虚拟化是基础设施即服务(IaaS) 云和私有云中的关键因素之一,而且越来越多地被应用在平台即服务(PaaS)和软件即服务(SaaS)提供商的后台中。虚拟化也是由公有云或私有云交付的虚拟桌面的一项关键技术。
近日,云安全联盟的《云安全指南》v3.0中文版发布,其中特别谈到了虚拟化带来的安全问题,包括了操作系统层面、虚拟机间的通讯和虚拟机迁移等。
虚拟化的优点已是众所周知,包括多租户、更佳的服务器利用率和数据中心整合等。云服务提供商可(用虚拟化)实现更高的密度,由此转化更好的利润;企业可用虚拟化来压缩在服务器硬件上的资本支出,同时提升营运效率。
然而虚拟化也同时带来所有以客居方式运行操作系统的安全问题,Hypervisor层引入的新安全考虑;以及新的虚拟化特有的安全威胁,例如,虚拟机(Virtue Machine)间的攻击和盲点,安全功能消耗CPU和内存导致的性能问题,虚拟机蔓延(VM Sprawl)导致的运作复杂度。新的问题如防护间隙(Instant-On Gap),数据混杂(Data Comingling),加密虚拟机(Virtue Machine)镜像的难度,及残余数据清除等正成为焦点。
虚拟化对网络安全带来偌大的威胁,虚拟机间可能通过硬件背板而不是网络,进行通讯,因此这些通讯流量对标准的网络安全控制来说是不可见的,无法对它们进行监控或内嵌封堵。内嵌虚拟设备可以帮助解决这个问题;另一个解决途径是硬件辅助虚拟化(Hardware Assisted Virtualization),它需要与Hypervisor和虚拟化管理框架进行API级别的整合。虚拟机的迁移也是令人担心的地方。一个可能的攻击场景是一个可疑的虚拟机迁移进信任区域,在传统以网络为基础的安全控制措施下,将无法检测到它的不当行为(misbehavior)。在每个虚拟机上安装全套的安全工具,是加添保护层的另一途径。
随时随地了解最新ICT产业资讯,请扫描二维码,或搜索"chnsourcing",关注中国外包网官方微信。
作者:陈广成 编辑:陈佳璐