|
虛擬管理的“命門” |
更新時(shí)間:2007-11-9 14:23:17
。
編輯:映君
)
|
內(nèi)容導(dǎo)航:
虛擬管理的“命門”
TPM的目標(biāo)是提供入侵檢測與預(yù)防;比如說,采用英特爾的技術(shù),即可提供主機(jī)平臺上可信的虛擬機(jī)監(jiān)測記錄。在任何軟件加載之前,TPM握有生殺大權(quán),并在啟動結(jié)果中顯示使用者信心(Owner Confidence),同時(shí)在每個(gè)系統(tǒng)加載時(shí)對之進(jìn)行認(rèn)證。簡而言之,只有在虛擬機(jī)管理程序處于已知的、可信的狀態(tài)時(shí),TPM才會將平臺的控制權(quán)轉(zhuǎn)交給它。
這些概念聽起來有些耳熟吧?在Vista的高級版本中,微軟采用的是基于芯片組的TPM,憑之提供BitLocker功能,以對本地硬盤上的數(shù)據(jù)進(jìn)行加密。英特爾和AMD的未來硬件平臺也計(jì)劃采用TPM建立與附加外設(shè)的可信路徑,且憑此建立并存儲數(shù)據(jù)路徑的硬件層加密密鑰。有了這個(gè)加密過程,再加上對虛擬化組件的確認(rèn)過程,要想攔截TPM或者虛擬機(jī)管理程序的控制權(quán)變得難上加難,而IT部門也因此更有信心確保操作系統(tǒng)與虛擬機(jī)管理程序之間的通信往來毫發(fā)無損。
潛在風(fēng)險(xiǎn)
就像一個(gè)人開車時(shí)不系安全帶,時(shí)刻擔(dān)心會被閃電擊中一般,跟很可能會"狠咬你一口"的虛擬化沾上邊兒,要冒些險(xiǎn),那也是再正常不過的事。舉例來說,胖服務(wù)器和由虛擬機(jī)管理程序驅(qū)動的服務(wù)器,其客戶操作系統(tǒng)的安全都有可能面臨跟傳統(tǒng)服務(wù)器一樣的威脅。未打補(bǔ)丁的或沒有受到良好保護(hù)的公共服務(wù)器總是會處于危險(xiǎn)之中,不管它是臺獨(dú)立運(yùn)行的機(jī)器,還是大型主機(jī)平臺上的諸多虛擬機(jī)之一。
盡管如此,組織暴露于風(fēng)險(xiǎn)之中的程度與其對虛擬化和服務(wù)器整合的依賴程度呈正比,亦即每個(gè)平臺上分布的虛擬機(jī)越多,未檢測到的Intrahost問題擴(kuò)散的風(fēng)險(xiǎn)也越大。事實(shí)上,傳統(tǒng)的外部安全設(shè)施也都無法檢測Intrahost威脅。外部防火墻和其他安全工具無法檢查或控制Intrahost的交通,因?yàn)樵谶@些通信中,信息包從不給主機(jī)以機(jī)會對有線基礎(chǔ)設(shè)施進(jìn)行深入檢測。還有些問題雖在現(xiàn)實(shí)世界得到普遍關(guān)切,而在復(fù)雜的主機(jī)托管環(huán)境中卻淪為"陽光照不到的角落"。這些問題包括:外來的或可疑的Intrahost干擾偽裝成合法通信,那意味著端口檢測、病毒行為、或者其他惡意軟件;直接(被盯上的)或偶然的拒絕服務(wù)攻擊,這些攻擊由于CPU周期、輸入/輸出資源、或者虛擬化網(wǎng)絡(luò)帶寬等問題,會對其他客戶虛擬機(jī)造成影響。
"單純從操作的角度看,'將所有的雞蛋放在同一個(gè)藍(lán)子里',風(fēng)險(xiǎn)會成倍增長,這與其說與不斷增長的威脅數(shù)量有關(guān),不如說是因?yàn)镮T無能。" Neohapsis的西普雷表示,同時(shí)他還補(bǔ)充說,這同早期存儲區(qū)域網(wǎng)絡(luò)(SAN)時(shí)代,IT部門面臨的問題如出一轍。"多數(shù)組織可以通過在設(shè)計(jì)時(shí)加大容量、迅速實(shí)現(xiàn)虛擬服務(wù)器的遷移、以及不斷追加補(bǔ)丁等做法,管理這類風(fēng)險(xiǎn)。"最后一條怎么反復(fù)強(qiáng)調(diào)也不為過。
"即使我認(rèn)為VMware在減少攻擊面方面干得漂亮,ESX/VI3仍然只是個(gè)源于Linux的操作系統(tǒng),也正基于此,才需要給它打補(bǔ)丁。" 西普雷表示,"問題在于,給ESX服務(wù)器打補(bǔ)丁這件事本身,更加危險(xiǎn),對系統(tǒng)構(gòu)成的侵犯也更深入,因?yàn)槟阃5舻牟恢皇且粋(gè)操作系統(tǒng),同時(shí)停止運(yùn)行的還有它管理的所有操作系統(tǒng)。"
值得慶幸的是,迄今為止出現(xiàn)的VMware產(chǎn)品的關(guān)鍵補(bǔ)丁少之又少。
在虛擬世界中求生存
現(xiàn)在,所有人都在視目以待,靜候危及虛擬機(jī)管理程序或者虛擬機(jī)監(jiān)視器安全的首個(gè)攻擊的產(chǎn)生。要確保你的網(wǎng)絡(luò)沒有成為眾矢之的,就得對主機(jī)運(yùn)營情況進(jìn)行密切監(jiān)測,以將攻擊面降到最低。在虛擬機(jī)管理程序或更高一層中找出第三方設(shè)備驅(qū)動程序的位置,以改善其性能,在降低安全風(fēng)險(xiǎn)的同時(shí)還要能承受輕微打擊。
在主機(jī)平臺和客戶操作系統(tǒng)上關(guān)閉不必要的仿真設(shè)備、無關(guān)的特性和用不到的服務(wù)。記住:虛擬機(jī)也是機(jī)器。盡管這點(diǎn)勿庸置疑,但面對虛擬機(jī),IT部門仍需要拿出對待傳統(tǒng)服務(wù)器的勤奮與關(guān)切,包括堅(jiān)持安全策略和指導(dǎo)方針在內(nèi)。在我們的調(diào)查中,有36%的受訪者承認(rèn),他們尚未部署任何IT安全或者保護(hù)計(jì)劃;還有23%的人表示,其安全政策正在制定之中。由于有超過70%的受訪者已經(jīng)部署了至少一個(gè)主機(jī)平臺,因此很明顯,未打補(bǔ)丁或者未受保護(hù)的虛擬化服務(wù)器遲早會成為攻擊對象。
此外,還要確保對安全設(shè)置、許可、以及環(huán)境設(shè)置進(jìn)行恰如其分的配置,以使虛擬機(jī)能夠與新主機(jī)保持一致。盡管環(huán)境靈活性是VMware ESX等企業(yè)級產(chǎn)品的核心優(yōu)勢,但未經(jīng)詳細(xì)籌劃即匆忙轉(zhuǎn)移虛擬機(jī)的做法勢必會引火燒身。
"在減少被攻擊面和整體暴露范圍方面,我發(fā)現(xiàn)不少組織會將VMware管理工具從網(wǎng)絡(luò)的其余部分中移出,并限定哪些人以及哪些程序擁有對此軟件的訪問權(quán)限。"西普雷分析道:"顯而易見,在數(shù)據(jù)中心內(nèi)建立防火墻是大勢所趨,但這個(gè)結(jié)果并非單純是由VMware驅(qū)動的。同時(shí),也有些更富進(jìn)取心的IT團(tuán)隊(duì),已開始思考在網(wǎng)絡(luò)分割方面推行'最低特權(quán)'模式的概念,而且組織可以通過嚴(yán)格限制對VMware管理基礎(chǔ)設(shè)施的訪問權(quán)限,降低風(fēng)險(xiǎn)預(yù)測。"
此外,西普雷還強(qiáng)調(diào)說,IT部門絕不能在需要強(qiáng)化的網(wǎng)絡(luò)區(qū)域部署虛擬化主機(jī),比如,允許ESX軟件將客戶虛擬機(jī)移入或移出隔離區(qū)。
檢測。還有些問題雖在現(xiàn)實(shí)世界得到普遍關(guān)切,而在復(fù)雜的主機(jī)托管環(huán)境中卻淪為"陽光照不到的角落"。這些問題包括:外來的或可疑的Intrahost干擾偽裝成合法通信,那意味著端口檢測、病毒行為、或者其他惡意軟件;直接(被盯上的)或偶然的拒絕服務(wù)攻擊,這些攻擊由于CPU周期、輸入/輸出資源、或者虛擬化網(wǎng)絡(luò)帶寬等問題,會對其他客戶虛擬機(jī)造成影響。
"單純從操作的角度看,'將所有的雞蛋放在同一個(gè)藍(lán)子里',風(fēng)險(xiǎn)會成倍增長,這與其說與不斷增長的威脅數(shù)量有關(guān),不如說是因?yàn)镮T無能。" Neohapsis的西普雷表示,同時(shí)他還補(bǔ)充說,這同早期存儲區(qū)域網(wǎng)絡(luò)(SAN)時(shí)代,IT部門面臨的問題如出一轍。"多數(shù)組織可以通過在設(shè)計(jì)時(shí)加大容量、迅速實(shí)現(xiàn)虛擬服務(wù)器的遷移、以及不斷追加補(bǔ)丁等做法,管理這類風(fēng)險(xiǎn)。"最后一條怎么反復(fù)強(qiáng)調(diào)也不為過。
"即使我認(rèn)為VMware在減少攻擊面方面干得漂亮,ESX/VI3仍然只是個(gè)源于Linux的操作系統(tǒng),也正基于此,才需要給它打補(bǔ)丁。" 西普雷表示,"問題在于,給ESX服務(wù)器打補(bǔ)丁這件事本身,更加危險(xiǎn),對系統(tǒng)構(gòu)成的侵犯也更深入,因?yàn)槟阃5舻牟恢皇且粋(gè)操作系統(tǒng),同時(shí)停止運(yùn)行的還有它管理的所有操作系統(tǒng)。"
值得慶幸的是,迄今為止出現(xiàn)的VMware產(chǎn)品的關(guān)鍵補(bǔ)丁少之又少。
在虛擬世界中求生存
現(xiàn)在,所有人都在視目以待,靜候危及虛擬機(jī)管理程序或者虛擬機(jī)監(jiān)視器安全的首個(gè)攻擊的產(chǎn)生。要確保你的網(wǎng)絡(luò)沒有成為眾矢之的,就得對主機(jī)運(yùn)營情況進(jìn)行密切監(jiān)測,以將攻擊面降到最低。在虛擬機(jī)管理程序或更高一層中找出第三方設(shè)備驅(qū)動程序的位置,以改善其性能,在降低安全風(fēng)險(xiǎn)的同時(shí)還要能承受輕微打擊。
在主機(jī)平臺和客戶操作系統(tǒng)上關(guān)閉不必要的仿真設(shè)備、無關(guān)的特性和用不到的服務(wù)。記。禾摂M機(jī)也是機(jī)器。盡管這點(diǎn)勿庸置疑,但面對虛擬機(jī),IT部門仍需要拿出對待傳統(tǒng)服務(wù)器的勤奮與關(guān)切,包括堅(jiān)持安全策略和指導(dǎo)方針在內(nèi)。在我們的調(diào)查中,有36%的受訪者承認(rèn),他們尚未部署任何IT安全或者保護(hù)計(jì)劃;還有23%的人表示,其安全政策正在制定之中。由于有超過70%的受訪者已經(jīng)部署了至少一個(gè)主機(jī)平臺,因此很明顯,未打補(bǔ)丁或者未受保護(hù)的虛擬化服務(wù)器遲早會成為攻擊對象。
此外,還要確保對安全設(shè)置、許可、以及環(huán)境設(shè)置進(jìn)行恰如其分的配置,以使虛擬機(jī)能夠與新主機(jī)保持一致。盡管環(huán)境靈活性是VMware ESX等企業(yè)級產(chǎn)品的核心優(yōu)勢,但未經(jīng)詳細(xì)籌劃即匆忙轉(zhuǎn)移虛擬機(jī)的做法勢必會引火燒身。
"在減少被攻擊面和整體暴露范圍方面,我發(fā)現(xiàn)不少組織會將VMware管理工具從網(wǎng)絡(luò)的其余部分中移出,并限定哪些人以及哪些程序擁有對此軟件的訪問權(quán)限。"西普雷分析道:"顯而易見,在數(shù)據(jù)中心內(nèi)建立防火墻是大勢所趨,但這個(gè)結(jié)果并非單純是由VMware驅(qū)動的。同時(shí),也有些更富進(jìn)取心的IT團(tuán)隊(duì),已開始思考在網(wǎng)絡(luò)分割方面推行'最低特權(quán)'模式的概念,而且組織可以通過嚴(yán)格限制對VMware管理基礎(chǔ)設(shè)施的訪問權(quán)限,降低風(fēng)險(xiǎn)預(yù)測。"
此外,西普雷還強(qiáng)調(diào)說,IT部門絕不能在需要強(qiáng)化的網(wǎng)絡(luò)區(qū)域部署虛擬化主機(jī),比如,允許ESX軟件將客戶虛擬機(jī)移入或移出隔離區(qū)。
檢測。還有些問題雖在現(xiàn)實(shí)世界得到普遍關(guān)切,而在復(fù)雜的主機(jī)托管環(huán)境中卻淪為"陽光照不到的角落"。這些問題包括:外來的或可疑的Intrahost干擾偽裝成合法通信,那意味著端口檢測、病毒行為、或者其他惡意軟件;直接(被盯上的)或偶然的拒絕服務(wù)攻擊,這些攻擊由于CPU周期、輸入/輸出資源、或者虛擬化網(wǎng)絡(luò)帶寬等問題,會對其他客戶虛擬機(jī)造成影響。
"單純從操作的角度看,'將所有的雞蛋放在同一個(gè)藍(lán)子里',風(fēng)險(xiǎn)會成倍增長,這與其說與不斷增長的威脅數(shù)量有關(guān),不如說是因?yàn)镮T無能。" Neohapsis的西普雷表示,同時(shí)他還補(bǔ)充說,這同早期存儲區(qū)域網(wǎng)絡(luò)(SAN)時(shí)代,IT部門面臨的問題如出一轍。"多數(shù)組織可以通過在設(shè)計(jì)時(shí)加大容量、迅速實(shí)現(xiàn)虛擬服務(wù)器的遷移、以及不斷追加補(bǔ)丁等做法,管理這類風(fēng)險(xiǎn)。"最后一條怎么反復(fù)強(qiáng)調(diào)也不為過。
"即使我認(rèn)為VMware在減少攻擊面方面干得漂亮,ESX/VI3仍然只是個(gè)源于Linux的操作系統(tǒng),也正基于此,才需要給它打補(bǔ)丁。" 西普雷表示,"問題在于,給ESX服務(wù)器打補(bǔ)丁這件事本身,更加危險(xiǎn),對系統(tǒng)構(gòu)成的侵犯也更深入,因?yàn)槟阃5舻牟恢皇且粋(gè)操作系統(tǒng),同時(shí)停止運(yùn)行的還有它管理的所有操作系統(tǒng)。"
值得慶幸的是,迄今為止出現(xiàn)的VMware產(chǎn)品的關(guān)鍵補(bǔ)丁少之又少。
在虛擬世界中求生存
現(xiàn)在,所有人都在視目以待,靜候危及虛擬機(jī)管理程序或者虛擬機(jī)監(jiān)視器安全的首個(gè)攻擊的產(chǎn)生。要確保你的網(wǎng)絡(luò)沒有成為眾矢之的,就得對主機(jī)運(yùn)營情況進(jìn)行密切監(jiān)測,以將攻擊面降到最低。在虛擬機(jī)管理程序或更高一層中找出第三方設(shè)備驅(qū)動程序的位置,以改善其性能,在降低安全風(fēng)險(xiǎn)的同時(shí)還要能承受輕微打擊。
在主機(jī)平臺和客戶操作系統(tǒng)上關(guān)閉不必要的仿真設(shè)備、無關(guān)的特性和用不到的服務(wù)。記。禾摂M機(jī)也是機(jī)器。盡管這點(diǎn)勿庸置疑,但面對虛擬機(jī),IT部門仍需要拿出對待傳統(tǒng)服務(wù)器的勤奮與關(guān)切,包括堅(jiān)持安全策略和指導(dǎo)方針在內(nèi)。在我們的調(diào)查中,有36%的受訪者承認(rèn),他們尚未部署任何IT安全或者保護(hù)計(jì)劃;還有23%的人表示,其安全政策正在制定之中。由于有超過70%的受訪者已經(jīng)部署了至少一個(gè)主機(jī)平臺,因此很明顯,未打補(bǔ)丁或者未受保護(hù)的虛擬化服務(wù)器遲早會成為攻擊對象。
此外,還要確保對安全設(shè)置、許可、以及環(huán)境設(shè)置進(jìn)行恰如其分的配置,以使虛擬機(jī)能夠與新主機(jī)保持一致。盡管環(huán)境靈活性是VMware ESX等企業(yè)級產(chǎn)品的核心優(yōu)勢,但未經(jīng)詳細(xì)籌劃即匆忙轉(zhuǎn)移虛擬機(jī)的做法勢必會引火燒身。
"在減少被攻擊面和整體暴露范圍方面,我發(fā)現(xiàn)不少組織會將VMware管理工具從網(wǎng)絡(luò)的其余部分中移出,并限定哪些人以及哪些程序擁有對此軟件的訪問權(quán)限。"西普雷分析道:"顯而易見,在數(shù)據(jù)中心內(nèi)建立防火墻是大勢所趨,但這個(gè)結(jié)果并非單純是由VMware驅(qū)動的。同時(shí),也有些更富進(jìn)取心的IT團(tuán)隊(duì),已開始思考在網(wǎng)絡(luò)分割方面推行'最低特權(quán)'模式的概念,而且組織可以通過嚴(yán)格限制對VMware管理基礎(chǔ)設(shè)施的訪問權(quán)限,降低風(fēng)險(xiǎn)預(yù)測。"
此外,西普雷還強(qiáng)調(diào)說,IT部門絕不能在需要強(qiáng)化的網(wǎng)絡(luò)區(qū)域部署虛擬化主機(jī),比如,允許ESX軟件將客戶虛擬機(jī)移入或移出隔離區(qū)。
更多相關(guān):
投影機(jī)
|
文章來源:中國投影網(wǎng)
|
|
|
|
|
|
|
|
|