此文章主要描述的是虛擬架構(gòu)如何影響網(wǎng)絡(luò)安全，虛擬基礎(chǔ)架構(gòu)是通過變換現(xiàn)代數(shù)據(jù)中心的結(jié)構(gòu)來做到這些。 虛擬架構(gòu)對影響網(wǎng)絡(luò)安全有什么樣的影響？ 虛擬架構(gòu)是如何影響網(wǎng)絡(luò)安全的？

[2] 數(shù)據(jù)中心的安全問題非常普遍又是一直存在的，偶爾引入的新元素往往需要管理員重新審視系統(tǒng)的安全策略。虛擬基礎(chǔ)架構(gòu)僅僅通過變換現(xiàn)代數(shù)據(jù)中心的結(jié)構(gòu)來做到這些。服務(wù)器虛擬化可以提供功能強(qiáng)大的操作模式以及其它很多優(yōu)勢。在運(yùn)行虛擬基礎(chǔ)架構(gòu)時(shí)，物理服務(wù)器就變成可以歸入到一個(gè)資源池中的計(jì)算資源。另外，服務(wù)器提供主體——終端用戶交互方——就變成了虛擬機(jī)。資源池和虛擬服務(wù)提供主體之間的競爭改變了管理員看待數(shù)據(jù)中心安全的傳統(tǒng)方式。

安全問題：清楚風(fēng)險(xiǎn)

數(shù)據(jù)中心除了這個(gè)轉(zhuǎn)換之外，虛擬基礎(chǔ)架構(gòu)也帶來其自身的安全問題。新安全威脅的出現(xiàn)自然就需要新方法來處理。但是虛擬化將會給當(dāng)前的安全實(shí)踐帶來什么樣的影響呢？網(wǎng)絡(luò)安全中心——一個(gè)負(fù)責(zé)起草操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備和其它應(yīng)用設(shè)備標(biāo)準(zhǔn)的非盈利組織——的專家曾經(jīng)試圖通過出撰寫虛擬機(jī)安全標(biāo)準(zhǔn)報(bào)告來回答這個(gè)問題，該報(bào)告標(biāo)識出若干種潛在的虛擬化技術(shù)安全威脅。但是隨著越來越多的單位開始部署虛擬化基礎(chǔ)架構(gòu)，各種各樣的新安全威脅也不斷出現(xiàn)。

如果關(guān)注虛擬基礎(chǔ)架構(gòu)中的安全問題，就需要在保護(hù)該架構(gòu)時(shí)考慮如下幾個(gè)方面。在很多情況下，每個(gè)問題就依賴于已有的工具和實(shí)施，但是這兩者都必須及時(shí)更新才可以滿足消除虛擬基礎(chǔ)架構(gòu)安全威脅的條件。

單位部署服務(wù)器虛擬化的一個(gè)主要原因就是實(shí)施物理機(jī)器的整合——把物理計(jì)算機(jī)轉(zhuǎn)換成虛擬機(jī)。在整合機(jī)器設(shè)備時(shí)，在把具有不同安全背景的系統(tǒng)配置在同一臺宿主主機(jī)上時(shí)需要格外仔細(xì)。在把承載不同操作系統(tǒng)的虛擬機(jī)放在同一臺主機(jī)上時(shí)也需要特別注意。

具有不同安全背景的機(jī)器如果配置不正確的話就會損壞系統(tǒng)的安全。確保連接到每一臺給定安全背景的虛擬機(jī)上的虛擬網(wǎng)絡(luò)適配器都綁定在主機(jī)服務(wù)器上的物理網(wǎng)絡(luò)適配器。絕對不能把具有不同安全背景的機(jī)器連接到同一個(gè)物理適配器上，因?yàn)檫@可能引發(fā)安全數(shù)據(jù)通信泄露到不安全的網(wǎng)絡(luò)上。

承載不同操作系統(tǒng)的機(jī)器可能遲滯不同級別的補(bǔ)丁包和更新——有些機(jī)器可能沒有得到特定脆弱性的保護(hù)，而其它機(jī)器有得到保護(hù)。這些容易受到安全威脅的機(jī)器就會影響到其它機(jī)器的安全。

在主機(jī)上運(yùn)行的虛擬機(jī)，可能在虛擬機(jī)和主機(jī)之間共享剪切板。該共享剪切板不僅支持?jǐn)?shù)據(jù)轉(zhuǎn)化，同時(shí)也能夠使惡意程序“順便捎帶”剪切板上的數(shù)據(jù)，從而影響到其它虛擬機(jī)或者主機(jī)本身。尤其在使用軟件虛擬化管理程序（該應(yīng)用程序采取和操作系統(tǒng)上應(yīng)用程序相似的方式運(yùn)行）時(shí)更容易出現(xiàn)這類問題。部分軟件虛擬化管理程序是VMware Workstation、Sun xVM VirtualBox、Microsoft Virtual Server以及Microsoft Virtual PC。

運(yùn)行硬件虛擬化管理程序——直接運(yùn)行在硬件之上——能夠緩解這個(gè)問題。硬件虛擬化管理程序包括Microsoft Hyper-V、VMware vSphere、Virtual Iron或者Citrix XenServer。

有些主機(jī)記錄運(yùn)行在主機(jī)上虛擬機(jī)的登錄按鍵和屏幕操作。用戶可以通過虛擬基礎(chǔ)架構(gòu)管理界面控制這個(gè)稱為主機(jī)虛擬機(jī)登錄的行為。如果選擇記錄虛擬機(jī)活動，就需要確保主機(jī)日志文件一直都是完全安全的。

虛擬機(jī)內(nèi)的程序可能會從虛擬機(jī)“逃離”，從而影響到主機(jī)安全。因此必須保證虛擬機(jī)配置合適的防火墻和惡意軟件防護(hù)程序，諸如防病毒和反惡意軟件程序。還需要保證的是所有的簽名和補(bǔ)丁能夠及時(shí)更新。

監(jiān)控可能會成為一個(gè)問題。主機(jī)可以監(jiān)控虛擬機(jī)，虛擬機(jī)也可以監(jiān)控其它虛擬機(jī)，虛擬機(jī)也可以監(jiān)控主機(jī)服務(wù)器。在所有的這些場景中，監(jiān)控記錄和數(shù)據(jù)庫必須是安全的。也必須控制對所有監(jiān)控?cái)?shù)據(jù)和管理界面的訪問。

虛擬機(jī)也可能引起對主機(jī)的拒絕服務(wù)攻擊，所有運(yùn)行在一臺主機(jī)上的虛擬機(jī)共享主機(jī)資源?？赡軙刑摂M機(jī)失去控制占用主機(jī)上的所有資源，拒絕向其它虛擬機(jī)提供服務(wù)器。需要通過對所有虛擬機(jī)實(shí)施合適的資源訪問控制來防止此類問題的發(fā)生。

保護(hù)虛擬機(jī)——尤其是高安全虛擬機(jī)——不受外部不可控的修改。防止修改的理想方案是確保構(gòu)成虛擬機(jī)的所有文件都是經(jīng)過數(shù)字簽名的。

同虛擬化管理程序的通信也應(yīng)該自始至終都得到保護(hù)，因?yàn)檫@些數(shù)據(jù)中可能包含重要的信息，如特權(quán)賬號的用戶名和口令。大多數(shù)虛擬基礎(chǔ)架構(gòu)在所有的管理通信中都支持安全套接層（SSL：Secure Sockets Layer）的使用，但是這一項(xiàng)功能在默認(rèn)情況下通常都沒有安裝。確保必須部署該功能來防止受到潛在的管理通信問題的影響。

虛擬機(jī)也可以看作是一個(gè)文件夾中的一系列文件，但是這些文件中包括了相當(dāng)敏感的信息，確保組成虛擬機(jī)的所有文件都放在同一個(gè)文件夾中。有些虛擬化管理程序默認(rèn)情況下并不存儲虛擬機(jī)文件，如同一個(gè)文件中的配置、虛擬磁盤、快照文件、內(nèi)存內(nèi)數(shù)據(jù)等。把這些文件保存在一起，更容易進(jìn)行跟蹤和監(jiān)控以防止非授權(quán)訪問，甚至是偷竊。

由于虛擬機(jī)是由不同的文件組成的，所以通過使用含有惡意軟件的文件替換虛擬磁盤中的一個(gè)文件可以很容易威脅到系統(tǒng)安全。這就是要監(jiān)控組成虛擬機(jī)文件很重要的一個(gè)原因。

上述的相關(guān)內(nèi)容就是對虛擬架構(gòu)是如何影響網(wǎng)絡(luò)安全的描述，希望會給你帶來一些幫助在此方面。

【編輯推薦】

1. GreenSQL助力防止SQL注入攻擊
2. SQL注入攻擊及其防范檢測技術(shù)研究
3. 三大措施將SQL注入攻擊的危害最小化
4. IBM專家指出：SQL注入攻擊第三波浪潮襲來
5. SQL注入攻擊的種類和防范手段