<meter id="pryje"><nav id="pryje"><delect id="pryje"></delect></nav></meter>
          <label id="pryje"></label>

          新聞中心

          EEPW首頁 > 手機(jī)與無線通信 > 設(shè)計(jì)應(yīng)用 > 云服務(wù)基礎(chǔ)設(shè)施采用虛擬機(jī)技術(shù)要考慮的問題

          云服務(wù)基礎(chǔ)設(shè)施采用虛擬機(jī)技術(shù)要考慮的問題

          作者: 時(shí)間:2011-02-07 來源:網(wǎng)絡(luò) 收藏

            利用虛擬化帶來的經(jīng)濟(jì)上的可擴(kuò)展有利于加強(qiáng)在基礎(chǔ)設(shè)施、平臺(tái)、軟件層面提供多租戶云服務(wù)的能力,然而利用這些虛擬化技術(shù)也會(huì)帶來其它安全問題,本文將考慮這些安全問題。虛似化技術(shù)有許多種,最常用的是操作系統(tǒng)虛擬化,本文將主要針對這一技術(shù),如果云服務(wù)的基礎(chǔ)設(shè)施采用了虛擬機(jī)(VM)技術(shù),這些VM系統(tǒng)間的隔離加固是必須要考慮的。

            虛擬操作系統(tǒng)管理方面的實(shí)踐現(xiàn)狀是:大多數(shù)提供缺省安全保護(hù)的進(jìn)程都未被加入,因此必須特別注意如何代替它們的功能。虛擬化技術(shù)本身引入了hypervisor和其它管理模塊這些新的攻擊層面,但更重要的是虛擬化對網(wǎng)絡(luò)安全帶來的嚴(yán)重威脅,虛擬機(jī)間通過硬件的背板而不是網(wǎng)絡(luò)進(jìn)行通信,因此,這些通信流量對標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全控制來說是不可見的,無法對它們進(jìn)行監(jiān)測、在線封堵,類似這些安全控制功能在虛擬化環(huán)境中都需要采用新的形式。

            數(shù)據(jù)混合在集中的服務(wù)和存儲(chǔ)中是另一需考慮的問題,服務(wù)提供的集中數(shù)據(jù)在理論上應(yīng)比在大量各種端點(diǎn)上分布的數(shù)據(jù)更安全,然而這同時(shí)也將風(fēng)險(xiǎn)集中了,增加了一次入侵可能帶來的后果。

            還有一個(gè)問題是不同敏感度和安全要求的VM如何共存。在中,某一最低安全保護(hù)的租戶,其安全性會(huì)成為多租戶虛擬環(huán)境中所有租戶共有的安全性,除非設(shè)計(jì)一種新的安全結(jié)構(gòu),安全保護(hù)之間不會(huì)通過網(wǎng)絡(luò)相互依賴。

            建議

            如果用戶的云提供商提供了虛擬化,識別清楚提供的是哪一種虛擬化。

            應(yīng)通過第三方安全技術(shù)提供分層安全控制,減少對平臺(tái)提供商的依賴性,加固虛擬操作系統(tǒng)。

            設(shè)法搞清VM內(nèi)部采用了哪些安全控制,除了內(nèi)置的 hypervisor 隔離――如入侵檢測、反病毒、脆弱性掃描等,缺省配置達(dá)到的安全等級必須達(dá)到或超過業(yè)界基本的安全要求。

            搞清VM外部有哪些安全控制來保護(hù)暴露給用戶的管理接口(基于Web的、API等)

            在使用云提供商提供的任何VM 鏡像(image)或模板前,驗(yàn)證它們的完整性及出處。

            必須使用嵌入hypervisor API的VM定制的安全機(jī)制對VM背板上的流量進(jìn)行細(xì)粒度的監(jiān)測,這些流量對傳統(tǒng)的網(wǎng)絡(luò)安全控制設(shè)備來說是不可見的。

            虛擬操作系統(tǒng)的管理員訪問控制是極為重要的,應(yīng)采用與企業(yè)身份管理集成的強(qiáng)認(rèn)證以及防篡改的日專和完整性監(jiān)測工具。

            探究VM分段的可行性和有效性,根據(jù)使用類別、產(chǎn)品階段(如開發(fā)、生產(chǎn)和測試)和服務(wù)器、存儲(chǔ)等不同物理硬件上的數(shù)據(jù)敏感度生成不同的安全域。

            具有報(bào)告機(jī)制以提供隔離的證據(jù),并在隔離被破壞時(shí)產(chǎn)生告警。

            對于通過管理手段保證VM間隔離的多租戶情形要特別留意,有些情況下可能有隔離方面的監(jiān)管要求。

            總結(jié)

            隨著推出進(jìn)一步虛擬化的基礎(chǔ)設(shè)施或者把自己的工作量轉(zhuǎn)移到專有的/或公共的,安全團(tuán)隊(duì)必須參與圍繞這些戰(zhàn)略轉(zhuǎn)變建立最佳的做法。虛擬化和云計(jì)算與安全的結(jié)合能夠提供非重要IT功能的更有效的管理和自動(dòng)化。在IT資源緊張和預(yù)算不變的時(shí)代,這是IT部門提供企業(yè)保持競爭力所需要的結(jié)果的一個(gè)重要的機(jī)會(huì)。隨著這些技術(shù)進(jìn)入生產(chǎn)領(lǐng)域,正確的安全計(jì)劃能夠保證虛擬化或者云計(jì)算提供更多的好處。嶄新的云計(jì)算與虛擬化技術(shù)在玄色產(chǎn)業(yè)鏈籠罩下,缺少了有針對性防御支撐,因此了解最新的潛在威脅、籌劃新的安全防御方式就顯得十分重要。

          物聯(lián)網(wǎng)相關(guān)文章:物聯(lián)網(wǎng)是什么




          評論


          相關(guān)推薦

          技術(shù)專區(qū)

          關(guān)閉
          看屁屁www成人影院,亚洲人妻成人图片,亚洲精品成人午夜在线,日韩在线 欧美成人 (function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })();