虚拟机主要存在哪些安全问题
虚拟机主要存在以下安全问题:
流量的安全监控困难:传统基于硬件的网络会通过监测防火墙、路由器等设备的流量进行安全分析,但在虚拟环境中,大量流量仅在内部进行交换,不经过外部的防火墙、路由器等设备,对此部分流量的安全监控比较困难。
虚拟机中敏感数据保护难度大:虚拟机的镜像文件中不应包含一些敏感信息,如系统密码、密钥、证书及用户的隐私信息等,只有在虚拟机启动时才注入虚拟机中,这些敏感信息的保护和分发难度很大,因为黑客或非授权的内部员工很容易通过在虚拟机镜像中注入恶意代码后获取这些敏感数据。此外,镜像文件的私钥分配也存在问题,不同的镜像是否采用不同的私钥,这也需要结合具体的应用场景来确定。
虚拟化安全策略的动态调整:虚拟机动态地被创建、迁移及唤醒,安全措施、安全参数无法相应地自动创建、自动迁移、自动更新。随着虚拟机的动态增加,Hypervisor实现的虚拟安全组策略不能自动调整,没有实现真正的弹性。
虚拟机间嗅探:同一物理服务器上的虚拟机之间可以不需要经过防火墙而与交换机设备相互访问。利用简单的数据分组探测器,攻击者可以很轻松地读取虚拟机网络上所有的明文传输信息。
资源耗尽风险:虚拟进程消耗的物理资源不可控,可能导致可用性降低。当其部署在多个虚拟机上时,资源密集型软件可能会耗尽物理服务器的资源。
虚拟机逃逸:服务商很难辨别虚拟机申请者的真实身份。如果Hypervisor存在漏洞,则攻击者会突破Hypervisor,获得主机操作系统管理权限,并控制主机上运行的其他虚拟机。攻击者也可以利用虚拟机攻击物理机,或对外发起攻击。
虚拟机被滥用:虚拟机资源被用于对外发起攻击,如DDoS攻击;虚拟机也容易被用于发送垃圾邮件,或被用于破解各种密码。
虚拟机镜像文件或自身防护不足:创建虚拟机时的镜像文件自身已感染病毒或木马等,以及虚拟机自身的安全防护措施不当或未启用安全防护,导致虚拟机被黑客入侵。同时整个虚拟网络的安全性可能会因不安全的镜像文件的大量复制而降低。
虚拟机从离线或休眠状态被唤醒面临的脆弱性威胁。如果虚拟机长时间离线或休眠,系统漏洞和补丁可能得不到及时的更新,此时的系统相对于其他时刻而言显得更加脆弱,易遭受攻击。
虚拟机攻击的防御方法如下:
构建防护层:在VMware环境中构建了多层防护而非仅仅是一个大挂锁。每一层防护都从外部访问开始,然后转向内部网络、存储、虚拟主机、客户虚拟机并对数据进行防护。基于最小权限原则设置访问权限可能是最常见的选择。
检查事件日志:通过自动化工具或者手动检查事件日志,了解整体运行状况并在出现异常时寻找蛛丝马迹。网络安全设备比如入侵防护系统以及入侵检测系统确保了网络安全,你要依赖这些设备识别潜在的入侵行为。确保能够定期开展行为审计,然后可能会发现之前错过的问题。
使用复杂密码:密码策略需要在各个层次设置复杂的密码,而且通过监控策略并对追踪到的不符合要求的密码进行报告,可以强制设置密码变更频率。严密防护特权帐号比如root,如果有可能,可以禁用或者伪装这些帐号。