如何减少虚拟化云环境的安全耽忧（虚拟化如何减少电子浪费）

在云计算中，有3种基本服务模型：软件即服务(SaaS)、平台即服务(PaaS)和基础架构即服务(IaaS)。另外，还有3种基本的部署模型：公有、混合和私有。虚拟化通常被用于上述的这些云计算模型和部署中，以实现其诸多优点，包括本钱效益、增加运行时间、改良灾害恢复和利用隔离。

　　在云部署中处理虚拟化时，谁来管理安全其实不重要，不论是提供商还是企业客户，由于需要解决相同的安全问题。选择一项服务和部署模型时，要知道SaaS提供了这个环境最小的控制，同时IaaS则提供了最多的控制。类似的，在公有云中，需要遵照云服务提供商(CSP)的规则，同时在私有云中，则具有环境的完全控制。这一点对安全一样适用，用户控制了云部署中的很小的部份，而剩下的则由CSP控制。没法访问部署模型的具体部份，CSP则需要实行更适合的安全度量来处理。

　　云计算中虚拟化的安全问题

　　虽然虚拟化带来了很多优点，但是也致使了很多安全问题：

　　管理程序：这个程序在相同的物理机上运行了多种虚拟机。如果管理程序中易于遭到攻击，攻击者就会利用其进入到全部主机，从而就能够访问每个运行在主机上的客用虚拟机。由于管理程序少量更新，已有的漏洞会危害全部系统的安全。如果发现了漏洞，关键就是尽快打补钉，组织潜伏危害。

　　资源分配：物理内存或数据存储被一个虚拟机使用并重新分配给其他虚拟机时，数据泄漏也是风险。泄漏通常产生在不再被需要的VM被删除和释放资源分配给其他的VM事。一个新的VM收到了额外的资源，会采取取证调查技术获得全部物理内存的镜像，和数据存储。全部镜像随后会用于分析，这样就会将前一个VM留下的重要信息流露出去。

　　虚拟机攻击：如果攻击者成功要挟了一个VM，就能够在很长一段时间里经过网络攻击相同主机上的其他VM.这也是愈来愈流行的一种跨虚拟机攻击方法，主要在于VM之间的流量没法被标准IDS/IPS软件程序检查出来。

　　迁移攻击：在必要时，或者某些时候，大多数虚拟化界面中迁移虚拟机都很容易实现。VM经过网络发送给另外的虚拟化服务器，这个服务器上相同VM已设置好。但是如果没能很好地管理流程，VM就能够经过非加密的渠道发送，可能被工具这经过网络中履行中间人攻击(MITM)嗅探到。

　　减少安全耽忧

　　下面我们来介绍如何减少上面指出的安全问题：

　　管理程序：针对管理程序定期检查可用的最近的升级非常重要，同时要相应的升级系统。经过保持管理程序的更新，能够禁止攻击者利用已知的漏洞并控制主机系统，包括运行在上面的所有虚拟机。

　　资源分配：当从一个虚拟机将资源再分配给另外一个虚拟机时，2者都需要确保其安全。旧的数据存在于物理内存中，也存在于数据存储中，需要用零来重写覆盖。

　　虚拟机攻击：有必要区分相同物理主机上的VM的流量进入和输出。这样我们就可以够利用侵入检测和预防算法尽快捕获攻击者带来的要挟。

　　迁移攻击：为了避免迁移攻击产生，必须保证网络的安全性，避免MITM渗透带来的要挟。这样做的话，就算攻击者能够要挟一个VM，但是没法成功履行MITM攻击。另外，经过可靠的取代发送数据可能也会比较有用。虽然有人认为最好还是在迁移必须产生时，破坏并重新创建虚拟机镜像，但是经过安全渠道和网络更靠谱。

　　对虚拟化的云环境可能会出现多种攻击，但是如果在实行和管理云部署的时候进行了适合的安全控制和规程是可以预防的。在尝试确保云环境安全之前，理解这些歹意攻击如何履行很重要。这将有助于确保企业的防御更好地适应环境中最可能出现的要挟。在确保环境安全以后，检查安全度量是不是很好地尝试履行攻击预防。这些可以在企业内部履行或聘请防御检测公司来履行。

免责声明：
本网址（www.yingxiongyun.com）发布的材料主要源于独立创作和网友匿名投稿。此处提供的所有信息仅供参考之用。我们致力于提供准确且可信的信息，但不对材料的完整性或真实性作出任何保证。用户应自行验证相关信息的正确性，并对其决策承担全部责任。对于由于信息的错误、不准确或遗漏所造成的任何损失，本网址不承担任何法律责任。

本网站所展示的所有内容，如文字、图像、标志、音频、视频、软件和程序等的版权均属于原创作者。

如果任何组织或个人认为网站内容可能侵犯其知识产权，或包含不准确之处，请即刻联系我们进行相应处理。