确保云计算中虚拟机安全的4个步骤

KrpUpncK

点击上方“蓝色字体”，选择 “设为星标”

- V$ V3 n6 g$ D/ f6 s1 p$ N. |5 `  ?

关键讯息，D1时间送达！

( }7 n# i4 m& a( r8 B

* G5 B$ d* ~( K/ I; p- j% P/ }$ n
对于人们来说，安全性是一个问题，而网络安全是一个更严重的问题，因为将会面临风险的复杂因素以及失败时可能会产生严重的负面影响。虚拟网络安全是更糟糕的一个问题，因为它将传统托管和应用程序安全性产生的问题与网络安全问题相结合，然后增加了虚拟资源和服务的挑战。毫无疑问，人们现在才开始认识到云虚拟网络的问题，解决这些问题还有很长的路要走。
$ M% ^, V* _2 x% F

. U* p  ~' a7 R4 ?3 w

对于人们来说，安全性是一个问题，而网络安全是一个更严重的问题，因为将会面临风险的复杂因素以及失败时可能会产生严重的负面影响。
2 }0 p1 _3 U$ [  Y) C5 D
$ d* F: M" C( f2 {9 S- B
$ `) J7 x7 ^5 s
虚拟网络安全是更糟糕的一个问题，因为它将传统托管和应用程序安全性产生的问题与网络安全问题相结合，然后增加了虚拟资源和服务的挑战。毫无疑问，人们现在才开始认识到云虚拟网络的问题，解决这些问题还有很长的路要走。
) c! ]8 w, v" J$ _/ m

安全性应该始终被视为一个增量问题。目前的情况与已经经历、容忍或解决的情况有着什么样的区别?对于网络的云虚拟安全，最大的区别是虚拟到资源的映射，这意味着连接托管组件所需的框架。简而言之，云计算虚拟服务安全问题的出现是因为设计用于保护托管软件功能的安全工具与保护物理设备的工具不同。


通过隔离它们来保护托管元素

( U2 W* H( v! H& a; b$ U- F保护云计算中的虚拟机安全性的第一步是隔离新的托管元素。例如，假设边缘设备中托管的三个功能可以作为服务数据平台的一部分部署在云中，网络用户可以看到地址，或者作为隐藏的私有子网的一部分。如果企业的业务在云中部署，那么任何功能都可能受到攻击，并且其托管和管理流程也可能变得可见且易受攻击。如果企业将主机和功能连接隔离在一个专用子网络中，则不会受到外部访问的保护。


在当今的容器托管中，无论是在数据中心还是在云中，应用程序组件都部署在私有子网内。因此，只显示表示用户应访问的API的地址。同样的原则需要应用于虚拟函数;公开用户实际连接的接口，并用受保护的地址隐藏其余的接口。

$ _$ z: M7 J; u+ Y
确保所有组件都经过测试和审核
0 {4 w5 }; }% _+ g8 G" w/ O6 x+ O
云虚拟安全性的第二步是在允许部署之前，对安全合规性的虚拟功能进行认证。外部攻击是虚拟网络中的真正风险，但内部攻击则是一场灾难。如果可以防止后门漏洞的功能引入服务，它将成为服务基础设施的一部分，并且更有可能拥有对其他基础设施元素的开放攻击向量。
: A2 K8 o# ]: E! ]2 m
) f. ^% O8 ?( z1 M& y0 [
坚持强大的生命周期管理组件只能访问同一服务实例中的其他组件非常重要，减少了恶意软件在新的软件托管功能中引入的风险。后门攻击可能会使服务本身处于危险之中，但恶意软件不太可能传播到其他服务和客户。
+ |4 ]$ G1 P& D- h8 B
# c0 ~# O4 J. P0 N& m6 J3 b, b2 i
. l" F6 S1 q4 p# z但是，这种方法并不能减轻操作员的安全测试负担。对于所有托管特性和功能，坚持强大的生命周期管理合规流程非常重要，运营商可以审核和验证。如果提供托管特性或功能的公司正确地测试了他们的新代码，那么它就不太可能包含意外的漏洞或故意引入的后门漏洞。

& j" }* ~  ~. ~' I7 y
单独的管理API以保护网络
! C, e0 m5 h# k1 U+ z
第三步是将基础设施管理和业务流程与服务分开。管理API将始终代表一个主要风险，因为它们是为控制特性、功能和服务行为而设计的。保护所有这样的API很重要，但保护那些监视服务用户不应该访问的基础设施元素的API是至关重要的。


: d7 F! Q6 Q( F. a确保云中虚拟机安全性的最重要领域是由ETSI网络功能虚拟化(NFV)行业规范组强制要求的虚拟网络功能管理器(VNFM)结构的虚拟功能特定部分。此代码由网络功能虚拟化(NFV)的提供者提供，并且可能需要访问代表基础设施元素以及编排或部署工具的API。这些元素可能打开基础设施管理API的网关，这可能会影响虚拟云服务中使用的功能的安全性和稳定性。


保护虚拟网络功能管理器(VNFM)意味着要求网络功能虚拟化(NFV)提供商提供其架构来管理与基础设施或部署/管理API的虚拟网络功能管理器(VNFM)连接，以便进行审查和安全增强。重要的是确保与其他网络功能虚拟化(NFV)或服务关联的服务用户，网络功能虚拟化(NFV)或虚拟网络功能管理器(VNFM)不能访问基础设施管理API。


通过包含访问权限，企业可以限制安全风险。此外，运营商应要求记录任何来源对基础设施管理和编排API的访问，并检查任何访问或更改以防止发生管理访问泄漏。
: V1 g1 W6 @9 z+ M& K4 ^) ]- _( z

保持连接安全和分离
1 Z( p) H  ^, X  _& L
云虚拟网络安全的第四点，也是最后一点是确保虚拟网络连接不会在租户或服务之间交叉。虚拟网络是为重新部署或扩展的功能创建灵活连接的绝佳方式，但每次进行虚拟网络更改时，都可能在两个不同的服务、租户或功能/功能部署之间建立无意的连接。这可能会产生数据平台泄漏，实际用户网络之间的连接和管理或控制泄漏，这可能允许一个用户影响另一个用户的服务。


* E! P, G4 g* R! |( Q. A5 ~管理虚拟连接的实践和策略可以降低这样的错误风险，但要完全避免这种错误是非常困难的。这是因为连接功能的虚拟网络和连接用户的真实网络之间存在间接关系。可以采用的一种补救方法是使用网络扫描器或清单工具搜索虚拟网络上的设备和虚拟设备，并将结果与预期的服务拓扑进行比较。这可以作为虚拟网络更改的最后一步。


云虚拟网络将云计算引入网络，但也会带来服务器、托管和虚拟网络安全问题。任何使用企业仅从设备构建网络的时代的工具和实践，并认为这些风险可以通过传统方法解决的人都将很快面临严峻的现实。
  F, {% _  p& d
9 z! @7 C6 J1 u' i
  V  H/ p; P2 n' |6 c2 Q（来源：企业网D1net）


. r+ {4 F5 N) ]5 @8 _5 ]如果您在企业IT、网络、通信行业的某一领域工作，并希望分享观点，欢迎给企业网D1Net投稿 投稿邮箱：editor@d1net.com

点击蓝色字体关注

您还可以搜索公众号“D1net”选择关注D1net旗下的各领域（云计算，数据中心，大数据，CIO， 企业通信 ，企业应用软件，网络数通，信息安全，服务器，存储，AI人工智能，物联网智慧城市等）的子公众号。

- t! O! O  [1 K, o

企业网D1net已推出企业应用商店（www.enappstore.com），面向企业级软件，SaaS等提供商，提供陈列，点评功能，不参与交易和交付。现可免费入驻，入驻后，可获得在企业网D1net 相应公众号推荐的机会。欢迎入驻。

扫描下方“

二维码

”即可注册，注册后读者可以点评，厂商可

以

免费入

驻

。

, B% G9 Y! ^  u& J# }6 I% |: o
来源：http://mp.weixin.qq.com/s?src=11&timestamp=1554714005&ver=1533&signature=q*pWh0XEmVi*Q-qk*vHSSWCglwKbkWGdDEAD*yIK4WWJenjtUT*J3xkbXBrute0z0nQxbw6v5K9yG0fDLDICQFw-z9IZAn2hTGqhZlXHhfYmWd9s2nPiiN1MvuJNyTyu&new=1
) ?5 a- C! A7 o; u  ?1 P免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！