云计算安全,或称云安全,是一套用于保护云计算系统的服务和资源的策略和技术。云安全是网络安全的一个子领域,包括保护服务、应用程序、数据、虚拟化 IP 和云计算系统相关基础设施的流程。包括虚拟机(VM) 和容器在内的虚拟化环境给云安全带来了独特的风险。在这里,我们将讨论云迁移的影响、云安全挑战以及保护虚拟服务器的技巧。
上云对服务器安全的影响
简而言之,云计算是一种通过互联网提供计算服务和资源的方式。将多个数字化操作从本地服务器迁移到云服务器称为云迁移。数字化运营包括移动数据、应用程序、IT 流程和其他业务元素。
越大越好
云服务由更大的、受信任的公司维护。一般来说,这些公司可以提供比本地服务器或家用计算机设备更强大和更强大的安全性。
安全仓库
云服务器通常位于高度安全的数据仓库中,大多数工作人员甚至无法访问。
数据加密
存储在云服务器上的文件是加密的,这使得网络犯罪分子更难访问它们。
多种数据保护技术
云提供商经常使用各种技术来保护数据,例如:
- 一致的安全更新
- AI tools
- 自动修补
- 内置防火墙
- 备份
- 第三方安全测试
新的网络威胁
云迁移有很多好处,但将服务器开放到云中也可能存在风险。云带来了不会影响未连接到云的服务器的新型网络威胁。这可能包括漏桶、云控制台接管、SaaS 服务劫持等。
虚拟机的云安全挑战
虚拟机带来的云安全问题可能包括性能问题、硬件费用、语义差距、恶意软件和整体 VM 系统安全。
表现
系统上运行的云安全服务会损害虚拟机系统的性能。这是由于虚拟化和虚拟机间通信的开销。通过跨 VM 通信的设备访问请求和结果交换需要额外的上下文切换,这增加了系统开销。
硬件成本
为了确保虚拟机的完全安全,需要大量的物理资源。此外,使用较旧的资源或有限的内存可能无法运行系统。
语义鸿沟
来宾操作系统和底层虚拟机监视器 (VMM) 之间的语义差距是对 VM 安全性的挑战。VMM 可以监控来宾 VM 的原始状态,而安全服务通常需要处理时间来推断更高级别的来宾 VM 状态。
恶意软件
恶意软件是虚拟机安全的另一个挑战。也就是说,虚拟机也可以用来阻止这些攻击。例如,有多种技术可用于 VM 指纹识别,这些技术可以充当恶意软件的蜜罐,例如 Agobot 蠕虫系列。
系统安全
云安全服务的功能更新可能会无意中将后门漏洞引入虚拟机,然后可以利用这些漏洞来访问整个基础架构。
容器的云安全挑战
容器带来的云安全问题可能包括镜像依赖、与权限标志相关的漏洞、容器之间的互通、短暂的运行时间和不正确的隔离。
图像漏洞
容器是使用父镜像或基础镜像构建的。图像或其依赖项可能包含漏洞,就像任何其他代码一样。
特权标志
使用特权标志运行的容器可以访问主机的设备。如果攻击者破坏带有特权标志的容器,他们可以破坏系统。
容器之间的通信
容器可能需要相互通信以实现其目标。容器和微服务的数量、容器的短暂性以及实施遵循最小特权原则的网络/防火墙规则都可能带来安全挑战。
运行
容器的寿命非常短,有时只有几小时或几分钟。因此,几乎不可能在任何给定时间监控哪些容器进程正在运行。
隔离
如果容器没有适当隔离或配置错误,这可能会威胁到底层主机。
保护虚拟化环境的 5 个步骤
1.积极监控和更新安全系统
主动监控和分析虚拟机管理程序是否存在任何潜在的危害迹象,并持续审计和监控所有虚拟活动。随着安全版本的发布,系统必须是最新的。请务必使用最新的管理程序,并及时进行产品维护。
2. 实施访问控制
强大的防火墙控制保护机密信息免受未经授权的访问。为用户提供有限的访问权限,以防止修改管理程序环境。对虚拟机管理程序上的任何管理功能实施严格的访问控制和多因素身份验证。
3.分离和安全管理
为了降低 VM 流量污染的风险,管理基础架构应该在物理上是独立的。最重要的是,保护管理和 VM 数据网络。
4. 使用管理程序并禁用不必要的服务
hypervisor 主机管理接口应放置在专用的虚拟网段中,只允许从企业网络中的指定子网访问。应该停用不必要的访客服务帐户或会话。禁用不需要的服务,例如剪贴板或文件共享。
5. 使用翻译技术和 SSL 加密
始终使用网络地址转换技术和安全套接字层 (SSL) 加密与虚拟服务器命令系统进行通信。