利用碎片时间了解虚拟化安全---第一部分.pdfVIP

—用心做事, 国内最可靠的信息安全培训服务商！ 虚拟化安全（一） 1. 摘要 在IT 和网络世界，虚拟化已在短时间内产生了巨大的影响，并已经提供了巨大的成本节省和高投资回 报率的数据中心、企业和云计算。从安全角度，对于虚拟化和虚拟化环境似乎是缺乏实质性和滞后的理解。 一些人认为虚拟化比传统环境更加安全，因为他们听说过虚拟机之间的隔离，却没有听说过任何关于虚拟 机管理程序的成功攻击。另外一些人认为，新的虚拟化环境需要像传统的物理环境一样需要安全，因此需 要在适当的位置应用持续有效的安全加固方法。但是新的环境更加复杂，并且虚拟环境加入到现网环境创 建一个新的网络时，需要一种新的安全的方法。这就包括传统的安全以及虚拟化方面的安全。本文简述了 识别由虚拟化引起的差异、问题、挑战、风险等等。并期待为客户提供良好的建议和最佳实践以保证当虚 拟环境加入到现网环境时与原来一样安全。 2. 介绍 尽管这是一个可以追溯到五十多年前的概念，但是在目前及未来，该项技术在应用程序方面仍将成长 与发展。实际上，当今一半的服务器运行在虚拟机上。1、到2014 年，70% 的工作负载运行在虚拟机上。2、 我们需要跟上技术的进步，并且需要广泛部署安全的虚拟化组件和虚拟化环境。让我们看看那些目前由虚 拟化带来的效益。 3. 虚拟化带来的安全好处 以下是引入虚拟化环境的一些好处：  在虚拟化环境中，采用集中存储来防止数据丢失，如设备丢失、窃取及重要数据被破坏。  当虚拟机和应用程序被正确隔离时，在一个操作系统只有一个应用程序会受到攻击的影响。  当配置正确时，虚拟环境提供了灵活性，它允许系统不必分享那些至关重要的信息。  如果一个虚拟机被感染，它可以回滚到被攻击前的一个安全状态。  因为硬件设备及数据中心的减少，使虚拟化提高了物理安全性。  桌面虚拟化的部署可以更好的控制用户环境。一个管理员可以创建并控制一个“镜像” ，并向下发 送到用户的计算机。该技术提供了更好的系统给控制，以保证满足组织的安全策略需求。  服务器虚拟化可以带来更好的事故处理，因为服务器可以恢复到以前的状态，以便审查之前和攻 击期间发生了什么。  系统和网络管理的访问控制以及职责分离可以被改善，通过只分配给特定个人控制虚拟环境内部 网络，而其他人处理在DMZ 区的虚拟机。例如你能有特定的管理员处理Windows 服务器，而另 一些人处理Linux 服务器。  虚拟机管理软件比较小并且不复杂。它提供了很小的攻击面，程序以很小的攻击面运行，减少了 潜在的脆弱性。 请注意，我们已经描述了上述的一些好处，如“如果配置或设置不当” 。虚拟化是非常复杂的，所 Copyright © SPISEC 1 —用心做事, 国内最可靠的信息安全培训服务商！ 以它必须是正确的，以保证获得上述优势。 4. 虚拟化面临的安全挑战、风险和问题 现在我们已经看到了虚拟化的一些优势，下面让我们一起来看看一些挑战、风险和问题。 4.1 主客之间的文件共享 当使用文件共享时，一个有问题的客体可以访问主机的文件系统，并修改用于共享的目录。 当剪贴板共享和拖拽被用于主客机时，或者当应用程序编程接口被用于编程，在这些领域的稳定性漏 洞可以最终影响整个基础设施。 4.2 快照 当快照被恢复时，你所做的任何对配置的更改将丢失。如果你改变了安全策略，一些东西是可以当下 访问的。审计日志也可能消失，这可能消除你在服务器上进行更改的任何记录。这些不幸的结果很难满足 合规性的要求的。 图像和快照包含的专有数据像个人身份信息和密码，更像一个物理硬盘驱动器。任何不必要的或者更 多的图像真的是引起关注令人担忧的，因为任何快照的存储可能含有未被发现的恶意软件在重新加载的时 候会造严重的破坏。 4.3 网络存储 光纤通道和 iSCSI 是明文协议，并可能会受到这方面的中间人攻击。嗅探工具可用于读出或记录存储 流量，并可以被攻击者重现。 这往往是一个光纤通道的性能和安全之间的权衡，加密可以在主机总线适配器用于光纤通道实现，但 由于可能会发生的负面问题而不能多次被使用。 Copyright © SP