安全是懸在雲計算頭上的一個利劍。比如,虛擬化後的集中帶來致命的弊端,一旦承載虛擬化平臺的電腦系統出現問題,企業辦公將受到牽連,嚴重時還可能使整個系統癱瘓。
你們以爲買了個雲安全平臺就安全了嗎?無非不都是利用引流技術將流量引到裝有傳統安全設備鏡像的資源池裏做“流量清洗、行爲識別、特徵分析。”罷了。
1、虛擬機間的相互×××
傳統的IDS設備,利用交換機的端口鏡像功能,可以監控外部對DMZ區,以及DMZ區內部不同服務器之間的×××行爲;但在虛擬化環境中,位於同一臺虛擬器(物理服務器)上的不同虛擬機之間的通訊不再經過網絡交換機,使傳統的***檢測設備失效。這個時候內部或外部人員通過對某一臺虛擬機的控制,就可以對這臺物理服務器上的其他虛擬機發起×××,從而獲得整個服務器羣的控制權。
2.不同安全級別無法合併
在信息安全建設過程中,劃分安全域是個重要的過程,在不同安全級別的安全域之間通過一系列的安全技術防止風險的擴散;在虛擬化過程中,分佈在不同安全域中的服務器整合的時候,由於無法採用隔離技術,通常會面臨無法合併的問題
3.以主機爲基礎的安全策略無法部署
任何一種平臺大規模上線使用後都會成爲廣大網絡××××××的對象,虛擬機也不例外,目前基於虛擬機的安全軟件都是基於物理機開發的,其防護方式無一例外都是藉助傳統方式,而且每一臺虛機如果都安裝安全軟件,對物理服務器的存儲空間、內存資源佔用較大。虛擬機的初衷是綠色環保,低碳節能,沒有業務運行的時候可以關閉虛機,業務恢復時開啓虛機,但關閉期間,病毒代碼是無法更新的,一旦開機,多個防病毒軟件同時更新一個病毒碼對網絡帶寬也有較大影響。網絡安全設備目前也沒有監測虛機之間通信流的能力,先進的虛擬平臺搭配傳統的防範策略,無疑影響了虛擬平臺的使用,網絡×××和內部×××可以利用這個時期大規模×××虛擬機,並藉助單臺虛擬機×××虛機羣,業務系統隨時崩潰。
4.隨時啓動的防護間隙
除服務器整合之外,企業通過按需配置和取消配置虛擬機,將其動態性用於測試環境、定期維護、災難恢復以及用於支持需要按需計算資源的“任務工作者”。因此,當以較快頻率激活和停用虛擬機時,無法快速、一致地爲這些虛擬機配置安全措施並使其保持最新。休眠的虛擬機最終偏離引入大量安全漏洞這一簡單的基線。如果不配置客戶端和病毒庫更新,即使是使用包含防病毒功能的模板構建的新虛擬機也無法立即對客戶機起到防護作用。簡言之,如果虛擬機在部署或更新防病毒軟件期間未處於聯機狀態,它將處於不受保護的休眠狀態,一旦激活、聯機後將會立即受到×××。
5.虛擬機的安全級別混雜
同一臺物理服務器上的多個虛擬機可以相互通訊,在通迅過程中會產生安全隱患,因爲外部的網絡安全工具從防火牆到***檢測和防護系統再到異常行爲監測器,都無法監測到物理服務器內部的流量.如果×××者攻克了一臺虛擬機,就可以用它來***同一臺服務器上的其他虛擬機.另外,虛擬機會在不同服務器之間遷移,並且這種遷移經常會自動完成,這可能會讓一些重要的虛擬機遷移到不安全的物理服務器上,從而帶來安全風險.此外,還有一些用作測試目的的虛擬機可能會與重要的虛擬機存在於同一虛擬局域網中,這也會給××××××帶來機會。
6.資源衝突
常規防病毒掃描和病毒碼更新等佔用大量資源的操作將在很短的時間內導致過量系統負載。如果防病毒掃描或定期更新在所有虛擬機上同時啓動,將會引起“防病毒風暴”。此“風暴”就如同銀行擠兌,其中的“銀行”是由內存、存儲和 CPU 構成的基本虛擬化資源池。此性能影響將阻礙服務器應用程序和虛擬桌面 /VDI環境的正常運行。傳統體系結構還將導致內存分配隨單個主機上虛擬機數量的增加而呈現線性增長。在物理環境中,每一操作系統上都必須安裝防病毒軟件。將此體系結構應用於虛擬系統意味着每個虛擬機都需要多佔用大量內存,從而導致對服務器整合工作的不必要消耗。