安全是懸在云計(jì)算頭上的一個(gè)利劍����。比如,虛擬化后的集中帶來(lái)致命的弊端�,一旦承載虛擬化平臺(tái)的電腦系統(tǒng)出現(xiàn)問(wèn)題,企業(yè)辦公將受到牽連�,嚴(yán)重時(shí)還可能使整個(gè)系統(tǒng)癱瘓。
你們以為買了個(gè)云安全平臺(tái)就安全了嗎?無(wú)非不都是利用引流技術(shù)將流量引到裝有傳統(tǒng)安全設(shè)備鏡像的資源池里做“流量清洗�����、行為識(shí)別�、特征分析���!绷T了���。
1���、虛擬機(jī)間的相互
傳統(tǒng)的IDS設(shè)備,利用交換機(jī)的端口鏡像功能���,可以監(jiān)控外部對(duì)DMZ區(qū),以及DMZ區(qū)內(nèi)部不同之間的行為;但在虛擬化環(huán)境中��,位于同一臺(tái)虛擬器(物理)上的不同虛擬機(jī)之間的通訊不再經(jīng)過(guò)網(wǎng)絡(luò)交換機(jī)�,使傳統(tǒng)的檢測(cè)設(shè)備失效。這個(gè)時(shí)候內(nèi)部或外部人員通過(guò)對(duì)某一臺(tái)虛擬機(jī)的控制���,就可以對(duì)這臺(tái)物理上的其他虛擬機(jī)發(fā)起����,從而獲得整個(gè)群的控制權(quán)�����。
2.不同安全級(jí)別無(wú)法合并
在信息安全建設(shè)過(guò)程中����,劃分安全域是個(gè)重要的過(guò)程,在不同安全級(jí)別的安全域之間通過(guò)一系列的安全技術(shù)防止風(fēng)險(xiǎn)的擴(kuò)散;在虛擬化過(guò)程中�,分布在不同安全域中的整合的時(shí)候���,由于無(wú)法采用隔離技術(shù),通常會(huì)面臨無(wú)法合并的問(wèn)題
3.以主機(jī)為基礎(chǔ)的安全策略無(wú)法部署
任何一種平臺(tái)大規(guī)模上線使用后都會(huì)成為廣大網(wǎng)絡(luò)的對(duì)象���,虛擬機(jī)也不例外�����,目前基于虛擬機(jī)的安全軟件都是基于物理機(jī)開(kāi)發(fā)的���,其防護(hù)方式無(wú)一例外都是借助傳統(tǒng)方式,而且每一臺(tái)虛機(jī)如果都安裝安全軟件��,對(duì)物理的存儲(chǔ)空間��、內(nèi)存資源占用較大�。虛擬機(jī)的初衷是綠色環(huán)保,低碳節(jié)能���,沒(méi)有業(yè)務(wù)運(yùn)行的時(shí)候可以關(guān)閉虛機(jī)��,業(yè)務(wù)恢復(fù)時(shí)開(kāi)啟虛機(jī)�����,但關(guān)閉期間���,病毒代碼是無(wú)法更新的�����,一旦開(kāi)機(jī)���,多個(gè)防病毒軟件同時(shí)更新一個(gè)病毒碼對(duì)網(wǎng)絡(luò)帶寬也有較大影響�。網(wǎng)絡(luò)安全設(shè)備目前也沒(méi)有監(jiān)測(cè)虛機(jī)之間通信流的能力,先進(jìn)的虛擬平臺(tái)搭配傳統(tǒng)的防范策略�,無(wú)疑影響了虛擬平臺(tái)的使用,網(wǎng)絡(luò)和內(nèi)部可以利用這個(gè)時(shí)期大規(guī)模虛擬機(jī)���,并借助單臺(tái)虛擬機(jī)虛機(jī)群�����,業(yè)務(wù)系統(tǒng)隨時(shí)崩潰�����。
4.隨時(shí)啟動(dòng)的防護(hù)間隙
除整合之外��,企業(yè)通過(guò)按需配置和取消配置虛擬機(jī)�,將其動(dòng)態(tài)性用于測(cè)試環(huán)境、定期維護(hù)��、災(zāi)難恢復(fù)以及用于支持需要按需計(jì)算資源的“任務(wù)工作者”�����。因此���,當(dāng)以較快頻率激活和停用虛擬機(jī)時(shí)�,無(wú)法快速��、一致地為這些虛擬機(jī)配置安全措施并使其保持最新�。休眠的虛擬機(jī)最終偏離引入大量安全漏洞這一簡(jiǎn)單的基線。如果不配置客戶端和病毒庫(kù)更新�����,即使是使用包含防病毒功能的模板構(gòu)建的新虛擬機(jī)也無(wú)法立即對(duì)客戶機(jī)起到防護(hù)作用�。簡(jiǎn)言之,如果虛擬機(jī)在部署或更新防病毒軟件期間未處于聯(lián)機(jī)狀態(tài)��,它將處于不受保護(hù)的休眠狀態(tài),一旦激活�����、聯(lián)機(jī)后將會(huì)立即受到����。
5.虛擬機(jī)的安全級(jí)別混雜
同一臺(tái)物理上的多個(gè)虛擬機(jī)可以相互通訊,在通迅過(guò)程中會(huì)產(chǎn)生安全隱患���,因?yàn)橥獠康木W(wǎng)絡(luò)安全工具從防火墻到檢測(cè)和防護(hù)系統(tǒng)再到異常行為監(jiān)測(cè)器�,都無(wú)法監(jiān)測(cè)到物理內(nèi)部的流量.如果者攻克了一臺(tái)虛擬機(jī)����,就可以用它來(lái)同一臺(tái)上的其他虛擬機(jī).另外�,虛擬機(jī)會(huì)在不同之間遷移,并且這種遷移經(jīng)常會(huì)自動(dòng)完成�,這可能會(huì)讓一些重要的虛擬機(jī)遷移到不安全的物理上,從而帶來(lái)安全風(fēng)險(xiǎn).此外�����,還有一些用作測(cè)試目的的虛擬機(jī)可能會(huì)與重要的虛擬機(jī)存在于同一虛擬局域網(wǎng)中��,這也會(huì)給帶來(lái)機(jī)會(huì)。
6.資源沖突
常規(guī)防病毒掃描和病毒碼更新等占用大量資源的操作將在很短的時(shí)間內(nèi)導(dǎo)致過(guò)量系統(tǒng)負(fù)載�����。如果防病毒掃描或定期更新在所有虛擬機(jī)上同時(shí)啟動(dòng)����,將會(huì)引起“防病毒風(fēng)暴”。此“風(fēng)暴”就如同銀行擠兌�����,其中的“銀行”是由內(nèi)存���、存儲(chǔ)和 CPU 構(gòu)成的基本虛擬化資源池���。此性能影響將阻礙應(yīng)用程序和虛擬桌面 /VDI環(huán)境的正常運(yùn)行。傳統(tǒng)體系結(jié)構(gòu)還將導(dǎo)致內(nèi)存分配隨單個(gè)主機(jī)上虛擬機(jī)數(shù)量的增加而呈現(xiàn)線性增長(zhǎng)�����。在物理環(huán)境中�����,每一操作系統(tǒng)上都必須安裝防病毒軟件。將此體系結(jié)構(gòu)應(yīng)用于虛擬系統(tǒng)意味著每個(gè)虛擬機(jī)都需要多占用大量?jī)?nèi)存���,從而導(dǎo)致對(duì)整合工作的不必要消耗�。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
