Thế giới ảo hóa đang có nhiều bước tiến triển, các tổ chức đã thấy được nhiều lý do hấp dẫn đối với vấn đề ảo hóa: các hệ số như máy chủ hợp nhất, các hóa đơn về tiền điện, phần cứng nha
Trang 1Bảo mật và ảo hóa
Trang 2Thế giới ảo hóa đang có nhiều bước tiến triển, các tổ chức đã thấy được nhiều lý do hấp dẫn đối với vấn đề ảo hóa: các hệ số như máy chủ hợp nhất, các hóa đơn về tiền điện, phần cứng nhanh hơn và dễ dàng trong
sử dụng,… đã làm cho việc tính toán ảo đang trở nên hấp dẫn hơn bao giờ hết.
Trong một số tổ chức ảo hóa đã trở thành một phần lớn trong cơ sở hạ tầng Lại một lần nữa công nghệ lại vượt trước các thực tiễn tốt nhất về bảo mật
Các môi trường ảo hóa sẽ dần trở thành phổ biến hơn như các giải pháp doanh nghiệp mang tính liên tục và sự khắc phục thảm họa, điển hình trong lĩnh vực tài chính Điều này là hoàn toàn thích đáng vì một số giải pháp này đều nằm trong môi trường “bán trực tiếp” và thường bị coi nhẹ trong quá trình bảo vệ bảo mật và nâng cấp
Những cạm bẫy khi làm việc với môi trường ảo
Trang 3 Nếu host bị thỏa hiệp, nó có thể ảnh hưởng đến client mà các máy chủ
đã cấu hình trên host chính
có thể bị khai thác trong cả hai trường hợp Tiềm ẩn nguy cơ có thể dẫn đến các file đang được copy đến thư mục chi sẻ sẽ làm đầy ổ đĩa
các đặc điểm và thực hiện các cách tương tự đối với máy vật lý Trong vài năm tới sẽ có một số sự khác nhau giữa các máy ảo và máy vật lý
cập đến lĩnh vực ảo hóa Kỹ thuật này giảm bề mặt tấn công và nên được sử dụng trong cả môi trường ảo và môi trường vật lý
Trang 4Những có thể thực hiện để bảo vệ tốt hơn môi trường máy chủ ảo
hiện trên tất cả các máy ảo và trên host Các ứng dụng chủ cần được giữ ở mức tối thiểu, chỉ cần cài đặt những thứ thực sự cần thiết
và bảo đảm rằng chỉ có các thủ tục đã được cho phép mới có thể thực hiện
host: Sự cách ly nên được xem xét
theo mỗi cách nếu có thể
virus trên các máy tính ảo và host, máy tính ảo cũng có thể bị tiêm nhiễm virus và worm giống như máy vật lý
Trang 5
Sử dụng IPSEC hoặc mã hóa mạnh giữa host và các máy tính ảo: lưu lượng giữa các máy ảo và host có thể được điều chỉnh Hành động tốt nhất là sự truyền thông giữa các máy cần phải được mã hóa
nhiễm trên máy host Bạn cần nhớ rằng máy host quản lý các máy ảo và vấn đề xuất hiện trên Virtual Machine Host cũng có thể dẫn đến các vấn đề nghiêm trọng và tổn thất dịch vụ
vào tài khoản mức cao bởi các người dùng không được thẩm định có thể dẫn đến nhiều lỗ hổng bảo mật đáng kể Nghiên cứu đã thể hiện rằng tài khoản Administrator (root) trên máy host kém an toàn hơn rất nhiều so với máy ảo hoặc các tài khoản và mật khẩu của máy trong mạng vật lý
cần thiết Giữ hệ điều hành nhỏ gọn để bảo đảm cho vùng bề mặt tấn
Trang 6công được giảm thiểu nhỏ nhất
nghiêp mặc dù chúng có là các máy ảo đi chăng nữa
không được thẩm định sẽ không thể can thiệp vào file của các máy ảo này
cũng tốt, các hệ thống này được cách ly xa hơn thì môi trường sẽ được bảo vệ tốt hơn
phần cứng chạy với tốc độ tối ưu nhưng quan trọng hơn đó là việc nâng cấp phần mềm mới nhất sẽ bảo đảm cho các lỗi của phần mềm driver
Trang 7cũ bị kẻ xấu khai thác được vá kịp thời
được sử dụng: công nghệ như USB nên được vô hiệu hóa cho mỗi máy
ảo nếu môi trường VM không sử dụng công nghệ cổng
máy ảo Việc kiểm tra thường bị bỏ qua trong các môi trường máy ảo,
lý do có thể liên quan đến việc kiểm tra dựa trên host được thực hiện bởi phần mềm ảo Các bản ghi này cần được lưu trong một kho lưu trữ bản ghi để chúng được bảo vệ an toàn và có thể thẩm định về sau này
hyper visor, các phương tiện từ tính không những chỉ có thời hạn sử dụng nhất định mà còn kéo theo cả các lỗ hổng bảo mật
việc chia sẻ tài nguyên không nên đi đồng thời Kẽ hở dữ liệu là một trong số ít vấn đề nhưng DoS có thể xuất hiện khi tài nguyên được chia
Trang 8sẻ và được khóa bằng cách chuyển sang các máy ảo Do các máy ảo chia sẻ CPU, RAM, ổ đĩa cứng và các tài nguyên khác chính vì vậy chúng ta cần quản lý tài nguyên này một cách cẩn thận để bảo đảm sự
có sẵn của dịch vụ
này có thể làm giảm bớt các vấn đề chia sẻ tài nguyên, bảo đảm lưu lượng đó được dự định từ trước và việc tổ chức từ máy ảo có một số sự cách ly
về máy ảo Phần cứng không được xây dựng để hỗ trợ cho các máy ảo
sẽ không tốt
mỗi máy ảo trên partition chuyên dụng của nó Nếu một máy ảo vượt ra ngoài các giới hạn thông thường thì các partition chuyên dụng sẽ hạn chế sự ảnh hưởng trên các máy ảo khác
Trang 9
Bảo đảm rằng các máy ảo không kết nối vói nhau nếu chúng không cần thiết phải kết nối Sự cách ly mạng là một vấn đề quan trọng đã được giới thiệu ở trên Với các máy ảo này sự truyền thông nên sử dụng một card mạng riêng trên một dải địa chỉ mạng khác, đây là cách an toàn hơn việc đẩy lưu lượng truyền thông giữa các máy ảo lên mạng bị phơi bày
bản sao và tính liên tục sẽ giúp giảm bớt những rủi ro
Chúng ta cần phải cho rằng công nghệ ảo hóa hoàn toàn không đơn giản như vẫn nghĩ trước đây và bảo mật cho nó là một việc làm thực sự cần thiết; thêm vào đó công nghệ này còn cho thấy nhiều thách thức mới cần phải được giải quyết