文档章节

虚拟机加密

l
 linuxCool
发布于 2018/12/17 08:25
字数 1372
阅读 10
收藏 0

在超融合的基础设施和虚拟化成为常态的世界里,对加密的要求越来越高,越来越迫切,IT部门需考虑的重大安全问题和方法也浮现了出来。

虚拟机加密虚拟机加密
物理数据中心时代,采取双保险式数据安全方法是相对简单直观的解决方案。比如说,除了个别文件和目录加密,还对现场服务器进行全盘加密(FDE),最终确保离开数据中心进行维修或做丢弃处理的任何硬盘都受到了保护——杜绝客户数据暴露的潜在风险。

但在今天这种超融合的基础设施(HCI)和虚拟化世界中,工作负载是虚拟、动态、移动、可扩展且脆弱的。所有这些都让维护数据安全的工作变得更为困难。这是为什么呢?

为什么要保护虚拟机

虚拟化和HCI的兴起改变了游戏规则,让IT团队可以在本地和远程位置快速部署混合工作负载和融合了虚拟桌面的基础设施。

从这个方面来说,在一个设备里组合了计算、联网和管理软件的超融合的系统基本上就是个“盒子里的迷你云”,其好处是毋庸置疑的。

但尽管HCI设备依然托管在现场,它们的工作负载却往往是运行在虚拟机里而不是直接在物理硬件上执行。也就是说,如今真正需要保护的是虚拟机和其中的数据,而不是具体的实体机器。

IT团队面临的重大安全问题就是虚拟机开关非常频繁,且经常处于静态数据状态。当虚拟机关机的时候,它其实就是个可以拷贝到U盘或共享到网络上的大文件。这里面存在的数据安全问题可不小。

解决办法倒是简单粗暴,直接加密虚拟机本身就好了,理想状态下使用独立于虚拟机管理程序的客户机加密,并且密钥置于公司的管控之下。这样可以确保即便虚拟机被移动到其他HCI节点,比如说被放到公共云或另一个地理位置,公司也随时握有数据的控制权。

加密虚拟机的好处

加密虚拟机对IT团队和整个公司都有好处。通过提供高度可扩展的方法确保防护跟着企业数据走,可以很容易地将保护延伸至每一台新加入的虚拟机上。

而且,虚拟机级保护不仅能抵御物理硬盘丢失或被盗的危害,还可以帮IT团队阻止未授权数据转移、访问或复制。采用虚拟机级加密方法还有以下5条更深远的优势:

1. 持续防护

与传输中工作负载就没有加密的物理级保护不同,虚拟机级加密能在工作负载在企业基础设施中移动、克隆或做快照时都提供持续的保护。

2. 可移植的防护

虚拟机级加密摒除了受硬件、虚拟机管理器或云提供商限制的风险,为混合IT环境和传输中的工作负载提供了理想的完全可移植的保护。

3. 灵活防护

IT部门可利用虚拟机级加密来加密敏感工作负载,并连同非敏感工作负载一起安全执行,给不同虚拟机分配不同密钥和策略。

4. 增强治理

通过初始化虚拟机级加密,IT团队还能实现基于启动引导的策略,控制谁能访问数据,数据都存放在哪儿,以及怎么保护数据。

5. 易于终止

虚拟机级加密还可以安全终止单个工作负载,以简单直接的方式在工作负载完结时终止。

新施行的严格隐私立法,比如欧盟的《通用数据保护条例》(GDPR),提升了公司企业处理和存储欧盟公民个人可识别信息(PII)的风险。

因此,公司企业需采取恰当的措施确保此类敏感数据不出现在公共域。但在IT环境虚拟化和超融合的世界,攻击界面也显著扩张,保护数据本身成为了公司企业的重中之重。

解决方案就是通过利用客户机加密和将密钥置入企业自身掌控之下,来确保防护是跟着数据走的。如我们所见,虚拟机级加密不仅仅保护企业基础设施内外的工作负载,还提供了很多其他优势,包括方便IT部门控制数据安全的各方各面,确保数据只能被授权用户访问——即便云系统已经被黑。

本文转载自:https://www.linuxprobe.com/virtual-machine-encryption.html

共有 人打赏支持
l
粉丝 4
博文 543
码字总数 246195
作品 0
合肥市
私信 提问
ESXi服务器不识别USB加密狗怎么办

1台DELL R710服务器,安装了VMware ESXi 6.0系统,创建的Windows Server 2008 R2的虚拟机,在该服务器上插上财务软件加密狗后,修改虚拟机配置,添加USB控制器、添加USB设备时,找不到ESXi主...

王春海
2017/11/17
0
0
AMD 处理器的 SEV 虚拟机加密机制遭绕过

  上周,德国慕尼黑应用和集成安全弗兰恩霍夫研究所的四名研究人员发表一篇研究论文,详细说明了恢复正常情况下通过 AMD 安全加密虚拟化 (SEV) 机制加密的数据。SEV 机制旨在加密运行在 AM...

安全客
2018/05/30
0
0
SEVered攻击:看研究人员如何破解AMD的安全加密虚拟化(SEV)技术

2017年,AMD在其最新的Zen处理器上提供了安全加密虚拟化(SEV)技术,这项新技术可以让云服务器获得全程的硬件加密保护。SEV的设计目标在于服务那些不信任任何托管其虚拟机的安全敏感人士,这...

技术小能手
2018/05/30
0
0
使用USB直接方式解决ESXi识别加密狗的问题

VMware ESXi对USB外设的支持比较好,但这并不是说ESXi的虚拟机能支持所有的USB外设。例如一些财务软件的加密狗,在物理机操作系统中使用没有问题,但在ESXi中的虚拟机不能识别这些加密狗。对...

王春海
2017/06/26
0
0
libvirt-qemu-磁盘加密:LUKS

LUKS是一种基于device mapper机制的加密方式。使用加密磁盘前要先mapper映射,映射时需要输入密码,写入和读取磁盘时不需要再输入密码。LUKS可以选择不同的加密算法,也可以开发使用自己的加...

hNicholas
2018/11/02
0
0

没有更多内容

加载失败,请刷新页面

加载更多

如何限制用户仅通过HTTPS方式访问OSS?

一、当前存在的问题 当前OSS支持用户使用HTTPS/HTTP协议访问Bucket。但由于HTTP存在安全漏洞。大型企业客户都要求使用HTTPS方式访问OSS,并且拒绝HTTP访问请求。 目前OSS可以通过RAM policy方...

阿里云官方博客
8分钟前
0
0
详解深度学习之经典网络架构——LeNet

一、基本简介 LeNet-5出自论文Gradient-Based Learning Applied to Document Recognition,是一种用于手写体字符识别的非常高效的卷积神经网络。 二、LeNet网络的基本结构 LeNet5 这个网络虽...

AI女神
12分钟前
0
0
日志服务Python消费组实战(二):实时分发数据

场景目标 使用日志服务的Web-tracking、logtail(文件极简)、syslog等收集上来的日志经常存在各种各样的格式,我们需要针对特定的日志(例如topic)进行一定的分发到特定的logstore中处理和...

阿里云云栖社区
12分钟前
1
0
LVM 增加磁盘扩容

sudo parted /dev/sdeparted> mklabel gptparted> mkpart primary lvm ext4 %0 %100parted> printsudo lvmlvm> pvcreate /dev/sde1lvm> vgextend vg-data /dev/sde1lvm> lve......

仪山湖
15分钟前
0
0
Linux挂载本地iso镜像,不联网使用yum命令

上传iso镜像文件到/mnt 目录下 在/mnt目录下创建Server目录 mkdir Server 备份 /etc/yum.repos.d/目录下的repo文件 cd /etc/yum.repos.dmkdir repobakmv *.repo repobak/ 挂载本地iso文件...

AustinYe
17分钟前
1
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部