论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 2 篇帖子 ] 
作者 内容
 文章标题 : Hypervisor架构问题
帖子发表于 : 2013-10-31 13:49 
离线
高级用户

注册: 2010-01-29 11:13
最近: 2014-08-07 09:30
拥有: 241.00 安全币

奖励: 0 安全币
在线: 1051 点
帖子: 203
虚拟机加固
对虚拟机个体实施适当的加固和保护包括防火墙(入站/出站),主机入侵防御系统(HIPS),网站应用层保护,防病毒,文件完整性监控和日志监控等都可透过软件向每个虚拟机客户提供,或利用内嵌的虚拟机与基于HypervisorAPI128协同提供。
Hypervisor安全
Hypervisor需被锁定并参照最佳实践进行加固。使用虚拟化的企业和用户主要关心的是Hypervisor所运行物理主机是否有恰当的配置管理、操作和物理安全。
虚拟机间攻击和盲点
虚拟化对网络安全带来偌大的威胁,虚拟机间可能通过硬件背板而不是网络,进行通讯,因此这些通讯流量对标准的网络安全控制来说是不可见的,无法对它们进行监控或内嵌封堵。内嵌虚拟设备可以帮助解决这个问题;另一个解决途径是硬件辅助虚拟化(Hardware Assisted Virtualization),它需要与Hypervisor和虚拟化管理框架进行API级别的整合。虚拟机的迁移也是令人担心的地方。一个可能的攻击场景是一个可疑的虚拟机迁移进信任区域,在传统以网络为基础的安全控制措施下,将无法检测到它的不当行为(misbehavior)。在每个虚拟机上安装全套的安全工具,是加添保护层的另一途径。
性能问题
将为物理服务器设计的安全软件安装在虚拟的服务器上可导致严重的性能下降,因为一些安全任务,比如病毒扫描就是非常占用CPU资源的。虚拟化服务器上的共享环境导致了资源竞争。特别是在虚拟桌面或高密度环境中,安全软件需具备虚拟环境识别能力或它需要能夠在一台虚拟机上执行安全功能来支持其他虚拟机。
虚拟机蔓延(VM Sprawl)导致的运作复杂度
在典型的企业中,虚拟机可提供的便捷性,导致虚拟机需求的增加。这缔造了更大的攻击面,错误配置或操作失误导致安全漏洞的几率也随之上升。实施基于策略的管理和虚拟化管理架构的使用是必需的。
防护间隙(Instant-On Gap)
虚拟机关闭/启动便捷,再结合威胁变化的速度, 产生了一种情况:当虚拟机被关闭时配置是安全的;但是当它被再次启动时,威胁已经演化了,结果该虚拟机就可能存在漏洞风险了。最佳实践包括基于网络的安全控制和“虚拟补丁”,他们在网络流量到达新部署或新启动的虚拟机前,对已知攻击行为进行检查。也可能采取类似网络访问控制(NAC129)的措施,以隔离尚未更新的虚拟机,直至规则和模式库更新到最新并执行完成扫描任务。


CCSK云计算安全(热荐):
开课时间: CCSK云计算安全 :12/12-13
IT行业当中还没有几个领域能够获得像云计算这样有着如此迅猛发展的态势。,
您想顺利搭上这班“开往春天的地铁”吗?
您想凭次门票实现职业生涯的腾飞吗?
您想拥有一项信息安全的国际权威认证吗?
您是否久欲叩开信息安全行业的大门却苦于无所适从?
那么,赶紧加入我们信息安全学习的大家庭吧http://www.sitc.net.cn/ccsk_if.aspx,SITC的大平台让您不仅学到知识,更能收获良师益友。联系电话:021-62126633-6025


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: Hypervisor架构问题
帖子发表于 : 2014-10-29 14:13 
离线
新手

注册: 2012-09-20 10:06
最近: 2014-11-25 14:57
拥有: 23.00 安全币

奖励: 0 安全币
在线: 191 点
帖子: 6
广告,删除!


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 2 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012