| |
| 虛擬管理的“命門” |
更新時間:2007-11-9 14:23:17
(
編輯:映君
)
|
內(nèi)容導(dǎo)航:
虛擬管理的“命門”
TPM的目標(biāo)是提供入侵檢測與預(yù)防;比如說,采用英特爾的技術(shù),即可提供主機平臺上可信的虛擬機監(jiān)測記錄。在任何軟件加載之前,TPM握有生殺大權(quán),并在啟動結(jié)果中顯示使用者信心(Owner Confidence),同時在每個系統(tǒng)加載時對之進行認(rèn)證。簡而言之,只有在虛擬機管理程序處于已知的、可信的狀態(tài)時,TPM才會將平臺的控制權(quán)轉(zhuǎn)交給它。
這些概念聽起來有些耳熟吧?在Vista的高級版本中,微軟采用的是基于芯片組的TPM,憑之提供BitLocker功能,以對本地硬盤上的數(shù)據(jù)進行加密。英特爾和AMD的未來硬件平臺也計劃采用TPM建立與附加外設(shè)的可信路徑,且憑此建立并存儲數(shù)據(jù)路徑的硬件層加密密鑰。有了這個加密過程,再加上對虛擬化組件的確認(rèn)過程,要想攔截TPM或者虛擬機管理程序的控制權(quán)變得難上加難,而IT部門也因此更有信心確保操作系統(tǒng)與虛擬機管理程序之間的通信往來毫發(fā)無損。
潛在風(fēng)險
就像一個人開車時不系安全帶,時刻擔(dān)心會被閃電擊中一般,跟很可能會"狠咬你一口"的虛擬化沾上邊兒,要冒些險,那也是再正常不過的事。舉例來說,胖服務(wù)器和由虛擬機管理程序驅(qū)動的服務(wù)器,其客戶操作系統(tǒng)的安全都有可能面臨跟傳統(tǒng)服務(wù)器一樣的威脅。未打補丁的或沒有受到良好保護的公共服務(wù)器總是會處于危險之中,不管它是臺獨立運行的機器,還是大型主機平臺上的諸多虛擬機之一。
盡管如此,組織暴露于風(fēng)險之中的程度與其對虛擬化和服務(wù)器整合的依賴程度呈正比,亦即每個平臺上分布的虛擬機越多,未檢測到的Intrahost問題擴散的風(fēng)險也越大。事實上,傳統(tǒng)的外部安全設(shè)施也都無法檢測Intrahost威脅。外部防火墻和其他安全工具無法檢查或控制Intrahost的交通,因為在這些通信中,信息包從不給主機以機會對有線基礎(chǔ)設(shè)施進行深入檢測。還有些問題雖在現(xiàn)實世界得到普遍關(guān)切,而在復(fù)雜的主機托管環(huán)境中卻淪為"陽光照不到的角落"。這些問題包括:外來的或可疑的Intrahost干擾偽裝成合法通信,那意味著端口檢測、病毒行為、或者其他惡意軟件;直接(被盯上的)或偶然的拒絕服務(wù)攻擊,這些攻擊由于CPU周期、輸入/輸出資源、或者虛擬化網(wǎng)絡(luò)帶寬等問題,會對其他客戶虛擬機造成影響。
"單純從操作的角度看,'將所有的雞蛋放在同一個藍(lán)子里',風(fēng)險會成倍增長,這與其說與不斷增長的威脅數(shù)量有關(guān),不如說是因為IT無能。" Neohapsis的西普雷表示,同時他還補充說,這同早期存儲區(qū)域網(wǎng)絡(luò)(SAN)時代,IT部門面臨的問題如出一轍。"多數(shù)組織可以通過在設(shè)計時加大容量、迅速實現(xiàn)虛擬服務(wù)器的遷移、以及不斷追加補丁等做法,管理這類風(fēng)險。"最后一條怎么反復(fù)強調(diào)也不為過。
"即使我認(rèn)為VMware在減少攻擊面方面干得漂亮,ESX/VI3仍然只是個源于Linux的操作系統(tǒng),也正基于此,才需要給它打補丁。" 西普雷表示,"問題在于,給ESX服務(wù)器打補丁這件事本身,更加危險,對系統(tǒng)構(gòu)成的侵犯也更深入,因為你停掉的不只是一個操作系統(tǒng),同時停止運行的還有它管理的所有操作系統(tǒng)。"
值得慶幸的是,迄今為止出現(xiàn)的VMware產(chǎn)品的關(guān)鍵補丁少之又少。
在虛擬世界中求生存
現(xiàn)在,所有人都在視目以待,靜候危及虛擬機管理程序或者虛擬機監(jiān)視器安全的首個攻擊的產(chǎn)生。要確保你的網(wǎng)絡(luò)沒有成為眾矢之的,就得對主機運營情況進行密切監(jiān)測,以將攻擊面降到最低。在虛擬機管理程序或更高一層中找出第三方設(shè)備驅(qū)動程序的位置,以改善其性能,在降低安全風(fēng)險的同時還要能承受輕微打擊。
在主機平臺和客戶操作系統(tǒng)上關(guān)閉不必要的仿真設(shè)備、無關(guān)的特性和用不到的服務(wù)。記住:虛擬機也是機器。盡管這點勿庸置疑,但面對虛擬機,IT部門仍需要拿出對待傳統(tǒng)服務(wù)器的勤奮與關(guān)切,包括堅持安全策略和指導(dǎo)方針在內(nèi)。在我們的調(diào)查中,有36%的受訪者承認(rèn),他們尚未部署任何IT安全或者保護計劃;還有23%的人表示,其安全政策正在制定之中。由于有超過70%的受訪者已經(jīng)部署了至少一個主機平臺,因此很明顯,未打補丁或者未受保護的虛擬化服務(wù)器遲早會成為攻擊對象。
此外,還要確保對安全設(shè)置、許可、以及環(huán)境設(shè)置進行恰如其分的配置,以使虛擬機能夠與新主機保持一致。盡管環(huán)境靈活性是VMware ESX等企業(yè)級產(chǎn)品的核心優(yōu)勢,但未經(jīng)詳細(xì)籌劃即匆忙轉(zhuǎn)移虛擬機的做法勢必會引火燒身。
"在減少被攻擊面和整體暴露范圍方面,我發(fā)現(xiàn)不少組織會將VMware管理工具從網(wǎng)絡(luò)的其余部分中移出,并限定哪些人以及哪些程序擁有對此軟件的訪問權(quán)限。"西普雷分析道:"顯而易見,在數(shù)據(jù)中心內(nèi)建立防火墻是大勢所趨,但這個結(jié)果并非單純是由VMware驅(qū)動的。同時,也有些更富進取心的IT團隊,已開始思考在網(wǎng)絡(luò)分割方面推行'最低特權(quán)'模式的概念,而且組織可以通過嚴(yán)格限制對VMware管理基礎(chǔ)設(shè)施的訪問權(quán)限,降低風(fēng)險預(yù)測。"
此外,西普雷還強調(diào)說,IT部門絕不能在需要強化的網(wǎng)絡(luò)區(qū)域部署虛擬化主機,比如,允許ESX軟件將客戶虛擬機移入或移出隔離區(qū)。
檢測。還有些問題雖在現(xiàn)實世界得到普遍關(guān)切,而在復(fù)雜的主機托管環(huán)境中卻淪為"陽光照不到的角落"。這些問題包括:外來的或可疑的Intrahost干擾偽裝成合法通信,那意味著端口檢測、病毒行為、或者其他惡意軟件;直接(被盯上的)或偶然的拒絕服務(wù)攻擊,這些攻擊由于CPU周期、輸入/輸出資源、或者虛擬化網(wǎng)絡(luò)帶寬等問題,會對其他客戶虛擬機造成影響。
"單純從操作的角度看,'將所有的雞蛋放在同一個藍(lán)子里',風(fēng)險會成倍增長,這與其說與不斷增長的威脅數(shù)量有關(guān),不如說是因為IT無能。" Neohapsis的西普雷表示,同時他還補充說,這同早期存儲區(qū)域網(wǎng)絡(luò)(SAN)時代,IT部門面臨的問題如出一轍。"多數(shù)組織可以通過在設(shè)計時加大容量、迅速實現(xiàn)虛擬服務(wù)器的遷移、以及不斷追加補丁等做法,管理這類風(fēng)險。"最后一條怎么反復(fù)強調(diào)也不為過。
"即使我認(rèn)為VMware在減少攻擊面方面干得漂亮,ESX/VI3仍然只是個源于Linux的操作系統(tǒng),也正基于此,才需要給它打補丁。" 西普雷表示,"問題在于,給ESX服務(wù)器打補丁這件事本身,更加危險,對系統(tǒng)構(gòu)成的侵犯也更深入,因為你停掉的不只是一個操作系統(tǒng),同時停止運行的還有它管理的所有操作系統(tǒng)。"
值得慶幸的是,迄今為止出現(xiàn)的VMware產(chǎn)品的關(guān)鍵補丁少之又少。
在虛擬世界中求生存
現(xiàn)在,所有人都在視目以待,靜候危及虛擬機管理程序或者虛擬機監(jiān)視器安全的首個攻擊的產(chǎn)生。要確保你的網(wǎng)絡(luò)沒有成為眾矢之的,就得對主機運營情況進行密切監(jiān)測,以將攻擊面降到最低。在虛擬機管理程序或更高一層中找出第三方設(shè)備驅(qū)動程序的位置,以改善其性能,在降低安全風(fēng)險的同時還要能承受輕微打擊。
在主機平臺和客戶操作系統(tǒng)上關(guān)閉不必要的仿真設(shè)備、無關(guān)的特性和用不到的服務(wù)。記住:虛擬機也是機器。盡管這點勿庸置疑,但面對虛擬機,IT部門仍需要拿出對待傳統(tǒng)服務(wù)器的勤奮與關(guān)切,包括堅持安全策略和指導(dǎo)方針在內(nèi)。在我們的調(diào)查中,有36%的受訪者承認(rèn),他們尚未部署任何IT安全或者保護計劃;還有23%的人表示,其安全政策正在制定之中。由于有超過70%的受訪者已經(jīng)部署了至少一個主機平臺,因此很明顯,未打補丁或者未受保護的虛擬化服務(wù)器遲早會成為攻擊對象。
此外,還要確保對安全設(shè)置、許可、以及環(huán)境設(shè)置進行恰如其分的配置,以使虛擬機能夠與新主機保持一致。盡管環(huán)境靈活性是VMware ESX等企業(yè)級產(chǎn)品的核心優(yōu)勢,但未經(jīng)詳細(xì)籌劃即匆忙轉(zhuǎn)移虛擬機的做法勢必會引火燒身。
"在減少被攻擊面和整體暴露范圍方面,我發(fā)現(xiàn)不少組織會將VMware管理工具從網(wǎng)絡(luò)的其余部分中移出,并限定哪些人以及哪些程序擁有對此軟件的訪問權(quán)限。"西普雷分析道:"顯而易見,在數(shù)據(jù)中心內(nèi)建立防火墻是大勢所趨,但這個結(jié)果并非單純是由VMware驅(qū)動的。同時,也有些更富進取心的IT團隊,已開始思考在網(wǎng)絡(luò)分割方面推行'最低特權(quán)'模式的概念,而且組織可以通過嚴(yán)格限制對VMware管理基礎(chǔ)設(shè)施的訪問權(quán)限,降低風(fēng)險預(yù)測。"
此外,西普雷還強調(diào)說,IT部門絕不能在需要強化的網(wǎng)絡(luò)區(qū)域部署虛擬化主機,比如,允許ESX軟件將客戶虛擬機移入或移出隔離區(qū)。
檢測。還有些問題雖在現(xiàn)實世界得到普遍關(guān)切,而在復(fù)雜的主機托管環(huán)境中卻淪為"陽光照不到的角落"。這些問題包括:外來的或可疑的Intrahost干擾偽裝成合法通信,那意味著端口檢測、病毒行為、或者其他惡意軟件;直接(被盯上的)或偶然的拒絕服務(wù)攻擊,這些攻擊由于CPU周期、輸入/輸出資源、或者虛擬化網(wǎng)絡(luò)帶寬等問題,會對其他客戶虛擬機造成影響。
"單純從操作的角度看,'將所有的雞蛋放在同一個藍(lán)子里',風(fēng)險會成倍增長,這與其說與不斷增長的威脅數(shù)量有關(guān),不如說是因為IT無能。" Neohapsis的西普雷表示,同時他還補充說,這同早期存儲區(qū)域網(wǎng)絡(luò)(SAN)時代,IT部門面臨的問題如出一轍。"多數(shù)組織可以通過在設(shè)計時加大容量、迅速實現(xiàn)虛擬服務(wù)器的遷移、以及不斷追加補丁等做法,管理這類風(fēng)險。"最后一條怎么反復(fù)強調(diào)也不為過。
"即使我認(rèn)為VMware在減少攻擊面方面干得漂亮,ESX/VI3仍然只是個源于Linux的操作系統(tǒng),也正基于此,才需要給它打補丁。" 西普雷表示,"問題在于,給ESX服務(wù)器打補丁這件事本身,更加危險,對系統(tǒng)構(gòu)成的侵犯也更深入,因為你停掉的不只是一個操作系統(tǒng),同時停止運行的還有它管理的所有操作系統(tǒng)。"
值得慶幸的是,迄今為止出現(xiàn)的VMware產(chǎn)品的關(guān)鍵補丁少之又少。
在虛擬世界中求生存
現(xiàn)在,所有人都在視目以待,靜候危及虛擬機管理程序或者虛擬機監(jiān)視器安全的首個攻擊的產(chǎn)生。要確保你的網(wǎng)絡(luò)沒有成為眾矢之的,就得對主機運營情況進行密切監(jiān)測,以將攻擊面降到最低。在虛擬機管理程序或更高一層中找出第三方設(shè)備驅(qū)動程序的位置,以改善其性能,在降低安全風(fēng)險的同時還要能承受輕微打擊。
在主機平臺和客戶操作系統(tǒng)上關(guān)閉不必要的仿真設(shè)備、無關(guān)的特性和用不到的服務(wù)。記住:虛擬機也是機器。盡管這點勿庸置疑,但面對虛擬機,IT部門仍需要拿出對待傳統(tǒng)服務(wù)器的勤奮與關(guān)切,包括堅持安全策略和指導(dǎo)方針在內(nèi)。在我們的調(diào)查中,有36%的受訪者承認(rèn),他們尚未部署任何IT安全或者保護計劃;還有23%的人表示,其安全政策正在制定之中。由于有超過70%的受訪者已經(jīng)部署了至少一個主機平臺,因此很明顯,未打補丁或者未受保護的虛擬化服務(wù)器遲早會成為攻擊對象。
此外,還要確保對安全設(shè)置、許可、以及環(huán)境設(shè)置進行恰如其分的配置,以使虛擬機能夠與新主機保持一致。盡管環(huán)境靈活性是VMware ESX等企業(yè)級產(chǎn)品的核心優(yōu)勢,但未經(jīng)詳細(xì)籌劃即匆忙轉(zhuǎn)移虛擬機的做法勢必會引火燒身。
"在減少被攻擊面和整體暴露范圍方面,我發(fā)現(xiàn)不少組織會將VMware管理工具從網(wǎng)絡(luò)的其余部分中移出,并限定哪些人以及哪些程序擁有對此軟件的訪問權(quán)限。"西普雷分析道:"顯而易見,在數(shù)據(jù)中心內(nèi)建立防火墻是大勢所趨,但這個結(jié)果并非單純是由VMware驅(qū)動的。同時,也有些更富進取心的IT團隊,已開始思考在網(wǎng)絡(luò)分割方面推行'最低特權(quán)'模式的概念,而且組織可以通過嚴(yán)格限制對VMware管理基礎(chǔ)設(shè)施的訪問權(quán)限,降低風(fēng)險預(yù)測。"
此外,西普雷還強調(diào)說,IT部門絕不能在需要強化的網(wǎng)絡(luò)區(qū)域部署虛擬化主機,比如,允許ESX軟件將客戶虛擬機移入或移出隔離區(qū)。
更多相關(guān):
投影機
|
文章來源:中國投影網(wǎng)
|
|
|
|
|
|
| |
|
|
|
|
