您所在的位置： &
如何DMZ设计改善云中虚拟机安全？
如何DMZ设计改善云中虚拟机安全？
Greg Shields
或许您已了解P2V和V2V转化，但是把虚拟机迁移到云还依然是新领域――尤其是安全相关部分。通过独立的DMZ设计，您可以实现云内的虚拟机安全。
或许您已了解P2V和V2V转化，但是把虚拟机迁移到云还依然是新领域&&尤其是安全相关部分。通过独立的DMZ设计，您可以实现云内的虚拟机安全。
V2C的转化把虚拟机转化为可以在云内进行管理的模式。如果把虚拟机寄宿在独立设计的DMZ(demilitarized zone)域中，可以极大提高云安全性。在我解释DMZ如何影响虚拟机之前，先来讨论一下DMZ的虚拟化起源。
DMZ的设计和V2C：创建边界
DMZ存在于内部局域网之外，把需要对外共享的资源跟内网被保护数据隔离，实现对以太网不良信息的过滤。这种隔离使得数据进出DMZ域变得困难，尤其是在创建和保护到内部资源的连接方面。
同时，DMZ隔离的方式对于云内的虚拟机提供了更易于保护的边界，极大提高虚拟机安全性。独立的DMZ域就像这些虚拟机之外的一个保护壳一样。
　　通过DMZ设计改善虚拟机安全
有了隔离的DMZ设计，寄宿在云内的虚拟机就和传统的虚拟架构下一样安全。甚至当虚拟机转化为云模式后，DMZ内的虚拟机所需要的网络访问级别也和之前保持一致。云安全也需要HTTP和HTTPS连接，而且它们所需的保护方式也完全一致。
为保障虚拟机安全，那些外围宿主机需要进行额外的网络配置。通过这些配置可以让虚拟机连接到局域网内部的资源，如数据库或应用服务器。
一些云供应商提供了基于硬件或软件的防火墙，可以严格管控云虚拟机和周边IP终端设备之间的数据流。进一步保护可以使用基于LAN的防火墙或反向代理服务器的方案。更高级的虚拟机安全，防火墙软件可以内置到虚拟机操作系统中，从而在云供应商和虚拟化平台之外提供额外的保护层。
如果性能需求允许，您还可以在采用虚拟主机的同时，把数据留在LAN之内。经过这样的安全配置，攻击者进入Web服务器后获得的信息很少，还需要进一步破解才能访问到内部数据。
把虚拟机放到云里是由这种业务模式的收益所推动的，而不是技术本身。这些优势我们或许都曾经听过：提高资源利用率、快速甚至是完全自动化的服务器和服务扩展、对基础架构实现商品化的定价提供规模经济效益。把虚拟机放到隔离的同时又可以联网访问的DMZ域内的设计方法，是在低风险的前提下实现虚拟主机收益的第一步，同时也推动了云的虚拟机安全。【编辑推荐】【责任编辑： TEL：（010）】
关于&&的更多文章
11月1日，东软解决方案论坛2013在厦门举行，此次论坛的主题是：
利用 VMware View 为桌面和应用程序带来云计算的敏捷性和可用性。
移动异构计算是相对于同构计算来说的，同构计算就是使
这本书是写给程序员和项目经理的。作者结合自身的丰富
11月1日，东软解决方案论坛2013在厦门举行，此次论坛
在本书中，Thomas ERL呈现了第一部端对端的教程，提供了从基层开始的面向服务的建模与设计的逐步指导。通过逐步的、清晰生动的、
51CTO旗下网站如何控制在云中使用虚拟化带来的风险
　作者: 邹铮编译　编辑:
　　【IT168&技术】在中，有三种基本服务模式：软件即服务(SaaS)、平台即服务(PaaS)和基础架构即服务(IaaS)。此外，还有三种基本部署模式：公共、混合和私有。虚拟化通常用于所有这些云计算模式和部署中，因为它提供了很多好处，包括成本效益、增加正常运行时间、改善灾难恢复和应用程序等。　　当面对云部署中的虚拟化时，供应商或企业客户谁来管理安全并不重要，因为我们需要解决相同的安全问题。正如前面关于云计算取证的文章中所讨论的，当选择服务和部署模式时，要知道，SaaS提供对环境的最少控制，而IaaS提供最多的控制。同样地，在公共云中，企业有必要遵守云服务提供商(CSP)的规则，而在私有云中，企业则掌握对环境的完全控制。安全同样是如此，用户可以控制一小部分云计算部署，而其余部分则由CSP控制。如果无法访问部署模式的某些部分，CSP将需要部署适当的安全措施。　　在云计算中使用虚拟化面临的安全问题　　尽管虚拟化带来了很多好处，它同样也带来了很多安全问题：　　˙虚拟机管理程序：在相同物理机器运行多个虚拟机的程序。如果管理程序中存在漏洞，攻击者将可以利用该漏洞来获取对整个主机的访问，从而他/她可以访问主机上运行的每个访客虚拟机。由于管理程序很少更新，现有漏洞可能会危及整个系统的安全性。如果发现一个漏洞，企业应该尽快修复漏洞以防止潜在的安全泄露事故。在2006年，开发人员开发了两个rootkit(被称为Blue Pill)来证明它们可以用来掌控虚拟主机。　　˙资源分配：当物理数据存储被一台虚拟机使用，并重新分配给另一台虚拟机时，可能会发生数据泄露;当不再需要的虚拟机被删除，释放的资源被分配给其他虚拟机时，同样可能发生数据泄露。当新的虚拟机获得更多的资源，它可以使用取证调查技术来获取整个物理以及数据存储的镜像。该而镜像随后可用于分析，并获取从前一台虚拟机遗留下的重要信息。　　˙虚拟机攻击：如果攻击者成功地攻击一台虚拟机，他或她在很长一段时间内可以攻击网络上相同主机的其他虚拟机。这种跨虚拟机攻击的方法越来越流行，因为虚拟机之间的流量无法被标准IDS/IPS软件程序所检测。　　˙迁移攻击：在必要时，在大多数虚拟化界面，迁移虚拟机都可以轻松地完成。虚拟机通过网络被发送到另一台虚拟化，并在其中设置一个相同的虚拟机。但是，如果这个过程没有得到管理，虚拟机可能被发送到未加密的通道，这可能被执行中间人攻击的攻击者嗅探到。为了做到这一点，攻击者必须已经获得受感染网络上另一台虚拟机的访问权。　　控制安全风险的方法　　下面这些方法可以缓解上述的安全问题：　　˙管理程序：定期检查是否有管理程序的新的更新，并相应地更新系统。通过保持管理程序的更新，企业可以阻止攻击者利用已知漏洞以及控制整个主机系统，包括在其上运行的所有虚拟机。　　˙资源分配：当从一台虚拟机分配资源到另一台时，企业应该对它们进行保护。物理内存以及数据存储中的旧数据应该使用0进行覆盖，使其被清除。这可以防止从虚拟机的内存或数据存储提取出数据，以及获得仍然保持在内的重要信息。　　˙虚拟机攻击：企业有必要区分相同物理主机上从虚拟机出来以及进入虚拟机的流量。这将使我们部署入侵检测和防御算法来尽快捕捉来自攻击者的威胁。例如我们可以通过端口镜像来发现威胁，其中复制上一个端口的数据流到另一个端口，而中IDS/IPS则在监听和分析信息。　　˙迁移攻击：为了防止迁移攻击，企业必须部署适当的安全措施来保护网络抵御中间人渗透威胁。这样一来，即使攻击者能够攻击一台虚拟机，他/她将无法成功地执行中间人攻击。此外，还可以通过安全通道(例如TLS)发送数据。虽然有人称在迁移时有必要破坏并重建虚拟机镜像，但企业也可以谨慎地通过安全通道以及不可能执行中间人的网络来迁移虚拟机。　　结论　　针对虚拟化云计算环境有各种各样的攻击，但如果在部署和管理云模式时，企业部署了适当的安全控制和程序，这些攻击都可以得以缓解。　　在试图保护云计算环境之前，对于企业来说，重要的是要了解这些恶意攻击是如何执行的。这将有助于确保企业的防御措施能够抵御环境最有可能会遇到的威胁。在保护环境安全后，企业可以通过尝试执行攻击来检查安全措施是否得到很好的部署。这可以在内部进行或者聘请渗透测试公司。企业应该在现在就投入资金来建设更安全的系统，而不是等着以后后悔。
处理 SSI 文件时出错
IT168企业级位置：&&&&&&
中国电信联手VMware积极部署混合云加速互联互通
作者：CBISMB赵明责任编辑：赵明
来源：CBISMB关键字：中国电信,VMware,混合云
2014年7月，中国电信股份有限公司云计算分公司（以下简称“中国电信云公司”）宣布VMware签署合作备忘录，双方将联合构建中国电信天翼混合云服务。时值年末，我们再次相约中国电信云公司首席技术官广小明和VMware公司全球副总裁、大中华区总裁 &宋家瑜一同为大家介绍一下该混合云近期的一些新动向。
VMware公司全球副总裁、大中华区总裁宋家瑜（左）和中国电信云公司首席技术官广小明（右）
在大数据和云计算大背景下，中国电信用户移动用户总数1.8亿左右， 3G用户数累计1.0497亿。中国电信的客户对数据应用和数据存储有了更高的要求，中国电信原有数据中心遇到挑战，遇到诸多问题，首先是电力扩张难题，其次是基础设施建设。
对于前者，现有数据中心需要消耗大量的能量来为25，000到35，000个家庭提供服务。以此类推，建立服务全球家庭以及个人的数据中心所耗能量将会非常巨大，预计将至少需要几十个数据中心，但目前中国电信仅在国内建有6个数据中心，远远无法满足用户需求。并且，建立起这样一个庞大的数据中心群将会耗费更多的电力。今年9月份，在北京市数据中心产业发展布局工作会上，规定了新的数据中心建设相关的能耗规定，因此如何降低PUE（数据中心消耗的所有能源与IT负载使用的能源之比）是当务之急。
而对于后者，除了建设更多的数据中心外，云计算事实上可能需要的不仅仅是物理数据中心，而是需要提高现有数据中心效率。在解决其原有自建的数据中心发展遇到的基础设施、电力扩张困难等问题时，这样才能更好地搭建企业自建的数据中心与托管到公有云的混合资源模式，以方便企业资源无缝和即时弹性延展。该混合云不仅需要支持中国电信部署新的云应用，同时还要以安全、可靠、兼容的方式将企业现有的业务迁移到混合云上，有效提升业务效率和敏捷性。中国电信云公司首席技术官广小明表示：“中大型企业与中小企业需求有所不同，私有云与公有云也存在着很多差异，而中国电信云公司的IT部门需要一种已经熟悉的信赖平台，即可用完全统一的方式查看、管理并运营这种结合两种云优点的混合云环境。”
VMware公司全球副总裁、大中华区总裁宋家瑜表示：“混合云在电信领域发展很快，在中国拥有很大市场，逐步会与国际互通，形成很强的生态环境。VMware会继续与客户合作，帮助其打造快捷安全的混合云环境。”
由公有云深入SMB市场 & 混合云扩展中型企业
中国电信早在三年之前就正式进入云市场，之前中国电信云公司的云服务属于IDC托管业务范围。众所周知，IDC托管业务基本上停留在机房、机架以及IP大带宽层面。但自从现代云服务概念延伸之后，中国电信云公司起先借鉴亚马逊的公有云，必须有一个可以满足某一类客户的技术平台。在公有云范畴内，大家提供的服务，比如阿里、亚马逊，相似度很高。从主机到块的存储，到对象的存储，CDN的加速服务，还有基本的接入的带宽服务，这已经是一个标准的公有云产品体系。
在传统政企渠道，中国电信在部署云服务后，实际上就对一些中小企业，特别是一些初创的以互联网或移动互联网为主的开发类企业，中国电信的IDC门槛是相当高的，这样可以提供更多的服务产品。中国电信从公有云进入到SMB企业市场。
中国电信有一部分业务是传统的ICT服务，原来做ICT基本上以集成为主，让用户提出应用需求。用户提出的要求都在中国电信的托管环境下，以隔离的方式自建模式。当公有云做到一定程度的时候，我们就想尝试从原来的基础设施部分更高层面的软件部分前进一步，所以开始填充一些软件，最后延伸到ICT的私有云领域。
但是随着中大型企业的客户服务的要求，实际上就和公有云产生很大的差别了。“中国电信的云，在经历了从公有云到集成项目的私有云，再到混合云三个阶段的侧重点转变过程中，这对我们提供的产品具有相当大的挑战性，所以在考查了VMware的云解决方案后，我们决定跟VMware一起合作来填充混合云这部分的产品。” 中国电信云公司首席技术官广小明表示， “从产品体系上来说，我们现在想拿和VMware合作的混合云去覆盖中大型企业的市场。”
建设完整云环境 &解除客户安全顾虑
中国电信目前有四个数据中心，分别部署在北京、上海、成都、广东。还有一个自去年开始从基础建设的内蒙数据中心。目前正在贵州建设一个与内蒙规模相当的数据中心。我们在不久的将来将会拥有至少六个数据中心。而在数据迁移方面，虽然我们也看到了化零为整的趋势，比如三大运营商重新组建了铁塔公司，但是如何避免重复建设，减少浪费也需要提早规划。
数据中心越来越多，规模也会逐步增大。但我们是否能够安心地把数据迁移到我们的新数据中心或者改造升级过的数据中心呢？事实上，在应用VMware的解决方案前，很多政企客户会自建私有云。
在数据迁移方面，不仅中国电信，其他依托我们云服务的客户都需要建立一个集安全和性能为一体的云解决方案。基于此，我们会强调一些新的应用特殊性，在存储、网络方面，这些新的性能指标和通常说的公有云是不一样的。VMware提供的解决方案为我们提供了这样一个思路，如果能就这两个问题给予客户一个很好的引导性的解释，我们就可以从边缘性的系统慢慢地再往内部一些IT系统转换，像OA系统、邮件系统。而且这类系统迁移出来以后，将会使它比在原来的封闭状态下更便捷，然后就可以将一些核心关键系统转移。
在安全方面，中国电信跟其它可能的电信运营商或者运营商最大的差别，就是把政企客户的合规要求置于首位。国内托管市场的70%政企客户都在中国电信这边，所以他们了解这些客户的过去和现在，甚至未来的合规需求。我们现在采用VMware的云解决方案，带来了便捷性，同时又兼顾合规安全。
跨运营商互通 & 打造技术团队
由于竞争原因，三家运营商会有很多壁垒，这是通信监管政策决定的，但是站在云服务角度来看这个基于云的通信服务，可能对各家之间有一个保护。我们所有跨运营商之间的流量，必须通过互联互通这个关口，这是一个基本要求。我们提供的云服务，实际上它不是限定在单一的中国电信的网内客户，我们是跨运营商的，这就带来了一些挑战。我们在投产天翼云之前，我们一般都有一个拨测系统，我们会看全国32个点。在移动固网、移动网，联通的固网、移动网，中国电信的固网、移动网六种情况下，我们会选择一些覆盖面很广的拨测的节点，然后去测资源池。
用户通用网到天翼云来访问的时间通常在晚上8点或者9点，这是流量高峰。互联互通这个关口，现在在慢慢地不断扩容。在互联互通的发展早期，这个时间点就是是一个瓶颈，但是现在互联互通的质量已经明显好转。此外，在省的地区都起了BGP的带宽，所以有些跨运营商流量根本不需要上升到互联互通点，在省的层面，可以通过BGP带宽实现互通。
从延迟和抖动这两方面来看，三家运营商基本上差异不大。一般从中国电信到一个资源池，有50毫秒的延迟，从联通或者移动到这个点的延迟不会超过20毫秒，在云服务来说，这是可以容忍的。
为了尽快完成混合云建设，中国电信云公司在天翼云部门设有研发、运维、直销团队，而在混合云部门设有销售、开发和运营三个团队，他们都会与VMware共同推进混合云的正式商用，在7月份已基本部署完毕，目前已经迁移一些友好客户，正在试用阶段。这项业务我们将会在明年1月1日开始正式运营。
网友评论 评论仅代表网友个人观点，不代表CBISMB观点。
CBISMB网友您好，欢迎发表评论。
CBISMB网友 &注册邮箱： &
CBI 友情链接：
CBI集团其它网站：怎么才能在虚拟机中运行dnf_百度知道云环境下虚拟化部署 安全问题仍是关键
关注IDC评述网官方微信：idcps-com 新浪微博：
&&&&很多人认为云计算模式下的一大优势是用户可以轻松部署和使用虚拟化环境。而近期MIT（麻省理工学院）和加州大学的一项研究显示，这恰恰是云计算模式的不安全因素之一。 &&&&此项研究致力于揭示在公共云计算环境下有多少基础设施暴露在外边，以及究竟有没有可能对云中的虚拟机进行定位和袭击。 &&&&这篇名为“Hey,&You,&Get&Off&of&My&Cloud”的报告显示，人们可以对一台运行中的虚拟机进行定位。也就是说，人们可以通过一种“shotgun”技术来在同一硬件上启动一台新的虚拟机，这也就为云中针对虚拟化的攻击提供了一定的可能性。 &&&&研究者选择了在亚马逊的Web服务网站上进行这一研究，因为他们认为亚马逊是公用云计算服务器的领跑者。但是，这并不是只针对亚马逊，所有其他主流云服务供应商都无法避免此类攻击。 &&&“当然这并不是亚马逊的错，这是由虚拟化技术的本质所决定的。”麻省理工学院计算机科学和人工智能实验室（CSAIL）博士后Eran&Tromer表示，他同时也是这个项目的主要负责人。他说：“所有的云基础设施服务都会面临着一问题。”此外，Tromer补充说，他们研究所使用的都是最基本的技术，在很多情况下，也是在利用云计算资源的最基本属性。 &&&&“云制图”方面的研究是基于最基本的网络发现技术技术所实施的，比如说将每个机器的公开地址和DNS地理信息结合起来，再发送HTTP请求看Web服务器是否实施了最基本的安全预防措施。通过这样做，Tromer及其搭档大体上可以确定一台既定服务器是否运行在亚马逊的数据中心里。 &&&&此外，通过连续启动测试服务器，他们可以加速对目标虚拟机的定位工作。也就是说，他们选择了讲自己的机器运行在同样的CPU、RAM及硬盘驱动上。&Tromer表示，一旦完成了对虚拟机的定位，对其进行“旁路”攻击就很容易了。“旁路”攻击主要是针对软件或硬件的薄弱环节进行攻击，而不是针对密码破译、非安全网络流量或其它一些常见的安全缺陷。 &&&&Tromer表示，出于伦理道德方面的考虑，他们并不想对亚马逊的EC2服务进行测试，也不想对测试目标之外的机器进行定位。他们只是想证明在云中是可以在虚拟机间进行数据传输的。Tromer还表示，他们已经证实自己网络中的虚拟机存在这一隐患，并看到了公用云计算服务中类似的攻击威胁。 &&&&Tromer表示，云计算面临的攻击威胁从拒绝服务攻击（袭击者通过监控CPU或内存的使用量来进行定位）到数据截听不等，比如说在数据从硬盘向CPU传递时恢复期密钥或对其进行解码。 &&&&私有云也面临着类似的攻击 &&&&Tromer表示，使用多佃户虚拟化技术的私有云架构也有可能面临同公有云一样的攻击威胁。 &&&“这些研究很好的揭示了云计算在安全方面的隐患，”思科公司云计算和虚拟化解决方案主管、安全专家Christofer&Hoff.表示。他将此项研究称之为“善意的提醒”。尽管说一直在宣传，但云计算还没有从根本上解决安全方面的隐患，这对他们是一种警示。 &&&&他表示，此项研究从侧面强调了供应商在安全方面应该比用户做更多的工作。“用户在网络控制方面能做的工作室相当有限的，特别是对于像亚马逊这样的云计算服务。”Hoff.说。他还强调，云服务供应商不应该将应对安全问题的责任推给用户，而不将自己所采取的预防措施公布于众。“他们目前所采用的预防措施非常、非常的基础。”他说。 &&&&亚马逊对安全问题做出回应 &&&&亚马逊对该项研究非常重视。其发言人Kay&Kinton在邮件中表示，亚马逊会对这一问题迅速做出反应。此外，她还指出，研究者们所提到的几点缓解威胁的措施对亚马逊化解潜在的虚拟化安全问题很有帮助。 &&&“尽管说目前还无法确定在这方面会有什么具体的攻击出现，但亚马逊非常重视这一问题，我们正在研发相应的安全措施来保护用户免受该研究报告中提到的‘云制图’技术安全袭击。”她说。 &&&&Rackspace没有对其在处理“云制图”攻击或虚拟化安全问题方面的所作所为做出任何评价。Joyent表示他们使用的是OpenSolaris虚拟化环境，而不是Xen，这意味着他们的云计算平台不存在研究报告中所提到的虚拟化安全隐患。 &&&&GoGrid发言人Michel&Sheehan表示，尽管说GoGrid使用的是与亚马逊一样的Xen虚拟化架构，但其在主机托管方面的背景使他们在虚拟化安全方面的警惕性非常高。他表示，如果用户需要确保这方面的安全，他们的管理软件能够在硬件后端对虚拟机进行隔离，因此也不存在这一问题。 &&&&“也正是出于这方面的考虑，我们为用户设立了‘云服务与物理设备托管’的选项。”他说。
相关热词搜索：
24小时点击排行