| |
| 虛擬管理的“命門” |
更新時間:2007-11-9 14:23:17
(
編輯:映君
)
|
內容導航:
虛擬管理的“命門”
TPM的目標是提供入侵檢測與預防;比如說,采用英特爾的技術,即可提供主機平臺上可信的虛擬機監測記錄。在任何軟件加載之前,TPM握有生殺大權,并在啟動結果中顯示使用者信心(Owner Confidence),同時在每個系統加載時對之進行認證。簡而言之,只有在虛擬機管理程序處于已知的、可信的狀態時,TPM才會將平臺的控制權轉交給它。
這些概念聽起來有些耳熟吧?在Vista的高級版本中,微軟采用的是基于芯片組的TPM,憑之提供BitLocker功能,以對本地硬盤上的數據進行加密。英特爾和AMD的未來硬件平臺也計劃采用TPM建立與附加外設的可信路徑,且憑此建立并存儲數據路徑的硬件層加密密鑰。有了這個加密過程,再加上對虛擬化組件的確認過程,要想攔截TPM或者虛擬機管理程序的控制權變得難上加難,而IT部門也因此更有信心確保操作系統與虛擬機管理程序之間的通信往來毫發無損。
潛在風險
就像一個人開車時不系安全帶,時刻擔心會被閃電擊中一般,跟很可能會"狠咬你一口"的虛擬化沾上邊兒,要冒些險,那也是再正常不過的事。舉例來說,胖服務器和由虛擬機管理程序驅動的服務器,其客戶操作系統的安全都有可能面臨跟傳統服務器一樣的威脅。未打補丁的或沒有受到良好保護的公共服務器總是會處于危險之中,不管它是臺獨立運行的機器,還是大型主機平臺上的諸多虛擬機之一。
盡管如此,組織暴露于風險之中的程度與其對虛擬化和服務器整合的依賴程度呈正比,亦即每個平臺上分布的虛擬機越多,未檢測到的Intrahost問題擴散的風險也越大。事實上,傳統的外部安全設施也都無法檢測Intrahost威脅。外部防火墻和其他安全工具無法檢查或控制Intrahost的交通,因為在這些通信中,信息包從不給主機以機會對有線基礎設施進行深入檢測。還有些問題雖在現實世界得到普遍關切,而在復雜的主機托管環境中卻淪為"陽光照不到的角落"。這些問題包括:外來的或可疑的Intrahost干擾偽裝成合法通信,那意味著端口檢測、病毒行為、或者其他惡意軟件;直接(被盯上的)或偶然的拒絕服務攻擊,這些攻擊由于CPU周期、輸入/輸出資源、或者虛擬化網絡帶寬等問題,會對其他客戶虛擬機造成影響。
"單純從操作的角度看,'將所有的雞蛋放在同一個藍子里',風險會成倍增長,這與其說與不斷增長的威脅數量有關,不如說是因為IT無能。" Neohapsis的西普雷表示,同時他還補充說,這同早期存儲區域網絡(SAN)時代,IT部門面臨的問題如出一轍。"多數組織可以通過在設計時加大容量、迅速實現虛擬服務器的遷移、以及不斷追加補丁等做法,管理這類風險。"最后一條怎么反復強調也不為過。
"即使我認為VMware在減少攻擊面方面干得漂亮,ESX/VI3仍然只是個源于Linux的操作系統,也正基于此,才需要給它打補丁。" 西普雷表示,"問題在于,給ESX服務器打補丁這件事本身,更加危險,對系統構成的侵犯也更深入,因為你停掉的不只是一個操作系統,同時停止運行的還有它管理的所有操作系統。"
值得慶幸的是,迄今為止出現的VMware產品的關鍵補丁少之又少。
在虛擬世界中求生存
現在,所有人都在視目以待,靜候危及虛擬機管理程序或者虛擬機監視器安全的首個攻擊的產生。要確保你的網絡沒有成為眾矢之的,就得對主機運營情況進行密切監測,以將攻擊面降到最低。在虛擬機管理程序或更高一層中找出第三方設備驅動程序的位置,以改善其性能,在降低安全風險的同時還要能承受輕微打擊。
在主機平臺和客戶操作系統上關閉不必要的仿真設備、無關的特性和用不到的服務。記住:虛擬機也是機器。盡管這點勿庸置疑,但面對虛擬機,IT部門仍需要拿出對待傳統服務器的勤奮與關切,包括堅持安全策略和指導方針在內。在我們的調查中,有36%的受訪者承認,他們尚未部署任何IT安全或者保護計劃;還有23%的人表示,其安全政策正在制定之中。由于有超過70%的受訪者已經部署了至少一個主機平臺,因此很明顯,未打補丁或者未受保護的虛擬化服務器遲早會成為攻擊對象。
此外,還要確保對安全設置、許可、以及環境設置進行恰如其分的配置,以使虛擬機能夠與新主機保持一致。盡管環境靈活性是VMware ESX等企業級產品的核心優勢,但未經詳細籌劃即匆忙轉移虛擬機的做法勢必會引火燒身。
"在減少被攻擊面和整體暴露范圍方面,我發現不少組織會將VMware管理工具從網絡的其余部分中移出,并限定哪些人以及哪些程序擁有對此軟件的訪問權限。"西普雷分析道:"顯而易見,在數據中心內建立防火墻是大勢所趨,但這個結果并非單純是由VMware驅動的。同時,也有些更富進取心的IT團隊,已開始思考在網絡分割方面推行'最低特權'模式的概念,而且組織可以通過嚴格限制對VMware管理基礎設施的訪問權限,降低風險預測。"
此外,西普雷還強調說,IT部門絕不能在需要強化的網絡區域部署虛擬化主機,比如,允許ESX軟件將客戶虛擬機移入或移出隔離區。
檢測。還有些問題雖在現實世界得到普遍關切,而在復雜的主機托管環境中卻淪為"陽光照不到的角落"。這些問題包括:外來的或可疑的Intrahost干擾偽裝成合法通信,那意味著端口檢測、病毒行為、或者其他惡意軟件;直接(被盯上的)或偶然的拒絕服務攻擊,這些攻擊由于CPU周期、輸入/輸出資源、或者虛擬化網絡帶寬等問題,會對其他客戶虛擬機造成影響。
"單純從操作的角度看,'將所有的雞蛋放在同一個藍子里',風險會成倍增長,這與其說與不斷增長的威脅數量有關,不如說是因為IT無能。" Neohapsis的西普雷表示,同時他還補充說,這同早期存儲區域網絡(SAN)時代,IT部門面臨的問題如出一轍。"多數組織可以通過在設計時加大容量、迅速實現虛擬服務器的遷移、以及不斷追加補丁等做法,管理這類風險。"最后一條怎么反復強調也不為過。
"即使我認為VMware在減少攻擊面方面干得漂亮,ESX/VI3仍然只是個源于Linux的操作系統,也正基于此,才需要給它打補丁。" 西普雷表示,"問題在于,給ESX服務器打補丁這件事本身,更加危險,對系統構成的侵犯也更深入,因為你停掉的不只是一個操作系統,同時停止運行的還有它管理的所有操作系統。"
值得慶幸的是,迄今為止出現的VMware產品的關鍵補丁少之又少。
在虛擬世界中求生存
現在,所有人都在視目以待,靜候危及虛擬機管理程序或者虛擬機監視器安全的首個攻擊的產生。要確保你的網絡沒有成為眾矢之的,就得對主機運營情況進行密切監測,以將攻擊面降到最低。在虛擬機管理程序或更高一層中找出第三方設備驅動程序的位置,以改善其性能,在降低安全風險的同時還要能承受輕微打擊。
在主機平臺和客戶操作系統上關閉不必要的仿真設備、無關的特性和用不到的服務。記住:虛擬機也是機器。盡管這點勿庸置疑,但面對虛擬機,IT部門仍需要拿出對待傳統服務器的勤奮與關切,包括堅持安全策略和指導方針在內。在我們的調查中,有36%的受訪者承認,他們尚未部署任何IT安全或者保護計劃;還有23%的人表示,其安全政策正在制定之中。由于有超過70%的受訪者已經部署了至少一個主機平臺,因此很明顯,未打補丁或者未受保護的虛擬化服務器遲早會成為攻擊對象。
此外,還要確保對安全設置、許可、以及環境設置進行恰如其分的配置,以使虛擬機能夠與新主機保持一致。盡管環境靈活性是VMware ESX等企業級產品的核心優勢,但未經詳細籌劃即匆忙轉移虛擬機的做法勢必會引火燒身。
"在減少被攻擊面和整體暴露范圍方面,我發現不少組織會將VMware管理工具從網絡的其余部分中移出,并限定哪些人以及哪些程序擁有對此軟件的訪問權限。"西普雷分析道:"顯而易見,在數據中心內建立防火墻是大勢所趨,但這個結果并非單純是由VMware驅動的。同時,也有些更富進取心的IT團隊,已開始思考在網絡分割方面推行'最低特權'模式的概念,而且組織可以通過嚴格限制對VMware管理基礎設施的訪問權限,降低風險預測。"
此外,西普雷還強調說,IT部門絕不能在需要強化的網絡區域部署虛擬化主機,比如,允許ESX軟件將客戶虛擬機移入或移出隔離區。
檢測。還有些問題雖在現實世界得到普遍關切,而在復雜的主機托管環境中卻淪為"陽光照不到的角落"。這些問題包括:外來的或可疑的Intrahost干擾偽裝成合法通信,那意味著端口檢測、病毒行為、或者其他惡意軟件;直接(被盯上的)或偶然的拒絕服務攻擊,這些攻擊由于CPU周期、輸入/輸出資源、或者虛擬化網絡帶寬等問題,會對其他客戶虛擬機造成影響。
"單純從操作的角度看,'將所有的雞蛋放在同一個藍子里',風險會成倍增長,這與其說與不斷增長的威脅數量有關,不如說是因為IT無能。" Neohapsis的西普雷表示,同時他還補充說,這同早期存儲區域網絡(SAN)時代,IT部門面臨的問題如出一轍。"多數組織可以通過在設計時加大容量、迅速實現虛擬服務器的遷移、以及不斷追加補丁等做法,管理這類風險。"最后一條怎么反復強調也不為過。
"即使我認為VMware在減少攻擊面方面干得漂亮,ESX/VI3仍然只是個源于Linux的操作系統,也正基于此,才需要給它打補丁。" 西普雷表示,"問題在于,給ESX服務器打補丁這件事本身,更加危險,對系統構成的侵犯也更深入,因為你停掉的不只是一個操作系統,同時停止運行的還有它管理的所有操作系統。"
值得慶幸的是,迄今為止出現的VMware產品的關鍵補丁少之又少。
在虛擬世界中求生存
現在,所有人都在視目以待,靜候危及虛擬機管理程序或者虛擬機監視器安全的首個攻擊的產生。要確保你的網絡沒有成為眾矢之的,就得對主機運營情況進行密切監測,以將攻擊面降到最低。在虛擬機管理程序或更高一層中找出第三方設備驅動程序的位置,以改善其性能,在降低安全風險的同時還要能承受輕微打擊。
在主機平臺和客戶操作系統上關閉不必要的仿真設備、無關的特性和用不到的服務。記住:虛擬機也是機器。盡管這點勿庸置疑,但面對虛擬機,IT部門仍需要拿出對待傳統服務器的勤奮與關切,包括堅持安全策略和指導方針在內。在我們的調查中,有36%的受訪者承認,他們尚未部署任何IT安全或者保護計劃;還有23%的人表示,其安全政策正在制定之中。由于有超過70%的受訪者已經部署了至少一個主機平臺,因此很明顯,未打補丁或者未受保護的虛擬化服務器遲早會成為攻擊對象。
此外,還要確保對安全設置、許可、以及環境設置進行恰如其分的配置,以使虛擬機能夠與新主機保持一致。盡管環境靈活性是VMware ESX等企業級產品的核心優勢,但未經詳細籌劃即匆忙轉移虛擬機的做法勢必會引火燒身。
"在減少被攻擊面和整體暴露范圍方面,我發現不少組織會將VMware管理工具從網絡的其余部分中移出,并限定哪些人以及哪些程序擁有對此軟件的訪問權限。"西普雷分析道:"顯而易見,在數據中心內建立防火墻是大勢所趨,但這個結果并非單純是由VMware驅動的。同時,也有些更富進取心的IT團隊,已開始思考在網絡分割方面推行'最低特權'模式的概念,而且組織可以通過嚴格限制對VMware管理基礎設施的訪問權限,降低風險預測。"
此外,西普雷還強調說,IT部門絕不能在需要強化的網絡區域部署虛擬化主機,比如,允許ESX軟件將客戶虛擬機移入或移出隔離區。
更多相關:
投影機
|
文章來源:中國投影網
|
|
|
|
|
|
| |
|
|
|
|
