虚拟服务器的虚拟服务器安全

虚拟服务器的虚拟服务器安全,第1张

虚拟服务器并不具有物理服务器内置的诸多安全保障机制。尽管现在入侵虚拟服务器已经成为一件非常困难的事情,但是从虚拟服务器当中成功窃取数据也并不会令人感到惊讶。

尽管虚拟化环境存在单点故障和安全漏洞等可能性,但是从另一方面来说其缩小了需要保护的虚拟服务器设备范围。借助于虚拟化技术提供的整合特性,企业的虚拟服务器硬件设备规模不断缩小,这种趋势可以帮助减少一些和网络及电力供应相关的高可用性需求。

虚拟服务器技术使用更加小型化的不间断电源线路和发电机以保证电力的持续供应,减少物理网络接口数量能够降低网络受到攻击的风险,甚至可以在处于活动状态的端口上增加监控。尽管这种方式能够减少和硬件相关的安全问题,但是不幸的是,虚拟服务器会对软件资源造成很大的威胁。用户能够轻松创建并部署虚拟服务器和网络,在某些情况当中甚至不需要得到提前批准。

当然,如果认为仅仅依靠一台恶意虚拟服务器或者虚拟服务器交换机就能够造成整个基础架构全部瘫痪,这种想法是十分牵强的。然而,如果一个未经注册的系统进入到受控制的基础架构之后,它的存在对于基础架构的稳定性来说确实造成了威胁。恶意系统将会成为虚拟服务器数据中心防护铠甲上的一道裂纹,这种情况正在变得越来越普遍,因为在虚拟服务器环境当中部署新系统并不会面临物理硬件开销等种种限制。过去,在虚拟服务器项目开始之前需要提前申请资金购买物理服务器,最后这个过程居然成为一种防御恶意部署的安全保障措施。

对于虚拟服务器环境来说,只需要简单点击几次鼠标就可以创建大量的虚拟服务器,之前成本方面的限制不复存在。保护基础架构需要首先了解其中包含哪些组件,但是完成这项工作正在变得越来越困难。每台新增加的虚拟服务器都有可能成为数据中心盔甲上的一个可能裂纹。限制虚拟服务器环境用户权限以及制定审计报告是防止部署恶意系统的最佳方式。

伴随虚拟服务器技术所产生的、传统硬件环境并不会遇到的另外一种安全问题就是数据窃取。过去,数据窃贼在尝试获取虚拟服务器的敏感数据之前都需要花费一段时间来破解操作系统的安全防护机制。这是因为通常窃贼并没有其他可用方式:他们只能通过物理方式访问硬件或者复制数据,而硬件通常被放置在封闭的环境当中,使用摄像头和保安进行监控,而虚拟服务器数据和软件由操作系统进行加密和保护。登陆虚拟服务器操作系统之后窃取数据是一种更加具有挑战性的方式,如果有人想要访问这些受保护的数据,还有可能触发监控告警,并且其访问信息也将会被记录下来。

而当虚拟服务器技术出现之后,虚拟服务器不再是硬件设备,而是位于虚拟服务器存储设备当中的一系列文件集合。和任何其他类型文件一样,我们可以复制虚拟服务器操作系统当中的任何数据,并且不会影响原始虚拟服务器的正常运行。这种特性不是bug,而是用来帮助部署虚拟服务器的全新特性。将虚拟服务器的所有文件复制之后,可以对其进行重命名之后再次开机,或者转移到其他站点用于灾难恢复。不幸的是,这种可移植性带来了新的隐患。尽管虚拟服务器文件的体积非常庞大并且不容易移动或者复制,但也并非完全不能实现的。

由于虚拟服务器复制的数据并不是处在活动状态,因此虚拟服务器可以轻松下载并复制到可插拔的USB设备当中,之后使用这些文件构建新的虚拟机。尽管窃贼需要使用额外权限才能够访问虚拟服务器环境,但是并不需要全部的管理员权限。虚拟服务器技术使得窃取整台虚拟服务器甚至整个数据中心变为可能。窃贼不再需要物理访问权限就能够窃取虚拟服务器或者破坏现有的安全防护机制。

虚拟服务器是一系列文件的集合,这意味着除了复制这些文件之外,某些用户还可以删除它们。不论是故意的——比如员工恶意报复;或者是异常的应用程序进程——比如失控的快照,在这些操作面前你的虚拟服务器都是十分脆弱的。VMware和其他厂商都拥有多种机制来保护和恢复数据,但是本质上,你的虚拟服务器仍然是一些可以被轻易删除的文件集合。

虚拟服务器的数据窃取和破坏等情况可能出现在多种IT系统当中,不论是基于硬件还是软件的。然而,如果虚拟服务器位于硬件环境当中,就存在一种受制于虚拟服务器数量和蔓延的天然防护机制,为数据提供安全保障。而对于虚拟服务器环境来说,这些防护机制当中的大多数都不复存在。事实上,我们错误利用的很多工具和特性都有可能导致数据窃取和数据丢失事件的发生。虚拟服务器技术并不会在短时间内消失,因此要求IT部门从不同的角度来重新思考系统的冗余性、可用性和安全性。

保证虚拟服务器的安全性,避免运行中断不仅包括确保有恰当的备份、防火墙及密码。保证虚拟服务器的安全性,不但要有简单的策略、规程、管理,还涉及需要识别并解决彼此环环相扣的方方面面。对(物理以及虚拟)系统的保护包括两个关键阶段:初始设计以及运维管理。

虚拟服务器系统运行出现中断严重程度千差万别。当虚拟服务器组织意识到系统可能而且将会发生中断时就会采取相关措施。尽管我们希望并试图避免虚拟服务器系统出现中断或者出现故障,但虚拟服务器却无法完全避免。尽管无法避免所有的虚拟服务器中断问题,但我们能够限制虚拟服务器出现频率以及中断持续时间。人们通常以数字9的个数来衡量虚拟服务器系统的可用性,例如,虚拟服务器系统的可用性是99%或者99.9999%。两者之间主要的区别不只是增加更多的虚拟服务器技术,每增加一个9都需要付出更多的代价。取决于环境,支付的费用可能从数千美元到数十万美元不等,因此理解可用性对虚拟服务器组织意味着什么是很重要的。

虚拟服务器系统可用性达到99%,乍听起来虚拟服务器给人的印象很不错,但当一整年的虚拟服务器可用性为99%时,你会发现有一些问题。

在浏览虚拟服务器宕机时间时,请记住指的是虚拟服务器非计划宕机。如果虚拟服务器宕机发生在周末,那么在一年当中虚拟服务器宕机3.65天听起来没任何问题,但实际上更可能出现的情况是虚拟服务器宕机发生在业务最繁忙、系统不能出现业务中断的时候。墨菲定律在当今仍旧发挥着重要作用。

尽管虚拟服务器可用性达到6个9非常理想,但虚拟服务器付出的成本却不一定划算。无法简单地计算可用性从2个9达到6个9需要付出多少成本,因为需要考虑很多变量。该过程可能涉及双重的虚拟服务器、存储架构、网络、电力供应乃至冗余的数据中心。既然涉及如此众多的虚拟服务器变量,那么虚拟服务器组织如何找到合理的虚拟服务器安全架构呢?

虚拟服务器安全性中的一个重要方面是保持系统的可用性。无论是由于拒绝虚拟服务器攻击还是虚拟服务器系统运行中断导致用户无法访问系统,对用户来说没什么区别。在当今的环境中,虚拟服务器化以及整合使得组织能够高效地解决用户需求。不足之处是越来越多的系统依赖越来越少的虚拟服务器硬件,这使得硬件变得比以往更关键。

虚拟服务器冗余设计存在挑战,在虚拟服务器冗余设计中考虑虚拟服务器安全性是数据中心的基本方法论,这涉及到多种虚拟服务器技术。更多的时候虚拟服务器安全性被束之高阁,关注的焦点通常是虚拟服务器冗余。虚拟服务器冗余涉及方方面面,如果并非所有因素都就绪,那么你可能无法达到你所希望的保护等级。

例如,理解虚拟服务器基础设施的供电需求需要在众多阶段予以解决是非常重要的。

虚拟服务器设备冗余电力供应往往是保护硬件出现故障的起点。理想情况下,虚拟服务器电力供应后端与冗余的UPS以及发电机相连,这类虚拟服务器冗余的电力基础设施是基础设施达到最高级别可用性的一个关键因素。然而,如果虚拟服务器基础设施仍旧包括单点故障,比如单个发电机,那么发电机将成为安全脆弱点。

用户需要使用网络连接应用于虚拟服务器系统。虚拟服务器具备冗余的网络连接是个起点,但如果连接的是同一台虚拟服务器那就谈不上虚拟服务器冗余了。或者连接的是不同的虚拟服务器,但虚拟服务器连接的是同一个电源。即使基础设施实现了合理的虚拟服务器冗余,IDS或者防火墙实现了冗余了吗?共享的IDS或者防火墙系统是一个瓶颈以及可能的脆弱点。

即使虚拟服务器组织拥有虚拟服务器冗余数据中心,在尝试进行故障切换时也可能会发现缺少核心组件。尽管很多容错站点包括了虚拟服务器常见组件,比如AD或者NTP服务器,但有IDS或者得到恰当升级的虚拟服务器防火墙吗?切换所有的虚拟服务器系统包括审计以及日志服务器是不可能的。我们往往能够理解存在限制,但需要将相应的风险记录在案并进行管理。

虚拟服务器可用性是安全保护伞的一个重要方面,不单单是一组配置。虚拟服务器可用性与识别单点故障并予以解决有关—最糟糕的情况是记录在案并进行虚拟服务器管理。虚拟服务器冗余层能够提供帮助,但当虚拟服务器单点故障被利用时虚拟服务器冗余就被打破了。只是购买可用性等级更高的虚拟服务器、软件包或者硬件设备并非冗余或实现虚拟服务器安全的解决方案。

破坏了正常的网络架构采用服务器虚拟化技术,需要对原来的网络架构进行一定的改动,建立新的网络架构,以适应服务器虚拟化的要求。但是,网络架构的改动打破了原来平衡的网络架构系统,也就会产生一些危险系统安全的风险安全问题。比如:如果不使用服务器虚拟化技术,客户可以把几个隔离区设置在防火墙的设备上。这样一来,一个隔离区就可以管理着一个服务器,服务器之间可以不同的管理原则,不同的服务器也就可以有不同的管理方法。这样,当有一个服务器被外界攻击时,其它的服务器就不会受到影响,可以正常运行。但是,如果采用了服务器虚拟化技术,就需要把虚拟的服务器一起连接到同一个虚拟交换机上。通过虚拟交换机就把所有的虚拟的服务器同外部网络联系了起来。因为所有的虚拟的服务器都连接在同一个虚拟交换机上,这就造成了一方面原来设置的防火墙功能失去了防护作用,另一方面给所有的虚拟服务器增加了安全风险。当一个虚拟服务器遭受到攻击或出现状况时,其它的虚拟服务器也会受到影响。可能致使系统服务器超载服务器虚拟化虽然能产生若干个服务器供用户使用,但是这些产生的服务器只是虚拟的,还需要借用物理服务器的硬件系统来进行各种应用程序的运行。各个虚拟服务器的应用程序非常多,这些应用程序一旦全部运行起来,就会大量占用物理服务器的内存、中央处理器、网络等硬件系统,从而给物理服务器带来沉重的运行负担。如果有一天,所有的虚拟服务器都在运行大量的应用程序,就有可能使物理服务器负荷太大,从而出现服务器超载的现象。服务器超载到一定程度,就有可能造成各个虚拟服务器运行程序速度太慢,影响客户的使用。更严重的还可能造成物理服务器系统崩溃,给客户带来无法估量的损失。致使虚拟机失去安全保护服务器虚拟化后,每个虚拟机都会被装上自己的管理程序,供客户操作和使用虚拟服务器。但是不是所有的管理程序都是完美无缺,没有安全漏洞的。管理程序在设计中都有可能会产生一些安全漏洞和缺陷。而这些安全漏洞和缺陷则有可能成为电脑黑客的攻击服务器的着手点。他们通过这些安全漏洞和缺陷会顺利地进入服务器,进行一些非法操作。更重要的是,一台虚拟机管理程序的安全漏洞和缺陷会传染给其它虚拟机。当一台虚拟机因安全漏洞和缺陷遭受黑客攻击时,其它的虚拟机也会受到影响,致使虚拟机失去安全保护。服务器被攻击的机会大大增加连接于同一台物理服务器的所有服务器虚拟机是能相互联系的。在相互联系的过程中,就有可能产生一些安全风险,致使服务器遭受黑客的攻击。而且,黑客不需要对所有的服务器虚拟机逐个进行攻击,只需要对其中的一台虚拟机进行攻击。只要攻下一台虚拟机,其它的虚拟机就可以被攻下。因为,所有的虚拟机都是相互联系的。所以说,服务器虚拟化后被攻击的机会大大增加了。虚拟机补丁带来的安全风险每个虚拟机都有着自己的管理系统,而这些管理系统是经常需要及时安装最新补丁以防止被攻击。但是,一个物理服务器可以带许多个虚拟机,每个虚拟机就是一台服务器,都需要安装补丁,工作量太大。这就给虚拟机的补丁安装带来麻烦,会大大影响补丁的安装速度,使虚拟机不能够及时安装不断,从而带来安全隐患。另外,一些客户会通过一些技术手段保留个别虚拟机用于虚拟机的灾难恢复。但是,保留的虚拟机很可能没有及时安装新的补丁,从而会给灾难恢复的虚拟机带来运行的安全风险。

下面是关于安全方面的建议!

建站一段时间后总能听得到什么什么网站被挂马,什么网站被黑。好像入侵挂马似乎是件很简单的事情。其实,入侵不简单,简单的是你的网站的必要安全措施并未做好。

有条件建议找专业做网站安全的sine安全来做安全维护。

一:挂马预防措施:

1、建议用户通过ftp来上传、维护网页,尽量不安装asp的上传程序。

2、定期对网站进行安全的检测,具体可以利用网上一些工具,如sinesafe网站挂马检测工具!

3、asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。

4、到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。

5、要尽量保持程序是最新版本。

6、不要在网页上加注后台管理程序登陆页面的链接。

7、为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过ftp上传即可。

8、要时常备份数据库等重要文件。

9、日常要多维护,并注意空间中是否有来历不明的asp文件。记住:一分汗水,换一分安全!

10、一旦发现被入侵,除非自己能识别出所有木马文件,否则要删除所有文件。

11、对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛。

二:挂马恢复措施:

1.修改帐号密码

不管是商业或不是,初始密码多半都是admin。因此你接到网站程序第一件事情就是“修改帐号密码”。

帐号密码就不要在使用以前你习惯的,换点特别的。尽量将字母数字及符号一起。此外密码最好超过15位。尚若你使用SQL的话应该使用特别点的帐号密码,不要在使用什么什么admin之类,否则很容易被入侵。

2.创建一个robots.txt

Robots能够有效的防范利用搜索引擎窃取信息的骇客。

3.修改后台文件

第一步:修改后台里的验证文件的名称。

第二步:修改conn.asp,防止非法下载,也可对数据库加密后在修改conn.asp。

第三步:修改ACESS数据库名称,越复杂越好,可以的话将数据所在目录的换一下。

4.限制登陆后台IP

此方法是最有效的,每位虚拟主机用户应该都有个功能。你的IP不固定的话就麻烦点每次改一下咯,安全第一嘛。

5.自定义404页面及自定义传送ASP错误信息

404能够让骇客批量查找你的后台一些重要文件及检查网页是否存在注入漏洞。

ASP错误嘛,可能会向不明来意者传送对方想要的信息。

6.慎重选择网站程序

注意一下网站程序是否本身存在漏洞,好坏你我心里该有把秤。

7.谨慎上传漏洞

据悉,上传漏洞往往是最简单也是最严重的,能够让黑客或骇客们轻松控制你的网站。

可以禁止上传或着限制上传的文件类型。不懂的话可以找专业做网站安全的sinesafe公司。

8. cookie 保护

登陆时尽量不要去访问其他站点,以防止 cookie 泄密。切记退出时要点退出在关闭所有浏览器。

9.目录权限

请管理员设置好一些重要的目录权限,防止非正常的访问。如不要给上传目录执行脚本权限及不要给非上传目录给于写入权。

10.自我测试

如今在网上黑客工具一箩筐,不防找一些来测试下你的网站是否OK。

11.例行维护

a.定期备份数据。最好每日备份一次,下载了备份文件后应该及时删除主机上的备份文件。

b.定期更改数据库的名字及管理员帐密。

c.借WEB或FTP管理,查看所有目录体积,最后修改时间以及文件数,检查是文件是否有异常,以及查看是否有异常的账号。

网站被挂马一般都是网站程序存在漏洞或者服务器安全性能不达标被不法黑客入侵攻击而挂马的。

网站被挂马是普遍存在现象然而也是每一个网站运营者的心腹之患。

您是否因为网站和服务器天天被入侵挂马等问题也曾有过想放弃的想法呢,您否也因为不太了解网站技术的问题而耽误了网站的运营,您是否也因为精心运营的网站反反复复被一些无聊的黑客入侵挂马感到徬彷且很无耐。有条件建议找专业做网站安全的sine安全来做安全维护。


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/581856.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-07-06
下一篇2023-07-06

发表评论

登录后才能评论

评论列表(0条)

    保存