1. 主機虛擬化安全主要從哪行方面著手
隨著虛擬化技術不斷向前發展,許多單位面臨著實施虛擬化的誘人理由,如伺服器的整合、更快的硬體、使用上的簡單、靈活的快照技術等。這都使得虛擬化更加引人注目。在有些機構中,虛擬化已經成為其架構中的重要組成部分。在這里,技術再次走在了最佳的安全方法的前面。隨著機構對災難恢復和業務連續性的重視,特別是在金融界,虛擬環境正變得越來越普遍。我們應該關注這種繁榮背後的隱憂。
使用虛擬化環境時存在的缺陷
1.如果主機受到破壞,那麼主要的主機所管理的客戶端伺服器有可能被攻克。
2.如果虛擬網路受到破壞,那麼客戶端也會受到損害。
3.需要保障客戶端共享和主機共享的安全,因為這些共享有可被不法之徒利用其漏洞。
4.如果主機有問題,那麼所有的虛擬機都會產生問題。
5.虛擬機被認為是二級主機,它們具有類似的特性,並以與物理機的類似的方式運行。在以後的幾年中,虛擬機和物理機之間的不同點將會逐漸減少。
6.在涉及到虛擬領域時,最少特權技術並沒有得到應有的重視,甚至遭到了遺忘。這項技術可以減少攻擊面,並且應當在物理的和類似的虛擬化環境中採用這項技術。
保障虛擬伺服器環境安全的措施
1.升級你的操作系統和應用程序,這應當在所有的虛擬機和主機上進行。主機應用程序應當少之又少,僅應當安裝所需要的程序。
2.在不同的虛擬機之間,用防火牆進行隔離和防護,並確保只能處理經許可的協議。
3.使每一台虛擬機與其它的虛擬機和主機相隔離。盡可能地在所有方面都進行隔離。
4.在所有的主機和虛擬機上安裝和更新反病毒機制,因為虛擬機如同物理機器一樣易受病毒和蠕蟲的感染。
5.在主機和虛擬機之間使用IPSEC或強化加密,因為虛擬機之間、虛擬機與主機之間的通信可能被嗅探和破壞。雖然廠商們在想方設法改變這種狀況,但在筆者完成此文時,這仍是一真實的威脅。企業仍需要最佳的方法來對機器之間的通信實施加密。
6.不要從主機瀏覽互聯網,間諜軟體和惡意軟體所造成的感染仍有可能危害主機。記住,主機管理著虛擬機,發生在虛擬機上的問題會導致嚴重的問題和潛在的「宕機」時間、服務的喪失等。
7.在主機上保障管理員和管理員組賬戶的安全,因為未授權用戶對特權賬戶的訪問能導致嚴重的安全損害。調查發現,主機上的管理員(根)賬戶不如虛擬機上的賬戶安全。記住,你的安全性是由最弱的登錄點決定的。
8.強化主機操作系統,並終止和禁用不必要的服務。保持操作系統的精簡,可以減少被攻擊的機會。
9.關閉不使用的虛擬機。如果你不需要一種虛擬機,就不要運行它。
10.將虛擬機整合到企業的安全策略中。
11.保證主機的安全,確保在虛擬機離線時,非授權用戶無法破壞虛擬機文件。
12.採用可隔離虛擬機管理程序的方案,這些系統可以進一步隔離和更好地保障虛擬環境的安全。
13.確保主機驅動程序的更新和升級,這會保障你的硬體以最優的速度運行,而且軟體的更新可極大地減少漏洞利用和拒絕服務攻擊的機會。
14.要禁用虛擬機中未用的埠。如果虛擬機環境並不利用埠技術,就應當禁用它。
15.監視主機和虛擬主機上的事件日誌和安全事件。這些日誌應當妥善保存,用於日後的安全審計。
16.限制並減少硬體資源的共享。從某種意義上講,安全與硬體資源共享,如同魚與熊掌,不可兼得。在資源被虛擬機輪流共享時,除發生數據泄漏外,拒絕服務攻擊也將是家常便飯。
17.在可能的情況下,保證網路介面卡專用於每一個虛擬機。這里再次減輕了資源共享問題,並且虛擬機的通信也得到了隔離。
18.投資購買可滿足特定目的並且支持虛擬機的硬體。不支持虛擬機的硬體會產生潛在的安全問題。
19.分區可產生磁碟邊界,它可用於分離每一個虛擬機並可在其專用的分區上保障安全性。如果一個虛擬機超出了正常的限制,專用分區會限制它對其它虛擬機的影響。
20.要保證如果不需要互聯的話,虛擬機不能彼此連接。前面我們已經說過網路隔離的重要性。要進行虛擬機之間的通信,可以使用一個在不同網路地址上的獨立網路介面卡,這要比將虛擬機之間的通信直接推向暴露的網路要安全得多。
21.NAC正走向虛擬機,對於基於虛擬機伺服器的設備尤其如此。如果這是一種可以啟用的特性,那麼,正確的實施NAC將為你帶來更長遠的安全性。
22.嚴格管理對虛擬機特別是對主機的遠程訪問可以使暴露的可能性更少。
23.記住,主機代表著單個失效點,備份和連續性要求可以有助於減少這種風險。
24.避免共享IP地址,這又是一個共享資源而造成問題和漏洞的典型實例。
業界已經開始認識到,虛擬化安全並不是像我們看待物理安全那樣簡單。這項技術帶來了新的需要解決的挑戰。
結論
虛擬化安全是一項必須的投資。如果一個單位覺得其成本太高,那麼筆者建議它最好不要採用虛擬化,可堅持使用物理機器,但後者也需要安全保障。
2. 如何合理規避虛擬化應用帶來安全風險
IT團隊理解整合的概念,以便獲得更好的硬體利用率、提高靈活性和管理性。然而,在許多情況下,對於虛擬化環境中網路和數據安全的擔心已成為實施虛擬化的障礙。新環境的安全一直是一個重要的考慮。不過,出於安全的考慮而反對應用虛擬化的主要原因是缺乏相關知識或者缺乏參與虛擬化項目。有適當的規劃和參與,虛擬化的安全反對意見一般是可以消除的。 避開管理程序的威脅是一個常見的和存在激烈爭論的反對意見。在這種情況下,攻擊者有可能從一個被攻破的虛擬機直接攻擊管理程序。如果攻擊成功,攻擊者就能夠訪問在那台伺服器上運行的所有的虛擬機。 目前,這種類型的攻擊還僅僅是理論上的東西,但是,考慮到管理程序是軟體,而軟體總是有漏洞的,這種攻擊似乎是合理的。然而,作為虛擬化的反對意見,這種潛在的突破可能性比較低,並不能阻止虛擬化計劃。在虛擬化數據中心或者非虛擬化數據中心的攻擊向量中,安全突破更多的是來自於簡單的設置錯誤或者由於漏掉使用補丁而暴露的安全漏洞,能夠成功地避開管理程序的攻擊很少。 避開管理程序的理論不能減少對虛擬網路進行分段的需求。對虛擬網路進行分段要使用最佳安全做法定義的相同的業務重要性規則和數據敏感性的規則。換句話說,虛擬化並不等於「把你全部的雞蛋都放在一個籃子里」。適當的分段,把物理分段和虛擬分段結合在一起,能夠產生重要工作量的固定分段區域。虛擬網路分段允許把不同敏感水平的工作量部署到共享的基礎設施,同時強制執行基於政策的分段(不需要物理硬體),從而更好地利用共享的計算資源。 目前,虛擬段式是通過一些虛擬安全設備提供的,主要區別是管理選擇和用戶界面,而不是實施分段的技術。VMware將在未來發布的軟體中推出VMsafe API(應用程序編程介面),讓安全廠商提供能夠以優化的方式分段和保護網路的產品。設想一下編寫一個全面的網路政策的能力。這個政策與客戶機綁定在一起,無論在虛擬基礎設施的什麼地方都能執行。一個分段良好的網路有助於防禦當前的真實威脅和未來的理論上的威脅。 另一個主要的反對意見是針對靈活性限的。靈活性是虛擬化的重點之一。虛擬數據中心是一個動態環境。它提供了方便的虛擬機部署和配置變化,從而創建了一個能夠迅速適應業務需求的環境。在一個虛擬化的數據中心,管理員能夠部署和克隆虛擬機,把客戶機遷移到其它伺服器 ,並且用滑鼠一點就能方便地修改資源(處理器、內存、硬碟)分配。這種環境的一個不利因素是惡意的或者意外的行動能夠產生深遠的和顛覆性的後果。動態和迅速的變化能夠增加設置錯誤的風險,不能跟蹤虛擬機(也就是虛擬機蔓延)或者防止違反操作政策。 例如,在一個意外設置錯誤的簡單案例中,一個重要的網路伺服器通過修改一個虛擬區域網ID把它的網路介面鏡像到了一個錯誤的物理網路,從而造成了連接中斷。找出這種簡單的設置錯誤的根源非常耗費時間。由於這種事情涉及到多個管理員,沒有可以跟蹤的物理電纜、數千個客戶機、許多名稱類似的虛擬網路等原因,要找到發生設置錯誤的地方就像大海撈針一樣。 控制虛擬化創建的動態環境的最有效的方法是增強現有的操作政策,提供對物理和虛擬網路的更深入的理解。正如有經驗的IT專業人員所了解的那樣,一個政策只有嚴格地執行才是好的政策。要保證這個政策的執行,應該使用一些專門的工具監視、跟蹤和審計虛擬環境中的活動。然而,要真正有效,這些工具必須提供可見性和「跟蹤能力」,讓管理員知道虛擬機部署在什麼地方和如何部署的。這些工具必須創建一個可審計的證據記錄,說明誰在管理這些機器、這些虛擬機和虛擬基礎設施做了什麼修改。擁有這樣一個審計工具,就能夠迅速跟蹤和糾正上面介紹的一個簡單的設置錯誤造成的中斷。 安全反對意見的最後一個原因是在規劃虛擬化部署的時候沒有讓信息安全部門參加,或者沒有考慮他們的意見。從一開始就讓這些團隊參加是非常重要的。在許多情況下,反對意見是因為不太理解虛擬化及其可用的選擇。 現有的網路安全和可見性工具提供的虛擬網路的詳細信息與安全團隊過去見過的那種信息不同,從而強化了這個反對意見。在傳統的非虛擬化的網路中,記錄伺服器清單、跟蹤線纜和使用基於網路的工具發現網路和伺服器都是可能做到的。一旦實施了虛擬化,這種能力許多都消失了。虛擬化有可能創建現有的工具看不到的網路。 提供網路級智能的虛擬安全設備能夠填補老式工具遺漏的空缺。虛擬化的另一個好處是允許這些設備提供非常准確的網路地圖和客戶機清單。採用被動網路發現方法的工具不能提供這些功能。擁有正確的工具,可視化能力和准確的清單在虛擬環境中是非常有效的。 雖然管理程序廠商的管理工具能夠提供一些基本的可視化能力,但是,這些工具是為虛擬管理員設計的。一個能夠提供整個環境情景和在這種環境中展示安全的工具將保證安全團隊擁有履行保護自己的基礎設施安全的職責所需要的可見性和控制力。 這里學到的一個簡單的教訓是,同其它任何新技術一樣,虛擬化也有自己的安全挑戰。然而,採取適當的規劃和協調的努力使安全成為規劃過程的一個組成部分,就有可能得到虛擬化的好處,滿足安全人員的需求。安全人員的任務就是保證業務持續性和保護企業數據。 ■
3. 伺服器虛擬化有哪幾種方式
伺服器虛擬化平台方案主要的有三種,特點分別如下:
1、思傑Citrix XenServer :XenCenter是Citrix的虛擬化圖形介面管理工具,可在同一界面,管理多台的XenServer伺服器。管理上,通常會先在XenCenter建立一個伺服器群組(Pool),然後將位於同一機房內的XenServer伺服器加入。和大多數伺服器半虛擬化產品相同的是,當數台XenServer伺服器連接到同一台共享磁碟驅動器,且將虛擬檔案放置於此的前提下,可以通過Xen-Motion這項功能,將虛擬機以手動方式在線轉移到其它的XenServer伺服器,從事主機的維護,或者降低硬體資源的消耗。
2、微軟 Windows Server 2008 Hyper-V:是以Xen的虛擬化技術為基礎開發而成的,而這個虛擬化平台目前已整合在64位的Windows Server 2008操作系統,
3、VMware ESX Server 這是最常用的:VMware ESX ServerESX Server
運行在伺服器裸機上,是基於硬體之上的架構。屬於企業級應用。用同一台伺服器底層硬體,劃分出若干虛機,集中管理,很方便的做集群,負載均衡,熱遷移等功能。
總特點:
將伺服器物理資源抽象成邏輯資源,讓一台伺服器變成幾台甚至上百台相互隔離的虛擬伺服器,或者讓幾台伺服器變成一台伺服器來用,我們不再受限於物理上的界限,而是讓CPU、內存、磁碟、I/O等硬體變成可以動態管理的「資源池」,從而提高資源的利用率,簡化系統管理,實現伺服器整合,讓IT對業務的變化更具適合!
友情提示:深圳天源騰創提供最優解決方案!
4. 內存虛擬化技術,具體的實現方法有哪兩種
從系統的觀點看,有三種主要的存儲虛擬化方法:
基於主機的虛擬存儲;
基於存儲設備的虛擬存儲;
基於網路的虛擬存儲。
方法1:基於主機的虛擬存儲
基於主機的虛擬存儲依賴於代理或管理軟體,它們安裝在一個或多個主機上,實現存儲虛擬化的控制和管理。由於控制軟體是運行在主機上,這就會佔用主機的處理時間。因此,這種方法的可擴充性較差,實際運行的性能不是很好。基於主機的方法也有可能影響到系統的穩定性和安全性,因為有可能導致不經意間越權訪問到受保護的數據。這種方法要求在主機上安裝適當的控制軟體,因此一個主機的故障可能影響整個SAN系統中數據的完整性。軟體控制的存儲虛擬化還可能由於不同存儲廠商軟硬體的差異而帶來不必要的互操作性開銷,所以這種方法的靈活性也比較差。
但是,因為不需要任何附加硬體,基於主機的虛擬化方法最容易實現,其設備成本最低。使用這種方法的供應商趨向於成為存儲管理領域的軟體廠商,而且目前已經有成熟的軟體產品。這些軟體可以提供便於使用的圖形介面,方便地用於SAN的管理和虛擬化,在主機和小型SAN結構中有著良好的負載平衡機制。從這個意義上看,基於主機的存儲虛擬化是一種性價比不錯的方法。
方法2:基於存儲設備的虛擬化
基於存儲設備的存儲虛擬化方法依賴於提供相關功能的存儲模塊。如果沒有第三方的虛擬軟體,基於存儲的虛擬化經常只能提供一種不完全的存儲虛擬化解決方案。對於包含多廠商存儲設備的SAN存儲系統,這種方法的運行效果並不是很好。依賴於存儲供應商的功能模塊將會在系統中排斥JBODS(Just a Bunch of Disks,簡單的硬碟組)和簡單存儲設備的使用,因為這些設備並沒有提供存儲虛擬化的功能。當然,利用這種方法意味著最終將鎖定某一家單獨的存儲供應商。
基於存儲的虛擬化方法也有一些優勢:在存儲系統中這種方法較容易實現,容易和某個特定存儲供應商的設備相協調,所以更容易管理,同時它對用戶或管理人員都是透明的。但是,我們必須注意到,因為缺乏足夠的軟體進行支持,這就使得解決方案更難以客戶化(customzing)和監控。
方法3:基於網路的虛擬存儲
基於網路的虛擬化方法是在網路設備之間實現存儲虛擬化功能,具體有下面幾種方式:
1. 基於互聯設備的虛擬化
基於互聯設備的方法如果是對稱的,那麼控制信息和數據走在同一條通道上;如果是不對稱的,控制信息和數據走在不同的路徑上。在對稱的方式下,互聯設備可能成為瓶頸,但是多重設備管理和負載平衡機制可以減緩瓶頸的矛盾。同時,多重設備管理環境中,當一個設備發生故障時,也比較容易支持伺服器實現故障接替。但是,這將產生多個SAN孤島,因為一個設備僅控制與它所連接的存儲系統。非對稱式虛擬存儲比對稱式更具有可擴展性,因為數據和控制信息的路徑是分離的。
基於互聯設備的虛擬化方法能夠在專用伺服器上運行,使用標准操作系統,例如Windows、Sun Solaris、Linux或供應商提供的操作系統。這種方法運行在標准操作系統中,具有基於主機方法的諸多優勢--易使用、設備便宜。許多基於設備的虛擬化提供商也提供附加的功能模塊來改善系統的整體性能,能夠獲得比標准操作系統更好的性能和更完善的功能,但需要更高的硬體成本。
但是,基於設備的方法也繼承了基於主機虛擬化方法的一些缺陷,因為它仍然需要一個運行在主機上的代理軟體或基於主機的適配器,任何主機的故障或不適當的主機配置都可能導致訪問到不被保護的數據。同時,在異構操作系統間的互操作性仍然是一個問題。
3. 基於路由器的虛擬化
基於路由器的方法是在路由器固件上實現存儲虛擬化功能。供應商通常也提供運行在主機上的附加軟體來進一步增強存儲管理能力。在此方法中,路由器被放置於每個主機到存儲網路的數據通道中,用來截取網路中任何一個從主機到存儲系統的命令。由於路由器潛在地為每一台主機服務,大多數控制模塊存在於路由器的固件中,相對於基於主機和大多數基於互聯設備的方法,這種方法的性能更好、效果更佳。由於不依賴於在每個主機上運行的代理伺服器,這種方法比基於主機或基於設備的方法具有更好的安全性。當連接主機到存儲網路的路由器出現故障時,仍然可能導致主機上的數據不能被訪問。但是只有聯結於故障路由器的主機才會受到影響,其他主機仍然可以通過其他路由器訪問存儲系統。路由器的冗餘可以支持動態多路徑,這也為上述故障問題提供了一個解決方法。由於路由器經常作為協議轉換的橋梁,基於路由器的方法也可以在異構操作系統和多供應商存儲環境之間提供互操作性。
5. 涉密三合一是否適用於桌面虛擬化,解決方案是什麼
特別適合使用桌面虛擬化,使用雲桌面能做到數據不落地,至於方案,到網上一搜一大把,或找個集成商了解一下