北京IT外包如何減少虛擬化云環境的安全隱患

2020-03-27 17:48 作者：艾銻無限 瀏覽量：

   

在一封題為“我們可以從新冠病毒疫情中學會什么”的公開信中，他寫道：

“冥冥中自有深意”

“我堅信，無論是好是壞，眼下所發生的一切事情背后自有深意。”不管是好事還是壞事。它提醒我們：

1)無論我們在文化、宗教、職業、經濟狀況或聲望方面存在多大差異，我們在疫情爆發時都是平等的。

2）我們都是相互聯系的，影響一個人的事情也會影響其他人。

3）我們設置的虛假邊界沒有什么價值，因為這種病毒不需要護照就會傳播。它通過短暫的壓迫提醒我們，這個世界上許多人終生都在壓迫中度過。

4）我們的健康是多么珍貴，我們是如何通過食用營養不良的加工食品和飲用被化學物質污染的水而忽視它的。如果我們不注意我們的健康，我們當然會生病。

5）生命的短暫，提醒我們最重要的是要互相幫助，尤其是幫助那些老人或病人。

6）我們的社會已經變得多么崇尚物質。在困難時期，我們應該記住，我們需要的是必需品(食物、水、藥品)，而不是我們有時不必要地賦予高昂價值的奢侈品。

7）我們的家庭和家庭生活是多么重要，我們是多么忽視了這一點。它正迫使我們重返家園，這樣我們才能重建家園，鞏固我們的家庭。

8）我們真正的工作不是現在的工作，那是我們所做的，而不是我們生來要做的。我們真正的工作是互相照顧，互相保護，互相得益。

北京IT外包  |  如何減少虛擬化云環境的安全隱患

 
在云計算中，有三種基本服務模型：軟件即服務(SaaS)、平臺即服務(PaaS)和基礎架構即服務(IaaS)。此外，還有三種基本的部署模型：公有、混合和私有。虛擬化通常被用于上述的這些云計算模型和部署中，以實現其諸多優勢，包括成本效益、增加運行時間、改善災難恢復和應用隔離。

在云部署中處理虛擬化時，誰來管理安全并不重要，不管是提供商還是企業客戶，因為需要解決相同的安全問題。選擇一項服務和部署模型時，要知道SaaS提供了這個環境最小的控制，同時IaaS則提供了最多的控制。類似的，在公有云中，需要遵守云服務提供商(CSP)的規則，同時在私有云中，則具備環境的完全控制。這一點對于安全同樣適用，用戶控制了云部署中的很小的部分，而剩下的則由CSP控制。無法訪問部署模型的具體部分，CSP則需要實施更合適的安全度量來處理。



云計算中虛擬化的安全問題

盡管虛擬化帶來了很多優勢，但是也導致了很多安全問題：

管理程序：這個程序在相同的物理機上運行了多種虛擬機。如果管理程序中易于受到攻擊，攻擊者就會利用其進入到整個主機，從而就可以訪問每一個運行在主機上的客用虛擬機。由于管理程序很少更新，已有的漏洞會危害整個系統的安全。如果發現了漏洞，關鍵就是盡快打補丁，組織潛在危害。

資源分配：物理內存或者數據存儲被一個虛擬機使用并重新分配給其他虛擬機時，數據泄露也是風險。泄露通常發生在不再被需要的VM被刪除以及釋放資源分配給其他的VM事。一個新的VM收到了額外的資源，會采用取證調查技術獲取整個物理內存的的鏡像，以及數據存儲。整個鏡像隨后會用于
分析，這樣就會將前一個VM留下的重要信息透露出去。

虛擬機攻擊：如果攻擊者成功威脅了一個VM，就可以在很長一段時間里通過網絡攻擊相同主機上的其他VM.這也是越來越流行的一種跨虛擬機攻擊方法，主要在于VM之間的流量無法被標準IDS/IPS軟件程序檢查出來。

遷移攻擊：在必要時，大多數虛擬化界面中遷移虛擬機都很容易實現。VM通過網絡發送給另外的虛擬化服務器，這個服務器上相同VM已經設置好。但是如果沒能很好地管理流程，VM就可以通過非加密的渠道發送，可能被工具這通過網絡中執行中間人攻擊(MITM)嗅探到。

減少安全擔憂

下面我們來介紹如何減少上面指出的安全問題：

管理程序：針對管理程序定期檢查可用的最新的升級非常重要，同時要相應的升級系統。通過保持管理程序的更新，能夠阻止攻擊者利用已知的漏洞并控制主機系統，包括運行在上面的所有虛擬機。

資源分配：當從一個虛擬機將資源再分配給另一個虛擬機時，二者都需要確保其安全。舊的數據存在于物理內存中，也存在于數據存儲中，需要用零來重寫覆蓋。

虛擬機攻擊：有必要區別相同物理主機上的VM的流量進入和輸出。這樣我們就能夠應用入侵檢測和預防算法盡快捕獲攻擊者帶來的威脅。

遷移攻擊：為了防止遷移攻擊發生，必須保證網絡的安全性，防止MITM滲透帶來的威脅。這樣做的話，就算攻擊者能夠威脅一個VM，但是無法成功執行MITM攻擊。此外，通過安全的取代發送數據可能也會比較有用。雖然有人認為最好還是在遷移必須發生時，破壞并重新創建虛擬機鏡像，但是通過安全渠道和網絡更靠譜。

對于虛擬化的云環境可能會出現多種攻擊，但是如果在實施和管理云部署的時候進行了合適的安全控制和規程是可以預防的。在嘗試確保云環境安全之前，理解這些惡意攻擊如何執行很重要。這將有助于確保企業的防御更好地適應環境中最可能出現的威脅。在確保環境安全之后，檢查安全度量是否
很好地嘗試執行攻擊預防。這些可以在企業內部執行或者聘請防御檢測公司來執行。