黑客可以有很多种获得虚拟架构访问权的途径。正如我们在本系列第一篇文章中提到的,虚拟化层的出现也引入了更多的可攻击点,因此需要针对宿主机和每个虚拟机个体加强安全防护。 这些攻击点包括虚拟磁盘文件、登录终端甚至是虚拟机本身。但是有一点也不容忽视:网络。
为降低这种风险,遵循如下的虚拟网络安全最佳实践就非常关键。本文中,我将涉及一些主要策略。 网络隔离 虚拟网络安全的核心是隔离。每台宿主机都有管理网络,通过它跟其它的主机和管理系统通讯。
在虚拟架构中,管理网络应该实现物理上和虚拟上的隔离。所有的宿主机、客户端和管理系统应该位于独立的物理网络上以确保安全。对于宿主机的管理网络还应该创建独立的虚……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
黑客可以有很多种获得虚拟架构访问权的途径。正如我们在本系列第一篇文章中提到的,虚拟化层的出现也引入了更多的可攻击点,因此需要针对宿主机和每个虚拟机个体加强安全防护。
这些攻击点包括虚拟磁盘文件、登录终端甚至是虚拟机本身。但是有一点也不容忽视:网络。为降低这种风险,遵循如下的虚拟网络安全最佳实践就非常关键。本文中,我将涉及一些主要策略。
网络隔离
虚拟网络安全的核心是隔离。每台宿主机都有管理网络,通过它跟其它的主机和管理系统通讯。在虚拟架构中,管理网络应该实现物理上和虚拟上的隔离。所有的宿主机、客户端和管理系统应该位于独立的物理网络上以确保安全。对于宿主机的管理网络还应该创建独立的虚拟交换机,而且永远不要把虚拟交换机流量和普通虚拟机网络流量混合到一起。虽然这么做也不能保证可以覆盖虚拟交换机所有的潜在风险,但起码是一个重要的开始。
除了隔离,还有一些其它的虚拟网络安全实践。您应该注意过用于支持虚拟机从一台主机到其它宿主机在线迁移功能的VMkernel网络是以非加密方式传输的。这也就意味着在线迁移过程中可能数据会被以“sniff”方式获取或遭到人为攻击。当您把宿主机暴露于非保护域或DMZ时,要更加小心。所以,最好创建带有独立物理网卡的分离vSwitch,而且永远不要把内部流量和外部流量在同一个vSwitch上混合。同样,锁定到虚拟机的访问权限以确保:(1)攻击者无法把虚拟机从某个网络上迁移出来(2)虚拟机不会横跨内网和外网。
在虚拟环境中传统物理网络被延伸到宿主机中成为虚拟网络,原有的物理网络安全设备和应用通常就失效了。多数情况下,这些设备无法检测到位于宿主机内部的网络流量(因为它们天生的物理属性限制)。另外,物理的入侵检测和防护系统也无法保护虚拟机。
对于完善的虚拟网络安全策略而言,需要使用专为虚拟架构而设计的安全应用,并且把它们直接植入到虚拟网络层中。这包括网络入侵检测和防护系统、监控和报告系统,以及设计来保护虚拟交换机和隔离虚拟机的虚拟防火墙软件。而且可以把物理和虚拟网络安全整合起来考虑,提供对数据中心全方位的保护。
如果您使用了iSCSI或NFS等网络存储设备,要使用正确的认证方式。对于iSCSI而言,双向的CHAP认证是最佳的。而且要确保存储流量是物理上隔离的,因为它也是非加密的传输方式。任何可以访问该网络的人员都可能监听和重建文件、改变数据传输或者是破坏它。
虚拟网络安全的最佳实践不同于传统物理网络,因此需要考虑所有可能的被攻击点。如果您对虚拟安全的关注只停留在个别点上,那么攻击者很可能通过某个未知领域偷偷地溜进来。
作者
相关推荐
-
云时代思杰的安全理念:网络安全+ 数据安全 +信息安全
近期,思杰和波耐蒙研究所针对IT安全基础设施展开了一项全球调查,结果发现,全球83%的企业认为,由于组织方面的复杂性,自己面临极大的网络。
-
虚拟环境降低成本战略大揭秘
对于IT成本削减战略首先要了解的是其存在代价,尤其是在便利性、可靠性、效率、安全性方面。
-
《IT新架构》:“分解”潮
如今,科技行业似乎痴迷于通过分解的方式来达到更高层次的“粒度更小的单位”。例如,微分段技术将数据中心划分为以工作负载或应用程序为单位的逻辑单元,并在此基础上实施安全策略。但是分解过程并不容易。打破传统是很困难的,比如一些新兴的云备份方法还未得到广泛应用。安全性和备份等这些错综复杂的事务会让IT专业人士拱手认输吗?
-
向公司讲述虚拟应用价值的技巧
尽管虚拟化在数据中心内盛行,但在某些环境中仍旧行不通。很多时候我们被告知“应用不能运行在虚拟环境中”……