一定要在物理VM服务器分段 一些客户机需要处理敏感数据,比如信用卡或者受到保护的健康资料。而其它客户机不需要处理这些。千万不要让这两种VM共享相同的硬件。 为什么分割至关重要,可以询问Tavis Ormandy。
去年夏天,Ormandy发行一份叫做”iofuzz”的文件,对虚拟化安全进行了深入研究。”iofuzz”是一个工具,可以发现漏洞,尤其是他所测试的虚拟计算机系统管理程序中的漏洞。当谈到虚拟化,他说:“x86很难恢复正常。” 对于Ormandy而言,很难把这种观念推广开来:与安全地操作系统内核相比,开发者编写安全的系统管理程序,更为……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
一定要在物理VM服务器分段
一些客户机需要处理敏感数据,比如信用卡或者受到保护的健康资料。而其它客户机不需要处理这些。千万不要让这两种VM共享相同的硬件。
为什么分割至关重要,可以询问Tavis Ormandy。去年夏天,Ormandy发行一份叫做"iofuzz"的文件,对虚拟化安全进行了深入研究。"iofuzz"是一个工具,可以发现漏洞,尤其是他所测试的虚拟计算机系统管理程序中的漏洞。当谈到虚拟化,他说:“x86很难恢复正常。” 对于Ormandy而言,很难把这种观念推广开来:与安全地操作系统内核相比,开发者编写安全的系统管理程序,更为容易一些。这样的话,看起来似乎需要十年多才能锁定Windows。
系统管理程序漏洞是什么意思呢?其实是这样的:可以访问你的任何一个VM的人就可以“越狱”,攻入到主机,并且威胁到其它机算机的安全。这难道不是一个足够充分的理由,让我们务必保证敏感的VM与测试VM处于分开的硬件上吗?
此外,越狱式漏洞并非问题的终点。考虑一下你为了保护数据中心设置的适当的网络安全机制。或者还是不要,因为当信息流在相同硬件上的客户主机之间的“虚拟交换器”上传输时,所有的网络安全机制均不起作用。Hoff说:“今天的虚拟交换器尽力复制高可用性的网络安全,确实导致了令人厌烦的性能和实用性问题。”
那您应该做些什么呢?答案从技术上来说是简单的,但是实施起来比较难。企业需要指出其安全域是什么,了解其最敏感的数据是什么。然后,处理这些敏感数据的计算机需要处于隔离的硬件上,不论这样做是不是高效率的。
相关推荐
-
使用虚拟软件会增加企业风险吗?
虚拟化不是新概念,对它的使用也不断感兴趣。虚拟化IT架构可以增加系统的实用性和灵活性,而且它对资源的有效利用可以降低成本。那么虚拟化的使用会增加企业的风险吗?
-
服务器虚拟化安全注意事项(五)
在虚拟化解决为我们解决这些问题之前,我们已经面对一些需要克服的问题。保障虚拟化隐患需要注意些什么呢?本文是第五部分:不要因为虚拟化恶意软件而熬夜……
-
服务器虚拟化安全注意事项(四)
在虚拟化解决为我们解决这些问题之前,我们已经面对一些需要克服的问题。保障虚拟化隐患需要注意些什么呢?本文是第四部分:一定要仔细慎重地考虑选择虚拟化安全产品……
-
服务器虚拟化安全
从现在起,五年以后,几乎没有一家企业会使用“真正的”计算机。虚拟软件将会截取并模拟数据库、网络应用程序或者文件共享所能进行的一切工作,允许一个机架安装服务器起到10台服务器的作用。虚拟化是必然的;自IP网络以来,它是IT业最重要的新势力。对这一趋势带来的影响,安全专家如果有一种挥之不去的恐惧感,他们应该得到原谅。在内部网络中,虚拟化正重新绘制分布图;硬件以及网络过滤曾经将服务器和应用程序分离,虚拟化可以把它们集中到同一个刀片服务器上。影响深远的变化的到来不会没有安全挑战。