破坏了正常的网络架构采用服务器虚拟化技术,需要对原来的网络架构进行一定的改动,建立新的网络架构,以适应服务器虚拟化的要求。但是,网络架构的改动打破了原来平衡的网络架构系统,也就会产生一些危险系统安全的风险安全问题。比如:如果不使用服务器虚拟化技术,客户可以把几个隔离区设置在防火墙的设备上。这样一来,一个隔离区就可以管理着一个服务器,服务器之间可以不同的管理原则,不同的服务器也就可以有不同的管理方法。这样,当有一个服务器被外界攻击时,其它的服务器就不会受到影响,可以正常运行。但是,如果采用了服务器虚拟化技术,就需要把虚拟的服务器一起连接到同一个虚拟交换机上。通过虚拟交换机就把所有的虚拟的服务器同外部网络联系了起来。因为所有的虚拟的服务器都连接在同一个虚拟交换机上,这就造成了一方面原来设置的防火墙功能失去了防护作用,另一方面给所有的虚拟服务器增加了安全风险。当一个虚拟服务器遭受到攻击或出现状况时,其它的虚拟服务器也会受到影响。可能致使系统服务器超载服务器虚拟化虽然能产生若干个服务器供用户使用,但是这些产生的服务器只是虚拟的,还需要借用物理服务器的硬件系统来进行各种应用程序的运行。各个虚拟服务器的应用程序非常多,这些应用程序一旦全部运行起来,就会大量占用物理服务器的内存、中央处理器、网络等硬件系统,从而给物理服务器带来沉重的运行负担。如果有一天,所有的虚拟服务器都在运行大量的应用程序,就有可能使物理服务器负荷太大,从而出现服务器超载的现象。服务器超载到一定程度,就有可能造成各个虚拟服务器运行程序速度太慢,影响客户的使用。更严重的还可能造成物理服务器系统崩溃,给客户带来无法估量的损失。致使虚拟机失去安全保护服务器虚拟化后,每个虚拟机都会被装上自己的管理程序,供客户操作和使用虚拟服务器。但是不是所有的管理程序都是完美无缺,没有安全漏洞的。管理程序在设计中都有可能会产生一些安全漏洞和缺陷。而这些安全漏洞和缺陷则有可能成为电脑黑客的攻击服务器的着手点。他们通过这些安全漏洞和缺陷会顺利地进入服务器,进行一些非法操作。更重要的是,一台虚拟机管理程序的安全漏洞和缺陷会传染给其它虚拟机。当一台虚拟机因安全漏洞和缺陷遭受黑客攻击时,其它的虚拟机也会受到影响,致使虚拟机失去安全保护。服务器被攻击的机会大大增加连接于同一台物理服务器的所有服务器虚拟机是能相互联系的。在相互联系的过程中,就有可能产生一些安全风险,致使服务器遭受黑客的攻击。而且,黑客不需要对所有的服务器虚拟机逐个进行攻击,只需要对其中的一台虚拟机进行攻击。只要攻下一台虚拟机,其它的虚拟机就可以被攻下。因为,所有的虚拟机都是相互联系的。所以说,服务器虚拟化后被攻击的机会大大增加了。虚拟机补丁带来的安全风险每个虚拟机都有着自己的管理系统,而这些管理系统是经常需要及时安装最新补丁以防止被攻击。但是,一个物理服务器可以带许多个虚拟机,每个虚拟机就是一台服务器,都需要安装补丁,工作量太大。这就给虚拟机的补丁安装带来麻烦,会大大影响补丁的安装速度,使虚拟机不能够及时安装不断,从而带来安全隐患。另外,一些客户会通过一些技术手段保留个别虚拟机用于虚拟机的灾难恢复。但是,保留的虚拟机很可能没有及时安装新的补丁,从而会给灾难恢复的虚拟机带来运行的安全风险。
站在用户的角度思考问题,与客户深入沟通,找到石城网站设计与石城网站推广的解决方案,凭借多年的经验,让设计与互联网技术结合,创造个性化、用户体验好的作品,建站类型包括:成都做网站、网站建设、企业官网、英文网站、手机端网站、网站推广、国际域名空间、网页空间、企业邮箱。业务覆盖石城地区。
1、虚拟化项目最初并未涉及信息安全。有一项权威的研究发现,在最初创建以及策划时,少于一半的科研项目是不符合安全规定的。有时团体工作时会刻意地把安全问题忘记,可是虚拟化过程中带来的问题是不容忽视的,多个虚拟化服务器工作时带来的弊端比未被虚拟化时带来的问题更为严重。所以研究这些问题时也更为繁琐。
2、底层虚拟化平台的隐患影响所有托管虚拟机。将服务器虚拟化就像在电脑上运行程序一样,都需要借助一个平台。而该平台或多或少会有一些bug而被人们疏忽。最近一些大型虚拟化厂商多次传出虚拟化生产线存在安全隐患,这些隐患尚未得到解决。所以一些人想要攻击时都会选择进攻底层虚拟化平台,通过控制住中枢系统,逃脱安全检测。进而将病毒带入各个服务器中,攻击其弊端,获得了阅览所有信息的权限,导致信息的泄露。
3、虚拟机之间的虚拟网络使现有的安全策略失效。一些知名的虚拟化生产厂商使用建立虚拟机和虚拟网卡的办法使各虚拟机之间能相互关联以此来实现信息发送与接受的能力。一些主流的保护系统的保护范围都只能保护常规服务器的进出流量,却无法看到各个虚拟机之间的流量传输,无法对虚拟化的流量传输提供保障。
4、将不同安全等级的虚拟机未进行有效隔离。一些虚拟化生产厂商正在尝试将服务器全部虚拟化,这样既减少了经费又加快了生产速度。这些服务器包括许多隐私等级较高的系统,所以就要求虚拟机足够安全。而如果未将安全指数不同的服务器分离开,它们由相同的服务器支配,高等级的虚拟机的安全性也会降低并被较低的所控制。
如需了解更多,请访问蛙云官网wwwwayuncn
专业领域十余载,倾情奉献
一次沟通,终生陪伴
我们都知道虚拟化技术可以帮助企业节省开支,简化IT资源管理,但是我们能够利用虚拟化技术来加强系统和网络的安全性吗?随着虚拟蜜罐(honeypot)和蜜网(honeynet)技术的出现,到使用Hyper-V虚拟化技术分配服务器角色,再到虚拟应用程序的无缝沙盒(sandboxing)技术以及最新版本VMWare工作站的发布,答案是肯定的。本文将探讨如何使用虚拟化工具提高Windows环境的安全性等问题。
虚拟化安全vs安全的虚拟化
经常会有人谈论虚拟环境中出现的安全问题,而大部分讨论都是围绕如何保护虚拟机问题的。诚然,虚拟化技术可能带来某些安全风险,然而,如果用得适当,虚拟化技术也能够帮助提高安全性。
控制力是保护系统的一个重要因素,包括对企业内部人员的控制和访问公司网络资源的外部人员的控制(例如远程用户使用便携式电脑和移动设备访问网络)。虚拟化技术能够帮助你集中控制最终用户所访问的应用程序,而桌面虚拟技术则能够为具有潜在危害的应用程序、网站等创建安全、孤立的计算机环境。
数据集中化管理能够确保数据的安全性,而基于服务器的虚拟化技术能够确保重要数据不被存储在台式机或者很容易遗失或者被偷窃的笔记本电脑中。
沙盒技术
沙盒是指器不能直接访问主一种相对孤立的环境,能够安全地运行那些可能对操作系统、其他应用程序或网络造成威胁的程序。虚拟机机资源,所以使沙盒技术十分安全。如果系统中存在不稳定的应用程序、有安全漏洞应用程序或者未知应用程序,你可以将这样的应用程序安装在虚拟机中,这样的话,当该应用程序出现问题时,就不会对主机系统的其他部分造成影响。
由于网络浏览器经常会成为恶意软件和病毒攻击的对象,我们可以将浏览器在虚拟机中运行,当然你也可以在虚拟机中运行其他互联网相关的程序(如电子邮件客户端、聊天程序和P2P文件共享程序等)。虚拟机能够访问互联网,但是不能访问公司的局域网,这能够帮助你保护主机操作系统以及访问本地资源的商业程序免受互联网中的攻击。
另一个好处就是,当虚拟机受到攻击时能够很简便地恢复,VM软件会在特定的时间点对机器进行“快照”,因此能够很快速地恢复到攻击前的状态。
无缝虚拟应用软件和丰富的VMWare Workstation 6.5实战经验
最新版本的VMWare Workstation (6.5版本)提供了最完整的桌面功能,并且其“Unity”功能能够让你在主机桌面中查看在主机操作系统的应用程序(来自虚拟机)。对用户而言,这意味着完全的无缝虚拟应用程序整合,操作过程更加方便。用户能够轻松在虚拟机和主机间进行拖放或者粘贴操作,根本不会感觉应用程序是在虚拟机中运行,这就是说对虚拟机中的应用程最新版本的VMWare Workstation (6.5版本)提供了最完整的桌面功能,并且其“Unity”功能能够让你在主机桌面中查看在主机操序(如网络浏览器)实施沙盒技术时不再会感觉到任何障碍。
这种新软件还能够帮助用户安装虚拟机以便跨越多个监控器进行操作,这很重要,尤其是当你需要在虚拟机中同事运行几个应用程序时。或者你也可以安装多个虚拟机在不同的监控器上显示,这样就更容易追踪用户在特定时间所操作的虚拟计算机。另外也可以在后台运行虚拟机,而不使用workstation用户界面。
服务器分离
服务器整合是很多企业使用虚拟化的主要目的,当然你也可以不使用虚拟化而在一台机器上运行多个服务器角色,你的域控制机还可以作为DNS服务器、DHCP服务器、RRAS服务器等。但是在一台服务器上运行多个角色,特别是在域控制器上,会造成重大的安全风险。虚拟化可以让你在同一物理机上运行所有这些相同的角色,并将服务器分离,因为他们是在单独的虚拟机上运行。
微软公司发布的Hyper-V虚拟软件能够防止VM间的未经授权的通信,且每个虚拟机在分离出来的单个工作进程中运行,并且在用户模式中仅有有限的权限,这能够保证主服务器和程序的安全性。其他能够分离虚拟机的安全机制包括分离虚拟设备,一种从每个虚拟机到主服务器的独立的VMBus,并且VM之间没有共享空间。
