虚拟化安全知识全攻略:保障云端数据安全

通过虚拟化技术使不同用户的数据可以存储在物理存储上。这种方式不但可以节约存储空间,还可以进行统一管理,降低管理费用。随着虚拟化技术的大规模使用,组织机构数据中心的基础架构、运维管理等都发生重大变化,面临的安全风险也随之增加,变得更加复杂。

1.虚拟机常见安全威胁

云服务提供商通过虚拟化技术,在IaaS、PaaS和SaaS层面向用户提供云服务。云计算的虚拟化安全问题集中在以下方面:

(1)虚拟机跳跃和逃逸

虚拟机跳跃是指借助与目标虚拟机共享同一个物理硬件的其他出以服务器,对目标虚拟机实施攻击。

虚拟机跳跃是两个虚拟机在同一台物理主机上,一台虚拟机上的攻击者通过获取另一台虚拟机的网络地址,或者通过获得物理主机的访问权限接入另一台虚拟机,完成对目标虚拟机的攻击。

虚拟机逃逸是攻击者在允许操作系统与程序直接利用虚拟机运行代码进入在主机上运行的其他虚拟机。不仅危及主机的安全,一旦攻击者获得监视虚拟机访权限,还可以关闭监视及相关虚拟机。

(2)拒绝服务

在虚拟化环境下,虚拟机和宿主机共享系统资源。拒绝服务攻击通过加载虚拟机资源而获取宿主机上所有的资源。当用户发出资源请求时,由于宿主机资源被占用造成系统会拒绝合法用户的所有请求。

(3)恶意软件攻击 

恶意软件是一个隐藏自身及指定的文件、进程和网络链接等信息的工具集,通过隐秘渠道收集信息的程序。攻击者使用程序技术修改原始文件,隐藏特定的系统信息,达成隐藏恶意软件的目的。

(4)迁移攻击

迁移攻击通常指虚拟机动态迁移攻击。攻击者在虚拟机动态迁移过程中,改变配置文件和虚拟机的特性。攻击者如果接触到虚拟硬盘,就可以攻破所有安全措施。

(5)虚拟机之间影响

隔离是虚拟机技术特点之一,每个虚拟机的连接利用专用的通道进行流量传输,并且虚拟机之间不能影响对方的数据包。如果平台使用虚拟交换技术来连接所有虚拟机,那么虚拟机就能够进行嗅探或重新定向数据包。

(6)虚拟机、宿主机之间影响

宿主机对虚拟机的检测、改变和通信、安全进行管理。宿主机可以影响虚拟机启动、停止、暂停和重启,监控虚拟机资源和运行的应用程序,管理数据在虚拟机的硬盘存储,监控所有虚拟机的网络数据。

(7)旁道攻击

旁道攻击是通过共享CPU和内存缓存来提取或推断敏感信息。由于用户虚拟机实例与攻击者的虚拟机实例是共享物理主机的,形成旁道攻击。

2.虚拟化软件安全

虚拟化软件部署于裸机之上,提供创建、运行和销毁虚拟服务器的能力。虚拟化软件层由云服务提供商来管理,在多租户环境下虚拟化软件层保证虚拟机相互隔离,所以严格限制未授权用户访问。

虚拟化软件层直接影响虚拟机的安全,为此云服务提供商需建立必要的安全措施,限制虚拟化层次的物理和逻辑访问控制,保障虚拟化层的安全。

针对虚拟化软件层,主要的攻击方式:恶意代码通过应用程序接口(API)攻击;② 通过VMM使用网络设备和虚拟机所使的IP侵入 VMM。

3.虚拟服务器安全

虚拟服务器位于虚拟化软件之上,虚拟化服务器特点之一是网络架构。网络结构的变化会产生了许多安全问题。在传统网络环境下,用户对不同服务器采用不同的策略进行管理,对用户其中的服务器攻击不会扩散到其他服务器。在采用虚拟化技术后,每台服务器将支持若于程序,可能会出现负载过重、物理服务器崩溃等状况,安全隐患可能在同一物理主机上的虚拟机之间传播,虚拟机间的通信也可能增加服务器被网络攻击的机会。

虚拟服务器面临着许多安全威胁,可以采取以措施:

1)选择具有可信模块的物理服务器。

2)虚拟服务器通过虚拟局域网和IP地址网段的方式进行逻辑隔离。

3)虚服务器分配独立的硬盘分区进行逻辑隔离。

4)虚拟服务器在防火墙中做安全设置,对虚拟服务器进行保护和隔离。虚拟服务器的安全策略与物理服务器安全策略对等。

5)对于虚拟服务器系统进行系统安全加固。

6)监视服务器的硬件利用率,并进行容量分析。

7) 监控虚拟服务器的运行状态,实时监控虚拟机的系统日志和防火墙日志发现存在的安全隐患。

4.虚拟机安全防护

基于虚拟机技术,虚拟机安全防护措施如下:

(1)隔离执行

隔离执行是指将应用程序隔离到封闭的环境中运行。隔离执行架构可以保证整个虚拟环境的完整性,并可以追踪应用之间的交互。

(2)虚拟机监控

虚拟机的隔离性会引入新的问题,即虚拟环境中的用户行为不可见,无法进行监控。虚拟机自省技术可以消除不同虚拟机之间的语义鸿沟。

(3)内存保护

通过分离式页表将内核内存和应用程序内存分离,解决操作系统共享核空间带来的安全问题。

5.Xen 平台的安全

在应用上,虚拟机具有良好的隔离性,但虚拟机之间的交互带来新的安全挑战,如虚拟机之间未经授权访问、虚拟机之间通信产生病毒传播。

针对上述情况,Xen 通过自己的访问控制模块 ACM (ACM 也称为 sHype,由 IBM提出的在Xen上实现的安全架构XSM,其作用类似安全容器。在使用 ACM 进行安全控制时,先加载用户设置的安全策略,再当 Xen 上的Hypercall 被调用时,ACM根据用户配置的策略对访问请求做出允许或拒绝,并反馈给 XSM),能够有效解决访问不当。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/699064.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【开源】SpringBoot框架开发婚恋交友网站

目录 一、摘要1.1 项目介绍1.2 项目录屏 二、功能模块2.1 数据中心模块2.2 会员管理模块2.3 新闻管理模块2.4 相亲大会管理模块2.5 留言管理模块 三、系统设计3.1 用例设计3.2 数据库设计3.2.1 会员信息表3.2.2 新闻表3.2.3 相亲大会表3.2.4 留言表 四、系统展示五、核心代码5.…

redis配置和使用

安装redis sudo apt install redis-server查看redis版本 redis-server --version修改配置 sudo vim /etc/redis/redis.conf建议使用末行模式的匹配功能单词前加上?即可 bind 127.0.0.1注释掉daemonize属性改为yesprotected-mode属性改为 no 关闭保护模式require…

cookie伪造 [BSidesCF 2019]Kookie1

打开题目 提示用admin用户登录 尝试弱口令发现,登录失败 显示用admin&passwordadmin!进行登录 有发现说cookie,就尝试用cookie登录: f12编辑添加cookie重发包: 或者bp抓包 Cookie:usernameadmin 用admin登录成功 得到flag: 参考文章&…

Nmap详解

Nmap(Network Mapper,网络映射器)是一款开放源代码的网络探测和安 全审核工具。它被设计用来快速扫描大型网络,包括主机探测与发现、开放的端口情 况、操作系统与应用服务指纹识别、WAF 识别及常见安全漏洞。它的图形化界面是 Zenmap, 分布式框架为DNmap。 Nm…

TensorFlow2.x 精选笔记(1)数据基本操作与线性代数

学习参考: 动手学深度学习2.0Deep-Learning-with-TensorFlow-bookpytorchlightning 一、数组与张量 虽然张量看起来是复杂的对象,但它们可以理解为向量和矩阵的集合。理解向量和矩阵对于理解张量至关重要。 向量是元素的一维列表,向量是一…

C++的vector容器->基本概念、构造函数、赋值操作、容量和大小、插入和删除、数据存取、互换容器、预留空间

#include<iostream> using namespace std; #include <vector> //vector容器构造 void printVector(vector<int>& v) { for (vector<int>::iterator it v.begin(); it ! v.end(); it) { cout << *it << " "…

【人脸朝向识别与分类预测】基于LVQ神经网络

课题名称&#xff1a;基于LVQ神经网络的人脸朝向识别分类 版本日期&#xff1a;2024-02-20 运行方式&#xff1a;直接运行GRNN0503.m文件 代码获取方式&#xff1a;私信博主或 企鹅号:491052175 模型描述&#xff1a; 采集到一组人脸朝向不同角度时的图像&#xff0c;图像…

Python urllib、requests、HTMLParser

HTTP协议 HTTP 协议&#xff1a;一般指HTTP(超文本传输)协议。 HTTP是为Web浏览器和Web服务器之间的通信而设计的&#xff0c;基于TCP/IP通信协议嘞传递数据。 HTTP消息结构 客户端请求消息 客户端发送一个HTTP请求到服务器的请求消息包括以下格式 请求行(request line)请求…

spark超大数据批量写入redis

利用spark的分布式优势&#xff0c;一次性批量将7000多万的数据写入到redis中。 # 配置spark接口 import os import findspark from pyspark import SparkConf from pyspark.sql import SparkSession os.environ["JAVA_HOME"] "/usr/local/jdk1.8.0_192"…

C语言中的大小写字母转换

引言 在C语言编程中&#xff0c;我们经常需要进行大小写字母的转换。在 ASCII 码中&#xff0c;大写字母和小写字母之间的差值是固定的&#xff0c;因此我们可以利用这一特性进行大小写转换。本文将详细介绍C语言中大小写字母转换的具体步骤。 大小写转换的原理 在ASCII码表…

【CMake】CMake 中引入 Qt Linguist 翻译功能

【CMake】CMake 中引入 Qt Linguist 翻译功能 文章目录 Qt Linguist 通常使用方法1 - 设置翻译路径2 - 查找 Qt 翻译工具3 - 应用 Qt 翻译工具4 - 参考链接 Qt Linguist 通常使用方法 在编写代码时&#xff0c;将需要翻译的字符串使用 tr() 函数包裹起来&#xff0c;如 this-…

【Web前端笔记12】运算符_数据类型和流程循环语句

12 运算符_数据类型和流程循环语句 一、数据类型 1、数据类型分类 二、基本运算符 1、typeof运算符 2、运算符 (1)加法运算符 (2)算术运算符 (3)赋值运算符(=) (4)比较运算符 (5)布尔运算符 (6)位运算符 3、运算符优先级 4、类型转换 (1)自动转换…

STM32F4XX - uart设置

初始化一个波特率为115200的串口。下面函数参数为115200. 代码如下&#xff1a; void uart1_init(u32 bound) {GPIO_InitTypeDef GPIO_InitStructure;USART_InitTypeDef USART_InitStructure;NVIC_InitTypeDef NVIC_InitStructure;RCC_AHB1PeriphClockCmd(RCC_AHB1Periph_GPIO…

LINUX读取RTC实时时钟时间

linux 读写RTC时间_linux rtc 读写-CSDN博客

shutil.copyfileobj()和BaseHTTPRequestHandler self.wfile在Web 服务器中的应用

shutil.copyfileobj() 是 Python 的 shutil 模块中用于复制文件对象内容的一个函数。它可以将一个文件对象的内容复制到另一个文件对象中。 shutil.copyfileobj(fsrc, fdst, length16*1024) fsrc: 源文件对象&#xff0c;即要从中复制内容的文件对象。fdst: 目标文件对象&…

Java知识点一

hello&#xff0c;大家好&#xff01;我们今天开启Java语言的学习之路&#xff0c;与C语言的学习内容有些许异同&#xff0c;今天我们来简单了解一下Java的基础知识。 一、数据类型 分两种&#xff1a;基本数据类型 引用数据类型 &#xff08;1&#xff09;整型 八种基本数…

mysql进阶学习 | DAY 14

存储引擎 体系结构 连接层 服务层 引擎层 存储层 存储引擎 表类型 查看引擎 查看建表语句 指定存储引擎 ENGINE SHOW engins InnoDB 默认存储引擎 遵循ACID模型 支持事务 行级锁 提高并发访问性能 支持外键 FOREIGN KEY约束 保证数据完整性和正确性 对应文件 xx…

Rust: reqwest库示例

一、异步处理单任务 1、cargo.toml [dependencies] tokio { version "1.0.0", features ["full", "tracing"] } tokio-util { version "0.7.0", features ["full"] } tokio-stream { version "0.1" }…

抖音爬虫批量视频提取功能介绍|抖音评论提取工具

抖音爬虫是指通过编程技术从抖音平台上获取视频数据的程序。在进行抖音爬虫时&#xff0c;需要注意遵守相关法律法规和平台规定&#xff0c;以确保数据的合法获取和使用。 一般来说&#xff0c;抖音爬虫可以实现以下功能之一&#xff1a;批量视频提取。这个功能可以用于自动化地…

大数据-数据可视化-环境部署vue+echarts+显示案例

文章目录 一、安装node.js1 打开火狐浏览器,下载Node.js2 进行解压3 配置环境变量4 配置生效二、安装vue脚手架1 下载vue脚手架,耐心等待。三、创建vue项目并启动1 创建2 启动四、下载echarts.js与axios.js到本地。五、图表显示demo【以下所有操作均在centos上进行】 一、安…