| |
| 虛擬管理的“命門” |
更新時(shí)間:2007-11-9 14:23:17
��。
編輯:映君
)
|
內(nèi)容導(dǎo)航:
虛擬管理的“命門”
TPM的目標(biāo)是提供入侵檢測(cè)與預(yù)防;比如說(shuō)�����,采用英特爾的技術(shù)�,即可提供主機(jī)平臺(tái)上可信的虛擬機(jī)監(jiān)測(cè)記錄�����。在任何軟件加載之前���,TPM握有生殺大權(quán)�����,并在啟動(dòng)結(jié)果中顯示使用者信心(Owner Confidence)����,同時(shí)在每個(gè)系統(tǒng)加載時(shí)對(duì)之進(jìn)行認(rèn)證��。簡(jiǎn)而言之��,只有在虛擬機(jī)管理程序處于已知的����、可信的狀態(tài)時(shí)�,TPM才會(huì)將平臺(tái)的控制權(quán)轉(zhuǎn)交給它��。
這些概念聽起來(lái)有些耳熟吧?在Vista的高級(jí)版本中��,微軟采用的是基于芯片組的TPM��,憑之提供BitLocker功能���,以對(duì)本地硬盤上的數(shù)據(jù)進(jìn)行加密����。英特爾和AMD的未來(lái)硬件平臺(tái)也計(jì)劃采用TPM建立與附加外設(shè)的可信路徑��,且憑此建立并存儲(chǔ)數(shù)據(jù)路徑的硬件層加密密鑰�。有了這個(gè)加密過程,再加上對(duì)虛擬化組件的確認(rèn)過程����,要想攔截TPM或者虛擬機(jī)管理程序的控制權(quán)變得難上加難,而IT部門也因此更有信心確保操作系統(tǒng)與虛擬機(jī)管理程序之間的通信往來(lái)毫發(fā)無(wú)損�。
潛在風(fēng)險(xiǎn)
就像一個(gè)人開車時(shí)不系安全帶,時(shí)刻擔(dān)心會(huì)被閃電擊中一般,跟很可能會(huì)"狠咬你一口"的虛擬化沾上邊兒���,要冒些險(xiǎn)�,那也是再正常不過的事����。舉例來(lái)說(shuō),胖服務(wù)器和由虛擬機(jī)管理程序驅(qū)動(dòng)的服務(wù)器�,其客戶操作系統(tǒng)的安全都有可能面臨跟傳統(tǒng)服務(wù)器一樣的威脅�����。未打補(bǔ)丁的或沒有受到良好保護(hù)的公共服務(wù)器總是會(huì)處于危險(xiǎn)之中�,不管它是臺(tái)獨(dú)立運(yùn)行的機(jī)器,還是大型主機(jī)平臺(tái)上的諸多虛擬機(jī)之一�。
盡管如此,組織暴露于風(fēng)險(xiǎn)之中的程度與其對(duì)虛擬化和服務(wù)器整合的依賴程度呈正比����,亦即每個(gè)平臺(tái)上分布的虛擬機(jī)越多,未檢測(cè)到的Intrahost問題擴(kuò)散的風(fēng)險(xiǎn)也越大�����。事實(shí)上��,傳統(tǒng)的外部安全設(shè)施也都無(wú)法檢測(cè)Intrahost威脅。外部防火墻和其他安全工具無(wú)法檢查或控制Intrahost的交通��,因?yàn)樵谶@些通信中�����,信息包從不給主機(jī)以機(jī)會(huì)對(duì)有線基礎(chǔ)設(shè)施進(jìn)行深入檢測(cè)����。還有些問題雖在現(xiàn)實(shí)世界得到普遍關(guān)切,而在復(fù)雜的主機(jī)托管環(huán)境中卻淪為"陽(yáng)光照不到的角落"��。這些問題包括:外來(lái)的或可疑的Intrahost干擾偽裝成合法通信��,那意味著端口檢測(cè)�、病毒行為、或者其他惡意軟件;直接(被盯上的)或偶然的拒絕服務(wù)攻擊�����,這些攻擊由于CPU周期�、輸入/輸出資源、或者虛擬化網(wǎng)絡(luò)帶寬等問題���,會(huì)對(duì)其他客戶虛擬機(jī)造成影響�。
"單純從操作的角度看,'將所有的雞蛋放在同一個(gè)藍(lán)子里'�,風(fēng)險(xiǎn)會(huì)成倍增長(zhǎng),這與其說(shuō)與不斷增長(zhǎng)的威脅數(shù)量有關(guān)����,不如說(shuō)是因?yàn)镮T無(wú)能。" Neohapsis的西普雷表示����,同時(shí)他還補(bǔ)充說(shuō),這同早期存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)時(shí)代���,IT部門面臨的問題如出一轍。"多數(shù)組織可以通過在設(shè)計(jì)時(shí)加大容量��、迅速實(shí)現(xiàn)虛擬服務(wù)器的遷移����、以及不斷追加補(bǔ)丁等做法,管理這類風(fēng)險(xiǎn)����。"最后一條怎么反復(fù)強(qiáng)調(diào)也不為過。
"即使我認(rèn)為VMware在減少攻擊面方面干得漂亮,ESX/VI3仍然只是個(gè)源于Linux的操作系統(tǒng)��,也正基于此����,才需要給它打補(bǔ)丁。" 西普雷表示�����,"問題在于���,給ESX服務(wù)器打補(bǔ)丁這件事本身��,更加危險(xiǎn)��,對(duì)系統(tǒng)構(gòu)成的侵犯也更深入���,因?yàn)槟阃5舻牟恢皇且粋(gè)操作系統(tǒng),同時(shí)停止運(yùn)行的還有它管理的所有操作系統(tǒng)�����。"
值得慶幸的是�����,迄今為止出現(xiàn)的VMware產(chǎn)品的關(guān)鍵補(bǔ)丁少之又少。
在虛擬世界中求生存
現(xiàn)在�����,所有人都在視目以待�����,靜候危及虛擬機(jī)管理程序或者虛擬機(jī)監(jiān)視器安全的首個(gè)攻擊的產(chǎn)生����。要確保你的網(wǎng)絡(luò)沒有成為眾矢之的,就得對(duì)主機(jī)運(yùn)營(yíng)情況進(jìn)行密切監(jiān)測(cè)��,以將攻擊面降到最低�。在虛擬機(jī)管理程序或更高一層中找出第三方設(shè)備驅(qū)動(dòng)程序的位置��,以改善其性能�����,在降低安全風(fēng)險(xiǎn)的同時(shí)還要能承受輕微打擊��。
在主機(jī)平臺(tái)和客戶操作系統(tǒng)上關(guān)閉不必要的仿真設(shè)備、無(wú)關(guān)的特性和用不到的服務(wù)����。記住:虛擬機(jī)也是機(jī)器�����。盡管這點(diǎn)勿庸置疑����,但面對(duì)虛擬機(jī),IT部門仍需要拿出對(duì)待傳統(tǒng)服務(wù)器的勤奮與關(guān)切��,包括堅(jiān)持安全策略和指導(dǎo)方針在內(nèi)��。在我們的調(diào)查中�����,有36%的受訪者承認(rèn)�,他們尚未部署任何IT安全或者保護(hù)計(jì)劃;還有23%的人表示,其安全政策正在制定之中�����。由于有超過70%的受訪者已經(jīng)部署了至少一個(gè)主機(jī)平臺(tái),因此很明顯�,未打補(bǔ)丁或者未受保護(hù)的虛擬化服務(wù)器遲早會(huì)成為攻擊對(duì)象。
此外�,還要確保對(duì)安全設(shè)置、許可����、以及環(huán)境設(shè)置進(jìn)行恰如其分的配置,以使虛擬機(jī)能夠與新主機(jī)保持一致�����。盡管環(huán)境靈活性是VMware ESX等企業(yè)級(jí)產(chǎn)品的核心優(yōu)勢(shì)�����,但未經(jīng)詳細(xì)籌劃即匆忙轉(zhuǎn)移虛擬機(jī)的做法勢(shì)必會(huì)引火燒身���。
"在減少被攻擊面和整體暴露范圍方面����,我發(fā)現(xiàn)不少組織會(huì)將VMware管理工具從網(wǎng)絡(luò)的其余部分中移出�,并限定哪些人以及哪些程序擁有對(duì)此軟件的訪問權(quán)限�����。"西普雷分析道:"顯而易見,在數(shù)據(jù)中心內(nèi)建立防火墻是大勢(shì)所趨��,但這個(gè)結(jié)果并非單純是由VMware驅(qū)動(dòng)的�����。同時(shí)��,也有些更富進(jìn)取心的IT團(tuán)隊(duì)���,已開始思考在網(wǎng)絡(luò)分割方面推行'最低特權(quán)'模式的概念��,而且組織可以通過嚴(yán)格限制對(duì)VMware管理基礎(chǔ)設(shè)施的訪問權(quán)限�����,降低風(fēng)險(xiǎn)預(yù)測(cè)����。"
此外�����,西普雷還強(qiáng)調(diào)說(shuō),IT部門絕不能在需要強(qiáng)化的網(wǎng)絡(luò)區(qū)域部署虛擬化主機(jī)�����,比如�,允許ESX軟件將客戶虛擬機(jī)移入或移出隔離區(qū)。
檢測(cè)�����。還有些問題雖在現(xiàn)實(shí)世界得到普遍關(guān)切���,而在復(fù)雜的主機(jī)托管環(huán)境中卻淪為"陽(yáng)光照不到的角落"��。這些問題包括:外來(lái)的或可疑的Intrahost干擾偽裝成合法通信����,那意味著端口檢測(cè)�����、病毒行為���、或者其他惡意軟件;直接(被盯上的)或偶然的拒絕服務(wù)攻擊��,這些攻擊由于CPU周期�����、輸入/輸出資源�、或者虛擬化網(wǎng)絡(luò)帶寬等問題�,會(huì)對(duì)其他客戶虛擬機(jī)造成影響。
"單純從操作的角度看�,'將所有的雞蛋放在同一個(gè)藍(lán)子里',風(fēng)險(xiǎn)會(huì)成倍增長(zhǎng)����,這與其說(shuō)與不斷增長(zhǎng)的威脅數(shù)量有關(guān),不如說(shuō)是因?yàn)镮T無(wú)能��。" Neohapsis的西普雷表示����,同時(shí)他還補(bǔ)充說(shuō),這同早期存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)時(shí)代����,IT部門面臨的問題如出一轍。"多數(shù)組織可以通過在設(shè)計(jì)時(shí)加大容量、迅速實(shí)現(xiàn)虛擬服務(wù)器的遷移���、以及不斷追加補(bǔ)丁等做法����,管理這類風(fēng)險(xiǎn)����。"最后一條怎么反復(fù)強(qiáng)調(diào)也不為過。
"即使我認(rèn)為VMware在減少攻擊面方面干得漂亮�����,ESX/VI3仍然只是個(gè)源于Linux的操作系統(tǒng)�,也正基于此,才需要給它打補(bǔ)丁�����。" 西普雷表示�����,"問題在于���,給ESX服務(wù)器打補(bǔ)丁這件事本身����,更加危險(xiǎn),對(duì)系統(tǒng)構(gòu)成的侵犯也更深入���,因?yàn)槟阃5舻牟恢皇且粋(gè)操作系統(tǒng),同時(shí)停止運(yùn)行的還有它管理的所有操作系統(tǒng)����。"
值得慶幸的是,迄今為止出現(xiàn)的VMware產(chǎn)品的關(guān)鍵補(bǔ)丁少之又少��。
在虛擬世界中求生存
現(xiàn)在�����,所有人都在視目以待����,靜候危及虛擬機(jī)管理程序或者虛擬機(jī)監(jiān)視器安全的首個(gè)攻擊的產(chǎn)生。要確保你的網(wǎng)絡(luò)沒有成為眾矢之的����,就得對(duì)主機(jī)運(yùn)營(yíng)情況進(jìn)行密切監(jiān)測(cè),以將攻擊面降到最低。在虛擬機(jī)管理程序或更高一層中找出第三方設(shè)備驅(qū)動(dòng)程序的位置����,以改善其性能,在降低安全風(fēng)險(xiǎn)的同時(shí)還要能承受輕微打擊�。
在主機(jī)平臺(tái)和客戶操作系統(tǒng)上關(guān)閉不必要的仿真設(shè)備、無(wú)關(guān)的特性和用不到的服務(wù)���。記��。禾摂M機(jī)也是機(jī)器��。盡管這點(diǎn)勿庸置疑�,但面對(duì)虛擬機(jī)�����,IT部門仍需要拿出對(duì)待傳統(tǒng)服務(wù)器的勤奮與關(guān)切����,包括堅(jiān)持安全策略和指導(dǎo)方針在內(nèi)。在我們的調(diào)查中����,有36%的受訪者承認(rèn)����,他們尚未部署任何IT安全或者保護(hù)計(jì)劃;還有23%的人表示��,其安全政策正在制定之中����。由于有超過70%的受訪者已經(jīng)部署了至少一個(gè)主機(jī)平臺(tái),因此很明顯����,未打補(bǔ)丁或者未受保護(hù)的虛擬化服務(wù)器遲早會(huì)成為攻擊對(duì)象���。
此外����,還要確保對(duì)安全設(shè)置�����、許可��、以及環(huán)境設(shè)置進(jìn)行恰如其分的配置��,以使虛擬機(jī)能夠與新主機(jī)保持一致。盡管環(huán)境靈活性是VMware ESX等企業(yè)級(jí)產(chǎn)品的核心優(yōu)勢(shì)���,但未經(jīng)詳細(xì)籌劃即匆忙轉(zhuǎn)移虛擬機(jī)的做法勢(shì)必會(huì)引火燒身�。
"在減少被攻擊面和整體暴露范圍方面��,我發(fā)現(xiàn)不少組織會(huì)將VMware管理工具從網(wǎng)絡(luò)的其余部分中移出�,并限定哪些人以及哪些程序擁有對(duì)此軟件的訪問權(quán)限。"西普雷分析道:"顯而易見�,在數(shù)據(jù)中心內(nèi)建立防火墻是大勢(shì)所趨,但這個(gè)結(jié)果并非單純是由VMware驅(qū)動(dòng)的�����。同時(shí)���,也有些更富進(jìn)取心的IT團(tuán)隊(duì)���,已開始思考在網(wǎng)絡(luò)分割方面推行'最低特權(quán)'模式的概念,而且組織可以通過嚴(yán)格限制對(duì)VMware管理基礎(chǔ)設(shè)施的訪問權(quán)限�,降低風(fēng)險(xiǎn)預(yù)測(cè)。"
此外�����,西普雷還強(qiáng)調(diào)說(shuō),IT部門絕不能在需要強(qiáng)化的網(wǎng)絡(luò)區(qū)域部署虛擬化主機(jī)�����,比如�,允許ESX軟件將客戶虛擬機(jī)移入或移出隔離區(qū)。
檢測(cè)�����。還有些問題雖在現(xiàn)實(shí)世界得到普遍關(guān)切����,而在復(fù)雜的主機(jī)托管環(huán)境中卻淪為"陽(yáng)光照不到的角落"����。這些問題包括:外來(lái)的或可疑的Intrahost干擾偽裝成合法通信,那意味著端口檢測(cè)����、病毒行為、或者其他惡意軟件;直接(被盯上的)或偶然的拒絕服務(wù)攻擊���,這些攻擊由于CPU周期��、輸入/輸出資源����、或者虛擬化網(wǎng)絡(luò)帶寬等問題,會(huì)對(duì)其他客戶虛擬機(jī)造成影響�。
"單純從操作的角度看,'將所有的雞蛋放在同一個(gè)藍(lán)子里'���,風(fēng)險(xiǎn)會(huì)成倍增長(zhǎng)�,這與其說(shuō)與不斷增長(zhǎng)的威脅數(shù)量有關(guān)���,不如說(shuō)是因?yàn)镮T無(wú)能��。" Neohapsis的西普雷表示����,同時(shí)他還補(bǔ)充說(shuō)�����,這同早期存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)時(shí)代�,IT部門面臨的問題如出一轍。"多數(shù)組織可以通過在設(shè)計(jì)時(shí)加大容量��、迅速實(shí)現(xiàn)虛擬服務(wù)器的遷移、以及不斷追加補(bǔ)丁等做法����,管理這類風(fēng)險(xiǎn)。"最后一條怎么反復(fù)強(qiáng)調(diào)也不為過��。
"即使我認(rèn)為VMware在減少攻擊面方面干得漂亮�,ESX/VI3仍然只是個(gè)源于Linux的操作系統(tǒng),也正基于此�����,才需要給它打補(bǔ)丁��。" 西普雷表示,"問題在于,給ESX服務(wù)器打補(bǔ)丁這件事本身�,更加危險(xiǎn)���,對(duì)系統(tǒng)構(gòu)成的侵犯也更深入�,因?yàn)槟阃5舻牟恢皇且粋(gè)操作系統(tǒng),同時(shí)停止運(yùn)行的還有它管理的所有操作系統(tǒng)����。"
值得慶幸的是��,迄今為止出現(xiàn)的VMware產(chǎn)品的關(guān)鍵補(bǔ)丁少之又少�。
在虛擬世界中求生存
現(xiàn)在�,所有人都在視目以待,靜候危及虛擬機(jī)管理程序或者虛擬機(jī)監(jiān)視器安全的首個(gè)攻擊的產(chǎn)生��。要確保你的網(wǎng)絡(luò)沒有成為眾矢之的���,就得對(duì)主機(jī)運(yùn)營(yíng)情況進(jìn)行密切監(jiān)測(cè)�,以將攻擊面降到最低��。在虛擬機(jī)管理程序或更高一層中找出第三方設(shè)備驅(qū)動(dòng)程序的位置����,以改善其性能,在降低安全風(fēng)險(xiǎn)的同時(shí)還要能承受輕微打擊�。
在主機(jī)平臺(tái)和客戶操作系統(tǒng)上關(guān)閉不必要的仿真設(shè)備、無(wú)關(guān)的特性和用不到的服務(wù)��。記�����。禾摂M機(jī)也是機(jī)器。盡管這點(diǎn)勿庸置疑���,但面對(duì)虛擬機(jī)�,IT部門仍需要拿出對(duì)待傳統(tǒng)服務(wù)器的勤奮與關(guān)切����,包括堅(jiān)持安全策略和指導(dǎo)方針在內(nèi)。在我們的調(diào)查中�,有36%的受訪者承認(rèn),他們尚未部署任何IT安全或者保護(hù)計(jì)劃;還有23%的人表示��,其安全政策正在制定之中��。由于有超過70%的受訪者已經(jīng)部署了至少一個(gè)主機(jī)平臺(tái)���,因此很明顯��,未打補(bǔ)丁或者未受保護(hù)的虛擬化服務(wù)器遲早會(huì)成為攻擊對(duì)象�。
此外�����,還要確保對(duì)安全設(shè)置��、許可��、以及環(huán)境設(shè)置進(jìn)行恰如其分的配置�,以使虛擬機(jī)能夠與新主機(jī)保持一致。盡管環(huán)境靈活性是VMware ESX等企業(yè)級(jí)產(chǎn)品的核心優(yōu)勢(shì)���,但未經(jīng)詳細(xì)籌劃即匆忙轉(zhuǎn)移虛擬機(jī)的做法勢(shì)必會(huì)引火燒身���。
"在減少被攻擊面和整體暴露范圍方面,我發(fā)現(xiàn)不少組織會(huì)將VMware管理工具從網(wǎng)絡(luò)的其余部分中移出�,并限定哪些人以及哪些程序擁有對(duì)此軟件的訪問權(quán)限。"西普雷分析道:"顯而易見��,在數(shù)據(jù)中心內(nèi)建立防火墻是大勢(shì)所趨�,但這個(gè)結(jié)果并非單純是由VMware驅(qū)動(dòng)的。同時(shí)��,也有些更富進(jìn)取心的IT團(tuán)隊(duì)����,已開始思考在網(wǎng)絡(luò)分割方面推行'最低特權(quán)'模式的概念,而且組織可以通過嚴(yán)格限制對(duì)VMware管理基礎(chǔ)設(shè)施的訪問權(quán)限��,降低風(fēng)險(xiǎn)預(yù)測(cè)���。"
此外��,西普雷還強(qiáng)調(diào)說(shuō)�����,IT部門絕不能在需要強(qiáng)化的網(wǎng)絡(luò)區(qū)域部署虛擬化主機(jī)��,比如�����,允許ESX軟件將客戶虛擬機(jī)移入或移出隔離區(qū)���。
更多相關(guān):
投影機(jī)
|
文章來(lái)源:中國(guó)投影網(wǎng)
|
|
|
|
|
|
| |
|
|
|
|
