和災難恢復站點進行復制的成本太高。

2.完全虛擬化的方式

采用這種方式,每個ESX主機都配置了虛擬入侵檢測系統(tǒng)和防火墻,每個虛擬機配置的協(xié)議可以判斷什么流量應該被檢測。這種方式能保證所有被許可的內(nèi)部虛擬機流量都能被檢測到,而且當虛擬機在物理主機之間遷移時,虛擬化安全協(xié)議也會隨之一起遷移,不過不足之處是這種方式是影響體系架構的性能為代價的。

3.綜合方式

這是一種可以大幅度緩解完全虛擬化方式所導致的虛擬受損的折衷方式。這種方式是在每個虛擬機上運行虛擬轉(zhuǎn)向器,虛擬機配置了什么流量應該被改變方向-轉(zhuǎn)向物理入侵檢測系統(tǒng)的協(xié)議來進行檢測。入侵檢測系統(tǒng)只允許通過檢測的干凈流量在虛擬機之間進行通行。

因此什么是最佳方法?考利格表示什么是適合企業(yè)用戶的最佳方法要取決于企業(yè)自身的目標和預算以及面對風險的態(tài)度。某些成功的解決方案可能會涉及這些三種方法中其中兩種方法的結合使用。

考利格表示,好消息是隨著虛擬化安全公司研發(fā)出能提供必備功能的更多產(chǎn)品,構建和實施這些解決方案可能在不久的將來將變得更加容易。


網(wǎng)站名稱:保護數(shù)據(jù)中心虛擬化安全的深度剖析
標題來源:http://www.5511xx.com/article/cdjosid.html