虛擬化安全指南-淺談CSA安全指南第三版之第13域
雲安全聯盟近期發佈了雲安全指南第三版,相對於2009年末發佈的2.1版,這個版本對雲安全的論述更全面,更精確。內容從76頁增長到了177頁,還增長了一個域:安全即服務。
本人目前專一的領域是虛擬化與雲計算,所以特別關注安全指南的第13部分(虛擬化)和第14部分(安全即服務),今天先來談談第13部分,與你們交流一下虛擬化基礎架構的安全性問題。
虛擬化是IaaS的基礎,在公有云與私有云中都有普遍應用,隨着雲計算時代的到來,愈來愈多的企業開始大規模應用虛擬化技術,服務器虛擬化與桌面虛擬化是兩個主要的應用領域。
虛擬化的好處不少,能夠經過服務器整合,多租戶共享來提升資源利用率,下降成本;能夠經過自動化來提升敏捷性,下降維護工做量,實現零接觸式管理。
隨 着虛擬化技術的應用愈來愈普遍,虛擬化平臺的安全性也開始引發人們的關注,從架構上來講,虛擬化在傳統IT架構的基礎上增長了虛擬化層,勢必會引入新的安 全風險,虛擬化靈活便利,在提升效率的同時也會帶來安全挑戰,咱們必須瞭解,正視並解決與虛擬化平臺相關的安全性問題,以保證企業虛擬化與雲計算戰略的順 利實施。
與虛擬化架構相關的主要安全性問題總結:
1,虛擬化層安全性(Hypervisor Security)
從安全的角度看,虛擬化層的引入,會增長安全風險,所以,咱們必須對虛擬化層自己的安全性加以特別關注。安全性較高的虛擬化層應該具有下述特徵:
a,Hypervisor要精簡,越精簡則存在漏洞的可能性越小,***面越小,安全性越高。
b,專用系統的安全性高於通用系統。
c,系統自己要提供如防火牆一類的安全防禦技術。
d,Hypervisor要有完善的驗證,受權與審計功能。
2,虛擬機整固(VM Guest Hardening)
有了虛擬化技術,咱們能夠經過模板來置備虛擬機,經過快照來恢復虛擬機狀態,這些操做點點鼠標,瞬間便可完成,IT流程受此影響,都會有較大的變化。就此部分而言,咱們須要注意如下安全性問題:
a,虛擬機模板建立以後,就不多更新了,並且基本上是不開機的,咱們須要特別注意模板的合規性與安全性,由於生產虛擬機都是基於模板建立出來的。
b,生產系統的變動會更頻繁,所以須要經過技術手段持續保證Guest OS的健康。
c,虛擬化軟件自己若是可以爲虛擬機提供防病毒,防火牆,***檢測,配置管理,補丁管理等功能,將對虛擬機保護提供極大的便利。
3,虛擬機之間的***行爲及監控盲點(Inter-VM Attacks and Blind Spots)
虛擬化對網絡安全的影響巨大,傳統的安全技術和產品一樣能夠應用於虛擬化平臺,但其保護能力可能不足,有必要對其進行改良以知足虛擬化平臺的安全需求。
a,採用傳統的物理安全設備,可能沒法對虛擬機和虛擬機之間的流量進行監控。
b,虛擬化平臺一般提供在線漂移技術,也提供高可用保護功能,虛擬機的動態變化給安全防禦出了難題,安全防禦系統若是不能自動適應這種變化,將極大地增長管理難度。
c,在虛擬機內部部署主機防火牆能夠解決上述問題,可是會增長管理難度,影響虛擬機性能。
d,虛擬化廠商與安全廠商一塊兒合做,虛擬化廠商提供驅動與接口供安全廠商使用,也是一種手段。
e,業界的趨勢是採用虛擬的安全設備代替物理的安全設備,能夠有效解決上述問題。
4,對虛擬化平臺性能的擔心(Performance Concerns)
虛擬化在成本節省,簡化管理方面效果顯著,可是用戶廣泛擔憂虛擬化平臺的性能可否知足應用的需求,特別是高峯時段的性能需求。對於性能方面,咱們須要關注如下幾個方面:
a,選擇好的Hypervisor很關鍵,要充分了解並比較虛擬化層的開銷,損耗,資源管理機制等。
b,科學決定整合比,整合比太低,則資源利用率不高,整合比太高,則可能致使性能問題。
c,合理配置物理機的硬件資源,內存和存儲一般是影響虛擬化平臺性能的關鍵點。搭配虛擬機,以提升整合比和利用率。
d,虛擬化層要有嚴格的資源分配控制,有效防止「鄰位干擾」,要保證在任何狀況下,虛擬節點都不能超限額使用CPU,內存,存儲及網絡資源。
e,要有良好的在線資源調配手段,確保在擴容和調配資源時不會致使計劃內停機。
f,要有好的監控手段,及時發現性能問題,快速解決性能問題。
5,虛擬機加密(VM Encryption)
虛擬化技術把計算環境轉化成了一堆文件,從而使咱們能夠很方便地管理和使用虛擬機,可是同時也帶來了安全性問題,虛擬機中的數據可能更容易竊取。
最 有效的手段就是虛擬機加密,實時加密比較有效,可是會在必定程度上影響性能,能夠有選擇地應用這一技術,對於那些須要較高安全性的系統,性能上的犧牲是值 得的。如High Cloud Security的解決方案(http://www.highcloudsecurity.com/)。
也能夠採用磁盤加密技術,如AlterBoot的解決方案(http://www.alertboot.com/)。
此外,還應該有虛擬機數據銷燬(VM Data Destruction)機制,靠虛擬機粉碎機完全清除虛擬機文件數據,以避免形成數據的泄露。
6,數據的混合(Data Comingling) 傳統IT架構下,網絡被分隔爲多個相互獨立的安全區域,不一樣區域採用不一樣的安全策略,區域之間的訪問被嚴格控制。虛擬化平臺,區域的劃分面對挑戰,爲了保證系統和數據的安全,咱們須要關注: a,物理邊界(Air Gap)消失,爲了保證安全,須要劃分邏輯邊界的有效手段。 b,安全性與合規性保證技術要可以識別邏輯邊界,要保證能夠隨時根據業務或部門的不一樣將虛擬機劃分到相應的區域,而且可以爲不一樣的邏輯分區應用不一樣的安全策略。 c,當虛擬機的安全情況發生變化(如感染病毒或合規性發生改變等)時,應該將虛擬機置於特定的隔離區域,以保證平臺中其它系統的安全。 [完]
本人目前專一的領域是虛擬化與雲計算,所以特別關注安全指南的第13部分(虛擬化)和第14部分(安全即服務),今天先來談談第13部分,與你們交流一下虛擬化基礎架構的安全性問題。
虛擬化是IaaS的基礎,在公有云與私有云中都有普遍應用,隨着雲計算時代的到來,愈來愈多的企業開始大規模應用虛擬化技術,服務器虛擬化與桌面虛擬化是兩個主要的應用領域。
虛擬化的好處不少,能夠經過服務器整合,多租戶共享來提升資源利用率,下降成本;能夠經過自動化來提升敏捷性,下降維護工做量,實現零接觸式管理。
隨 着虛擬化技術的應用愈來愈普遍,虛擬化平臺的安全性也開始引發人們的關注,從架構上來講,虛擬化在傳統IT架構的基礎上增長了虛擬化層,勢必會引入新的安 全風險,虛擬化靈活便利,在提升效率的同時也會帶來安全挑戰,咱們必須瞭解,正視並解決與虛擬化平臺相關的安全性問題,以保證企業虛擬化與雲計算戰略的順 利實施。
與虛擬化架構相關的主要安全性問題總結:
1,虛擬化層安全性(Hypervisor Security)
從安全的角度看,虛擬化層的引入,會增長安全風險,所以,咱們必須對虛擬化層自己的安全性加以特別關注。安全性較高的虛擬化層應該具有下述特徵:
a,Hypervisor要精簡,越精簡則存在漏洞的可能性越小,***面越小,安全性越高。
b,專用系統的安全性高於通用系統。
c,系統自己要提供如防火牆一類的安全防禦技術。
d,Hypervisor要有完善的驗證,受權與審計功能。
2,虛擬機整固(VM Guest Hardening)
有了虛擬化技術,咱們能夠經過模板來置備虛擬機,經過快照來恢復虛擬機狀態,這些操做點點鼠標,瞬間便可完成,IT流程受此影響,都會有較大的變化。就此部分而言,咱們須要注意如下安全性問題:
a,虛擬機模板建立以後,就不多更新了,並且基本上是不開機的,咱們須要特別注意模板的合規性與安全性,由於生產虛擬機都是基於模板建立出來的。
b,生產系統的變動會更頻繁,所以須要經過技術手段持續保證Guest OS的健康。
c,虛擬化軟件自己若是可以爲虛擬機提供防病毒,防火牆,***檢測,配置管理,補丁管理等功能,將對虛擬機保護提供極大的便利。
3,虛擬機之間的***行爲及監控盲點(Inter-VM Attacks and Blind Spots)
虛擬化對網絡安全的影響巨大,傳統的安全技術和產品一樣能夠應用於虛擬化平臺,但其保護能力可能不足,有必要對其進行改良以知足虛擬化平臺的安全需求。
a,採用傳統的物理安全設備,可能沒法對虛擬機和虛擬機之間的流量進行監控。
b,虛擬化平臺一般提供在線漂移技術,也提供高可用保護功能,虛擬機的動態變化給安全防禦出了難題,安全防禦系統若是不能自動適應這種變化,將極大地增長管理難度。
c,在虛擬機內部部署主機防火牆能夠解決上述問題,可是會增長管理難度,影響虛擬機性能。
d,虛擬化廠商與安全廠商一塊兒合做,虛擬化廠商提供驅動與接口供安全廠商使用,也是一種手段。
e,業界的趨勢是採用虛擬的安全設備代替物理的安全設備,能夠有效解決上述問題。
4,對虛擬化平臺性能的擔心(Performance Concerns)
虛擬化在成本節省,簡化管理方面效果顯著,可是用戶廣泛擔憂虛擬化平臺的性能可否知足應用的需求,特別是高峯時段的性能需求。對於性能方面,咱們須要關注如下幾個方面:
a,選擇好的Hypervisor很關鍵,要充分了解並比較虛擬化層的開銷,損耗,資源管理機制等。
b,科學決定整合比,整合比太低,則資源利用率不高,整合比太高,則可能致使性能問題。
c,合理配置物理機的硬件資源,內存和存儲一般是影響虛擬化平臺性能的關鍵點。搭配虛擬機,以提升整合比和利用率。
d,虛擬化層要有嚴格的資源分配控制,有效防止「鄰位干擾」,要保證在任何狀況下,虛擬節點都不能超限額使用CPU,內存,存儲及網絡資源。
e,要有良好的在線資源調配手段,確保在擴容和調配資源時不會致使計劃內停機。
f,要有好的監控手段,及時發現性能問題,快速解決性能問題。
5,虛擬機加密(VM Encryption)
虛擬化技術把計算環境轉化成了一堆文件,從而使咱們能夠很方便地管理和使用虛擬機,可是同時也帶來了安全性問題,虛擬機中的數據可能更容易竊取。
最 有效的手段就是虛擬機加密,實時加密比較有效,可是會在必定程度上影響性能,能夠有選擇地應用這一技術,對於那些須要較高安全性的系統,性能上的犧牲是值 得的。如High Cloud Security的解決方案(http://www.highcloudsecurity.com/)。
也能夠採用磁盤加密技術,如AlterBoot的解決方案(http://www.alertboot.com/)。
此外,還應該有虛擬機數據銷燬(VM Data Destruction)機制,靠虛擬機粉碎機完全清除虛擬機文件數據,以避免形成數據的泄露。
6,數據的混合(Data Comingling) 傳統IT架構下,網絡被分隔爲多個相互獨立的安全區域,不一樣區域採用不一樣的安全策略,區域之間的訪問被嚴格控制。虛擬化平臺,區域的劃分面對挑戰,爲了保證系統和數據的安全,咱們須要關注: a,物理邊界(Air Gap)消失,爲了保證安全,須要劃分邏輯邊界的有效手段。 b,安全性與合規性保證技術要可以識別邏輯邊界,要保證能夠隨時根據業務或部門的不一樣將虛擬機劃分到相應的區域,而且可以爲不一樣的邏輯分區應用不一樣的安全策略。 c,當虛擬機的安全情況發生變化(如感染病毒或合規性發生改變等)時,應該將虛擬機置於特定的隔離區域,以保證平臺中其它系統的安全。 [完]
相關文章
- 1. 雲安全聯盟CSA之《雲安全指南》3.0淺析
- 2. CSA雲計算關鍵領域安全指南4.0 (中文版)
- 3. php編程安全指南
- 4. 安全測試===burpsuit指南
- 5. 安全測試指南
- 6. 2020 PHP安全指南
- 7. weex入坑安全指南
- 8. Tomcat7安全加固指南
- 9. gluster安裝完全指南
- 10. Android安全指南 之 Xposed Hook實戰
- 更多相關文章...
- • SQL 指南 - 網站建設指南
- • HTML 指南 - 網站建設指南
- • 算法總結-雙指針
- • IntelliJ IDEA安裝代碼格式化插件
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. 安裝cuda+cuDNN
- 2. GitHub的使用說明
- 3. phpDocumentor使用教程【安裝PHPDocumentor】
- 4. yarn run build報錯Component is not found in path 「npm/taro-ui/dist/weapp/components/rate/index「
- 5. 精講Haproxy搭建Web集羣
- 6. 安全測試基礎之MySQL
- 7. C/C++編程筆記:C語言中的複雜聲明分析,用實例帶你完全讀懂
- 8. Python3教程(1)----搭建Python環境
- 9. 李宏毅機器學習課程筆記2:Classification、Logistic Regression、Brief Introduction of Deep Learning
- 10. 阿里雲ECS配置速記
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. 雲安全聯盟CSA之《雲安全指南》3.0淺析
- 2. CSA雲計算關鍵領域安全指南4.0 (中文版)
- 3. php編程安全指南
- 4. 安全測試===burpsuit指南
- 5. 安全測試指南
- 6. 2020 PHP安全指南
- 7. weex入坑安全指南
- 8. Tomcat7安全加固指南
- 9. gluster安裝完全指南
- 10. Android安全指南 之 Xposed Hook實戰