云服務(wù)基礎(chǔ)設(shè)施采用虛擬機(jī)技術(shù)要考慮的問題
利用虛擬化帶來的經(jīng)濟(jì)上的可擴(kuò)展有利于加強(qiáng)在基礎(chǔ)設(shè)施、平臺、軟件層面提供多租戶云服務(wù)的能力,然而利用這些虛擬化技術(shù)也會帶來其它安全問題,本文將考慮這些安全問題。虛似化技術(shù)有許多種,最常用的是操作系統(tǒng)虛擬化,本文將主要針對這一技術(shù),如果云服務(wù)的基礎(chǔ)設(shè)施采用了虛擬機(jī)(VM)技術(shù),這些VM系統(tǒng)間的隔離加固是必須要考慮的。
虛擬操作系統(tǒng)管理方面的實踐現(xiàn)狀是:大多數(shù)提供缺省安全保護(hù)的進(jìn)程都未被加入,因此必須特別注意如何代替它們的功能。虛擬化技術(shù)本身引入了hypervisor和其它管理模塊這些新的攻擊層面,但更重要的是虛擬化對網(wǎng)絡(luò)安全帶來的嚴(yán)重威脅,虛擬機(jī)間通過硬件的背板而不是網(wǎng)絡(luò)進(jìn)行通信,因此,這些通信流量對標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全控制來說是不可見的,無法對它們進(jìn)行監(jiān)測、在線封堵,類似這些安全控制功能在虛擬化環(huán)境中都需要采用新的形式。
數(shù)據(jù)混合在集中的服務(wù)和存儲中是另一需考慮的問題,云計算服務(wù)提供的集中數(shù)據(jù)在理論上應(yīng)比在大量各種端點(diǎn)上分布的數(shù)據(jù)更安全,然而這同時也將風(fēng)險集中了,增加了一次入侵可能帶來的后果。
還有一個問題是不同敏感度和安全要求的VM如何共存。在云計算中,某一最低安全保護(hù)的租戶,其安全性會成為多租戶虛擬環(huán)境中所有租戶共有的安全性,除非設(shè)計一種新的安全結(jié)構(gòu),安全保護(hù)之間不會通過網(wǎng)絡(luò)相互依賴。
建議
如果用戶的云提供商提供了虛擬化,識別清楚提供的是哪一種虛擬化。
應(yīng)通過第三方安全技術(shù)提供分層安全控制,減少對平臺提供商的依賴性,加固虛擬操作系統(tǒng)。
設(shè)法搞清VM內(nèi)部采用了哪些安全控制,除了內(nèi)置的 hypervisor 隔離――如入侵檢測、反病毒、脆弱性掃描等,缺省配置達(dá)到的安全等級必須達(dá)到或超過業(yè)界基本的安全要求。
搞清VM外部有哪些安全控制來保護(hù)暴露給用戶的管理接口(基于Web的、API等)
在使用云提供商提供的任何VM 鏡像(image)或模板前,驗證它們的完整性及出處。
必須使用嵌入hypervisor API的VM定制的安全機(jī)制對VM背板上的流量進(jìn)行細(xì)粒度的監(jiān)測,這些流量對傳統(tǒng)的網(wǎng)絡(luò)安全控制設(shè)備來說是不可見的。
虛擬操作系統(tǒng)的管理員訪問控制是極為重要的,應(yīng)采用與企業(yè)身份管理集成的強(qiáng)認(rèn)證以及防篡改的日專和完整性監(jiān)測工具。
探究VM分段的可行性和有效性,根據(jù)使用類別、產(chǎn)品階段(如開發(fā)、生產(chǎn)和測試)和服務(wù)器、存儲等不同物理硬件上的數(shù)據(jù)敏感度生成不同的安全域。
具有報告機(jī)制以提供隔離的證據(jù),并在隔離被破壞時產(chǎn)生告警。
對于通過管理手段保證VM間隔離的多租戶情形要特別留意,有些情況下可能有隔離方面的監(jiān)管要求。
總結(jié)
隨著推出進(jìn)一步虛擬化的基礎(chǔ)設(shè)施或者把自己的工作量轉(zhuǎn)移到專有的/或公共的云計算,安全團(tuán)隊必須參與圍繞這些戰(zhàn)略轉(zhuǎn)變建立最佳的做法。虛擬化和云計算與安全的結(jié)合能夠提供非重要IT功能的更有效的管理和自動化。在IT資源緊張和預(yù)算不變的時代,這是IT部門提供企業(yè)保持競爭力所需要的結(jié)果的一個重要的機(jī)會。隨著這些技術(shù)進(jìn)入生產(chǎn)領(lǐng)域,正確的安全計劃能夠保證虛擬化或者云計算提供更多的好處。嶄新的云計算與虛擬化技術(shù)在玄色產(chǎn)業(yè)鏈籠罩下,缺少了有針對性防御支撐,因此了解最新的潛在威脅、籌劃新的安全防御方式就顯得十分重要。
物聯(lián)網(wǎng)相關(guān)文章:物聯(lián)網(wǎng)是什么
評論