智能制造網(wǎng)APP
智能制造網(wǎng)手機(jī)站
智能制造網(wǎng)小程序
智能制造網(wǎng)官微
智能制造網(wǎng)服務(wù)號
直播推薦
預(yù)告
回放
企業(yè)動態(tài)
- 紛享銷客發(fā)布首個企業(yè)級智能CRM平臺ShareAI
- 揭秘西企業(yè)數(shù)字化+低碳化轉(zhuǎn)型“工具箱”:西門子Xcelerator
- 企業(yè)AI賦能數(shù)智制造,用友U9 cloud世界級云ERP煥新升級
- 《“智“領(lǐng)石化,“質(zhì)“造未來——威圖石化行業(yè)數(shù)智化實(shí)踐白皮書》隆重發(fā)布
- 攜手共贏!德國Agfa搭載瑞典IPCO鋼帶,實(shí)現(xiàn)印刷設(shè)備振動銳減6倍,提升印刷速度與精度
- 創(chuàng)四方集團(tuán)榮獲“知名商標(biāo)品牌閃亮”證書,助力品牌戰(zhàn)略升級
- 皇冠CAD(CrownCAD)2025 R3版本來了,率先開啟C“Ai”D時代!
- 電費(fèi)砍半!中國制冷展:海爾發(fā)布AI建筑最新成果
推薦展會
摘要:在云計(jì)算中,有三種基本服務(wù)模型:軟件即服務(wù)(SaaS)、平臺即服務(wù)(PaaS)和基礎(chǔ)架構(gòu)即服務(wù)(IaaS)。此外,還有三種基本的部署模型:公有、混合和私有。虛擬化通常被用于上述的這些云計(jì)算模型和部署中,以實(shí)現(xiàn)其諸多優(yōu)勢,包括成本效益、增加運(yùn)行時間、改善災(zāi)難恢復(fù)和應(yīng)用隔離。
在云部署中處理虛擬化時,誰來管理安全并不重要,不管是提供商還是企業(yè)客戶,因?yàn)樾枰鉀Q相同的安全問題。選擇一項(xiàng)服務(wù)和部署模型時,要知道SaaS提供了這個環(huán)境zui小的控制,同時IaaS則提供了zui多的控制。類似的,在公有云中,需要遵守云服務(wù)提供商(CSP)的規(guī)則,同時在私有云中,則具備環(huán)境的*控制。這一點(diǎn)對于安全同樣適用,用戶控制了云部署中的很小的部分,而剩下的則由CSP控制。無法訪問部署模型的具體部分,CSP則需要實(shí)施更合適的安全度量來處理。
云計(jì)算中虛擬化的安全問題
盡管虛擬化帶來了很多優(yōu)勢,但是也導(dǎo)致了很多安全問題:
管理程序:這個程序在相同的物理機(jī)上運(yùn)行了多種虛擬機(jī)。如果管理程序中易于受到攻擊,攻擊者就會利用其進(jìn)入到整個主機(jī),從而就可以訪問每一個運(yùn)行在主機(jī)上的客用虛擬機(jī)。由于管理程序很少更新,已有的漏洞會危害整個系統(tǒng)的安全。如果發(fā)現(xiàn)了漏洞,關(guān)鍵就是盡快打補(bǔ)丁,組織潛在危害。
資源分配:物理內(nèi)存或者數(shù)據(jù)存儲被一個虛擬機(jī)使用并重新分配給其他虛擬機(jī)時,數(shù)據(jù)泄露也是風(fēng)險(xiǎn)。泄露通常發(fā)生在不再被需要的VM被刪除以及釋放資源分配給其他的VM事。一個新的VM收到了額外的資源,會采用取證調(diào)查技術(shù)獲取整個物理內(nèi)存的的鏡像,以及數(shù)據(jù)存儲。整個鏡像隨后會用于分析,這樣就會將前一個VM留下的重要信息透露出去。
虛擬機(jī)攻擊:如果攻擊者成功威脅了一個VM,就可以在很長一段時間里通過網(wǎng)絡(luò)攻擊相同主機(jī)上的其他VM。這也是越來越流行的一種跨虛擬機(jī)攻擊方法,主要在于VM之間的流量無法被標(biāo)準(zhǔn)IDS/IPS軟件程序檢查出來。
遷移攻擊:在必要時,大多數(shù)虛擬化界面中遷移虛擬機(jī)都很容易實(shí)現(xiàn)。VM通過網(wǎng)絡(luò)發(fā)送給另外的虛擬化服務(wù)器,這個服務(wù)器上相同VM已經(jīng)設(shè)置好。但是如果沒能很好地管理流程,VM就可以通過非加密的渠道發(fā)送,可能被工具這通過網(wǎng)絡(luò)中執(zhí)行中間人攻擊(MITM)嗅探到。
減少安全擔(dān)憂
下面我們來介紹如何減少上面指出的安全問題:
管理程序:針對管理程序定期檢查可用的的升級非常重要,同時要相應(yīng)的升級系統(tǒng)。通過保持管理程序的更新,能夠阻止攻擊者利用已知的漏洞并控制主機(jī)系統(tǒng),包括運(yùn)行在上面的所有虛擬機(jī)。
資源分配:當(dāng)從一個虛擬機(jī)將資源再分配給另一個虛擬機(jī)時,二者都需要確保其安全。舊的數(shù)據(jù)存在于物理內(nèi)存中,也存在于數(shù)據(jù)存儲中,需要用零來重寫覆蓋。
虛擬機(jī)攻擊:有必要區(qū)別相同物理主機(jī)上的VM的流量進(jìn)入和輸出。這樣我們就能夠應(yīng)用入侵檢測和預(yù)防算法盡快捕獲攻擊者帶來的威脅。
遷移攻擊:為了防止遷移攻擊發(fā)生,必須保證網(wǎng)絡(luò)的安全性,防止MITM滲透帶來的威脅。這樣做的話,就算攻擊者能夠威脅一個VM,但是無法成功執(zhí)行MITM攻擊。此外,通過安全的取代發(fā)送數(shù)據(jù)可能也會比較有用。雖然有人認(rèn)為還是在遷移必須發(fā)生時,破壞并重新創(chuàng)建虛擬機(jī)鏡像,但是通過安全渠道和網(wǎng)絡(luò)更靠譜。
對于虛擬化的云環(huán)境可能會出現(xiàn)多種攻擊,但是如果在實(shí)施和管理云部署的時候進(jìn)行了合適的安全控制和規(guī)程是可以預(yù)防的。在嘗試確保云環(huán)境安全之前,理解這些惡意攻擊如何執(zhí)行很重要。這將有助于確保企業(yè)的防御更好地適應(yīng)環(huán)境中zui可能出現(xiàn)的威脅。在確保環(huán)境安全之后,檢查安全度量是否很好地嘗試執(zhí)行攻擊預(yù)防。這些可以在企業(yè)內(nèi)部執(zhí)行或者聘請防御檢測公司來執(zhí)行。
在云部署中處理虛擬化時,誰來管理安全并不重要,不管是提供商還是企業(yè)客戶,因?yàn)樾枰鉀Q相同的安全問題。選擇一項(xiàng)服務(wù)和部署模型時,要知道SaaS提供了這個環(huán)境zui小的控制,同時IaaS則提供了zui多的控制。類似的,在公有云中,需要遵守云服務(wù)提供商(CSP)的規(guī)則,同時在私有云中,則具備環(huán)境的*控制。這一點(diǎn)對于安全同樣適用,用戶控制了云部署中的很小的部分,而剩下的則由CSP控制。無法訪問部署模型的具體部分,CSP則需要實(shí)施更合適的安全度量來處理。
云計(jì)算中虛擬化的安全問題
盡管虛擬化帶來了很多優(yōu)勢,但是也導(dǎo)致了很多安全問題:
管理程序:這個程序在相同的物理機(jī)上運(yùn)行了多種虛擬機(jī)。如果管理程序中易于受到攻擊,攻擊者就會利用其進(jìn)入到整個主機(jī),從而就可以訪問每一個運(yùn)行在主機(jī)上的客用虛擬機(jī)。由于管理程序很少更新,已有的漏洞會危害整個系統(tǒng)的安全。如果發(fā)現(xiàn)了漏洞,關(guān)鍵就是盡快打補(bǔ)丁,組織潛在危害。
資源分配:物理內(nèi)存或者數(shù)據(jù)存儲被一個虛擬機(jī)使用并重新分配給其他虛擬機(jī)時,數(shù)據(jù)泄露也是風(fēng)險(xiǎn)。泄露通常發(fā)生在不再被需要的VM被刪除以及釋放資源分配給其他的VM事。一個新的VM收到了額外的資源,會采用取證調(diào)查技術(shù)獲取整個物理內(nèi)存的的鏡像,以及數(shù)據(jù)存儲。整個鏡像隨后會用于分析,這樣就會將前一個VM留下的重要信息透露出去。
虛擬機(jī)攻擊:如果攻擊者成功威脅了一個VM,就可以在很長一段時間里通過網(wǎng)絡(luò)攻擊相同主機(jī)上的其他VM。這也是越來越流行的一種跨虛擬機(jī)攻擊方法,主要在于VM之間的流量無法被標(biāo)準(zhǔn)IDS/IPS軟件程序檢查出來。
遷移攻擊:在必要時,大多數(shù)虛擬化界面中遷移虛擬機(jī)都很容易實(shí)現(xiàn)。VM通過網(wǎng)絡(luò)發(fā)送給另外的虛擬化服務(wù)器,這個服務(wù)器上相同VM已經(jīng)設(shè)置好。但是如果沒能很好地管理流程,VM就可以通過非加密的渠道發(fā)送,可能被工具這通過網(wǎng)絡(luò)中執(zhí)行中間人攻擊(MITM)嗅探到。
減少安全擔(dān)憂
下面我們來介紹如何減少上面指出的安全問題:
管理程序:針對管理程序定期檢查可用的的升級非常重要,同時要相應(yīng)的升級系統(tǒng)。通過保持管理程序的更新,能夠阻止攻擊者利用已知的漏洞并控制主機(jī)系統(tǒng),包括運(yùn)行在上面的所有虛擬機(jī)。
資源分配:當(dāng)從一個虛擬機(jī)將資源再分配給另一個虛擬機(jī)時,二者都需要確保其安全。舊的數(shù)據(jù)存在于物理內(nèi)存中,也存在于數(shù)據(jù)存儲中,需要用零來重寫覆蓋。
虛擬機(jī)攻擊:有必要區(qū)別相同物理主機(jī)上的VM的流量進(jìn)入和輸出。這樣我們就能夠應(yīng)用入侵檢測和預(yù)防算法盡快捕獲攻擊者帶來的威脅。
遷移攻擊:為了防止遷移攻擊發(fā)生,必須保證網(wǎng)絡(luò)的安全性,防止MITM滲透帶來的威脅。這樣做的話,就算攻擊者能夠威脅一個VM,但是無法成功執(zhí)行MITM攻擊。此外,通過安全的取代發(fā)送數(shù)據(jù)可能也會比較有用。雖然有人認(rèn)為還是在遷移必須發(fā)生時,破壞并重新創(chuàng)建虛擬機(jī)鏡像,但是通過安全渠道和網(wǎng)絡(luò)更靠譜。
對于虛擬化的云環(huán)境可能會出現(xiàn)多種攻擊,但是如果在實(shí)施和管理云部署的時候進(jìn)行了合適的安全控制和規(guī)程是可以預(yù)防的。在嘗試確保云環(huán)境安全之前,理解這些惡意攻擊如何執(zhí)行很重要。這將有助于確保企業(yè)的防御更好地適應(yīng)環(huán)境中zui可能出現(xiàn)的威脅。在確保環(huán)境安全之后,檢查安全度量是否很好地嘗試執(zhí)行攻擊預(yù)防。這些可以在企業(yè)內(nèi)部執(zhí)行或者聘請防御檢測公司來執(zhí)行。
全年征稿/資訊合作
聯(lián)系郵箱:1271141964@qq.com
免責(zé)聲明
- 凡本網(wǎng)注明"來源:智能制造網(wǎng)"的所有作品,版權(quán)均屬于智能制造網(wǎng),轉(zhuǎn)載請必須注明智能制造網(wǎng),http://www.xashilian.com。違反者本網(wǎng)將追究相關(guān)法律責(zé)任。
- 企業(yè)發(fā)布的公司新聞、技術(shù)文章、資料下載等內(nèi)容,如涉及侵權(quán)、違規(guī)遭投訴的,一律由發(fā)布企業(yè)自行承擔(dān)責(zé)任,本網(wǎng)有權(quán)刪除內(nèi)容并追溯責(zé)任。
- 本網(wǎng)轉(zhuǎn)載并注明自其它來源的作品,目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性,不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。其他媒體、網(wǎng)站或個人從本網(wǎng)轉(zhuǎn)載時,必須保留本網(wǎng)注明的作品來源,并自負(fù)版權(quán)等法律責(zé)任。
- 如涉及作品內(nèi)容、版權(quán)等問題,請?jiān)谧髌钒l(fā)表之日起一周內(nèi)與本網(wǎng)聯(lián)系,否則視為放棄相關(guān)權(quán)利。
浙公網(wǎng)安備 33010602000006號
智能制造網(wǎng)APP
智能制造網(wǎng)小程序
微信公眾號
2025第十一屆中國國際機(jī)電產(chǎn)品交易會 暨先進(jìn)制造業(yè)博覽會
展會城市:合肥市展會時間:2025-09-20