2008年虚拟化趋势:虚拟化安全

日期:2008-8-7作者:金真来源:IT168

  除了桌面虚拟化、虚拟I/O之外,虚拟环境的安全性也越来越受到人们的重视。因为入侵者现在有办法可以绕过虚拟机直接侵入hypervisor本身,从而使客户敏感数据和整个系统的资源都处于受攻击的危胁之中。

    网络安全软件公司Core Security,今年早些时候在其实验室演示了这种危险发生的可能性。VMware客户端虚拟化软件,包括VMware Player、VMware ACE和VMware Workstation有一个“共享文件夹”的功能,可以在主操作系统上写入文件,这样其他客户端可以共享其中的内容。Core Security的工程师说,在某些情况下,这个共享文件夹可以被用来向主操作系统中植入病毒或木马程序。在这一漏洞曝光之后,VMware随即向其客户发布了一份安全咨询报告。

  与安全厂商合作

    VMware后来还公布了VMsafe API接口,让第三方安全厂商可以借此构建产品来对hypervisor进行监控和保护,以使其免受类似威胁。目前已经有20家软件厂商在使用VMsafe API研发虚拟化安全产品。

    Apani Networks是其中一家,该公司正想办法让其原适用于企业内部网的EpiForce产品拓展到运行虚拟机的服务器上去。EpiForce可以对网络进行细分,并为每一个细分段设置不同等级的安全区域。通过检查用户权限,对虚拟机流出的敏感数据进行加密等,EpiForce还可以让虚拟机达到更高的安全水平。

    该公司技术总裁George Tehrani说,Apani还在努力增强EpiForce的动态灵活性,以使虚拟机在创建时就能被分配到合适的安全区域中去。通过VMware VMsafe API,Apani可以让Virtual Infrastructure 3能够分配EpiForce安全策略,并和其他管理功能一起进行升级。“VMsafe统一了管理控制台,这样在管理虚拟机时,既省时间也省成本。”据了解,过去是有一个Infrastructure 3控制台和一个安全控制台,而现在所有功能都只是通过Infrastructure 3来管理。

    Symantec的一位资深工程师Bruce McCorkendale也认为,VMware的安全API确实有意义。他正在使用VMsafe API来将其产品拓展到虚拟机中去。他表示,构建安全产品来监控hypervisor使得安全软件厂商比入侵者拥有“更高级别的特权。”虽然在权限保护上,公司网络是相对有限的:任何担任管理员或通过欺骗手段获得这一权限的人都有机会进入。但Hypervisor则有些类似于瞭望塔中的哨兵:在有人看到他之前先发现对方。

虚拟化

  可信计算

    XenSource的拥有者Citrix公司现在还没有跟VMsafe类似的计划,但它的hypervisor——Xen——包含了源自IBM虚拟化技术的安全特性。IBM研究中心推出了名叫sHype的hypervisor安全套件,并把它贡献给了Xen开源社区;sHype会被嵌入到Xen和Citrix的产品中去。

    据介绍,一个装有sHype的hypervisor知道哪些虚拟机是可信任的,可以和其他虚拟机分享数据,也知道哪些虚拟机是不可信任的。sHype监控虚拟机的各个组件,把他们正确的配置信息记录下来,就象“一个独特的指纹”一样,然后会监控发生的任何变化。只要这些配置保持一致,它就是一个可信任的资源。

    如果由于有人入侵或其他原因,导致一个正在运行的虚拟机突然产生了一个新的服务功能,sHype就会侦测到对配置信息的修改,并把它的状态标识为不可信任。相同的规则也可以用在客操作系统上,因为操作系统也是经常受入侵攻击的地方。

    “我们使用可信计算技术来测量处于运行过程中的各部分的完整性,”IBM研究中心高级经理Ron Perez说。Hypervisor会被告知哪些虚拟机在启动时,相互之间是可信任的,而且会继续监控它们,以确保这些虚拟机中的每一个都保持可信状态。

    在一个管理控制台中,sHype会用同一种颜色把那些可以相互通信的虚拟机标识出来。Perez说,“一个蓝色的虚拟机可以和另一个蓝色的机器进行通信,但它绝不可以和一个红色的机器进行通信。”这一方法能够在虚拟机之间提供非常强的安全隔离性。

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

金真
金真

IT168

虚拟化安全及补丁管理>更多

相关推荐

  • 专家解惑:部署虚拟化不再犹豫

    尽管虚拟化是一种很棒的管理资源、降低成本的方式,但对企业来说,评估不同的虚拟化产品可能面临挑战,尤其是对没有任何经验的组织来说更是如此。

  • 换个角度看容器和hypervisor的关系

    大多数人喜欢将虚拟化技术的两种主要实现方式——容器和hypervisor——以对比的方式进行讨论。这种思路将容器和hypervisor放在对立面上,你怎么看?

  • VMware收购Arkin Net为哪般?

    当Vmware在2016年6月透露出收购Arkin Net的计划时,收购名单再添新成员。VMware没有透露任何关于收购Arkin的财务细节,但它公布了公司重点关注的问题。

  • 如何提高虚拟机配置的安全性?

    保持hypervisor更新最新的补丁是防止攻击的重要步骤,但适当的虚拟机配置管理对确保整体安全性而言依然非常重要。

技术手册>更多

  • 提高Hyper-V动态迁移五大技巧

    停机时间曾经是虚拟机迁移过程中令人痛苦的荆棘。但动态迁移改变了这种情况。现在,动态迁移消除了停机时间,除此之外仍然有一些方法可以来改善将虚拟机从一个物理主机移动到其他地方的方法。速度和安全是提高Hyper-V动态迁移的两大焦点。其中包括加快和自动化保护迁移过程的方法和策略。下面我们提供了提升Hyper-V动态迁移速度和安全的五种不同方式。

  • 在Win2003上安装VMware

    VMware Server提供了一个免费的并且比较容易进入的服务器虚拟化方法,不过部署它的几个方面——尤其是配置,可能很棘手。即使这个产品是免费的,可如果在安装和安全化进程中出了错误,也将会付出很高的代价。本指南提供了VMware Server在安装、配置(主要注重高安全性)以及如何成功运行于微软Windows 2003服务器等方面的说明。

  • vSphere高级技巧

    虽然vSphere 6要等到2015年初才会发布,但是大家对它的热情不减。相信很多企业都已经在使用vSphere,本期技术手册分享一些关于vSphere的高级技巧,例如如何重新设计vSphere让其发挥最大潜力。

  • 桌面虚拟化VDI实施流程指导手册

    在之前专题“虚拟桌面基础架构VDI”中,我们探讨了什么是虚拟桌面架构灯。不过对于集中化桌面虚拟化(CDV)目前有几种不同解决方案,这个CDV又被称为虚拟桌面架构(VDI)。这些解决方案各不相同,从内部管理的虚拟桌面到宿主虚拟桌面系统。如何实施CDV?过程中应该注意哪些事项?

TechTarget

最新资源
  • 存储
  • CIO
  • 网络
  • 服务器
  • 数据中心
  • 云计算