數(shù)據(jù)中心虛擬化是指利用虛擬化技術(shù)構(gòu)建基礎(chǔ)設(shè)施池�����,主要包括計(jì)算�����、存儲(chǔ)和網(wǎng)絡(luò)3種資源���。數(shù)據(jù)中心虛擬化后不再獨(dú)立地看待某臺(tái)設(shè)備和鏈路,而是計(jì)算���、存儲(chǔ)和網(wǎng)絡(luò)的深度融合���,當(dāng)作按需分配的整體資源來(lái)對(duì)待���。從主機(jī)等計(jì)算資源角度看,數(shù)據(jù)中心虛擬化包含多合一����、一分多2個(gè)方向,都提供了計(jì)算資源按需調(diào)度的手段���。存儲(chǔ)虛擬化的核心就是實(shí)現(xiàn)物理存儲(chǔ)設(shè)備到單一邏輯資源池的映射�,是為了便于應(yīng)用和服務(wù)進(jìn)行數(shù)據(jù)管理�,對(duì)存儲(chǔ)子系統(tǒng)或存儲(chǔ)服務(wù)進(jìn)行的內(nèi)部功能抽象、隱藏和隔離的行為����。在現(xiàn)代信息技術(shù)中,虛擬化技術(shù)以其對(duì)資源的高效整合�、提高硬件資源利用率����、節(jié)省能源、節(jié)約投資等優(yōu)點(diǎn)而得到廣泛應(yīng)用����。但虛擬化技術(shù)在為用戶帶來(lái)利益的同時(shí)�,也對(duì)用戶的數(shù)據(jù)安全和基礎(chǔ)架構(gòu)提出了新的要求����。如何在安全的范疇使用虛擬化技術(shù),成為迫在眉睫需要解決的問(wèn)題��。因此���,筆者對(duì)虛擬化數(shù)據(jù)中心的安全設(shè)計(jì)進(jìn)行研究����。 四個(gè)方面說(shuō)明數(shù)據(jù)中心安全風(fēng)險(xiǎn)問(wèn)題: 1���、高資源利用率帶來(lái)的風(fēng)險(xiǎn)集中 通過(guò)虛擬化技術(shù)�,提高了服務(wù)器的利用效率和靈活性��,也導(dǎo)致服務(wù)器負(fù)載過(guò)重�,運(yùn)行性能下降。虛擬化后多個(gè)應(yīng)用集中在1臺(tái)服務(wù)器上�����,當(dāng)物理服務(wù)器出現(xiàn)重大硬件故障是更嚴(yán)重的風(fēng)險(xiǎn)集中問(wèn)題。虛擬化的本質(zhì)是應(yīng)用只與虛擬層交互���,而與真正的硬件隔離���,這將導(dǎo)致安全管理人員看不到設(shè)備背后的安全風(fēng)險(xiǎn),服務(wù)器變得更加不固定和不穩(wěn)定����。 2、網(wǎng)絡(luò)架構(gòu)改變帶來(lái)的安全風(fēng)險(xiǎn) 虛擬化技術(shù)改變了網(wǎng)絡(luò)結(jié)構(gòu)���,引發(fā)新的安全風(fēng)險(xiǎn)�����。在部署虛擬化技術(shù)之前�,可在防火墻上建立多個(gè)隔離區(qū)����,對(duì)不同的物理服務(wù)器采用不同的訪問(wèn)控制規(guī)則,可有效保證攻擊限制在一個(gè)隔離區(qū)內(nèi)�,在部署虛擬化技術(shù)后�����,一臺(tái)虛擬機(jī)失效,可能通過(guò)網(wǎng)絡(luò)將安全問(wèn)題擴(kuò)散到其他虛擬機(jī)�����。 3��、虛擬機(jī)脫離物理安全監(jiān)管的風(fēng)險(xiǎn) 1臺(tái)物理機(jī)上可以創(chuàng)建多個(gè)虛擬機(jī)��,且可以隨時(shí)創(chuàng)建�,也可被下載到桌面系統(tǒng)上,常駐內(nèi)存����,可以脫離物理安全監(jiān)管的范疇。很多安全標(biāo)準(zhǔn)是依賴于物理環(huán)境發(fā)揮作用的��,外部的防火墻和異常行為監(jiān)測(cè)等都需要物理服務(wù)器的網(wǎng)絡(luò)流量���,有時(shí)虛擬化會(huì)繞過(guò)安全措施��。存在異構(gòu)存儲(chǔ)平臺(tái)的無(wú)法統(tǒng)一安全監(jiān)控和無(wú)法有效資源隔離的風(fēng)險(xiǎn)����。 4、虛擬環(huán)境的安全風(fēng)險(xiǎn) 1)黑客攻擊�����。 控制了管理層的黑客會(huì)控制物理服務(wù)器上的所有虛擬機(jī)�,而管理程序上運(yùn)行的任何操作系統(tǒng)都很難偵測(cè)到流氓軟件等的威脅。 2)虛擬機(jī)溢出����。 虛擬機(jī)溢出的漏洞會(huì)導(dǎo)致黑客威脅到特定的虛擬機(jī),將黑客攻擊從虛擬服務(wù)器升級(jí)到控制底層的管理程序��。 3)虛擬機(jī)跳躍����。 虛擬機(jī)跳躍會(huì)允許攻擊從一個(gè)虛擬機(jī)跳轉(zhuǎn)到同一個(gè)物理硬件上運(yùn)行的其它虛擬服務(wù)器。 4)補(bǔ)丁安全風(fēng)險(xiǎn)�����。 物理服務(wù)器上安裝多個(gè)虛擬機(jī)后����,每個(gè)虛擬服務(wù)器都需要定期進(jìn)行補(bǔ)丁更新、維護(hù)�����,大量的打補(bǔ)丁工作會(huì)導(dǎo)致不能及時(shí)補(bǔ)漏而產(chǎn)生安全威脅�。安全研究人員在虛擬化軟件發(fā)現(xiàn)了嚴(yán)重的安全漏洞,即可通過(guò)虛擬機(jī)在主機(jī)上執(zhí)行惡意代碼�����。黑客還可以利用虛擬化技術(shù)隱藏病毒和惡意軟件的蹤跡�����。
..
|
