`
love~ruby+rails
  • 浏览: 850125 次
  • 性别: Icon_minigender_1
  • 来自: lanzhou
社区版块
存档分类
最新评论

不能忽视的虚拟化技术漏洞

阅读更多

恶意软件从一台虚拟机蔓延到另一台上。基于虚拟化技术的隐身工具逃过了监测。这些威胁看上去很让人恐慌,但它们值得让你整夜都难以入睡么?
  专家们表示:虚拟化技术仍旧处于部署的初级阶段,所以大部分对虚拟化环境的安全威胁对于大多数企业来说要么还是未来的事要么就太理论化。几乎还没有已经被披露的虚拟化技术漏洞。但那不意味着你以后也不会失眠,安全专家说道。
  
   “这(虚拟化技术)是一个很大的结构改变,设计我们如何提供、部署、管理和保护资源。” 优利(Unisys)的安全改革主设计师 Christofer Hoff说,“虚拟化存在着一个假设的风险。”虚拟机漏洞的相对缺乏使得研究人员针对这项技术的大量工作将只能从零开始,Hoff 表示,而且事实是大部分的部署通常都是在内部而并非面向外部的。“但是一旦你看到产品中出现部署,并且变得面向外部…将会产生漏洞。”当然目前也存在着一 些确实的威胁,诸如一个名为“rogue”的虚拟机镜像偶然地——或者说有敌意地——进入了作为产品的机器中,这就是一个Hoff首先发现的“漏洞”。
  
   虚拟化技术可望在未来几年中有一个飞跃。据Gartner的数据显示,70%的大企业计划在2010年前使用虚拟化技术以停用一些或者全部的特殊区域网 络。这仅仅这是开始,专家表示。微软上个月为一个存在于虚拟服务器和虚拟PC软件中的被称为“elevation of privilege”的漏洞打上 补丁。如果攻击着想在客户机操作系统上运行恶意代码,则此漏洞能够让攻击者在主机的操作系统上运行代码。
  
  微软表示在推出新的基于 虚拟化的软件之前会设法捕捉到潜在的威胁。“此威胁确实存在并且我们正在认真地处理。”微软的安全发展工程师Brandon Baker说道,“对于 Windows Server2008中的Windows Server虚拟化,我们对威胁模型的开发作了投资以考虑攻击可能暴露自身的各种途径,并且 [我们]正在确认我们的代码可以对付这些假设的攻击。”
  
  “我们希望在这些漏洞被公开之前尽可能多的发现并处理它们。我们必须在虚 拟化安全上做到未雨绸缪。”Baker表示。虚拟化技术漏洞的发现非常复杂而且艰难,Baker发现,而这项产业需要更好的工具来协助研究者。“作为一项 产业,[我们需要]在开发新工具以及改进现有工具方面做得更多以更早地发现这些个种类的漏洞,因为最终还是有一些对此非常感兴趣的人会找到系统的漏洞。”
  
   漏洞并不是唯一能够让虚拟环境易于被攻击的东西:一些虚拟化技术产品,其特征本身就能用于发起一个攻击。例如,安全顾问和研究者 Mark Burnett说道,VMware的脚本自动控制用户编程接口中的一个漏洞,能够让主机上的恶意脚本运行程序并且危及到客户机操作系统的安全。
  
   还有,很多东西都归结到你如何配置一个虚拟机。“配置每一样东西都有一些不安全的方法。”Matasano的安全主管Thomas Ptacek说。你 必须非常小心地处理如何迁移到虚拟机上,在何处存储以及按你的需要进行分块:“带有客户信息和信用卡数据的高敏感度应用软件不应该放在同时还要测试新软件 的虚拟机上。”微软公司的Baker表示,在Windows Server虚拟化技术中任何可以危机到客户-客户隔离的特征和漏洞“会被修正或者删除”。
  
   “作为一个安全工程师,我最不想听到的一件事就是‘它是一个特征,不是漏洞’。”Baker表示,“任何我们所空开的从主机到客户机的剩余通道,诸如 Windows Server虚拟化技术中的VMBus,都被作为潜在的攻击对待并且经过了严格的分析和测试。”迄今为止,还没有任何管理程序有重大漏洞 或者受到攻击的报道,Blue Lane Technologies的产品实施高级副总裁Allwyn Sequeira表示。“我没有听说过任何一个客 户告诉[我们]他被攻击了的案例,”他说道,“就在最近,他们问我们是不是有对管理程序提供保护。”
  
  眼下,正是暴风雨前的宁静,专家认为。“从现在开始的五年里,每一台机器都将运用到虚拟化技术,”Matasano的Ptacek认为。“它确实如此的重要,我们必须更认真地加以对待。”

分享到:
评论

相关推荐

    服务器虚拟化技术及安全研究.docx

    但是,虚拟化技术所带来的安全问题也不容忽视,包括信息泄露和系统崩溃。为了解决这些问题,企业可以采取加强监管、提高技术防护能力、建立灾备体系、加强用户管理和定期审计和监控等措施。服务器虚拟化技术在数字...

    云计算中虚拟化技术的安全研究.pdf

    而虚拟化技术作为云计算技术中不可或缺的一环,它通过在物理资源之上建立虚拟层,使得单一硬件资源能够被划分成多个逻辑资源,实现了资源的高效利用和管理的简化。 然而,随着云计算和虚拟化技术的普及,安全问题...

    云计算环境下的虚拟化技术的安全性问题研究.pdf

    综上所述,虚拟化技术在云计算环境中的安全性问题不容忽视。通过深入研究和采取有效的安全措施,我们可以最大限度地降低风险,确保云计算服务的稳定和安全,进一步推动云计算技术在各领域的广泛应用。同时,参考文献...

    电信设备-基于虚拟化技术的敏感信息保护方法.zip

    在现代电信行业中,数据安全和隐私保护是至关重要的议题,特别是在使用虚拟化技术的环境中。本文将详述基于虚拟化技术的敏感信息保护方法,帮助理解如何在电信设备上有效地管理和保护关键信息。 虚拟化技术在电信...

    360企业安全之虚拟化安全管理系统

    但是,这种基于已知病毒特征样本进行扫描与分析的传统技术在效率上存在局限性,它对物理资源的占用也较高,不能很好地适应虚拟化环境下的安全需求。为了解决这些问题,虚拟化安全管理系统应运而生。 360企业安全之...

    云计算中的虚拟化安全问题探究.pdf

    然而,随着云计算的广泛应用,虚拟化技术作为其核心组成部分,带来了不容忽视的安全问题。针对这些安全问题的研究,是推动云计算健康发展的重要一环。 首先,云计算的定义可以理解为一种基于网络的计算模式。在这种...

    集团数据中心虚拟化安全解决方案.pptx

    而虚拟化漏洞管理则由CCS VM负责,其支持动态部署和虚拟化基础架构的漏洞扫描,包括宿主机和管理平台的漏洞检测,为虚拟化环境的安全漏洞发现与修复提供统一管理平台。 该解决方案的实施带来显著的项目收益,包括在...

    超融合虚拟化架构在云计算领域的应用研究.pdf

    云计算作为现代信息技术领域的重要分支,其发展速度和影响范围不断扩大,为各行各业提供了灵活、高效、弹性的计算...随着技术的不断发展和市场的需求变化,超融合虚拟化架构在云计算领域的应用将不断地被拓展和优化。

    云与虚拟化安全的新挑战与防御1.pdf

    随着信息技术的迅猛发展,云计算和虚拟化技术已成为现代企业IT架构的重要组成部分,它们通过提供按需的资源分配和高效的资源配置能力,大大增强了系统的弹性和业务的连续性。然而,随着云服务和虚拟化技术的广泛应用...

    十步监控 预防数据中心虚拟化安全隐患

    随着数据中心的虚拟化技术广泛应用,安全问题逐渐成为关注的焦点。在快速推进虚拟化项目的过程中,很多IT团队往往忽视了安全规划,导致潜在的风险逐渐暴露。以下是一个十步策略,旨在帮助企业和组织更好地监控和预防...

    网络虚拟化安全.pptx

    在本篇关于网络虚拟化安全的讲解中,主要探讨了四个关键部分:主机虚拟化安全、网络虚拟化安全、VPC(Virtual Private Cloud,虚拟私有云)以及存储虚拟化技术。以下是各部分的详细说明: 1. **主机虚拟化安全**: ...

    2-Symantec_symposium_服务器虚拟化环境安全防护.pptx

    运营团队可能误认为虚拟化不会改变安全需求,忽视了虚拟化层的安全管理和培训,以及职责分离。 2. **虚拟化层的脆弱性**:虚拟化层成为了新的IT基础设施一部分,虽然攻击面相对较小,但仍然存在漏洞风险。企业应像...

    漏洞扫描技术在云计算环境中的新应用技术研究

    6. **虚拟化**(Virtualization):通过软件创建虚拟版本的系统资源,如操作系统、服务器等。 7. **负载均衡**(Load Balance):合理分配计算任务到各个节点,确保系统的稳定运行。 #### 二、云计算的安全挑战 随着...

    2012中国计算机网络安全年会虚拟化安全分析 主讲 云朋 华为云中心技术总监

    标题和描述中提到的知识点聚焦于虚拟化安全,特别是基于Xen架构的云安全问题,由华为云中心技术总监云朋在2012年中国计算机网络安全年会上进行深入分析。以下将详细阐述会议中涉及的关键知识点,涵盖Xen虚拟化架构、...

    基于漏洞特征和Fuzz技术的Windows漏洞挖掘模型研究

    ### 基于漏洞特征和Fuzz技术的Windows漏洞挖掘模型研究 ...综上所述,基于漏洞特征和Fuzz技术的Windows漏洞挖掘模型代表了当前网络安全研究的前沿方向,对于保护网络基础设施、维护用户数据安全具有不可估量的价值。

    虚拟技术在高职计算机网络安全中的作用探讨.pdf

    5. 虚拟化技术的云服务功能可以对数据进行备份,即使遇到黑客攻击或系统故障,也能保证数据安全和快速恢复。 总结 综上所述,虚拟技术在高职计算机网络安全中的作用不可小觑。通过虚拟化技术,不仅可以实现资源的...

    「安全知识」QEMU漏洞之殇 - 安全运维.zip

    综上所述,QEMU的漏洞是安全运维中不可忽视的部分,需要我们从多角度采取措施,包括但不限于及时更新、安全配置、监控分析、访问控制和安全编程。只有这样,才能在享受虚拟化带来的便利的同时,有效抵御潜在的威胁,...

    「APT」云计算安全的未来_安全设备虚拟化 - web安全.zip

    总的来说,面对APT对云计算安全的威胁,企业需要综合运用各种安全技术,包括NGFW、安全设备虚拟化、威胁情报、移动安全、安全架构优化和安全认证,构建全方位的防护体系,以保障云计算环境的稳定与安全。通过深入...

    面向互联网 的云服务系统安全防护技术.pdf

    虚拟化技术虽然是云服务的核心技术,能够有效提升IT资源的灵活性和效率,但其管理上的难度和潜在风险,如电脑病毒和安全漏洞等,同样需要被系统性地解决。 针对上述云服务系统中的安全隐患,本文提出了相应的信息...

    浅谈“云计算”环境中计算机网络安全.pdf

    虚拟化技术的支撑软件存在安全漏洞,可能直接导致宿主机受到攻击,进而影响到虚拟化环境下运行的服务器和网络设施等。因此,云计算环境下的网络安全防范意识和措施需要得到加强,以避免由虚拟化技术漏洞引发的严重...

Global site tag (gtag.js) - Google Analytics