監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設計管理系統(tǒng) | 簽約案例 | 購買價格 | 在線試用 | 手機APP | 產(chǎn)品資料
X 關(guān)閉

保障虛擬服務器環(huán)境安全的二十四個措施

申請免費試用、咨詢電話:400-8352-114

文章來源:泛普軟件

隨著虛擬化技術(shù)不斷向前發(fā)展,許多單位面臨著實施虛擬化的誘人理由,如服務器的整合、更快的硬件、使用上的簡單、靈活的快照技術(shù)等。這都使得虛擬化更加引人注目。在有些機構(gòu)中,虛擬化已經(jīng)成為其架構(gòu)中的重要組成部分。在這里,技術(shù)再次走在了最佳的安全方法的前面。隨著機構(gòu)對災難恢復和業(yè)務連續(xù)性的重視,特別是在金融界,虛擬環(huán)境正變得越來越普遍。我們應該關(guān)注這種繁榮背后的隱憂。

使用虛擬化環(huán)境時存在的缺陷

1.如果主機受到破壞,那么主要的主機所管理的客戶端服務器有可能被攻克。

2.如果虛擬網(wǎng)絡受到破壞,那么客戶端也會受到損害。

3.需要保障客戶端共享和主機共享的安全,因為這些共享有可被不法之徒利用其漏洞。

4.如果主機有問題,那么所有的虛擬機都會產(chǎn)生問題。

5.虛擬機被認為是二級主機,它們具有類似的特性,并以與物理機的類似的方式運行。在以后的幾年中,虛擬機和物理機之間的不同點將會逐漸減少。

6.在涉及到虛擬領域時,最少特權(quán)技術(shù)并沒有得到應有的重視,甚至遭到了遺忘。這項技術(shù)可以減少攻擊面,并且應當在物理的和類似的虛擬化環(huán)境中采用這項技術(shù)。

保障虛擬服務器環(huán)境安全的措施

1.升級你的操作系統(tǒng)和應用程序,這應當在所有的虛擬機和主機上進行。主機應用程序應當少之又少,僅應當安裝所需要的程序。

2.在不同的虛擬機之間,用防火墻進行隔離和防護,并確保只能處理經(jīng)許可的協(xié)議。

3.使每一臺虛擬機與其它的虛擬機和主機相隔離。盡可能地在所有方面都進行隔離。

4.在所有的主機和虛擬機上安裝和更新反病毒機制,因為虛擬機如同物理機器一樣易受病毒和蠕蟲的感染。

5.在主機和虛擬機之間使用IPSEC或強化加密,因為虛擬機之間、虛擬機與主機之間的通信可能被嗅探和破壞。雖然廠商們在想方設法改變這種狀況,但在筆者完成此文時,這仍是一真實的威脅。企業(yè)仍需要最佳的方法來對機器之間的通信實施加密。

6.不要從主機瀏覽互聯(lián)網(wǎng),間諜軟件和惡意軟件所造成的感染仍有可能危害主機。記住,主機管理著虛擬機,發(fā)生在虛擬機上的問題會導致嚴重的問題和潛在的“宕機”時間、服務的喪失等。

7.在主機上保障管理員和管理員組賬戶的安全,因為未授權(quán)用戶對特權(quán)賬戶的訪問能導致嚴重的安全損害。調(diào)查發(fā)現(xiàn),主機上的管理員(根)賬戶不如虛擬機上的賬戶安全。記住,你的安全性是由最弱的登錄點決定的。

8.強化主機操作系統(tǒng),并終止和禁用不必要的服務。保持操作系統(tǒng)的精簡,可以減少被攻擊的機會。

9.關(guān)閉不使用的虛擬機。如果你不需要一種虛擬機,就不要運行它。

10.將虛擬機整合到企業(yè)的安全策略中。

11.保證主機的安全,確保在虛擬機離線時,非授權(quán)用戶無法破壞虛擬機文件。

12.采用可隔離虛擬機管理程序的方案,這些系統(tǒng)可以進一步隔離和更好地保障虛擬環(huán)境的安全。

13.確保主機驅(qū)動程序的更新和升級,這會保障你的硬件以最優(yōu)的速度運行,而且軟件的更新可極大地減少漏洞利用和拒絕服務攻擊的機會。

14.要禁用虛擬機中未用的端口。如果虛擬機環(huán)境并不利用端口技術(shù),就應當禁用它。

15.監(jiān)視主機和虛擬主機上的事件日志和安全事件。這些日志應當妥善保存,用于日后的安全審計。

16.限制并減少硬件資源的共享。從某種意義上講,安全與硬件資源共享,如同魚與熊掌,不可兼得。在資源被虛擬機輪流共享時,除發(fā)生數(shù)據(jù)泄漏外,拒絕服務攻擊也將是家常便飯。

17.在可能的情況下,保證網(wǎng)絡接口卡專用于每一個虛擬機。這里再次減輕了資源共享問題,并且虛擬機的通信也得到了隔離。

18.投資購買可滿足特定目的并且支持虛擬機的硬件。不支持虛擬機的硬件會產(chǎn)生潛在的安全問題。

19.分區(qū)可產(chǎn)生磁盤邊界,它可用于分離每一個虛擬機并可在其專用的分區(qū)上保障安全性。如果一個虛擬機超出了正常的限制,專用分區(qū)會限制它對其它虛擬機的影響。

20.要保證如果不需要互聯(lián)的話,虛擬機不能彼此連接。前面我們已經(jīng)說過網(wǎng)絡隔離的重要性。要進行虛擬機之間的通信,可以使用一個在不同網(wǎng)絡地址上的獨立網(wǎng)絡接口卡,這要比將虛擬機之間的通信直接推向暴露的網(wǎng)絡要安全得多。

21.NAC正走向虛擬機,對于基于虛擬機服務器的設備尤其如此。如果這是一種可以啟用的特性,那么,正確的實施NAC將為你帶來更長遠的安全性。

22.嚴格管理對虛擬機特別是對主機的遠程訪問可以使暴露的可能性更少。

23.記住,主機代表著單個失效點,備份和連續(xù)性要求可以有助于減少這種風險。

24.避免共享IP地址,這又是一個共享資源而造成問題和漏洞的典型實例。

業(yè)界已經(jīng)開始認識到,虛擬化安全并不是像我們看待物理安全那樣簡單。這項技術(shù)帶來了新的需要解決的挑戰(zhàn)。

結(jié)論

虛擬化安全是一項必須的投資。如果一個單位覺得其成本太高,那么筆者建議它最好不要采用虛擬化,可堅持使用物理機器,但后者也需要安全保障。(51CTO)

發(fā)布:2007-04-22 09:12    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:

泛普重慶OA信息化其他應用

重慶OA軟件 重慶OA新聞動態(tài) 重慶OA信息化 重慶OA客戶 重慶OA快博 重慶OA行業(yè)資訊 重慶軟件開發(fā)公司 重慶網(wǎng)站建設公司 重慶物業(yè)管理軟件 重慶餐飲管理軟件 重慶倉庫管理系統(tǒng) 重慶門禁系統(tǒng) 重慶微信營銷 重慶ERP 重慶監(jiān)控公司 重慶金融行業(yè)軟件 重慶B2B、B2C商城系統(tǒng)開發(fā) 重慶建筑施工項目管理系統(tǒng)開發(fā)