虚拟化恐成木马温床 期待核心安全工具服务器在线

日期: 2008-05-26 来源:TechTarget中国

  在虚拟化完全融入企业基础架构时,桌面虚拟化和服务器输入/输出所带来的问题才算真正解决。但是随着虚拟化的普及,虚拟安全变得越来越重要,因为黑客可以找到一条路径以便从虚拟机进入系统管理程序、开启敏感数据、信息通路,这样整个系统资源就遭到了攻击。


  风险中的系统管理程序


  Core Security Technologies是一家网络安全软件公司,今年在其实验室中展示了上述过程如何实现。Vmware客户虚拟化软件,包括VMware Player、VMware ACE、和VMware Workstation, 都有Shared Folder功能–即在系统管理程序上写入文件,而其他客户可以共享这一文件内容。Core Security的工程师说,在某些情况下,shared folder可用来在系统管理程序中培养一个病毒或Trojan程序。在安全问题显示出来后,Vmware给客户提出一项核心的安全建议。


  Vmware发布了VMsafe API–可使第三方安全供应商构建监控和保护系统管理程序。二十个供应商当前正致力于采用VMsafe API进行虚拟安全产品的研发。其中一家企业是Apani Networks,其开发了一种方法来扩展安全范围–其EpiForce产品创建于企业网络、可给运行中的虚拟机提供服务。EpiForce对企业网络进行了细分并给每个细分部分设定了一个安全区域级别。这就通过审核用户级别而给虚拟机赋予一个更确定的细分安全等级;同时需要对来自存储敏感数据的虚拟机数据进行加密。


  公司首席技术主管George Tehrani说,Apani正致力于实现EpiForce的动态管理,目的是实现虚拟机在创建时即被安排在适宜的安全范围。Vmware的VMsafe API使得Apani给于了Virtual Infrastructure 3控制台分配EpiForce安全政策以及与其他管理功能一起升级的功能。Vmsafe将整合管理控制台,这同时节约了时间和成本。除了Infrastructure 3控制台和一个安全控制台,所有功能也将由Infrastructure 3进行管理。


  Symantec公司的知名工程师Bruce McCorkendale说,Vmware的安全API很有用。创建监控系统管理程序的安全产品给予安全软件制造商更大的权利。公司网络从访问许可角度来看很易受到攻击,任何可以设定或者骗取一个管理员身份的人均可对网络进行访问。系统管理程序的全景管理(hypervisor perspective)更像是一个位于塔楼上的检测者,他可以在任何人发现他之前发现进入者。


  McCorkendale说,通过系统管理程序,安全专家可以用虚拟机提供完整的仪器等级,这种隔离和监控方式很难采用物理服务器来实现。


  哪台虚拟机是可信的


  Citrix,XenSource的拥有者尚未有VMsafe-type计划,但是其系统管理程序Xen包含了源自IBM虚拟化经验的安全功能。IBM研究中心生产了sHype系统管理程序安全套装,同时将其赠与Xen开房源码项目;sHype已经被配置在Xen和Citrix的产品中。


  装配了sHype的系统管理程序可知晓哪台虚拟机是可信任、可进行数据共享的,而哪台不行。Shype控制了虚拟机组件,记录了标明正确结构的唯一指纹,同时可检测结构的其他变更。如果结构没有发生变化,那么这就是可信任的资源。


  如果给一个正在运行中的应用软件突然增加部分新功能,由于一个入侵者或者其他原因,Shype会检测到这一改变同时将其自身变为不可信组件。运行虚拟机的客户操作系统同理。通常操作系统是入侵者进行攻击的路径。


  IBM Research高级经理Ron Perez说,”我们利用可信任组件技术来测量运行组件的可信性。”当有虚拟机出现问题时,系统管理程序将被告知那一台虚拟机是可信的。接着系统管理程序会进行监视以确保其他的虚拟机仍为可信状态。


  sHype在一个管理控制台上展示了可与其他同样颜色虚拟机进行对话的虚拟机。Perez说,”一台蓝色的虚拟机可以和其他蓝色的虚拟机进行对话,但是一台蓝色的虚拟机绝对不能和一台红色的虚拟机对话。”这一方法可以确保隔离。


  Vmsafe是sHype所信赖的处理理念,与其他测量方式一起确保了虚拟化技术在企业的普及,并且,随着合理的管理方式出台,其普及速度将更快。由于虚拟化桌面与数据中心的虚拟服务器相连,因此确保基础设施的每个部分都与其他部分协同运行以及有效地管理非常重要。


  如果采用了其他方法,那么Forrester Research将采用”tipping point”战略,而非所称的虚拟化将迅速普及,这样情况就完全不同了。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 传统网络边界消弭,企业安全需从IT架构建起

    随着云计算、移动化等技术的发展,企业网络边界变得模糊,传统的边界安全无法再很好地保护企业安全,为此,企业需要转变防御观念,从架构角度出发建立起新的IT安全架构,以应对无处不在的网络威胁。

  • 为何我们要检查SSL流量?

    数据流量加密是否有利于网络安全?某种程度上来说,的确如此。然而美好的事物往往都是鱼和熊掌不可兼得,为提高安全性而牺牲应用性能是我们需要避免的事情……

  • 对于企业来说,自加密驱动器是好的选择吗?

    加密敏感数据是信息安全的关键要素,因为这可确保企业信息的保密性。然而,大多数用户发现很难部署加密,并且,企业管理员通常难以对所有用户设备执行加密。而自加密驱动器和设备正是这些加密问题的潜在解决方案……

  • 汇总:虚拟环境下的网络安全模式

    企业考虑虚拟环境中企业网络安全时,或者使用虚拟化来提供安全服务时,可以选择物理设备模式、虚拟设备模式或者组合模式。