確保云計(jì)算中虛擬機(jī)安全的4個(gè)步驟
對(duì)于人們來(lái)說(shuō),安全性是一個(gè)問(wèn)題,而網(wǎng)絡(luò)安全是一個(gè)更嚴(yán)重的問(wèn)題,因?yàn)閷?huì)面臨風(fēng)險(xiǎn)的復(fù)雜因素以及失敗時(shí)可能會(huì)產(chǎn)生嚴(yán)重的負(fù)面影響。
虛擬網(wǎng)絡(luò)安全是更糟糕的一個(gè)問(wèn)題,因?yàn)樗鼘鹘y(tǒng)托管和應(yīng)用程序安全性產(chǎn)生的問(wèn)題與網(wǎng)絡(luò)安全問(wèn)題相結(jié)合,然后增加了虛擬資源和服務(wù)的挑戰(zhàn)。毫無(wú)疑問(wèn),人們現(xiàn)在才開(kāi)始認(rèn)識(shí)到云虛擬網(wǎng)絡(luò)的問(wèn)題,解決這些問(wèn)題還有很長(zhǎng)的路要走。
安全性應(yīng)該始終被視為一個(gè)增量問(wèn)題。目前的情況與已經(jīng)經(jīng)歷、容忍或解決的情況有著什么樣的區(qū)別?對(duì)于網(wǎng)絡(luò)的云虛擬安全,最大的區(qū)別是虛擬到資源的映射,這意味著連接托管組件所需的框架。簡(jiǎn)而言之,云計(jì)算虛擬服務(wù)安全問(wèn)題的出現(xiàn)是因?yàn)樵O(shè)計(jì)用于保護(hù)托管軟件功能的安全工具與保護(hù)物理設(shè)備的工具不同。
通過(guò)隔離它們來(lái)保護(hù)托管元素
保護(hù)云計(jì)算中的虛擬機(jī)安全性的第一步是隔離新的托管元素。例如,假設(shè)邊緣設(shè)備中托管的三個(gè)功能可以作為服務(wù)數(shù)據(jù)平臺(tái)的一部分部署在云中,網(wǎng)絡(luò)用戶(hù)可以看到地址,或者作為隱藏的私有子網(wǎng)的一部分。如果企業(yè)的業(yè)務(wù)在云中部署,那么任何功能都可能受到攻擊,并且其托管和管理流程也可能變得可見(jiàn)且易受攻擊。如果企業(yè)將主機(jī)和功能連接隔離在一個(gè)專(zhuān)用子網(wǎng)絡(luò)中,則不會(huì)受到外部訪(fǎng)問(wèn)的保護(hù)。
在當(dāng)今的容器托管中,無(wú)論是在數(shù)據(jù)中心還是在云中,應(yīng)用程序組件都部署在私有子網(wǎng)內(nèi)。因此,只顯示表示用戶(hù)應(yīng)訪(fǎng)問(wèn)的API的地址。同樣的原則需要應(yīng)用于虛擬函數(shù);公開(kāi)用戶(hù)實(shí)際連接的接口,并用受保護(hù)的地址隱藏其余的接口。
確保所有組件都經(jīng)過(guò)測(cè)試和審核
云虛擬安全性的第二步是在允許部署之前,對(duì)安全合規(guī)性的虛擬功能進(jìn)行認(rèn)證。外部攻擊是虛擬網(wǎng)絡(luò)中的真正風(fēng)險(xiǎn),但內(nèi)部攻擊則是一場(chǎng)災(zāi)難。如果可以防止后門(mén)漏洞的功能引入服務(wù),它將成為服務(wù)基礎(chǔ)設(shè)施的一部分,并且更有可能擁有對(duì)其他基礎(chǔ)設(shè)施元素的開(kāi)放攻擊向量。
堅(jiān)持強(qiáng)大的生命周期管理組件只能訪(fǎng)問(wèn)同一服務(wù)實(shí)例中的其他組件非常重要,減少了惡意軟件在新的軟件托管功能中引入的風(fēng)險(xiǎn)。后門(mén)攻擊可能會(huì)使服務(wù)本身處于危險(xiǎn)之中,但惡意軟件不太可能傳播到其他服務(wù)和客戶(hù)。
但是,這種方法并不能減輕操作員的安全測(cè)試負(fù)擔(dān)。對(duì)于所有托管特性和功能,堅(jiān)持強(qiáng)大的生命周期管理合規(guī)流程非常重要,運(yùn)營(yíng)商可以審核和驗(yàn)證。如果提供托管特性或功能的公司正確地測(cè)試了他們的新代碼,那么它就不太可能包含意外的漏洞或故意引入的后門(mén)漏洞。
單獨(dú)的管理API以保護(hù)網(wǎng)絡(luò)
第三步是將基礎(chǔ)設(shè)施管理和業(yè)務(wù)流程與服務(wù)分開(kāi)。管理API將始終代表一個(gè)主要風(fēng)險(xiǎn),因?yàn)樗鼈兪菫榭刂铺匦浴⒐δ芎头⻊?wù)行為而設(shè)計(jì)的。保護(hù)所有這樣的API很重要,但保護(hù)那些監(jiān)視服務(wù)用戶(hù)不應(yīng)該訪(fǎng)問(wèn)的基礎(chǔ)設(shè)施元素的API是至關(guān)重要的。
確保云中虛擬機(jī)安全性的最重要領(lǐng)域是由ETSI網(wǎng)絡(luò)功能虛擬化(NFV)行業(yè)規(guī)范組強(qiáng)制要求的虛擬網(wǎng)絡(luò)功能管理器(VNFM)結(jié)構(gòu)的虛擬功能特定部分。此代碼由網(wǎng)絡(luò)功能虛擬化(NFV)的提供者提供,并且可能需要訪(fǎng)問(wèn)代表基礎(chǔ)設(shè)施元素以及編排或部署工具的API。這些元素可能打開(kāi)基礎(chǔ)設(shè)施管理API的網(wǎng)關(guān),這可能會(huì)影響虛擬云服務(wù)中使用的功能的安全性和穩(wěn)定性。
保護(hù)虛擬網(wǎng)絡(luò)功能管理器(VNFM)意味著要求網(wǎng)絡(luò)功能虛擬化(NFV)提供商提供其架構(gòu)來(lái)管理與基礎(chǔ)設(shè)施或部署/管理API的虛擬網(wǎng)絡(luò)功能管理器(VNFM)連接,以便進(jìn)行審查和安全增強(qiáng)。重要的是確保與其他網(wǎng)絡(luò)功能虛擬化(NFV)或服務(wù)關(guān)聯(lián)的服務(wù)用戶(hù),網(wǎng)絡(luò)功能虛擬化(NFV)或虛擬網(wǎng)絡(luò)功能管理器(VNFM)不能訪(fǎng)問(wèn)基礎(chǔ)設(shè)施管理API。
通過(guò)包含訪(fǎng)問(wèn)權(quán)限,企業(yè)可以限制安全風(fēng)險(xiǎn)。此外,運(yùn)營(yíng)商應(yīng)要求記錄任何來(lái)源對(duì)基礎(chǔ)設(shè)施管理和編排API的訪(fǎng)問(wèn),并檢查任何訪(fǎng)問(wèn)或更改以防止發(fā)生管理訪(fǎng)問(wèn)泄漏。
保持連接安全和分離
云虛擬網(wǎng)絡(luò)安全的第四點(diǎn),也是最后一點(diǎn)是確保虛擬網(wǎng)絡(luò)連接不會(huì)在租戶(hù)或服務(wù)之間交叉。虛擬網(wǎng)絡(luò)是為重新部署或擴(kuò)展的功能創(chuàng)建靈活連接的絕佳方式,但每次進(jìn)行虛擬網(wǎng)絡(luò)更改時(shí),都可能在兩個(gè)不同的服務(wù)、租戶(hù)或功能/功能部署之間建立無(wú)意的連接。這可能會(huì)產(chǎn)生數(shù)據(jù)平臺(tái)泄漏,實(shí)際用戶(hù)網(wǎng)絡(luò)之間的連接和管理或控制泄漏,這可能允許一個(gè)用戶(hù)影響另一個(gè)用戶(hù)的服務(wù)。
管理虛擬連接的實(shí)踐和策略可以降低這樣的錯(cuò)誤風(fēng)險(xiǎn),但要完全避免這種錯(cuò)誤是非常困難的。這是因?yàn)檫B接功能的虛擬網(wǎng)絡(luò)和連接用戶(hù)的真實(shí)網(wǎng)絡(luò)之間存在間接關(guān)系?梢圆捎玫囊环N補(bǔ)救方法是使用網(wǎng)絡(luò)掃描器或清單工具搜索虛擬網(wǎng)絡(luò)上的設(shè)備和虛擬設(shè)備,并將結(jié)果與預(yù)期的服務(wù)拓?fù)溥M(jìn)行比較。這可以作為虛擬網(wǎng)絡(luò)更改的最后一步。
云虛擬網(wǎng)絡(luò)將云計(jì)算引入網(wǎng)絡(luò),但也會(huì)帶來(lái)服務(wù)器、托管和虛擬網(wǎng)絡(luò)安全問(wèn)題。任何使用企業(yè)僅從設(shè)備構(gòu)建網(wǎng)絡(luò)的時(shí)代的工具和實(shí)踐,并認(rèn)為這些風(fēng)險(xiǎn)可以通過(guò)傳統(tǒng)方法解決的人都將很快面臨嚴(yán)峻的現(xiàn)實(shí)。
發(fā)表評(píng)論
請(qǐng)輸入評(píng)論內(nèi)容...
請(qǐng)輸入評(píng)論/評(píng)論長(zhǎng)度6~500個(gè)字
圖片新聞
最新活動(dòng)更多
-
12月19日立即報(bào)名>> 【線(xiàn)下會(huì)議】OFweek 2024(第九屆)物聯(lián)網(wǎng)產(chǎn)業(yè)大會(huì)
-
精彩回顧立即查看>> 2024中國(guó)國(guó)際工業(yè)博覽會(huì)維科網(wǎng)·激光VIP企業(yè)展臺(tái)直播
-
精彩回顧立即查看>> 【產(chǎn)品試用】RSE30/60在線(xiàn)紅外熱像儀免費(fèi)試用
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)大會(huì)暨展覽會(huì)
-
精彩回顧立即查看>> 【線(xiàn)下會(huì)議】全數(shù)會(huì)2024電子元器件展覽會(huì)
-
精彩回顧立即查看>> 三菱電機(jī)紅外傳感器的特性以及相關(guān)應(yīng)用領(lǐng)域
編輯推薦
- 高級(jí)軟件工程師 廣東省/深圳市
- 自動(dòng)化高級(jí)工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷(xiāo)售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級(jí)銷(xiāo)售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專(zhuān)家 廣東省/江門(mén)市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市