数据中心虚拟化是指利用虚拟化技术构建基础设施池,主要包括计算、存储和网络3种资源。数据中心虚拟化后不再独立地看待某台设备和链路,而是计算、存储和网络的深度融合,当作按需分配的整体资源来对待。从主机等计算资源角度看,数据中心虚拟化包含多合一、一分多2个方向,都提供了计算资源按需调度的手段。存储虚拟化的核心就是实现物理存储设备到单一逻辑资源池的映射,是为了便于应用和服务进行数据管理,对存储子系统或存储服务进行的内部功能抽象、隐藏和隔离的行为。在现代信息技术中,虚拟化技术以其对资源的高效整合、提高硬件资源利用率、节省能源、节约投资等优点而得到广泛应用。但虚拟化技术在为用户带来利益的同时,也对用户的数据安全和基础架构提出了新的要求。如何在安全的范畴使用虚拟化技术,成为迫在眉睫需要解决的问题。因此,笔者对虚拟化数据中心的安全设计进行研究。 四个方面说明数据中心安全风险问题: 1、高资源利用率带来的风险集中 通过虚拟化技术,提高了服务器的利用效率和灵活性,也导致服务器负载过重,运行性能下降。虚拟化后多个应用集中在1台服务器上,当物理服务器出现重大硬件故障是更严重的风险集中问题。虚拟化的本质是应用只与虚拟层交互,而与真正的硬件隔离,这将导致安全管理人员看不到设备背后的安全风险,服务器变得更加不固定和不稳定。 2、网络架构改变带来的安全风险 虚拟化技术改变了网络结构,引发新的安全风险。在部署虚拟化技术之前,可在防火墙上建立多个隔离区,对不同的物理服务器采用不同的访问控制规则,可有效保证攻击限制在一个隔离区内,在部署虚拟化技术后,一台虚拟机失效,可能通过网络将安全问题扩散到其他虚拟机。 3、虚拟机脱离物理安全监管的风险 1台物理机上可以创建多个虚拟机,且可以随时创建,也可被下载到桌面系统上,常驻内存,可以脱离物理安全监管的范畴。很多安全标准是依赖于物理环境发挥作用的,外部的防火墙和异常行为监测等都需要物理服务器的网络流量,有时虚拟化会绕过安全措施。存在异构存储平台的无法统一安全监控和无法有效资源隔离的风险。 4、虚拟环境的安全风险 1)黑客攻击。 控制了管理层的黑客会控制物理服务器上的所有虚拟机,而管理程序上运行的任何操作系统都很难侦测到流氓软件等的威胁。 2)虚拟机溢出。 虚拟机溢出的漏洞会导致黑客威胁到特定的虚拟机,将黑客攻击从虚拟服务器升级到控制底层的管理程序。 3)虚拟机跳跃。 虚拟机跳跃会允许攻击从一个虚拟机跳转到同一个物理硬件上运行的其它虚拟服务器。 4)补丁安全风险。 物理服务器上安装多个虚拟机后,每个虚拟服务器都需要定期进行补丁更新、维护,大量的打补丁工作会导致不能及时补漏而产生安全威胁。安全研究人员在虚拟化软件发现了严重的安全漏洞,即可通过虚拟机在主机上执行恶意代码。黑客还可以利用虚拟化技术隐藏病毒和恶意软件的踪迹。
..
|