虚拟安全技巧:安全规则

日期:2010-11-5作者:Eric Siebert

【TechTarget中国原创】

在之前文章“虚拟安全技巧:易受攻击的点 ”中,我们介绍了虚拟安全中的物理安全、如何保护管理控制台以及阻止虚拟机内部的攻击。现在我们来看看其他一些方面。

  常用工具和API的安全防护

  虚拟安全策略中还应该包含其它的一些易攻击点,包括登陆程序和API。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

虚拟化安全>更多

  • 哪些VM管理工具可以提高安全性?

    虽然组织经常关注安全工具和安全态势,尤其是在动态虚拟化数据中心。但事实上,组织IT人员仍然可能成为最大的安全威胁。

  • DHCP Guard和Router Guard是如何保护虚拟化环境的?

    尽管Hyper-V的高级网络安全特性不可能适用于所有情况,但是管理员可以使用其构建额外的防御层级,防止恶意入侵,保护虚拟化环境。

  • 五招应对虚拟攻击

    通过严格评估,可以将虚拟攻击的潜在影响降至最低。让我们一起回顾一下有助于确保虚拟环境安全的部分措施。

  • 三大常见虚拟化问题

    服务器虚拟化技术能够简化IT运营流程、大幅度减少管理员的工作任务。然而,虚拟化基础架构必须和hypervisor厂商的最佳实践紧密联系,否则虚拟化技术会带来更多问题。

相关推荐

  • 如何使用API创建OpenStack虚拟机?

    基础OpenStack平台安装完成后,还需要将虚拟机镜像加载到Glance资源库并创建虚拟机,大多数人使用API而非命令行创建OpenStack虚拟机。

  • 剖析不同级别的数据中心自动化

    软件定义一切是当今虚拟化浪潮中非常真实的一部分。如此频繁讨论的标准化术语已经出现在数据中心,描述不同级别的自动化。

  • 化解API管理策略冲突 增加收入

    大多数企业很可能需要编写新代码以支持通过API访问数据,因为原应用使用的数据可能不同于顾客或合作伙伴实际需要或者想要访问的数据。

  • 为什么需要巨大的虚拟磁盘文件?

    老一代的IT人可能记得逻辑块寻址(LBA)出现在上世纪90年代早期,作为解决磁盘大小受限于504MB的一种方法。

技术手册>更多

  • 医疗信息化 IT与您同行

    医疗信息化是发展趋势。随着信息技术的快速发展,国内越来越多的医院正加速实施基于信息化平台,以提高医院的服务水平与核心竞争力。医疗信息化的IT的关系密不可分,怎样建设智能的医院,这与BI、SOA、存储、云计算等IT领域息息相关。在本期特刊中,我们专门来详解这些技术与医疗的关系,并分享几个具体的案例。

  • 云桌面基础知识:DaaS vs. VDI

    桌面即服务(DaaS)进入IT部门已经很长一段时间了。选择DaaS的好处在于它比VDI拥有更低的成本和复杂性,以及易于管理的特性。但DaaS复杂的许可、应用兼容性等问题是其潜在的缺点。如果你想快速了解和掌握该技术的基础知识、深入挖掘IT部门对云桌面和VDI的对比数据等等,请下载本期技术手册。

  • VMware HA高可用性手册

    什么是高可用性?它与灾难恢复有什么区别?在虚拟环境里达到高可用性的方法有哪些?VMware HA有哪些作用?如何在虚拟环境配置VMware HA故障转移级别?HA出现故障时应该如何解决?

  • P2V迁移:虚拟化与云不可缺部分

    在虚拟化时代,需要将物理机迁移到虚拟机,也就是我们常说的P2V迁移,在现在云时代,P2V迁移变得更加频繁,也是IT管理者必须掌握的基本技术。

TechTarget

最新资源
  • 存储
  • CIO
  • 网络
  • 服务器
  • 数据中心
  • 云计算
【TechTarget中国原创】

在之前文章“虚拟安全技巧:易受攻击的点 ”中,我们介绍了虚拟安全中的物理安全、如何保护管理控制台以及阻止虚拟机内部的攻击。现在我们来看看其他一些方面。

  常用工具和API的安全防护

  虚拟安全策略中还应该包含其它的一些易攻击点,包括登陆程序和API。

  通常而言,虚拟机都会建立客户端OS到管理程序间的访问通道。例如,在VMware中通过VMware Tools来建立这种通道。VMware Tools中包含了一组驱动和程序,可以实现宿主机和客体机之间的多种交互,包括时间同步、内存管理、远程管理的文件拷贝和粘贴服务等。VMware Tools还可以允许从客体机OS向宿主机文件系统内的文件写入数据,以及记录故障诊断相关的虚拟机信息等等。恶意程序会向这些日志文件中写入大量的数据从而占满整个宿主机的数据存储空间,相比物理安全这也是一种全新的潜在风险。

  管理程序中还会提供很多API,供第三方应用完成同管理程序和虚拟机之间的通讯。虽然API很难被攻击,但毕竟也是潜在的安全漏洞之一。在不使用时,禁用和限制这种交互,可以提供对API更好的防护。您可以添加对日志文件增长的限制条件,或者是完全禁止这种操作,限制到宿主机系统和VM控制台的访问。

  虚拟磁盘文件的安全

  在物理安全中,几乎可以忽略失窃的情况,从数据中心偷走一台物理服务器或是其它硬件可没那么容易。但是在虚拟安全领域,数据中心本身就是安全隐患。

  由于虚拟机可以被压缩成一个虚拟磁盘文件,因此移动起来很方便——例如,可以拷贝到闪存中装走。攻击者甚至不需要登陆到数据中心内部,只要可以访问宿主机的数据存储设备就可以了。黑客登陆宿主机后,通过客户端的管理终端Secure Copy工具可以访问存储的数据和下载文件。

  其它一些可能的途径包括访问备份存储设备或者是虚拟机存储设备所在的网络。黑客通过简单地从宿主机下载整个虚拟磁盘文件到任意一台工作站上,然后把它拷贝到可移动USB上就可以随身携带走。在其它地点,只要安装相同的管理程序软件,然后mount磁盘或启动虚拟机就可以访问该虚拟机上的所有内容。

  把虚拟磁盘文件安全作为安全策略的一部分是很有必要的。限制到主机数据存储区域的访问、定期登陆检查是否被攻击、建设物理上分离的存储网络等方法,保证只有存储设备和宿主机可以访问。

  另外请了解一点,当从数据中心执行删除或移动某台虚拟机等操作后,该虚拟机的数据依然在磁盘上。如果在同一磁盘上创建了新的虚拟机,很可能两台虚拟机使用了同一块数据存储区域(这仅适用于虚拟磁盘是完全分配的情况)。通常,只有新虚拟机向存储区写入数据时才会分配空间。由于老的数据在一定时间内不会被完全清除,所以存在通过某种方式被访问的可能。为了防止出现这种情况,您可以通过在创建新磁盘时选择立即清除数据存储区,或者是使用一些基于操作系统内的相关工具来实现。