目录:
虚拟化是一种用于创建虚拟环境的过程。 它允许用户在一台计算机上同时运行多个操作系统。 它是诸如操作系统,服务器或网络资源之类的虚拟(而不是实际)版本的创建。 对于许多公司而言,虚拟化可被视为IT环境中整体趋势的一部分,IT环境将能够基于感知的活动和实用程序计算来管理自己。 虚拟化的最重要目标是减少管理任务,同时改善可伸缩性和工作负载。 但是,虚拟化也可以用来提高安全性。 这里有10条技巧,可以最大程度地降低风险并提高安全性,以充分利用虚拟化的全部优势。
虚拟化与安全
许多组织在部署新技术后都会考虑安全隐患。 虚拟化有很多好处,可以很容易地卖到IT体系结构中。 虚拟化可以节省资金,提高业务效率,减少维护期间的停机时间而不会影响业务和造成中断,并且可以用更少的设备完成更多的工作。 当然,有许多方法可以使用网络虚拟化,存储虚拟化,服务器虚拟化和桌面虚拟化在IT部门中实现虚拟化。 每种类型都可能包含某种安全风险。 有许多针对虚拟化类型的解决方案。 重要的是虚拟化可以提高安全性,但是没有阻止所有攻击的能力。
虚拟化可以多种方式使用,并且在每种情况下都需要适当的安全控制。 本文将探讨使用虚拟化提高Windows环境安全性的方法。
以下是使用虚拟化使风险最小化和提高安全性的几种方法:
沙盒
沙箱是一种用于隔离运行中的程序的安全机制,该程序通常用于执行未经测试的代码或程序与未经验证的第三方,供应商和网站。 沙盒的主要目标是通过隔离应用程序以保护其免受外部恶意软件,有害病毒,停止执行的应用程序等的攻击,从而提高虚拟化安全性。如果您有不稳定或未经测试的应用程序,只需将其放入虚拟机即可它不会影响系统的其余部分。
有时,在浏览器中运行应用程序时,可能会遭到恶意攻击,因此在虚拟机上运行程序始终是一个好习惯。 沙盒技术与虚拟化紧密相关。 虚拟计算提供了沙箱的某些优势,而无需为新机器支付高昂的价格。 虚拟机具有与Internet的连接,而不是与公司LAN的连接,因此可以保护操作系统和程序免受病毒或虚拟机上有害攻击的侵害。
服务器虚拟化
服务器虚拟化是服务器资源的掩盖,它有助于将物理服务器划分为较小的虚拟服务器以最大化资源。 管理员将物理服务器划分为多个虚拟环境。 这些天来,官方记录经常被黑客从服务器上窃取。 服务器虚拟化允许小型虚拟服务器运行自己的操作系统并相互独立地重新引导。 虚拟服务器用于识别和隔离不稳定的应用程序以及受损的应用程序。
这种类型的虚拟化主要用于提供低成本Web托管服务的Web服务器。 服务器利用率管理服务器资源的复杂细节,同时提高利用率和维护容量。 虚拟服务器可以在保护服务器,虚拟机和整个网络的同时,更容易检测恶意病毒或破坏性元素。
使用服务器虚拟化的好处是,它在x86硬件和操作系统之间创建了一个硬件抽象层。 它还降低了虚拟服务器到物理服务器硬件的密度。 服务器虚拟化会创建服务器的映像,从而可以轻松确定服务器是否异常运行。
网络虚拟化
网络虚拟化是硬件和软件网络资源的组合,并将网络功能组合到单个虚拟网络中。 通过网络虚拟化,虚拟网络在感染系统时将恶意软件的影响降到最低。 网络虚拟化通过底层网络硬件创建逻辑虚拟网络,以更好地与虚拟环境集成。
网络虚拟化的一个重要功能是隔离。 它允许动态组合多个虚拟网络,这些虚拟网络相互独立存在,以动态部署自定义的端到端服务。 通过共享和使用从基础架构提供商获得的网络资源,可以在这些虚拟网络上为用户管理它们。
网络虚拟化的另一个主要特征是分段,其中将网络划分为多个子网络,该过程通过最小化网络中的本地流量来提高性能,并通过使内部网络结构从外部不可见来提高安全性。 网络虚拟化还用于创建虚拟化的基础架构,以通过创建服务于多个客户的软件应用程序的单个实例来支持复杂的需求。
虚拟机监控程序安全
系统管理程序一词是指创建和运行虚拟机的小型软件或硬件。 包含管理程序的计算机称为主机。 虚拟机管理程序安全性通过使用虚拟机管理程序来实现虚拟化,包括开发,实施,供应和管理。 (有关详细信息,请参阅《虚拟化安全性:防止VM超跳的提示》。)
对于管理程序,有一些关键的安全建议:
- 安装供应商发布的管理程序更新。 大多数虚拟机监控程序将自动更新软件,并在找到更新时安装更新。
- 使用瘦虚拟机管理程序进行安全保护,这使得部署变得容易且高效,而计算开销却最小。 它还减少了可能到达系统管理程序的恶意代码攻击的机会。
- 不要将未使用的物理硬件连接到主机系统,也不要将未使用的NIC连接到任何网络。 有时,磁盘驱动器用于备份数据,因此当未使用的设备未被主动用于备份时,应将其断开连接。
- 如果不需要访客操作系统和主机操作系统之间的文件共享服务或任何其他服务,请禁用不需要的任何服务。
- 来宾操作系统之间必须存在安全性,以便它们进行通信。 非虚拟环境应由防火墙,网络设备等安全控件处理。
桌面虚拟化
桌面虚拟化允许创建,修改或删除映像,并将桌面环境与用于访问它的物理计算机分开。 管理员可以轻松管理员工的计算机,并保护其免受未经授权的访问或病毒的入侵。 通过为桌面环境提供来宾OS映像,它为用户提供了更高的安全性,并且不允许将数据复制或保存到服务器以外的磁盘上,从而使桌面虚拟化成为网络连接的更安全选择。基础设施安全
虚拟化的信息基础架构可以控制对资源的访问,并保持可见性以确保正确的信息处理。 需要通过基础结构跟踪计算环境中的所有活动。虚拟交换机
虚拟交换机是一种软件程序,可以通过在虚拟机之间使用隔离,控制和内容检查技术来提供安全性,并允许一个虚拟机与另一个虚拟机进行通信。
它不允许执行交换机间链路攻击。 虚拟交换机的主要目的是提供网络连接,以便与虚拟网络中的虚拟机和应用程序通信到物理网络。
来宾操作系统安全
这是虚拟机中的操作系统,用于承载主操作系统并与同一主机上的其他虚拟机共享资源。 虚拟化允许使用网络磁盘创建的磁盘或文件夹与操作系统共享信息。 它包含一些安全功能,例如系统地更新来宾操作系统,保留虚拟驱动器的备份以及对非虚拟化计算机应用相同的策略。高可用性和灾难恢复
如今,最重要的是保留IT部门中的数据和服务的可用性。 虚拟化通过将数据备份到一个大的唯一文件中来减少灾难恢复的时间和成本,从而节省了重新安装操作系统和还原数据时的时间。 它允许在满足电源要求的任何主机中还原虚拟机,还提供了一种从物理故障中快速恢复的功能。服务器隔离
虚拟化主要将服务器隔离用于业务目的。 多个服务器可以在没有虚拟化的情况下在一台虚拟机上运行,但是如果在单个服务器上有多个服务器,则存在风险。 虚拟化允许在一台计算机上运行多个服务器,同时将服务器彼此隔离,因为它们在单独的虚拟机上运行。
