[[180476]]

保持hypervisor更新最新的補丁是防止攻擊的重要步驟，但適當(dāng)?shù)奶摂M機配置管理對確保整體安全性而言依然非常重要。

有幾個常見的做法，可以提高h(yuǎn)ypervisor和托管虛擬機的安全性。

確保hypervisor是最新版本或及時更新補丁。hypervisor開發(fā)者比如Xen，已經(jīng)應(yīng)對Xen的安全漏洞傳播制定了詳細(xì)的安全協(xié)議設(shè)計。組織應(yīng)該測試和部署這些安全補丁，預(yù)防可能發(fā)生的攻擊。

主機和客戶虛擬機各自運行一個操作系統(tǒng)，保持操作系統(tǒng)更新最新的安全補丁非常重要。當(dāng)每個虛擬機運行相同的操作系統(tǒng)，安全漏洞被攻擊的可能性大大增加，因此組織的第一次評估和測試補丁應(yīng)該關(guān)注安全補丁測試，以避免零時差攻擊。變更管理工具對于追蹤供應(yīng)商和版本是非常有用的，當(dāng)補丁是可用的會發(fā)送警報，并且確保每個虛擬機的操作系統(tǒng)都是正常的。

反惡意軟件工具通常安裝在位于hypervisor的虛擬主機上——并不是每一臺虛擬機。這樣可以提高系統(tǒng)的性能，因為你不會在同一時間啟用多個虛擬機掃描惡意軟件，但這是保持任何反惡意軟件工具更新的關(guān)鍵，可能包括病毒掃描、防火墻和入侵檢測系統(tǒng)。啟用自動更新和允許反惡意軟件工具執(zhí)行自主簽名或參考文件的更新，這些可能每天發(fā)生，有時甚至一天發(fā)生幾次。

虛擬機配置也可以幫助防御攻擊。大多數(shù)虛擬機采用的基礎(chǔ)圖像稱為金色圖像。圖像包括虛擬機配置，如開放端口，包括服務(wù)等。在許多情況下，圖像本質(zhì)上是不安全的，圖像可能包括不必要的開放端口。這種情況經(jīng)常發(fā)生，因為圖像的出現(xiàn)是響應(yīng)特定的工作負(fù)載，而沒有仔細(xì)考慮圖像安全配置問題。這樣大大了提高虛擬機的攻擊面，使每一臺虛擬機處于風(fēng)險之中。檢查金色圖像并檢查配置的每個屬性——它可能需要后續(xù)的虛擬機創(chuàng)建一個新的金色圖像。同時，也有必要檢查虛擬機配置，最好手動調(diào)整好每個配置。

一旦一個新的實例被克隆，虛擬機配置管理就不能停止。每個虛擬機的配置應(yīng)該監(jiān)控和管理整個生命周期。虛擬化工具如SolarWinds，Puppet等有助于控制虛擬機配置，保持虛擬機的安全性。當(dāng)檢測到配置更改時，還應(yīng)該能夠編譯日志并向管理員發(fā)出警報。