AV网址AAA,桃花色综合影院,欧美成人精品手机在线,国产又爽又大又黄a片色戒一

    歡迎來到云網(wǎng)時代數(shù)據(jù)中心! 業(yè)務(wù)咨詢熱線:0755-88868179增值電信業(yè)務(wù)經(jīng)營許可證:B1-20170628
行業(yè)新聞
當(dāng)前位置:首頁>文章中心>行業(yè)新聞

云端中使用虛擬化所帶來的風(fēng)險我們該如何進(jìn)行控制?

發(fā)布時間:2019-08-30 點(diǎn)擊數(shù):321
現(xiàn)在又不少用戶會在云端中使用虛擬化,畢竟能得到不少的益處,但同時也伴隨風(fēng)險,那么云端中使用虛擬化所帶來的風(fēng)險我們該如何進(jìn)行控制?
怎么控制云端虛擬化的風(fēng)險
在云端運(yùn)算中,有三種基本服務(wù)模式:軟件即服務(wù) (SaaS)、平臺即服務(wù) (PaaS)和基礎(chǔ)架構(gòu)即服務(wù) (IaaS)。此外,還有三種基本部署模式:公用、混合和私有云。虛擬化通常用于所有這些云端運(yùn)算模式和部署中,因為它提供了很多好處,包括成本效益、增加正常運(yùn)行時間、改善災(zāi)難性復(fù)原和應(yīng)用程序隔離等。
 
當(dāng)面對云端部署中的虛擬化時,供應(yīng)商或企業(yè)客戶中由誰來管理并不重要,因為我們需要解決相同的安全問題。當(dāng)選擇云端服務(wù)和部署模式時,要知道,SaaS提供最少對環(huán)境的控制,而IaaS提供最多的控制。同樣地,在公有云中,企業(yè)有必要遵守云端服務(wù)供應(yīng)商(CSP)的規(guī)則,而在私有云中,企業(yè)則掌握對環(huán)境的控制。安全同樣如此,用戶可以控制一小部分的云端運(yùn)算部署,而其他部分則由CSP 控制。如果無法存取部署模式的某些部分,CSP 將需要部署適當(dāng)?shù)陌踩胧?/span>
 
在云端運(yùn)算中使用虛擬化面臨的安全問題盡管虛擬化帶來了很多好處,它同樣也帶來了很多安全問題:
虛擬機(jī)管理程序:在相同電腦中運(yùn)行多個虛擬機(jī)的程序。如果管理程序中存在漏洞,攻擊者可以利用該漏洞來獲取對整個主機(jī)的存取權(quán),令其可存取主機(jī)上運(yùn)行的每個虛擬機(jī)。由于管理程序很少更新,漏洞可能會危害整個系統(tǒng)的安全性。如果發(fā)現(xiàn)一個漏洞,企業(yè)應(yīng)該盡快修復(fù)該漏洞以防止發(fā)生潛在的網(wǎng)絡(luò)安全事故。在2006 年,開發(fā)人員開發(fā)了兩個rootkit(被稱為Blue Pill)來證明它們可以用來掌控虛擬主機(jī)。
 
資源分配:當(dāng)RAM的數(shù)據(jù)被一部虛擬機(jī)使用,又重新分配給另一臺虛擬機(jī)時,可能會發(fā)生數(shù)據(jù)外泄;當(dāng)刪除不再需要的虛擬機(jī),釋放的資源被分配至其他虛擬機(jī)時,同樣可能發(fā)生數(shù)據(jù)外泄。當(dāng)新的虛擬機(jī)獲得更多的資源時,有心人可以使用電腦法證的技術(shù)來獲取整個RAM 以及數(shù)據(jù)存儲的ISO。該而ISO 隨后可用于分析,并獲取從前一部虛擬機(jī)遺留下來的重要內(nèi)容。
 
虛擬機(jī)攻擊:如果攻擊者成功地攻擊一部虛擬機(jī),他或她在很長一段時間內(nèi)可以攻擊網(wǎng)絡(luò)上相同主機(jī)中的其他虛擬機(jī)。這種虛擬機(jī)攻擊的方法越來越流行,因為虛擬機(jī)之間的流量無法被標(biāo)準(zhǔn)的IDS/IPS 檢測到。
 
遷移時的攻擊:在必要時,大多數(shù)虛擬化界面,虛擬機(jī)都可以輕松地完成設(shè)定。虛擬機(jī)通過網(wǎng)絡(luò)被發(fā)送到另一臺虛擬化伺服器,并在其中設(shè)置一個相同的虛擬機(jī)。但是,如果這個過程沒有得到有效的管理,虛擬機(jī)可能會被發(fā)送到未加密的通道,這便很有可能被攻擊者進(jìn)行Sniffing。
 

控制安全方法

下面這些方法可以解決上述的安全問題:
管理程序:定期檢查是否有管理程序更新,并相應(yīng)地更新系統(tǒng)。通過保持管理程序的更新,企業(yè)可以阻止攻擊者利用已知漏洞以及控制整個主機(jī)系統(tǒng),包括在其上運(yùn)行的所有虛擬機(jī)。
 
資源分配:當(dāng)從一臺虛擬機(jī)分配資源到另一臺時,企業(yè)應(yīng)該對它們進(jìn)行保護(hù)。RAM 以及數(shù)據(jù)存儲中的舊數(shù)據(jù)應(yīng)該使用0進(jìn)行覆寫,以將之徹底清除。這可以防止從虛擬機(jī)的RAM 或數(shù)據(jù)存儲提取數(shù)據(jù),以及獲得仍然保持在內(nèi)的重要信息。
 
虛擬機(jī)攻擊:企業(yè)有必要區(qū)分在相同主機(jī)中從虛擬機(jī)出來以及進(jìn)入虛擬機(jī)的流量,從而讓管理者能輕易地部署入侵測試和進(jìn)行一些防御方法,以便于防御攻擊者的威脅。例如我們可以通過通訊埠來發(fā)現(xiàn)威脅,可以嘗試控制交換器上的一個通訊埠的數(shù)據(jù),并將之換到另一個通訊埠,而交換器中IDS/IPS 則在監(jiān)聽和分析信息。
 
遷移時攻擊:為了防止遷移攻擊,企業(yè)必須部署適當(dāng)?shù)陌踩胧﹣肀Wo(hù)網(wǎng)絡(luò),并防御中間人進(jìn)行Penetration Test。這樣一來,即使攻擊者能夠攻擊一臺虛擬機(jī),他/她也將無法成功地執(zhí)行中間人攻擊。此外,還可以通過安全通道(例如TLS)發(fā)送數(shù)據(jù)。雖然有人稱在遷移時有必要破壞并重建虛擬機(jī)ISO,但企業(yè)也可以謹(jǐn)慎地通過安全通道的網(wǎng)絡(luò)來遷移虛擬機(jī)。
 

所以說針對虛擬化云端運(yùn)算環(huán)境有各種各樣的攻擊,但如果在部署和管理云端模式時,企業(yè)部署了適當(dāng)?shù)陌踩刂坪统绦?,這些攻擊都可以得以解決。在試圖保護(hù)云端運(yùn)算環(huán)境之前,對于企業(yè)來說,重要的是要了解這些惡意攻擊是如何執(zhí)行。這將有助于確保企業(yè)的防御措施能夠抵御最有可能會遇到的威脅。在保護(hù)環(huán)境安全后,企業(yè)可以通過嘗試執(zhí)行攻擊來檢查安全措施是否得到很好的部署。


以上信息由云網(wǎng)時代小編整理分享,云網(wǎng)時代是有著多年豐富經(jīng)驗的IDC服務(wù)商,專業(yè)提供深圳服務(wù)器租用,深圳服務(wù)器托管,深圳主機(jī)租用,云服務(wù)器租用等服務(wù),歡迎咨詢客服了解詳情。

在線客服