云計算安全，或稱云安全，是一套用于保護云計算系統的服務和資源的策略和技術。云安全是網絡安全的一個子領域，包括保護服務、應用程序、數據、虛擬化 IP 和云計算系統相關基礎設施的流程。包括虛擬機(VM) 和容器在內的虛擬化環境給云安全帶來了獨特的風險。在這里，我們將討論云遷移的影響、云安全挑戰以及保護虛擬服務器的技巧。

上云對服務器安全的影響

簡而言之，云計算是一種通過互聯網提供計算服務和資源的方式。將多個數字化操作從本地服務器遷移到云服務器稱為云遷移。數字化運營包括移動數據、應用程序、IT 流程和其他業務元素。

越大越好

云服務由更大的、受信任的公司維護。一般來說，這些公司可以提供比本地服務器或家用計算機設備更強大和更強大的安全性。

安全倉庫

云服務器通常位于高度安全的數據倉庫中，大多數工作人員甚至無法訪問。

數據加密

存儲在云服務器上的文件是加密的，這使得網絡犯罪分子更難訪問它們。

多種數據保護技術

云提供商經常使用各種技術來保護數據，例如：

• 一致的安全更新
• AI tools
• 自動修補
• 內置防火墻
• 備份
• 第三方安全測試

新的網絡威脅

云遷移有很多好處，但將服務器開放到云中也可能存在風險。云帶來了不會影響未連接到云的服務器的新型網絡威脅。這可能包括漏桶、云控制臺接管、SaaS 服務劫持等。

虛擬機的云安全挑戰

虛擬機帶來的云安全問題可能包括性能問題、硬件費用、語義差距、惡意軟件和整體 VM 系統安全。

表現

系統上運行的云安全服務會損害虛擬機系統的性能。這是由于虛擬化和虛擬機間通信的開銷。通過跨 VM 通信的設備訪問請求和結果交換需要額外的上下文切換，這增加了系統開銷。

硬件成本

為了確保虛擬機的完全安全，需要大量的物理資源。此外，使用較舊的資源或有限的內存可能無法運行系統。

語義鴻溝

來賓操作系統和底層虛擬機監視器 (VMM) 之間的語義差距是對 VM 安全性的挑戰。VMM 可以監控來賓 VM 的原始狀態，而安全服務通常需要處理時間來推斷更高級別的來賓 VM 狀態。

惡意軟件

惡意軟件是虛擬機安全的另一個挑戰。也就是說，虛擬機也可以用來阻止這些攻擊。例如，有多種技術可用于 VM 指紋識別，這些技術可以充當惡意軟件的蜜罐，例如 Agobot 蠕蟲系列。

系統安全

云安全服務的功能更新可能會無意中將后門漏洞引入虛擬機，然后可以利用這些漏洞來訪問整個基礎架構。

容器的云安全挑戰

容器帶來的云安全問題可能包括鏡像依賴、與權限標志相關的漏洞、容器之間的互通、短暫的運行時間和不正確的隔離。

圖像漏洞

容器是使用父鏡像或基礎鏡像構建的。圖像或其依賴項可能包含漏洞，就像任何其他代碼一樣。

特權標志

使用特權標志運行的容器可以訪問主機的設備。如果攻擊者破壞帶有特權標志的容器，他們可以破壞系統。

容器之間的通信

容器可能需要相互通信以實現其目標。容器和微服務的數量、容器的短暫性以及實施遵循最小特權原則的網絡/防火墻規則都可能帶來安全挑戰。

運行

容器的壽命非常短，有時只有幾小時或幾分鐘。因此，幾乎不可能在任何給定時間監控哪些容器進程正在運行。

隔離

如果容器沒有適當隔離或配置錯誤，這可能會威脅到底層主機。

保護虛擬化環境的 5 個步驟

1.積極監控和更新安全系統

主動監控和分析虛擬機管理程序是否存在任何潛在的危害跡象，并持續審計和監控所有虛擬活動。隨著安全版本的發布，系統必須是最新的。請務必使用最新的管理程序，并及時進行產品維護。

2. 實施訪問控制

強大的防火墻控制保護機密信息免受未經授權的訪問。為用戶提供有限的訪問權限，以防止修改管理程序環境。對虛擬機管理程序上的任何管理功能實施嚴格的訪問控制和多因素身份驗證。

3.分離和安全管理

為了降低 VM 流量污染的風險，管理基礎架構應該在物理上是獨立的。最重要的是，保護管理和 VM 數據網絡。

4. 使用管理程序并禁用不必要的服務

hypervisor 主機管理接口應放置在專用的虛擬網段中，只允許從企業網絡中的指定子網訪問。應該停用不必要的訪客服務帳戶或會話。禁用不需要的服務，例如剪貼板或文件共享。

5. 使用翻譯技術和 SSL 加密

始終使用網絡地址轉換技術和安全套接字層 (SSL) 加密與虛擬服務器命令系統進行通信。