虚拟安全技巧:安全规则

日期:2010-11-5作者:Eric Siebert

【TechTarget中国原创】

在之前文章“虚拟安全技巧:易受攻击的点 ”中,我们介绍了虚拟安全中的物理安全、如何保护管理控制台以及阻止虚拟机内部的攻击。现在我们来看看其他一些方面。

  常用工具和API的安全防护

  虚拟安全策略中还应该包含其它的一些易攻击点,包括登陆程序和API。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

虚拟化安全>更多

  • 虚拟安全管理帮你保护基础设施

    虚拟化不只带来了众多优势,同样存在独一无二的安全风险。简单说,和物理服务器相比,保护虚拟资产存在更多的困难,需要专门的工具以及培训才能管好。

  • 哪些VM管理工具可以提高安全性?

    虽然组织经常关注安全工具和安全态势,尤其是在动态虚拟化数据中心。但事实上,组织IT人员仍然可能成为最大的安全威胁。

  • DHCP Guard和Router Guard是如何保护虚拟化环境的?

    尽管Hyper-V的高级网络安全特性不可能适用于所有情况,但是管理员可以使用其构建额外的防御层级,防止恶意入侵,保护虚拟化环境。

  • 五招应对虚拟攻击

    通过严格评估,可以将虚拟攻击的潜在影响降至最低。让我们一起回顾一下有助于确保虚拟环境安全的部分措施。

相关推荐

  • 如何使用API创建OpenStack虚拟机?

    基础OpenStack平台安装完成后,还需要将虚拟机镜像加载到Glance资源库并创建虚拟机,大多数人使用API而非命令行创建OpenStack虚拟机。

  • 剖析不同级别的数据中心自动化

    软件定义一切是当今虚拟化浪潮中非常真实的一部分。如此频繁讨论的标准化术语已经出现在数据中心,描述不同级别的自动化。

  • 化解API管理策略冲突 增加收入

    大多数企业很可能需要编写新代码以支持通过API访问数据,因为原应用使用的数据可能不同于顾客或合作伙伴实际需要或者想要访问的数据。

  • 为什么需要巨大的虚拟磁盘文件?

    老一代的IT人可能记得逻辑块寻址(LBA)出现在上世纪90年代早期,作为解决磁盘大小受限于504MB的一种方法。

技术手册>更多

  • 虚拟机资源配置指南

    本期《虚拟机资源配置指南》技术手册旨在帮助IT管理员找准虚拟机资源合理分配的界线,并通过正确实施、配置安全性,避免虚拟机蔓延等多方面技巧,最终在充分保证虚拟机性能优化的同时,合理控制运营成本。

  • 超融合产品EVO:RAIL使用指南

    VMware已经建立了一个合作伙伴列表,该列表中的厂商将提供EVO:RAIL的硬件部分。尽管底层的技术相同,但HP、Dell以及合作伙伴列表上的其他厂商提供的产品还是有一些差异。

  • VMware NSX部署指南

    在VMworld 2013上,VMware发布了它的下一代网络虚拟化平台NSX,两年过去了,VMware NSX有了哪些变化?您是否已经部署VMware NSX?

  • vSphere高级技巧

    虽然vSphere 6要等到2015年初才会发布,但是大家对它的热情不减。相信很多企业都已经在使用vSphere,本期技术手册分享一些关于vSphere的高级技巧,例如如何重新设计vSphere让其发挥最大潜力。

TechTarget

最新资源
  • 安全
  • 存储
  • CIO
  • 网络
  • 服务器
  • 数据中心
【TechTarget中国原创】

在之前文章“虚拟安全技巧:易受攻击的点 ”中,我们介绍了虚拟安全中的物理安全、如何保护管理控制台以及阻止虚拟机内部的攻击。现在我们来看看其他一些方面。

  常用工具和API的安全防护

  虚拟安全策略中还应该包含其它的一些易攻击点,包括登陆程序和API。

  通常而言,虚拟机都会建立客户端OS到管理程序间的访问通道。例如,在VMware中通过VMware Tools来建立这种通道。VMware Tools中包含了一组驱动和程序,可以实现宿主机和客体机之间的多种交互,包括时间同步、内存管理、远程管理的文件拷贝和粘贴服务等。VMware Tools还可以允许从客体机OS向宿主机文件系统内的文件写入数据,以及记录故障诊断相关的虚拟机信息等等。恶意程序会向这些日志文件中写入大量的数据从而占满整个宿主机的数据存储空间,相比物理安全这也是一种全新的潜在风险。

  管理程序中还会提供很多API,供第三方应用完成同管理程序和虚拟机之间的通讯。虽然API很难被攻击,但毕竟也是潜在的安全漏洞之一。在不使用时,禁用和限制这种交互,可以提供对API更好的防护。您可以添加对日志文件增长的限制条件,或者是完全禁止这种操作,限制到宿主机系统和VM控制台的访问。

  虚拟磁盘文件的安全

  在物理安全中,几乎可以忽略失窃的情况,从数据中心偷走一台物理服务器或是其它硬件可没那么容易。但是在虚拟安全领域,数据中心本身就是安全隐患。

  由于虚拟机可以被压缩成一个虚拟磁盘文件,因此移动起来很方便——例如,可以拷贝到闪存中装走。攻击者甚至不需要登陆到数据中心内部,只要可以访问宿主机的数据存储设备就可以了。黑客登陆宿主机后,通过客户端的管理终端Secure Copy工具可以访问存储的数据和下载文件。

  其它一些可能的途径包括访问备份存储设备或者是虚拟机存储设备所在的网络。黑客通过简单地从宿主机下载整个虚拟磁盘文件到任意一台工作站上,然后把它拷贝到可移动USB上就可以随身携带走。在其它地点,只要安装相同的管理程序软件,然后mount磁盘或启动虚拟机就可以访问该虚拟机上的所有内容。

  把虚拟磁盘文件安全作为安全策略的一部分是很有必要的。限制到主机数据存储区域的访问、定期登陆检查是否被攻击、建设物理上分离的存储网络等方法,保证只有存储设备和宿主机可以访问。

  另外请了解一点,当从数据中心执行删除或移动某台虚拟机等操作后,该虚拟机的数据依然在磁盘上。如果在同一磁盘上创建了新的虚拟机,很可能两台虚拟机使用了同一块数据存储区域(这仅适用于虚拟磁盘是完全分配的情况)。通常,只有新虚拟机向存储区写入数据时才会分配空间。由于老的数据在一定时间内不会被完全清除,所以存在通过某种方式被访问的可能。为了防止出现这种情况,您可以通过在创建新磁盘时选择立即清除数据存储区,或者是使用一些基于操作系统内的相关工具来实现。