歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
虛擬化的真實面貌
2007 / 12 / 20
編輯部
虛擬化將改變企業IT
虛擬化正改變著企業IT的面貌,它不但降低實體機器的數量,同時不佔空間,並且還幫忙節約能源。再者,虛擬化充滿靈活度和容易佈署等特性,使得企業能夠快速地回應新的商業契機和需求。根據市調機構Gartner的預測,到了2009年,屆時虛擬機器的數量應該會超過4百萬台!
這個舉動難道就此改變安全環境的生態?答案是:「是也不是!?」。「以兩者的安全底線來說,虛擬化架構與實體架構頗為相似。」專責資料中心平台產品的VMware產品管理部主管Patrick Lin接著說,「你依舊無法免除遵守良好安全規則的義務!」
不過,平心而論,虛擬化確實也改進了安全層面上的某些作法。比方說,我們可以很容易的就創建並佈署「黃金級」的主伺服器映像檔,無論是新的佈署或者將遭駭機器還原至一個良好的狀態,這些事都不再難搞。此外,毋須額外硬體或者曝露於實際上線環境,我們便能在多個組態設定檔上測試修補程式。
同時,這也是提醒安全管理師必須謹記一點,在實體的網路世界,只要一台機器遭駭,它就會攻擊其他機器;所以即便是虛擬的guest server,也得好好保護它們的安全。
環境越複雜,越不安全
「有時候,人們會誤認為虛擬機器彼此獨立,原因就出在所使用之工具的介面似乎會讓人有這種聯想!」安全顧問公司Intelguardians 創始人Ed Skoudis說。
「一般而言,從安全的角度觀之,虛擬環境中的攻擊者仍舊會在每台guest機器上使用同樣的工具,這些工具通常是應用在實體機器上。」XenSource的技術長Simon Crosby接著說,「不過,目前尚無人熱切談論虛擬世界當中最重要的事-hypervisor是眾多guest機器的安全提供者,而這個情況已然逐漸浮現。」
這個潛藏的因素就是安全風險-雖然理論居多,至少目前看來是這樣沒錯-問題在於,hypervisor本來就有被駭的可能,並且經由一些弱點遭受到控制後,最末被用來搗毀這些guest虛擬機器。
「我們建議人們應該假設攻擊者具相當程度,可以先從guest機器入侵到host主機,然後再控制住guest機器,這應該是辦得到的!而使用虛擬化設備也應該要依狀況調配才是。」,Skoudis說。
不過,也許最大的風險,會是應驗一句老生常談的話:「愈複雜的環境,愈不安全!」
慣於將安全事務與實體機器和固定式有線網路(wired network)聯想在一起的IT安全人員,必須要改變這種思考模式了!因為虛擬機器顯然容易吃掉所有頻寬和電腦資源,若是具高可用度(high-availability)的備用機器,那就更需要將修補程式和組態設定更新至最新狀態。
不過,若是關鍵維運,高安全度的虛擬機器與實體機器同樣缺乏安全性,那麼,這可就危險了!所以,最佳的方式,就是需要企業從安全的角度來審視這些機器。
也許可能會更形複雜,像是維護作業,或甚至是正確組態設定等需求,這些都會是疑難所在。
「倘若思及考慮SAN儲存網路的複雜度,虛擬化程式軟體和作業系統這幾方面,那麼,在改變組態設定和上修補程式時,或許會有所衝突!」Configuresoft技術長Dennis Moreau接著說,「最佳策略就是將各層獨立抽離,並專注看待那一層。」
所以,在一個動態環境下,以往奉為金科玉律的常識,在考慮虛擬作業系統和軟體程式時,或許已不再適用。「IT必須跨過這些虛擬元件,將其串連起來。」,Moreau說,「觀察它們到底會怎麼地相互影響?」
「在目前的狀況下,用戶其實還未曾考慮安全的問題,他們只著重在效能考量和合併機器身上。」,XenSource的Crosby接著表示,「而壞蛋也尚未把焦點投注於此,不過,在虛擬機器愈來愈多的時候,這種情況就免不了要發生了!?」
虛擬化
最新活動
2025.04.22
2025 TWNIC網路治理交流論壇
2025.04.23
漢昕科技X線上資安黑白講【暗網攻擊視角:駭客如何入侵你的企業郵件?】2025/4/23全面展開!
2025.05.16
資安媒合交流系列活動
看更多活動
大家都在看
外媒看CrazyHunter勒索團體手法,關注防範開源工具攻擊
Google Cloud:2025 年資安管理者的五大關注重點
資安署25年3月資安月報:入侵攻擊持續居首 Line偽冒網站威脅增加
AI時代的資安攻防:趨勢科技揭「網路犯罪即代理」趨勢
Fortinet示警駭客利用符號連結技術繞過修補,持續存取FortiGate VPN
資安人科技網
文章推薦
美國CISA示警Oracle雲端事件恐致認證資料外洩風險攀升
報告:網路邊緣設備成為中小企業資安攻擊的主要入口
中芯數據揭CrazyHunter關鍵戰術