虚拟化安全指南-浅谈CSA安全指南第三版之第13域
云安全联盟近期发布了云安全指南第三版,相对于2009年末发布的2.1版,这个版本对云安全的论述更全面,更精确。内容从76页增长到了177页,还增长了一个域:安全即服务。
本人目前专一的领域是虚拟化与云计算,所以特别关注安全指南的第13部分(虚拟化)和第14部分(安全即服务),今天先来谈谈第13部分,与你们交流一下虚拟化基础架构的安全性问题。
虚拟化是IaaS的基础,在公有云与私有云中都有普遍应用,随着云计算时代的到来,愈来愈多的企业开始大规模应用虚拟化技术,服务器虚拟化与桌面虚拟化是两个主要的应用领域。
虚拟化的好处不少,能够经过服务器整合,多租户共享来提升资源利用率,下降成本;能够经过自动化来提升敏捷性,下降维护工做量,实现零接触式管理。
随 着虚拟化技术的应用愈来愈普遍,虚拟化平台的安全性也开始引发人们的关注,从架构上来讲,虚拟化在传统IT架构的基础上增长了虚拟化层,势必会引入新的安 全风险,虚拟化灵活便利,在提升效率的同时也会带来安全挑战,咱们必须了解,正视并解决与虚拟化平台相关的安全性问题,以保证企业虚拟化与云计算战略的顺 利实施。
与虚拟化架构相关的主要安全性问题总结:
1,虚拟化层安全性(Hypervisor Security)
从安全的角度看,虚拟化层的引入,会增长安全风险,所以,咱们必须对虚拟化层自己的安全性加以特别关注。安全性较高的虚拟化层应该具有下述特征:
a,Hypervisor要精简,越精简则存在漏洞的可能性越小,***面越小,安全性越高。
b,专用系统的安全性高于通用系统。
c,系统自己要提供如防火墙一类的安全防御技术。
d,Hypervisor要有完善的验证,受权与审计功能。
2,虚拟机整固(VM Guest Hardening)
有了虚拟化技术,咱们能够经过模板来置备虚拟机,经过快照来恢复虚拟机状态,这些操做点点鼠标,瞬间便可完成,IT流程受此影响,都会有较大的变化。就此部分而言,咱们须要注意如下安全性问题:
a,虚拟机模板建立以后,就不多更新了,并且基本上是不开机的,咱们须要特别注意模板的合规性与安全性,由于生产虚拟机都是基于模板建立出来的。
b,生产系统的变动会更频繁,所以须要经过技术手段持续保证Guest OS的健康。
c,虚拟化软件自己若是可以为虚拟机提供防病毒,防火墙,***检测,配置管理,补丁管理等功能,将对虚拟机保护提供极大的便利。
3,虚拟机之间的***行为及监控盲点(Inter-VM Attacks and Blind Spots)
虚拟化对网络安全的影响巨大,传统的安全技术和产品一样能够应用于虚拟化平台,但其保护能力可能不足,有必要对其进行改良以知足虚拟化平台的安全需求。
a,采用传统的物理安全设备,可能没法对虚拟机和虚拟机之间的流量进行监控。
b,虚拟化平台一般提供在线漂移技术,也提供高可用保护功能,虚拟机的动态变化给安全防御出了难题,安全防御系统若是不能自动适应这种变化,将极大地增长管理难度。
c,在虚拟机内部部署主机防火墙能够解决上述问题,可是会增长管理难度,影响虚拟机性能。
d,虚拟化厂商与安全厂商一块儿合做,虚拟化厂商提供驱动与接口供安全厂商使用,也是一种手段。
e,业界的趋势是采用虚拟的安全设备代替物理的安全设备,能够有效解决上述问题。
4,对虚拟化平台性能的担心(Performance Concerns)
虚拟化在成本节省,简化管理方面效果显著,可是用户广泛担忧虚拟化平台的性能可否知足应用的需求,特别是高峰时段的性能需求。对于性能方面,咱们须要关注如下几个方面:
a,选择好的Hypervisor很关键,要充分了解并比较虚拟化层的开销,损耗,资源管理机制等。
b,科学决定整合比,整合比太低,则资源利用率不高,整合比太高,则可能致使性能问题。
c,合理配置物理机的硬件资源,内存和存储一般是影响虚拟化平台性能的关键点。搭配虚拟机,以提升整合比和利用率。
d,虚拟化层要有严格的资源分配控制,有效防止“邻位干扰”,要保证在任何状况下,虚拟节点都不能超限额使用CPU,内存,存储及网络资源。
e,要有良好的在线资源调配手段,确保在扩容和调配资源时不会致使计划内停机。
f,要有好的监控手段,及时发现性能问题,快速解决性能问题。
5,虚拟机加密(VM Encryption)
虚拟化技术把计算环境转化成了一堆文件,从而使咱们能够很方便地管理和使用虚拟机,可是同时也带来了安全性问题,虚拟机中的数据可能更容易窃取。
最 有效的手段就是虚拟机加密,实时加密比较有效,可是会在必定程度上影响性能,能够有选择地应用这一技术,对于那些须要较高安全性的系统,性能上的牺牲是值 得的。如High Cloud Security的解决方案(http://www.highcloudsecurity.com/)。
也能够采用磁盘加密技术,如AlterBoot的解决方案(http://www.alertboot.com/)。
此外,还应该有虚拟机数据销毁(VM Data Destruction)机制,靠虚拟机粉碎机完全清除虚拟机文件数据,以避免形成数据的泄露。
6,数据的混合(Data Comingling) 传统IT架构下,网络被分隔为多个相互独立的安全区域,不一样区域采用不一样的安全策略,区域之间的访问被严格控制。虚拟化平台,区域的划分面对挑战,为了保证系统和数据的安全,咱们须要关注: a,物理边界(Air Gap)消失,为了保证安全,须要划分逻辑边界的有效手段。 b,安全性与合规性保证技术要可以识别逻辑边界,要保证能够随时根据业务或部门的不一样将虚拟机划分到相应的区域,而且可以为不一样的逻辑分区应用不一样的安全策略。 c,当虚拟机的安全情况发生变化(如感染病毒或合规性发生改变等)时,应该将虚拟机置于特定的隔离区域,以保证平台中其它系统的安全。 [完]
本人目前专一的领域是虚拟化与云计算,所以特别关注安全指南的第13部分(虚拟化)和第14部分(安全即服务),今天先来谈谈第13部分,与你们交流一下虚拟化基础架构的安全性问题。
虚拟化是IaaS的基础,在公有云与私有云中都有普遍应用,随着云计算时代的到来,愈来愈多的企业开始大规模应用虚拟化技术,服务器虚拟化与桌面虚拟化是两个主要的应用领域。
虚拟化的好处不少,能够经过服务器整合,多租户共享来提升资源利用率,下降成本;能够经过自动化来提升敏捷性,下降维护工做量,实现零接触式管理。
随 着虚拟化技术的应用愈来愈普遍,虚拟化平台的安全性也开始引发人们的关注,从架构上来讲,虚拟化在传统IT架构的基础上增长了虚拟化层,势必会引入新的安 全风险,虚拟化灵活便利,在提升效率的同时也会带来安全挑战,咱们必须了解,正视并解决与虚拟化平台相关的安全性问题,以保证企业虚拟化与云计算战略的顺 利实施。
与虚拟化架构相关的主要安全性问题总结:
1,虚拟化层安全性(Hypervisor Security)
从安全的角度看,虚拟化层的引入,会增长安全风险,所以,咱们必须对虚拟化层自己的安全性加以特别关注。安全性较高的虚拟化层应该具有下述特征:
a,Hypervisor要精简,越精简则存在漏洞的可能性越小,***面越小,安全性越高。
b,专用系统的安全性高于通用系统。
c,系统自己要提供如防火墙一类的安全防御技术。
d,Hypervisor要有完善的验证,受权与审计功能。
2,虚拟机整固(VM Guest Hardening)
有了虚拟化技术,咱们能够经过模板来置备虚拟机,经过快照来恢复虚拟机状态,这些操做点点鼠标,瞬间便可完成,IT流程受此影响,都会有较大的变化。就此部分而言,咱们须要注意如下安全性问题:
a,虚拟机模板建立以后,就不多更新了,并且基本上是不开机的,咱们须要特别注意模板的合规性与安全性,由于生产虚拟机都是基于模板建立出来的。
b,生产系统的变动会更频繁,所以须要经过技术手段持续保证Guest OS的健康。
c,虚拟化软件自己若是可以为虚拟机提供防病毒,防火墙,***检测,配置管理,补丁管理等功能,将对虚拟机保护提供极大的便利。
3,虚拟机之间的***行为及监控盲点(Inter-VM Attacks and Blind Spots)
虚拟化对网络安全的影响巨大,传统的安全技术和产品一样能够应用于虚拟化平台,但其保护能力可能不足,有必要对其进行改良以知足虚拟化平台的安全需求。
a,采用传统的物理安全设备,可能没法对虚拟机和虚拟机之间的流量进行监控。
b,虚拟化平台一般提供在线漂移技术,也提供高可用保护功能,虚拟机的动态变化给安全防御出了难题,安全防御系统若是不能自动适应这种变化,将极大地增长管理难度。
c,在虚拟机内部部署主机防火墙能够解决上述问题,可是会增长管理难度,影响虚拟机性能。
d,虚拟化厂商与安全厂商一块儿合做,虚拟化厂商提供驱动与接口供安全厂商使用,也是一种手段。
e,业界的趋势是采用虚拟的安全设备代替物理的安全设备,能够有效解决上述问题。
4,对虚拟化平台性能的担心(Performance Concerns)
虚拟化在成本节省,简化管理方面效果显著,可是用户广泛担忧虚拟化平台的性能可否知足应用的需求,特别是高峰时段的性能需求。对于性能方面,咱们须要关注如下几个方面:
a,选择好的Hypervisor很关键,要充分了解并比较虚拟化层的开销,损耗,资源管理机制等。
b,科学决定整合比,整合比太低,则资源利用率不高,整合比太高,则可能致使性能问题。
c,合理配置物理机的硬件资源,内存和存储一般是影响虚拟化平台性能的关键点。搭配虚拟机,以提升整合比和利用率。
d,虚拟化层要有严格的资源分配控制,有效防止“邻位干扰”,要保证在任何状况下,虚拟节点都不能超限额使用CPU,内存,存储及网络资源。
e,要有良好的在线资源调配手段,确保在扩容和调配资源时不会致使计划内停机。
f,要有好的监控手段,及时发现性能问题,快速解决性能问题。
5,虚拟机加密(VM Encryption)
虚拟化技术把计算环境转化成了一堆文件,从而使咱们能够很方便地管理和使用虚拟机,可是同时也带来了安全性问题,虚拟机中的数据可能更容易窃取。
最 有效的手段就是虚拟机加密,实时加密比较有效,可是会在必定程度上影响性能,能够有选择地应用这一技术,对于那些须要较高安全性的系统,性能上的牺牲是值 得的。如High Cloud Security的解决方案(http://www.highcloudsecurity.com/)。
也能够采用磁盘加密技术,如AlterBoot的解决方案(http://www.alertboot.com/)。
此外,还应该有虚拟机数据销毁(VM Data Destruction)机制,靠虚拟机粉碎机完全清除虚拟机文件数据,以避免形成数据的泄露。
6,数据的混合(Data Comingling) 传统IT架构下,网络被分隔为多个相互独立的安全区域,不一样区域采用不一样的安全策略,区域之间的访问被严格控制。虚拟化平台,区域的划分面对挑战,为了保证系统和数据的安全,咱们须要关注: a,物理边界(Air Gap)消失,为了保证安全,须要划分逻辑边界的有效手段。 b,安全性与合规性保证技术要可以识别逻辑边界,要保证能够随时根据业务或部门的不一样将虚拟机划分到相应的区域,而且可以为不一样的逻辑分区应用不一样的安全策略。 c,当虚拟机的安全情况发生变化(如感染病毒或合规性发生改变等)时,应该将虚拟机置于特定的隔离区域,以保证平台中其它系统的安全。 [完]
相关文章
- 1. 云安全联盟CSA之《云安全指南》3.0浅析
- 2. CSA云计算关键领域安全指南4.0 (中文版)
- 3. php编程安全指南
- 4. 安全测试===burpsuit指南
- 5. 安全测试指南
- 6. 2020 PHP安全指南
- 7. weex入坑安全指南
- 8. Tomcat7安全加固指南
- 9. gluster安装完全指南
- 10. Android安全指南 之 Xposed Hook实战
- 更多相关文章...
- • SQL 指南 - 网站建设指南
- • HTML 指南 - 网站建设指南
- • 算法总结-双指针
- • IntelliJ IDEA安装代码格式化插件
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. CVPR 2020 论文大盘点-光流篇
- 2. Photoshop教程_ps中怎么载入图案?PS图案如何导入?
- 3. org.pentaho.di.core.exception.KettleDatabaseException:Error occurred while trying to connect to the
- 4. SonarQube Scanner execution execution Error --- Failed to upload report - 500: An error has occurred
- 5. idea 导入源码包
- 6. python学习 day2——基础学习
- 7. 3D将是页游市场新赛道?
- 8. osg--交互
- 9. OSG-交互
- 10. Idea、spring boot 图片(pgn显示、jpg不显示)解决方案
欢迎关注本站公众号,获取更多信息
相关文章
- 1. 云安全联盟CSA之《云安全指南》3.0浅析
- 2. CSA云计算关键领域安全指南4.0 (中文版)
- 3. php编程安全指南
- 4. 安全测试===burpsuit指南
- 5. 安全测试指南
- 6. 2020 PHP安全指南
- 7. weex入坑安全指南
- 8. Tomcat7安全加固指南
- 9. gluster安装完全指南
- 10. Android安全指南 之 Xposed Hook实战