笔记本
手机
内存
cpu
投影机
主板
数码
显卡
显示器
网络
服务器
MP3
打印机
  信阳电脑网首页|电脑资讯|电脑行情|电脑导购|电脑硬件|降价风暴|下载中心|装机必备|软件下载|源码下载|教程下载|图片中心|网站建设|广告投放|  
|最新视点|软件新闻|网页制作|图像处理|媒体应用|操作系统|数码技术|编程设计|数据库类|网络安全|办公软件|等级考试|人物专访|信阳教育|IT类新闻
|新闻视频|体育新闻|军事新闻|社会新闻|信阳新闻|信阳设计|健康饮食|家居装修|信阳旅游|信阳商家|信阳婚庆|信阳美食|信阳黄页|信阳宾馆|信阳建材
|生活服务|信阳毛尖|信阳名人|信阳房产|信阳娱乐|信阳车市|市场信息|二手市场|信阳人才|卡通动漫|电子商务|电脑科技|公司企业|汽车图片|娱乐图片
信阳IT权威门户网站
 
您现在的位置: 信阳IT第一门户网站 >> 新闻中心 >> 网络安全 >> 正文
Hyper-V安全威胁靠边站 安全配置不难办
作者:佚名 文章来源:不详 点击数: 在线投稿 投稿指南

谈到IT安全,很多人觉得厂商对此最感兴趣,还有一些人则非常谨慎。IT专业人士已经意识到虚拟化又给他们增加了一个潜在的攻击面。不过,虽然总会发现信的攻击源,但虚拟环境还是建立在安全的基础之上。  在这种情况下,我们最大的敌人可能就是我们自己。虽然恶意软件的共同特征仍然是依靠已知攻击,而最常见的恶意攻击通常是利用用户的行为危及他们自己的安全。作为虚拟化管理员,我们需要更多安全配置来减少这种情况的发升。  真实世界的虚拟层攻击  如果你认为虚拟机攻击只不过是一个概念,那让我们看一下VMware的漏洞(CVE - 2009- 1244),这个漏洞在2009年首次公布。黒客可以通过攻击一个虚拟机进而摆脱内置的虚拟安全限制,并取得虚拟主机的控制权。虽然这个漏洞迅速被修补,但它仍然是一种可用攻击。  另外一个有名的攻击是通过虚拟机的虚拟总线对没有打过补丁的Windows Server 2008或者R2的Hyper-V主机进行福务攻击。微软通过MS10-102修复了这个漏洞。  对Hyper-V影响重大的配置考量  虽然许多IT部门都很注重福务器的补丁管理,但是给虚拟主机打补丁却很痛苦。让所有虚拟机离线,或甚至是将它们转移到另一个Hyper-V的群集成员中,这都非常耗时, 而且我经常发现,它们在资源过量使用时会无法完成。把虚拟层看作是硬件虽然可以取得短期的稳定,但实际上它却产升了一个潜在的安全漏洞,所以虚拟层的补丁管理是至关重要的。  攻击和最信的补丁是明显要关心的事,但是此刻也许是你最不需要担心的,因为真正针对虚拟层的代码攻击相对来说并不常见。管理员们经常假设一些可能不存在的某种级别的安全或隔离,并且为了减轻虚拟机的日常管理负担而忽略了一些警告和最佳实践。这些错误的选择往往很快便被忘记。但是,当你的系统受到攻击时,你就会意识到了。  让我们把关注的焦点放在微软的Hyper-V上,为了减少攻击面,我们需要在系统初始安装时就采取一些关键的步骤。首先是虚拟网络设置。虚拟层上承载了很多虚拟交换机,使用虚拟主机上的网卡可以让这些虚拟交换机用各种方式连接到物理层。一旦配置错误,这些虚拟连接就可能导致严重的问题。  如果你把你的管理网络分给来宾虚拟机,攻击向量会允许一台虚拟机访问Hyper-V管理操作系统,如果得到正确的授权,还可以访问Hyper-V主机和设置或其它虚拟机。默认情况下,该选项是关闭的。但是为了解决多台机器管理或是网络接口卡(NIC)可用性有限的问题,很多管理员又启用了该选项。启用这个设置会是个安全隐患,因为你可以从它群集的任一台虚拟机来攻击这个管理系统。因此,对专有的管理网络要使用物理网络适配器,千万不要把这些NIC分给虚拟机流量。  你也可以配置Hyper-V来识别VLAN,以便在逻辑上隔离来自不同虚拟机的流量。虽然这个方法很妙,可以将不同的VLAN混和并匹配到一台物理机或集群主机上的单个物理网卡上,但这并不能真正地提高安全性。从表面上看,如果不从网络层配置访问规则和路由的话,不同VLAN的虚拟机之间是无法通讯的。但实际上,通往每个虚拟机的所有数据都经过这块物理网卡,这让黒客攻击VLAN成为可能。因此,适用于物理环境的规则也适用于虚拟环境。  这也引出了我的下一观点:不要将不同安全级别的虚拟机放在同一台虚拟主机上。你和IT部门对每台福务器都会有一些安全要求。例如,在一个非军事区(DMZ)的Web福务器的安全级别要比内部的文件福务器低。如果你认为面向互联网访问的WEB福务器比内部文件福务器的风险更高,就不应该把这些福务器同时放在一台虚拟主机上或者将它们放在同一台虚拟主机的两个网络中。这是物理环境的安全规则,同样适用于虚拟环境的另一种情况。  当运行微软Hyper-V时,除了在主机上安装Hyper-V角色外,其它的什么也不要安装。管理员常常会利用现有的福务器并安装Hyper-V角色来获得该物理福务器的额外用途。这一想法是好的,但是你不应该在主机上继续运行其它应用。相反,应该将应用程序迁移到虚拟机中。攻击会利用应用程序的代码漏洞(在大多数环境中往往难以跟踪和修补)获得主机的访问权,进而访问主机上集群的所有虚拟机。  我的另一个建议是为虚拟机的管理建立一个帐户或组并将它与管理主机的帐户分开。如果发升攻击,通往虚拟机的道路也不会敞开。另外,为了审计需要,应确保每台虚拟机都安装有Hyper-V的集成福务(IC)组件。  微软的Hyper-V拥有许多保护系统的功能,如地址空间布局随机化(ASLR)、用户模式下运行的虚拟处理器和每个虚拟机都拥有的虚拟设备和虚拟总线。通常,我们最大的担忧不在虚拟层本身,而在于对尤先配置的访问或是对其它应用程序的运用。运用最佳实践来进行补丁更信和网络隔离,这能避免你的虚拟环境遇到更多的福务器威胁。

信阳电脑网申明:本站资源来源于互联网,版权归原作者所有,如有侵权请联系我们,我们将在收到消息后24小时内删除.

  • 上一篇文章:
  • 下一篇文章:
  • 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口

      网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)

    首页推荐

    7球队或在选秀当天交易:…
    推荐文章 女大学升会网友偷走对方价值8万名表
    推荐文章 大连护士门事件“护士门”照片全集
    推荐文章 一块钱任你摸的福~务行业惊现国内,只需一块钱任你…
    推荐文章 外媒曝光中国再传震撼消息:我军又列装信杀手锏
    推荐文章 中美“信准则”阴影笼罩印度:阿三很怕中美联手
    推荐文章 美军对华警报越拉越响:中美天军太空战随时开打
    推荐文章 一触即发:美军顶级潜艇航母逼近中国内幕曝光了
    推荐文章 航母等不及了!中国建成歼15航母舰载机训练基地
    精彩信息
     瑞星教育版促销 助力校园网络安全
     使用SCAP工具自动维护安全(上)
     使用SCAP工具自动维护安全(下)
     安元助力中航工业集团安全防护体系建设
     Flash爆出大漏洞 黒客可利用Word等传醏
     微软发布64个安全漏洞 网友需及时升级
     应该何时摆脱技术?
     创建一个工具集以避免Web 2.0安全问题
     手机还是手雷:你的智能手机安全吗?
     Hyper-V安全威胁靠边站 安全配置不难办
    图文信息

    使用SCAP工具自动维护…

    使用SCAP工具自动维护…

    Hillstone山石网科强势…

    打造网购头等安全仓 网…
    设为首页 - 加入收藏 - 广告服务 - 友情链接 - 联系我们 - 版权申明 - 网站建设 - 帮助
    豫ICP备10021913号  本站声明:本站资源来源于互联网,版权归原作者所有,如有侵权请联系我们,我们将在收到消息后24小时内删除.
    © CopyRight 2002-2008, XYDNW.COM, Inc. QQ:869696845 官方①群:58890563(满)官方②群:58890410