Radware：虛擬機(jī)安全云已成為更大的安全隱患

　　CTI論壇(ctiforum)6月29日消息（記者 李文杰):近期曝出的Venom(Virtualized Environment Neglected Operations Manipulation，虛擬環(huán)境中被忽視的業(yè)務(wù)操作篡改)漏洞始于2004年，至今已有10多年之久。而去年曝出的ShellShock漏洞則已經(jīng)存在了25年之久。那么到底是什么讓企業(yè)安全專家開始考慮要查明這些漏洞呢？

　　答案就是虛擬機(jī)(VMs)的不斷發(fā)展。虛擬機(jī)是安裝在軟件上的操作系統(tǒng)或應(yīng)用環(huán)境，用于模擬專用硬件。從本質(zhì)上而言，虛擬機(jī)可以為最終用戶提供與專用硬件幾乎相同的體驗(yàn)。這些虛擬機(jī)由一個(gè)超級(jí)管理程序進(jìn)行管理，該程序可以同時(shí)支持多個(gè)操作系統(tǒng)。

　　在過去，由于惡意軟件對(duì)虛擬機(jī)的利用以及超級(jí)管理程序本身的威脅等安全問題，虛擬機(jī)和超級(jí)管理程序的應(yīng)用為企業(yè)安全專家?guī)�來了諸多挑戰(zhàn)。而且這一趨勢還將繼續(xù)下去。

　　在未來，虛擬機(jī)和超級(jí)管理程序的安全將成為企業(yè)安全專家必須面臨的挑戰(zhàn)，以下5個(gè)原因?qū)�這一點(diǎn)做了詳細(xì)說明。

• 關(guān)于虛擬機(jī)逃逸攻擊：如果我們?cè)谲洷P驅(qū)動(dòng)程序中發(fā)現(xiàn)存在漏洞，其它的驅(qū)動(dòng)實(shí)例是否也會(huì)突發(fā)這樣的問題？虛擬機(jī)與主機(jī)系統(tǒng)交互的風(fēng)險(xiǎn)有多高？
• 關(guān)于OpenSSL漏洞：上面提到的虛擬機(jī)逃逸漏洞只被用于單一虛擬平臺(tái)，也不能直接進(jìn)行任意代碼執(zhí)行操作。可以持續(xù)攻擊加密技術(shù)的OpenSSL漏洞則可能意味著更多漏洞攻擊的開始。
• 關(guān)于APT漏洞和后門：內(nèi)存資料截�。≧AM scraping）攻擊是利用APT漏洞和后門發(fā)起的攻擊。從提供商層面可以非常容易地查看CPU的狀態(tài)，并顯示PRISM程序正在使用CPU的相關(guān)信息。那么怎么才能保證其他人無法瀏覽相關(guān)狀態(tài)信息呢？
• 關(guān)于提供商的防護(hù)措施：如果是內(nèi)部員工故意在虛擬機(jī)中創(chuàng)建了后門呢？企業(yè)的云提供商能夠檢測到這些漏洞并及時(shí)進(jìn)行緩解嗎？
• 關(guān)于未來的補(bǔ)�。�隨著網(wǎng)絡(luò)設(shè)備和服務(wù)器的虛擬化，未來的補(bǔ)丁仍有很大的發(fā)展空間。在新的漏洞出現(xiàn)之后，我們是不是必須更新所有ADC和網(wǎng)絡(luò)功能虛擬化(NFV)平臺(tái)中的補(bǔ)�。�

　　以上這些場景是企業(yè)安全專家必須考慮到的。原則上所有的應(yīng)用都應(yīng)該被認(rèn)真仔細(xì)地測試過，但這些測試做了嗎？如果做了測試，那么什么人在負(fù)責(zé)做這些測試呢？現(xiàn)在越來越多的廠商似乎只是在不斷地發(fā)布新的產(chǎn)品。這讓企業(yè)很容易受到威脅的侵?jǐn)_，有些威脅可能已經(jīng)在十多年前就已經(jīng)存在且沒有被發(fā)覺。作為安全專家，我們需要做的就是確保超級(jí)管理程序和虛擬實(shí)例都能得到很好的保護(hù)。而實(shí)現(xiàn)這一目標(biāo)的辦法就是部署全面周密的防御措施，包括對(duì)超級(jí)管理程序的異常行為檢測和通過與平臺(tái)無關(guān)的混合解決方案實(shí)現(xiàn)虛擬實(shí)例的保護(hù)。Radware基于混合云的WAF服務(wù)可以提供無與倫比的防護(hù)措施，足以應(yīng)對(duì)當(dāng)前最具挑戰(zhàn)性的基于Web的網(wǎng)絡(luò)攻擊，更多信息請(qǐng)點(diǎn)擊這里查看。

　　關(guān)于Radware

　　Radware是為虛擬數(shù)據(jù)中心和云數(shù)據(jù)中心提供應(yīng)用交付和應(yīng)用安全解決方案的全球領(lǐng)導(dǎo)者。Radware屢獲殊榮的解決方案為關(guān)鍵業(yè)務(wù)應(yīng)用提供充分的彈性、最大的IT效率和完整的業(yè)務(wù)靈敏性。Radware解決方案幫助全球上萬家企業(yè)和運(yùn)營商快速應(yīng)對(duì)市場挑戰(zhàn)，保持業(yè)務(wù)的連續(xù)性，在實(shí)現(xiàn)最高生產(chǎn)效率的同時(shí)有效降低成本。