|
虛擬管理的“命門(mén)” |
更新時(shí)間:2007-11-9 14:23:17
。
編輯:映君
)
|
內(nèi)容導(dǎo)航:
虛擬管理的“命門(mén)”
TPM的目標(biāo)是提供入侵檢測(cè)與預(yù)防;比如說(shuō),采用英特爾的技術(shù),即可提供主機(jī)平臺(tái)上可信的虛擬機(jī)監(jiān)測(cè)記錄。在任何軟件加載之前,TPM握有生殺大權(quán),并在啟動(dòng)結(jié)果中顯示使用者信心(Owner Confidence),同時(shí)在每個(gè)系統(tǒng)加載時(shí)對(duì)之進(jìn)行認(rèn)證。簡(jiǎn)而言之,只有在虛擬機(jī)管理程序處于已知的、可信的狀態(tài)時(shí),TPM才會(huì)將平臺(tái)的控制權(quán)轉(zhuǎn)交給它。
這些概念聽(tīng)起來(lái)有些耳熟吧?在Vista的高級(jí)版本中,微軟采用的是基于芯片組的TPM,憑之提供BitLocker功能,以對(duì)本地硬盤(pán)上的數(shù)據(jù)進(jìn)行加密。英特爾和AMD的未來(lái)硬件平臺(tái)也計(jì)劃采用TPM建立與附加外設(shè)的可信路徑,且憑此建立并存儲(chǔ)數(shù)據(jù)路徑的硬件層加密密鑰。有了這個(gè)加密過(guò)程,再加上對(duì)虛擬化組件的確認(rèn)過(guò)程,要想攔截TPM或者虛擬機(jī)管理程序的控制權(quán)變得難上加難,而IT部門(mén)也因此更有信心確保操作系統(tǒng)與虛擬機(jī)管理程序之間的通信往來(lái)毫發(fā)無(wú)損。
潛在風(fēng)險(xiǎn)
就像一個(gè)人開(kāi)車(chē)時(shí)不系安全帶,時(shí)刻擔(dān)心會(huì)被閃電擊中一般,跟很可能會(huì)"狠咬你一口"的虛擬化沾上邊兒,要冒些險(xiǎn),那也是再正常不過(guò)的事。舉例來(lái)說(shuō),胖服務(wù)器和由虛擬機(jī)管理程序驅(qū)動(dòng)的服務(wù)器,其客戶(hù)操作系統(tǒng)的安全都有可能面臨跟傳統(tǒng)服務(wù)器一樣的威脅。未打補(bǔ)丁的或沒(méi)有受到良好保護(hù)的公共服務(wù)器總是會(huì)處于危險(xiǎn)之中,不管它是臺(tái)獨(dú)立運(yùn)行的機(jī)器,還是大型主機(jī)平臺(tái)上的諸多虛擬機(jī)之一。
盡管如此,組織暴露于風(fēng)險(xiǎn)之中的程度與其對(duì)虛擬化和服務(wù)器整合的依賴(lài)程度呈正比,亦即每個(gè)平臺(tái)上分布的虛擬機(jī)越多,未檢測(cè)到的Intrahost問(wèn)題擴(kuò)散的風(fēng)險(xiǎn)也越大。事實(shí)上,傳統(tǒng)的外部安全設(shè)施也都無(wú)法檢測(cè)Intrahost威脅。外部防火墻和其他安全工具無(wú)法檢查或控制Intrahost的交通,因?yàn)樵谶@些通信中,信息包從不給主機(jī)以機(jī)會(huì)對(duì)有線基礎(chǔ)設(shè)施進(jìn)行深入檢測(cè)。還有些問(wèn)題雖在現(xiàn)實(shí)世界得到普遍關(guān)切,而在復(fù)雜的主機(jī)托管環(huán)境中卻淪為"陽(yáng)光照不到的角落"。這些問(wèn)題包括:外來(lái)的或可疑的Intrahost干擾偽裝成合法通信,那意味著端口檢測(cè)、病毒行為、或者其他惡意軟件;直接(被盯上的)或偶然的拒絕服務(wù)攻擊,這些攻擊由于CPU周期、輸入/輸出資源、或者虛擬化網(wǎng)絡(luò)帶寬等問(wèn)題,會(huì)對(duì)其他客戶(hù)虛擬機(jī)造成影響。
"單純從操作的角度看,'將所有的雞蛋放在同一個(gè)藍(lán)子里',風(fēng)險(xiǎn)會(huì)成倍增長(zhǎng),這與其說(shuō)與不斷增長(zhǎng)的威脅數(shù)量有關(guān),不如說(shuō)是因?yàn)镮T無(wú)能。" Neohapsis的西普雷表示,同時(shí)他還補(bǔ)充說(shuō),這同早期存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)時(shí)代,IT部門(mén)面臨的問(wèn)題如出一轍。"多數(shù)組織可以通過(guò)在設(shè)計(jì)時(shí)加大容量、迅速實(shí)現(xiàn)虛擬服務(wù)器的遷移、以及不斷追加補(bǔ)丁等做法,管理這類(lèi)風(fēng)險(xiǎn)。"最后一條怎么反復(fù)強(qiáng)調(diào)也不為過(guò)。
"即使我認(rèn)為VMware在減少攻擊面方面干得漂亮,ESX/VI3仍然只是個(gè)源于Linux的操作系統(tǒng),也正基于此,才需要給它打補(bǔ)丁。" 西普雷表示,"問(wèn)題在于,給ESX服務(wù)器打補(bǔ)丁這件事本身,更加危險(xiǎn),對(duì)系統(tǒng)構(gòu)成的侵犯也更深入,因?yàn)槟阃5舻牟恢皇且粋(gè)操作系統(tǒng),同時(shí)停止運(yùn)行的還有它管理的所有操作系統(tǒng)。"
值得慶幸的是,迄今為止出現(xiàn)的VMware產(chǎn)品的關(guān)鍵補(bǔ)丁少之又少。
在虛擬世界中求生存
現(xiàn)在,所有人都在視目以待,靜候危及虛擬機(jī)管理程序或者虛擬機(jī)監(jiān)視器安全的首個(gè)攻擊的產(chǎn)生。要確保你的網(wǎng)絡(luò)沒(méi)有成為眾矢之的,就得對(duì)主機(jī)運(yùn)營(yíng)情況進(jìn)行密切監(jiān)測(cè),以將攻擊面降到最低。在虛擬機(jī)管理程序或更高一層中找出第三方設(shè)備驅(qū)動(dòng)程序的位置,以改善其性能,在降低安全風(fēng)險(xiǎn)的同時(shí)還要能承受輕微打擊。
在主機(jī)平臺(tái)和客戶(hù)操作系統(tǒng)上關(guān)閉不必要的仿真設(shè)備、無(wú)關(guān)的特性和用不到的服務(wù)。記住:虛擬機(jī)也是機(jī)器。盡管這點(diǎn)勿庸置疑,但面對(duì)虛擬機(jī),IT部門(mén)仍需要拿出對(duì)待傳統(tǒng)服務(wù)器的勤奮與關(guān)切,包括堅(jiān)持安全策略和指導(dǎo)方針在內(nèi)。在我們的調(diào)查中,有36%的受訪者承認(rèn),他們尚未部署任何IT安全或者保護(hù)計(jì)劃;還有23%的人表示,其安全政策正在制定之中。由于有超過(guò)70%的受訪者已經(jīng)部署了至少一個(gè)主機(jī)平臺(tái),因此很明顯,未打補(bǔ)丁或者未受保護(hù)的虛擬化服務(wù)器遲早會(huì)成為攻擊對(duì)象。
此外,還要確保對(duì)安全設(shè)置、許可、以及環(huán)境設(shè)置進(jìn)行恰如其分的配置,以使虛擬機(jī)能夠與新主機(jī)保持一致。盡管環(huán)境靈活性是VMware ESX等企業(yè)級(jí)產(chǎn)品的核心優(yōu)勢(shì),但未經(jīng)詳細(xì)籌劃即匆忙轉(zhuǎn)移虛擬機(jī)的做法勢(shì)必會(huì)引火燒身。
"在減少被攻擊面和整體暴露范圍方面,我發(fā)現(xiàn)不少組織會(huì)將VMware管理工具從網(wǎng)絡(luò)的其余部分中移出,并限定哪些人以及哪些程序擁有對(duì)此軟件的訪問(wèn)權(quán)限。"西普雷分析道:"顯而易見(jiàn),在數(shù)據(jù)中心內(nèi)建立防火墻是大勢(shì)所趨,但這個(gè)結(jié)果并非單純是由VMware驅(qū)動(dòng)的。同時(shí),也有些更富進(jìn)取心的IT團(tuán)隊(duì),已開(kāi)始思考在網(wǎng)絡(luò)分割方面推行'最低特權(quán)'模式的概念,而且組織可以通過(guò)嚴(yán)格限制對(duì)VMware管理基礎(chǔ)設(shè)施的訪問(wèn)權(quán)限,降低風(fēng)險(xiǎn)預(yù)測(cè)。"
此外,西普雷還強(qiáng)調(diào)說(shuō),IT部門(mén)絕不能在需要強(qiáng)化的網(wǎng)絡(luò)區(qū)域部署虛擬化主機(jī),比如,允許ESX軟件將客戶(hù)虛擬機(jī)移入或移出隔離區(qū)。
檢測(cè)。還有些問(wèn)題雖在現(xiàn)實(shí)世界得到普遍關(guān)切,而在復(fù)雜的主機(jī)托管環(huán)境中卻淪為"陽(yáng)光照不到的角落"。這些問(wèn)題包括:外來(lái)的或可疑的Intrahost干擾偽裝成合法通信,那意味著端口檢測(cè)、病毒行為、或者其他惡意軟件;直接(被盯上的)或偶然的拒絕服務(wù)攻擊,這些攻擊由于CPU周期、輸入/輸出資源、或者虛擬化網(wǎng)絡(luò)帶寬等問(wèn)題,會(huì)對(duì)其他客戶(hù)虛擬機(jī)造成影響。
"單純從操作的角度看,'將所有的雞蛋放在同一個(gè)藍(lán)子里',風(fēng)險(xiǎn)會(huì)成倍增長(zhǎng),這與其說(shuō)與不斷增長(zhǎng)的威脅數(shù)量有關(guān),不如說(shuō)是因?yàn)镮T無(wú)能。" Neohapsis的西普雷表示,同時(shí)他還補(bǔ)充說(shuō),這同早期存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)時(shí)代,IT部門(mén)面臨的問(wèn)題如出一轍。"多數(shù)組織可以通過(guò)在設(shè)計(jì)時(shí)加大容量、迅速實(shí)現(xiàn)虛擬服務(wù)器的遷移、以及不斷追加補(bǔ)丁等做法,管理這類(lèi)風(fēng)險(xiǎn)。"最后一條怎么反復(fù)強(qiáng)調(diào)也不為過(guò)。
"即使我認(rèn)為VMware在減少攻擊面方面干得漂亮,ESX/VI3仍然只是個(gè)源于Linux的操作系統(tǒng),也正基于此,才需要給它打補(bǔ)丁。" 西普雷表示,"問(wèn)題在于,給ESX服務(wù)器打補(bǔ)丁這件事本身,更加危險(xiǎn),對(duì)系統(tǒng)構(gòu)成的侵犯也更深入,因?yàn)槟阃5舻牟恢皇且粋(gè)操作系統(tǒng),同時(shí)停止運(yùn)行的還有它管理的所有操作系統(tǒng)。"
值得慶幸的是,迄今為止出現(xiàn)的VMware產(chǎn)品的關(guān)鍵補(bǔ)丁少之又少。
在虛擬世界中求生存
現(xiàn)在,所有人都在視目以待,靜候危及虛擬機(jī)管理程序或者虛擬機(jī)監(jiān)視器安全的首個(gè)攻擊的產(chǎn)生。要確保你的網(wǎng)絡(luò)沒(méi)有成為眾矢之的,就得對(duì)主機(jī)運(yùn)營(yíng)情況進(jìn)行密切監(jiān)測(cè),以將攻擊面降到最低。在虛擬機(jī)管理程序或更高一層中找出第三方設(shè)備驅(qū)動(dòng)程序的位置,以改善其性能,在降低安全風(fēng)險(xiǎn)的同時(shí)還要能承受輕微打擊。
在主機(jī)平臺(tái)和客戶(hù)操作系統(tǒng)上關(guān)閉不必要的仿真設(shè)備、無(wú)關(guān)的特性和用不到的服務(wù)。記。禾摂M機(jī)也是機(jī)器。盡管這點(diǎn)勿庸置疑,但面對(duì)虛擬機(jī),IT部門(mén)仍需要拿出對(duì)待傳統(tǒng)服務(wù)器的勤奮與關(guān)切,包括堅(jiān)持安全策略和指導(dǎo)方針在內(nèi)。在我們的調(diào)查中,有36%的受訪者承認(rèn),他們尚未部署任何IT安全或者保護(hù)計(jì)劃;還有23%的人表示,其安全政策正在制定之中。由于有超過(guò)70%的受訪者已經(jīng)部署了至少一個(gè)主機(jī)平臺(tái),因此很明顯,未打補(bǔ)丁或者未受保護(hù)的虛擬化服務(wù)器遲早會(huì)成為攻擊對(duì)象。
此外,還要確保對(duì)安全設(shè)置、許可、以及環(huán)境設(shè)置進(jìn)行恰如其分的配置,以使虛擬機(jī)能夠與新主機(jī)保持一致。盡管環(huán)境靈活性是VMware ESX等企業(yè)級(jí)產(chǎn)品的核心優(yōu)勢(shì),但未經(jīng)詳細(xì)籌劃即匆忙轉(zhuǎn)移虛擬機(jī)的做法勢(shì)必會(huì)引火燒身。
"在減少被攻擊面和整體暴露范圍方面,我發(fā)現(xiàn)不少組織會(huì)將VMware管理工具從網(wǎng)絡(luò)的其余部分中移出,并限定哪些人以及哪些程序擁有對(duì)此軟件的訪問(wèn)權(quán)限。"西普雷分析道:"顯而易見(jiàn),在數(shù)據(jù)中心內(nèi)建立防火墻是大勢(shì)所趨,但這個(gè)結(jié)果并非單純是由VMware驅(qū)動(dòng)的。同時(shí),也有些更富進(jìn)取心的IT團(tuán)隊(duì),已開(kāi)始思考在網(wǎng)絡(luò)分割方面推行'最低特權(quán)'模式的概念,而且組織可以通過(guò)嚴(yán)格限制對(duì)VMware管理基礎(chǔ)設(shè)施的訪問(wèn)權(quán)限,降低風(fēng)險(xiǎn)預(yù)測(cè)。"
此外,西普雷還強(qiáng)調(diào)說(shuō),IT部門(mén)絕不能在需要強(qiáng)化的網(wǎng)絡(luò)區(qū)域部署虛擬化主機(jī),比如,允許ESX軟件將客戶(hù)虛擬機(jī)移入或移出隔離區(qū)。
檢測(cè)。還有些問(wèn)題雖在現(xiàn)實(shí)世界得到普遍關(guān)切,而在復(fù)雜的主機(jī)托管環(huán)境中卻淪為"陽(yáng)光照不到的角落"。這些問(wèn)題包括:外來(lái)的或可疑的Intrahost干擾偽裝成合法通信,那意味著端口檢測(cè)、病毒行為、或者其他惡意軟件;直接(被盯上的)或偶然的拒絕服務(wù)攻擊,這些攻擊由于CPU周期、輸入/輸出資源、或者虛擬化網(wǎng)絡(luò)帶寬等問(wèn)題,會(huì)對(duì)其他客戶(hù)虛擬機(jī)造成影響。
"單純從操作的角度看,'將所有的雞蛋放在同一個(gè)藍(lán)子里',風(fēng)險(xiǎn)會(huì)成倍增長(zhǎng),這與其說(shuō)與不斷增長(zhǎng)的威脅數(shù)量有關(guān),不如說(shuō)是因?yàn)镮T無(wú)能。" Neohapsis的西普雷表示,同時(shí)他還補(bǔ)充說(shuō),這同早期存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)時(shí)代,IT部門(mén)面臨的問(wèn)題如出一轍。"多數(shù)組織可以通過(guò)在設(shè)計(jì)時(shí)加大容量、迅速實(shí)現(xiàn)虛擬服務(wù)器的遷移、以及不斷追加補(bǔ)丁等做法,管理這類(lèi)風(fēng)險(xiǎn)。"最后一條怎么反復(fù)強(qiáng)調(diào)也不為過(guò)。
"即使我認(rèn)為VMware在減少攻擊面方面干得漂亮,ESX/VI3仍然只是個(gè)源于Linux的操作系統(tǒng),也正基于此,才需要給它打補(bǔ)丁。" 西普雷表示,"問(wèn)題在于,給ESX服務(wù)器打補(bǔ)丁這件事本身,更加危險(xiǎn),對(duì)系統(tǒng)構(gòu)成的侵犯也更深入,因?yàn)槟阃5舻牟恢皇且粋(gè)操作系統(tǒng),同時(shí)停止運(yùn)行的還有它管理的所有操作系統(tǒng)。"
值得慶幸的是,迄今為止出現(xiàn)的VMware產(chǎn)品的關(guān)鍵補(bǔ)丁少之又少。
在虛擬世界中求生存
現(xiàn)在,所有人都在視目以待,靜候危及虛擬機(jī)管理程序或者虛擬機(jī)監(jiān)視器安全的首個(gè)攻擊的產(chǎn)生。要確保你的網(wǎng)絡(luò)沒(méi)有成為眾矢之的,就得對(duì)主機(jī)運(yùn)營(yíng)情況進(jìn)行密切監(jiān)測(cè),以將攻擊面降到最低。在虛擬機(jī)管理程序或更高一層中找出第三方設(shè)備驅(qū)動(dòng)程序的位置,以改善其性能,在降低安全風(fēng)險(xiǎn)的同時(shí)還要能承受輕微打擊。
在主機(jī)平臺(tái)和客戶(hù)操作系統(tǒng)上關(guān)閉不必要的仿真設(shè)備、無(wú)關(guān)的特性和用不到的服務(wù)。記。禾摂M機(jī)也是機(jī)器。盡管這點(diǎn)勿庸置疑,但面對(duì)虛擬機(jī),IT部門(mén)仍需要拿出對(duì)待傳統(tǒng)服務(wù)器的勤奮與關(guān)切,包括堅(jiān)持安全策略和指導(dǎo)方針在內(nèi)。在我們的調(diào)查中,有36%的受訪者承認(rèn),他們尚未部署任何IT安全或者保護(hù)計(jì)劃;還有23%的人表示,其安全政策正在制定之中。由于有超過(guò)70%的受訪者已經(jīng)部署了至少一個(gè)主機(jī)平臺(tái),因此很明顯,未打補(bǔ)丁或者未受保護(hù)的虛擬化服務(wù)器遲早會(huì)成為攻擊對(duì)象。
此外,還要確保對(duì)安全設(shè)置、許可、以及環(huán)境設(shè)置進(jìn)行恰如其分的配置,以使虛擬機(jī)能夠與新主機(jī)保持一致。盡管環(huán)境靈活性是VMware ESX等企業(yè)級(jí)產(chǎn)品的核心優(yōu)勢(shì),但未經(jīng)詳細(xì)籌劃即匆忙轉(zhuǎn)移虛擬機(jī)的做法勢(shì)必會(huì)引火燒身。
"在減少被攻擊面和整體暴露范圍方面,我發(fā)現(xiàn)不少組織會(huì)將VMware管理工具從網(wǎng)絡(luò)的其余部分中移出,并限定哪些人以及哪些程序擁有對(duì)此軟件的訪問(wèn)權(quán)限。"西普雷分析道:"顯而易見(jiàn),在數(shù)據(jù)中心內(nèi)建立防火墻是大勢(shì)所趨,但這個(gè)結(jié)果并非單純是由VMware驅(qū)動(dòng)的。同時(shí),也有些更富進(jìn)取心的IT團(tuán)隊(duì),已開(kāi)始思考在網(wǎng)絡(luò)分割方面推行'最低特權(quán)'模式的概念,而且組織可以通過(guò)嚴(yán)格限制對(duì)VMware管理基礎(chǔ)設(shè)施的訪問(wèn)權(quán)限,降低風(fēng)險(xiǎn)預(yù)測(cè)。"
此外,西普雷還強(qiáng)調(diào)說(shuō),IT部門(mén)絕不能在需要強(qiáng)化的網(wǎng)絡(luò)區(qū)域部署虛擬化主機(jī),比如,允許ESX軟件將客戶(hù)虛擬機(jī)移入或移出隔離區(qū)。
更多相關(guān):
投影機(jī)
|
文章來(lái)源:中國(guó)投影網(wǎng)
|
|
|
|
|
|
|
|
|