在數位時代,虛擬機技術允許在單一實體電腦上運行多個作業系統。但像實體機一樣,虛擬機也有其特有的安全風險。本文將探討對新手而言的主要威脅及其解決方案。
虛擬機的安全風險:
虛擬機映像檔或自我防護不足:若在創建虛擬機時,映像檔已被病毒或木馬感染,或是虛擬機本身的安全防護措施不當或未啟用,可能會導致虛擬機遭到駭客攻擊。
虛擬機被濫用:當虛擬機的資源被攻擊者利用時,例如,駭客透過該虛擬機發動DDoS攻擊、發送垃圾郵件或破解各式密碼。
虛擬化安全策略的動態調整不足:在虛擬機動態建立或遷移的同時,其安全措施卻無法自動配合建立或遷移。加上,隨著虛擬機的動態增加,Hypervisor實現的虛擬安全群組策略也不能即時調整,因此不能真正達到彈性。
虛擬機逃逸:攻擊者破解Hypervisor後,能獲得宿主機的操作系統管理權限,並可能控制該宿主機上的其他虛擬機。此外,駭客還能夠利用虛擬機攻擊物理機或向外部發起攻擊。
虛擬機間的資訊嗅探:同一物理伺服器上的虛擬機可以直接進行資料交換,不經過防火牆的限制。攻擊者可使用簡單的數據包探測器,輕鬆讀取虛擬機網路上的所有明文傳輸資訊。
對VM安全威脅的防護措施:
快速部署網段:利用現有的網絡結構在資料中心內迅速劃分網段,以在軟件中建立區域,無需重新構建網路或部署分散的虛擬設備。
提供高效且安全的應用訪問:將企業便利地擴展至分支機構、雲端和遠端用戶,並結合網絡連接與安全措施。透過安全訪問服務邊緣(SASE)方案,保護分散的用戶和應用程式,抵禦各層面的威脅。
安全的 Web 應用交付:利用配備智能Web應用防火牆(iWAF)的全面應用安全架構,保護易受攻擊的伺服器,抵禦Web應用的攻擊,並確保用戶得到快速且可擴展的安全應用體驗。
避免攻擊橫向移動:確保安全控制手段(如頂級的工作負載保護、入侵檢測與防護,以及Web應用防火牆)符合資料中心東西向流量的需求,從而大幅縮小潛在的攻擊面。
以下介紹幾種特定威脅及應對策略
介面攻擊:攻擊者透過分析虛擬機物理行為取得資料。
超級管理員攻擊:攻擊者控制虛擬機管理軟體。
VM弱點:虛擬機可能因配置不當或舊版軟體而受攻擊。
VM Escape:攻擊者從一虛擬機跳至其他虛擬機或主機。
數據殘餘:刪除或遷移虛擬機後,可能遺留資料碎片。
權限提升:攻擊者在虛擬機內提升權限。
虛擬化帶來便利,但也伴隨安全挑戰。透過持續的預防和監控,可確保虛擬環境的安全。