Bảo mật và ảo hóa

Thế giới ảo hóa đang có nhiều bước tiến triển, các tổ chức đã thấy được
nhiều lý do hấp dẫn đối với vấn đề ảo hóa: các hệ số như máy chủ hợp
nhất, các hóa đơn về tiền điện, phần cứng nhanh hơn và dễ dàng trong
sử dụng,… đã làm cho việc tính toán ảo đang trở nên hấp dẫn hơn bao
giờ hết.

Trong một số tổ chức ảo hóa đã trở thành một phần lớn trong cơ sở hạ tầng.
Lại một lần nữa công nghệ lại vượt trước các thực tiễn tốt nhất về bảo mật.

Các môi trường ảo hóa sẽ dần trở thành phổ biến hơn như các giải pháp
doanh nghiệp mang tính liên tục và sự khắc phục thảm họa, điển hình trong
lĩnh vực tài chính. Điều này là hoàn toàn thích đáng vì một số giải pháp này
đều nằm trong môi trường “bán trực tiếp” và thường bị coi nhẹ trong quá
trình bảo vệ bảo mật và nâng cấp.

Những cạm bẫy khi làm việc với môi trường ảo
 Nếu host bị thỏa hiệp, nó có thể ảnh hưởng đến client mà các máy chủ
đã cấu hình trên host chính.

 Nếu mạng ảo bị thỏa hiệp thì client cũng bị thỏa hiệp.

 Việc chia sẻ client và chia sẻ host cần phải được bảo vệ vì các chia sẻ
có thể bị khai thác trong cả hai trường hợp. Tiềm ẩn nguy cơ có thể dẫn
đến các file đang được copy đến thư mục chi sẻ sẽ làm đầy ổ đĩa.

 Nếu host có vấn đề thì tất cả các máy ảo sẽ ngừng hoạt động.

 Các máy ảo thường kết lại thành các máy mức hai khi chúng có cùng
các đặc điểm và thực hiện các cách tương tự đối với máy vật lý. Trong
vài năm tới sẽ có một số sự khác nhau giữa các máy ảo và máy vật lý.

 Đặc quyền tối thiểu là một kỹ thuật mà dường như bị lãng quên khi đề
cập đến lĩnh vực ảo hóa. Kỹ thuật này giảm bề mặt tấn công và nên
được sử dụng trong cả môi trường ảo và môi trường vật lý.
Những có thể thực hiện để bảo vệ tốt hơn môi trường máy chủ ảo
 Nâng cấp các hệ điều hành và các ứng dụng; điều này nên được thực
hiện trên tất cả các máy ảo và trên host. Các ứng dụng chủ cần được
giữ ở mức tối thiểu, chỉ cần cài đặt những thứ thực sự cần thiết.

 Firewall giữa các máy tính ảo với nhau, điều này sẽ làm cách ly máy ảo
và bảo đảm rằng chỉ có các thủ tục đã được cho phép mới có thể thực
hiện.

 Cách ly các máy chủ với nhau và với
host: Sự cách ly nên được xem xét
theo mỗi cách nếu có thể.

 Cài đặt và nâng cấp phần mềm chống
virus trên các máy tính ảo và host, máy tính ảo cũng có thể bị tiêm
nhiễm virus và worm giống như máy vật lý.

 Sử dụng IPSEC hoặc mã hóa mạnh giữa host và các máy tính ảo: lưu
lượng giữa các máy ảo và host có thể được điều chỉnh. Hành động tốt
nhất là sự truyền thông giữa các máy cần phải được mã hóa.


 Không duyệt Internet từ máy host, spyware và malware vẫn có thể tiêm
nhiễm trên máy host. Bạn cần nhớ rằng máy host quản lý các máy ảo và
vấn đề xuất hiện trên Virtual Machine Host cũng có thể dẫn đến các
vấn đề nghiêm trọng và tổn thất dịch vụ.

 Bảo vệ Administrator và các tài khoản quản trị trên máy host: truy cập
vào tài khoản mức cao bởi các người dùng không được thẩm định có
thể dẫn đến nhiều lỗ hổng bảo mật đáng kể. Nghiên cứu đã thể hiện
rằng tài khoản Administrator (root) trên máy host kém an toàn hơn rất
nhiều so với máy ảo hoặc các tài khoản và mật khẩu của máy trong
mạng vật lý.

 Cố định hệ điều hành host và dừng hoặc vô hiệu hóa các dịch vụ không
cần thiết. Giữ hệ điều hành nhỏ gọn để bảo đảm cho vùng bề mặt tấn
công được giảm thiểu nhỏ nhất.

 Tắt các máy ảo không sử dụng nếu không thực sự cần đến nó.

 Liên kết chặt chẽ các máy ảo thành một chính sách bảo mật doanh
nghiêp mặc dù chúng có là các máy ảo đi chăng nữa.

 Bảo vệ máy host để bảo đảm khi các máy ảo offline để người dùng
không được thẩm định sẽ không thể can thiệp vào file của các máy ảo
này.

 Giải pháp cách ly các quá trình giống như kiểu thực thi Hyper Visor
cũng tốt, các hệ thống này được cách ly xa hơn thì môi trường sẽ được
bảo vệ tốt hơn.


 Bảo đảm rằng các driver của host được nâng cấp: điều này sẽ bảo đảm
phần cứng chạy với tốc độ tối ưu nhưng quan trọng hơn đó là việc nâng
cấp phần mềm mới nhất sẽ bảo đảm cho các lỗi của phần mềm driver
cũ bị kẻ xấu khai thác được vá kịp thời.

 Vô hiệu hóa công nghệ cổng phần cứng cho mỗi máy ảo nếu không
được sử dụng: công nghệ như USB nên được vô hiệu hóa cho mỗi máy
ảo nếu môi trường VM không sử dụng công nghệ cổng.

 Kiểm tra bản ghi sự kiện và các sự kiện bảo mật trên cả máy host và
máy ảo. Việc kiểm tra thường bị bỏ qua trong các môi trường máy ảo,
lý do có thể liên quan đến việc kiểm tra dựa trên host được thực hiện
bởi phần mềm ảo. Các bản ghi này cần được lưu trong một kho lưu trữ
bản ghi để chúng được bảo vệ an toàn và có thể thẩm định về sau này.

 Trong tương lai chọn lưu trữ bằng công nghệ flash cho phần mềm
hyper visor, các phương tiện từ tính không những chỉ có thời hạn sử
dụng nhất định mà còn kéo theo cả các lỗ hổng bảo mật.

 Hạn chế và giảm việc chia sẻ các tài nguyên phần cứng. Bảo mật và
việc chia sẻ tài nguyên không nên đi đồng thời. Kẽ hở dữ liệu là một
trong số ít vấn đề nhưng DoS có thể xuất hiện khi tài nguyên được chia
sẻ và được khóa bằng cách chuyển sang các máy ảo. Do các máy ảo
chia sẻ CPU, RAM, ổ đĩa cứng và các tài nguyên khác chính vì vậy
chúng ta cần quản lý tài nguyên này một cách cẩn thận để bảo đảm sự
có sẵn của dịch vụ.

 Bảo đảm card giao diện mạng được chuyên dụng cho mỗi máy ảo. Điều
này có thể làm giảm bớt các vấn đề chia sẻ tài nguyên, bảo đảm lưu
lượng đó được dự định từ trước và việc tổ chức từ máy ảo có một số sự

cách ly.

 Đầu tư vào phần cứng phù hợp với mục đích và đó chính là kiến thức
về máy ảo. Phần cứng không được xây dựng để hỗ trợ cho các máy ảo
sẽ không tốt.

 Partition tạo ranh giới đĩa có thể được sử dụng để cách ly và bảo đảm
mỗi máy ảo trên partition chuyên dụng của nó. Nếu một máy ảo vượt ra
ngoài các giới hạn thông thường thì các partition chuyên dụng sẽ hạn
chế sự ảnh hưởng trên các máy ảo khác.

 Bảo đảm rằng các máy ảo không kết nối vói nhau nếu chúng không cần
thiết phải kết nối. Sự cách ly mạng là một vấn đề quan trọng đã được
giới thiệu ở trên. Với các máy ảo này sự truyền thông nên sử dụng một
card mạng riêng trên một dải địa chỉ mạng khác, đây là cách an toàn
hơn việc đẩy lưu lượng truyền thông giữa các máy ảo lên mạng bị phơi
bày.

 Quản lý truy cập từ xa vào các máy ảo và đặc biệt là vào máy host.

 Nhớ rằng máy host tiêu biểu cho một điểm lỗi, các công nghệ như tạo
bản sao và tính liên tục sẽ giúp giảm bớt những rủi ro.

 Tránh chia sẻ các địa chỉ IP.
Chúng ta cần phải cho rằng công nghệ ảo hóa hoàn toàn không đơn giản như
vẫn nghĩ trước đây và bảo mật cho nó là một việc làm thực sự cần thiết; thêm
vào đó công nghệ này còn cho thấy nhiều thách thức mới cần phải được giải
quyết.