保持hypervisor更新最新的补丁是防止攻击的重要步骤,但适当的虚拟机配置管理对确保整体安全性而言依然非常重要。
有几个常见的做法,可以提高hypervisor和托管虚拟机的安全性。
确保hypervisor是最新版本或及时更新补丁。hypervisor开发者比如Xen,已经应对Xen的安全漏洞传播制定了详细的安全协议设计。组织应该测试和部署这些安全补丁,预防可能发生的攻击。
主机和客户虚拟机各自运行一个操作系统,保持操作系统更新最新的安全补丁非常重要。当每个虚拟机运行相同的操作系统,安全漏洞被攻击的可能性大大增加,因此组织的第一次评估和测试补丁应该关注安全补丁测试,以避免零时差攻击。变更管理工具对于追踪供应商和版本是非常有用的,当补丁是可用的会发送警报,并且确保每个虚拟机的操作系统都是正常的。
反恶意软件工具通常安装在位于hypervisor的虚拟主机上——并不是每一台虚拟机。这样可以提高系统的性能,因为你不会在同一时间启用多个虚拟机扫描恶意软件,但这是保持任何反恶意软件工具更新的关键,可能包括病毒扫描、防火墙和入侵检测系统。启用自动更新和允许反恶意软件工具执行自主签名或参考文件的更新,这些可能每天发生,有时甚至一天发生几次。
虚拟机配置也可以帮助防御攻击。大多数虚拟机采用的基础图像称为金色图像。图像包括虚拟机配置,如开放端口,包括服务等。在许多情况下,图像本质上是不安全的,图像可能包括不必要的开放端口。这种情况经常发生,因为图像的出现是响应特定的工作负载,而没有仔细考虑图像安全配置问题。这样大大了提高虚拟机的攻击面,使每一台虚拟机处于风险之中。检查金色图像并检查配置的每个属性——它可能需要后续的虚拟机创建一个新的金色图像。同时,也有必要检查虚拟机配置,最好手动调整好每个配置。
一旦一个新的实例被克隆,虚拟机配置管理就不能停止。每个虚拟机的配置应该监控和管理整个生命周期。虚拟化工具如SolarWinds,Puppet等有助于控制虚拟机配置,保持虚拟机的安全性。当检测到配置更改时,还应该能够编译日志并向管理员发出警报。