數(shù)據(jù)中心虛擬化是指利用虛擬化技術(shù)構(gòu)建基礎(chǔ)設(shè)施池,主要包括計(jì)算��、存儲和網(wǎng)絡(luò)3種資源����。數(shù)據(jù)中心虛擬化后不再獨(dú)立地看待某臺設(shè)備和鏈路,而是計(jì)算����、存儲和網(wǎng)絡(luò)的深度融合,當(dāng)作按需分配的整體資源來對待�。從主機(jī)等計(jì)算資源角度看,數(shù)據(jù)中心虛擬化包含多合一�����、一分多2個方向��,都提供了計(jì)算資源按需調(diào)度的手段��。存儲虛擬化的核心就是實(shí)現(xiàn)物理存儲設(shè)備到單一邏輯資源池的映射��,是為了便于應(yīng)用和服務(wù)進(jìn)行數(shù)據(jù)管理��,對存儲子系統(tǒng)或存儲服務(wù)進(jìn)行的內(nèi)部功能抽象、隱藏和隔離的行為��。在現(xiàn)代信息技術(shù)中�,虛擬化技術(shù)以其對資源的高效整合、提高硬件資源利用率����、節(jié)省能源���、節(jié)約投資等優(yōu)點(diǎn)而得到廣泛應(yīng)用��。但虛擬化技術(shù)在為用戶帶來利益的同時����,也對用戶的數(shù)據(jù)安全和基礎(chǔ)架構(gòu)提出了新的要求�。如何在安全的范疇使用虛擬化技術(shù),成為迫在眉睫需要解決的問題�。因此,筆者對虛擬化數(shù)據(jù)中心的安全設(shè)計(jì)進(jìn)行研究�����。 四個方面說明數(shù)據(jù)中心安全風(fēng)險(xiǎn)問題: 1��、高資源利用率帶來的風(fēng)險(xiǎn)集中 通過虛擬化技術(shù),提高了服務(wù)器的利用效率和靈活性�����,也導(dǎo)致服務(wù)器負(fù)載過重���,運(yùn)行性能下降���。虛擬化后多個應(yīng)用集中在1臺服務(wù)器上,當(dāng)物理服務(wù)器出現(xiàn)重大硬件故障是更嚴(yán)重的風(fēng)險(xiǎn)集中問題��。虛擬化的本質(zhì)是應(yīng)用只與虛擬層交互�,而與真正的硬件隔離,這將導(dǎo)致安全管理人員看不到設(shè)備背后的安全風(fēng)險(xiǎn)����,服務(wù)器變得更加不固定和不穩(wěn)定。 2��、網(wǎng)絡(luò)架構(gòu)改變帶來的安全風(fēng)險(xiǎn) 虛擬化技術(shù)改變了網(wǎng)絡(luò)結(jié)構(gòu)��,引發(fā)新的安全風(fēng)險(xiǎn)��。在部署虛擬化技術(shù)之前,可在防火墻上建立多個隔離區(qū)�����,對不同的物理服務(wù)器采用不同的訪問控制規(guī)則��,可有效保證攻擊限制在一個隔離區(qū)內(nèi)��,在部署虛擬化技術(shù)后����,一臺虛擬機(jī)失效,可能通過網(wǎng)絡(luò)將安全問題擴(kuò)散到其他虛擬機(jī)����。 3��、虛擬機(jī)脫離物理安全監(jiān)管的風(fēng)險(xiǎn) 1臺物理機(jī)上可以創(chuàng)建多個虛擬機(jī)�,且可以隨時創(chuàng)建,也可被下載到桌面系統(tǒng)上���,常駐內(nèi)存�,可以脫離物理安全監(jiān)管的范疇����。很多安全標(biāo)準(zhǔn)是依賴于物理環(huán)境發(fā)揮作用的����,外部的防火墻和異常行為監(jiān)測等都需要物理服務(wù)器的網(wǎng)絡(luò)流量���,有時虛擬化會繞過安全措施�����。存在異構(gòu)存儲平臺的無法統(tǒng)一安全監(jiān)控和無法有效資源隔離的風(fēng)險(xiǎn)��。 4�����、虛擬環(huán)境的安全風(fēng)險(xiǎn) 1)黑客攻擊��。 控制了管理層的黑客會控制物理服務(wù)器上的所有虛擬機(jī)����,而管理程序上運(yùn)行的任何操作系統(tǒng)都很難偵測到流氓軟件等的威脅���。 2)虛擬機(jī)溢出��。 虛擬機(jī)溢出的漏洞會導(dǎo)致黑客威脅到特定的虛擬機(jī)����,將黑客攻擊從虛擬服務(wù)器升級到控制底層的管理程序。 3)虛擬機(jī)跳躍�����。 虛擬機(jī)跳躍會允許攻擊從一個虛擬機(jī)跳轉(zhuǎn)到同一個物理硬件上運(yùn)行的其它虛擬服務(wù)器�����。 4)補(bǔ)丁安全風(fēng)險(xiǎn)�。 物理服務(wù)器上安裝多個虛擬機(jī)后,每個虛擬服務(wù)器都需要定期進(jìn)行補(bǔ)丁更新���、維護(hù)�����,大量的打補(bǔ)丁工作會導(dǎo)致不能及時補(bǔ)漏而產(chǎn)生安全威脅。安全研究人員在虛擬化軟件發(fā)現(xiàn)了嚴(yán)重的安全漏洞���,即可通過虛擬機(jī)在主機(jī)上執(zhí)行惡意代碼����。黑客還可以利用虛擬化技術(shù)隱藏病毒和惡意軟件的蹤跡。
..
|
