云服務(wù)基礎(chǔ)設(shè)施采用虛擬機技術(shù)要考慮的問題

　　利用虛擬化帶來的經(jīng)濟上的可擴展有利于加強在基礎(chǔ)設(shè)施、平臺、軟件層面提供多租戶云服務(wù)的能力，然而利用這些虛擬化技術(shù)也會帶來其它安全問題，本文將考慮這些安全問題。虛似化技術(shù)有許多種，最常用的是操作系統(tǒng)虛擬化，本文將主要針對這一技術(shù)，如果云服務(wù)的基礎(chǔ)設(shè)施采用了虛擬機(VM)技術(shù)，這些VM系統(tǒng)間的隔離加固是必須要考慮的。

　　虛擬操作系統(tǒng)管理方面的實踐現(xiàn)狀是：大多數(shù)提供缺省安全保護的進程都未被加入，因此必須特別注意如何代替它們的功能。虛擬化技術(shù)本身引入了hypervisor和其它管理模塊這些新的攻擊層面，但更重要的是虛擬化對網(wǎng)絡(luò)安全帶來的嚴(yán)重威脅，虛擬機間通過硬件的背板而不是網(wǎng)絡(luò)進行通信，因此，這些通信流量對標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全控制來說是不可見的，無法對它們進行監(jiān)測、在線封堵，類似這些安全控制功能在虛擬化環(huán)境中都需要采用新的形式。

　　數(shù)據(jù)混合在集中的服務(wù)和存儲中是另一需考慮的問題，云計算服務(wù)提供的集中數(shù)據(jù)在理論上應(yīng)比在大量各種端點上分布的數(shù)據(jù)更安全，然而這同時也將風(fēng)險集中了，增加了一次入侵可能帶來的后果。

　　還有一個問題是不同敏感度和安全要求的VM如何共存。在云計算中，某一最低安全保護的租戶，其安全性會成為多租戶虛擬環(huán)境中所有租戶共有的安全性，除非設(shè)計一種新的安全結(jié)構(gòu)，安全保護之間不會通過網(wǎng)絡(luò)相互依賴。

　　建議

　　如果用戶的云提供商提供了虛擬化，識別清楚提供的是哪一種虛擬化。

　　應(yīng)通過第三方安全技術(shù)提供分層安全控制，減少對平臺提供商的依賴性，加固虛擬操作系統(tǒng)。

　　設(shè)法搞清VM內(nèi)部采用了哪些安全控制，除了內(nèi)置的 hypervisor 隔離――如入侵檢測、反病毒、脆弱性掃描等，缺省配置達到的安全等級必須達到或超過業(yè)界基本的安全要求。

　　搞清VM外部有哪些安全控制來保護暴露給用戶的管理接口(基于Web的、API等)

　　在使用云提供商提供的任何VM 鏡像(image)或模板前，驗證它們的完整性及出處。

　　必須使用嵌入hypervisor API的VM定制的安全機制對VM背板上的流量進行細粒度的監(jiān)測，這些流量對傳統(tǒng)的網(wǎng)絡(luò)安全控制設(shè)備來說是不可見的。

　　虛擬操作系統(tǒng)的管理員訪問控制是極為重要的，應(yīng)采用與企業(yè)身份管理集成的強認證以及防篡改的日專和完整性監(jiān)測工具。

　　探究VM分段的可行性和有效性，根據(jù)使用類別、產(chǎn)品階段(如開發(fā)、生產(chǎn)和測試)和服務(wù)器、存儲等不同物理硬件上的數(shù)據(jù)敏感度生成不同的安全域。

　　具有報告機制以提供隔離的證據(jù)，并在隔離被破壞時產(chǎn)生告警。

　　對于通過管理手段保證VM間隔離的多租戶情形要特別留意，有些情況下可能有隔離方面的監(jiān)管要求。

　　總結(jié)

　　隨著推出進一步虛擬化的基礎(chǔ)設(shè)施或者把自己的工作量轉(zhuǎn)移到專有的/或公共的云計算，安全團隊必須參與圍繞這些戰(zhàn)略轉(zhuǎn)變建立最佳的做法。虛擬化和云計算與安全的結(jié)合能夠提供非重要IT功能的更有效的管理和自動化。在IT資源緊張和預(yù)算不變的時代，這是IT部門提供企業(yè)保持競爭力所需要的結(jié)果的一個重要的機會。隨著這些技術(shù)進入生產(chǎn)領(lǐng)域，正確的安全計劃能夠保證虛擬化或者云計算提供更多的好處。嶄新的云計算與虛擬化技術(shù)在玄色產(chǎn)業(yè)鏈籠罩下，缺少了有針對性防御支撐，因此了解最新的潛在威脅、籌劃新的安全防御方式就顯得十分重要。