🌀 💉 🧑🏼‍🤝‍🧑🏻 关于保护虚拟基础架构 🕜 👨🏿‍💼 👩🏼‍💻

在本文中，我们将尝试使读者摆脱对虚拟服务器安全性的常见误解，并告诉我们如何在2019年底正确保护租用的云。本文主要针对我们的新客户和潜在客户，特别是那些刚刚购买或想要购买RUVDS虚拟服务器但对网络安全问题和VPS不太熟悉的客户。我们希望对知识渊博的用户有用。

四种错误的云安全方法

在企业主和高管之间（我们将以粗体突出显示），有一种很普遍的观点是， 确保云服务的网络安全不是先决条件 ，因为云是安全的（1）， 或者这是云提供商的任务 ：为VPS付费意味着应该配置，安全并且可以正常工作（2）。信息安全专家和商人固有的第三种观点是： 云很危险！ 没有众所周知的安全工具可以为虚拟环境提供必要的保护 （3）-采用这种方法的企业高管由于不信任或对传统和专用安全工具之间的差异的误解或误解而拒绝了云技术（如下所述）。第四类公民认为， 是的，因为有标准的防病毒软件，所以有必要保护其云基础架构 （4）。

所有这四种方法都是错误的-它们会造成损失（除非除了该方法之外，您根本不要使用虚拟服务器，但在这里您不应忽略业务假设“利润损失也是损失”）。为了说明一些统计数据，我们引用了卡巴斯基实验室公司销售支持专家弗拉基米尔·奥斯特罗霍霍夫（Vladimir Ostroverkhov）的报告，该报告于2017年夏天发布。然后，卡巴斯基对来自25个国家/地区的五千家公司进行了调查-这些公司的规模至少为一千五百员工。其中75％使用虚拟化，但不投资保护。这个问题今天并没有失去其意义：

“大约有[大型]公司中的一半不对虚拟机使用任何保护，而后一半则认为任何标准的防病毒软件就足够了。所有这些公司[每个]平均[每年]花费近一百万美元用于从事件中恢复：调查，恢复系统，恢复成本，补偿一次黑客入侵造成的损失……如果他们自己承担费用，那将是什么？妥协？修复，设备，软件的更换造成的直接损失...声誉的间接损失...客户的赔偿损失，包括声誉...以及事件调查，基础设施的部分更换，因为它已经损害了自身，这是与政府的对话，这是与保险公司进行对话，与必须赔偿的客户进行对话。”

为什么这些方法行不通

方法1：云是安全的，不需要保护 。每天大约有24万种恶意软件完美地存在于云中：从一个学生在互联网上编写并发布在互联网上的简单代码（这可能会损坏数据）到专门针对特定组织，案例和组织的复杂的有针对性的攻击。这种情况不仅擅长破坏和窃取数据，而且还可以“隐藏”自己。虚拟基础设施对黑客也很有趣：一次入侵并获得对所有虚拟机和数据的访问权比尝试分别入侵每个物理服务器要容易得多。另外，值得考虑的是，在虚拟基础架构内部，恶意代码以极快的速度传播-十分钟之内就可以感染成千上万台计算机，这相当于一种流行病（请参见上面的报告）。导致公司数据泄漏的恶意程序和勒索软件行为约占多云“危险”总数的27％。云中最易受攻击的点是：未受保护的接口和未经授权的访问-总计约占80％（根据Check Point Software Technologies Ltd.（为全球政府和企业企业提供网络安全解决方案的领先提供商）的支持，《 Cloud Security Report 2019》进行的一项研究）。

云安全报告2019

方法2：保护云基础架构是VPS的任务。 这在一定程度上是正确的，因为虚拟服务器提供商关心其系统的稳定性，对云的主要组件（服务器，驱动器，网络，虚拟化）的足够高级别的保护（由服务级别协议SLA规定）。但是他不必担心防止客户端的云基础架构中可能出现的内部和外部威胁。让我们在这里给自己一个牙齿类比。牙科诊所的客户花了很多钱买了一个好的植入物，就知道假体的正确操作在很大程度上取决于他自己（客户）。就牙医而言，他做了安全方面的所有必要工作：他拾起了高质量的材料，牢固地“固定”了植入物，没有咬伤，手术后治愈了牙龈等。如果用户将来不遵守卫生规定，那么说，用牙齿打开金属瓶盖并执行其他类似的不安全操作，那么就不可能保证新牙齿的正常工作。从VPS提供商那里租用的云服务具有100％的云安全性。云服务提供商“不在管辖范围内”保护客户的数据和应用程序是他的个人责任。

方法3：没有安全工具可以为虚拟环境提供必要的保护。 一点也不。本文的最后一部分将介绍基于云的专业安全解决方案。

方法4：使用标准的防病毒软件（传统保护）。 重要的是要知道，每个人都习惯于在本地计算机上使用的传统安全工具根本不是为分布式虚拟环境设计的（它们无法“看到”虚拟机之间的通信方式），并且不能保护内部虚拟基础架构免受内部黑客攻击。简而言之，传统的防病毒软件几乎无法在云中运行。同时，它们安装在每个WM上，在检查病毒和更新，“浪费”网络并抑制公司的工作时会消耗整个虚拟生态系统的大量资源，但由于其主要工作而使效率几乎为零。

在本文的接下来的两部分中，我们将列出公司在云端（私有，公共，混合）运营时可能发生的危险，并说明如何并且应该正确地预防这些危险。

不断威胁云服务的危险

▍远程网络攻击

这是对分布式计算系统的另一种信息破坏性影响，它是通过通信渠道以编程方式实现的，以实现不同的目标。其中最常见的：

DDoS攻击 （分布式拒绝服务）。大量向服务器发送信息请求，以消耗被攻击系统上的资源或带宽，从而禁用目标系统，从而对公司造成破坏。竞争对手将其用作定制服务，勒索者，政治活动家和政府用来获得政治红利。此类攻击是使用僵尸网络进行的，僵尸网络是安装了僵尸程序的计算机网络（可以包含病毒的软件，用于远程控制计算机的程序以及可以隐藏在OS中的工具），黑客可以远程使用这些网络来分发垃圾邮件和勒索软件。在我们的DDoS帖子中了解更多信息：攻击边缘的IT疯子。
Ping Flooding-呼叫线路拥塞。
Ping of Death-使系统死机，重新启动和崩溃。
在应用程序级别进行攻击 -获取对允许为特定（特权系统）帐户启动应用程序的计算机的访问权限。
数据分段 -用于通过软件缓冲区溢出异常终止系统。
作者 -通过安装rootkit在短时间内扫描大量系统来自动化黑客过程。
嗅探 -收听频道。
强加数据包 -将其他计算机之间建立的连接切换到您的计算机。
路由器上的数据包捕获-接收电子邮件中的用户密码和信息。
IP欺骗 -网络内部或外部的黑客可以冒充您可以信任的计算机。它是通过替换IP地址来实现的。
蛮力攻击 （蛮力）-通过枚举组合来选择密码。他们利用RDP和SSH中的漏洞。
蓝精灵 -减少通信通道的带宽和/或完全隔离受攻击的网络。
DNS欺骗 -通过DNS缓存的“中毒”来破坏DNS系统中数据的完整性。
可信主机替代 -能够代表可信主机与服务器进行会话。
TCP SYN Flood-服务器内存溢出。
中间人 -窃取信息，篡改数据，进行DoS攻击，入侵当前的通信会话以访问专用网络资源，分析流量以获取有关网络及其用户的信息。
网络情报 -攻击前检查有关主机上运行的网络和应用程序的信息。
端口重定向 -一种攻击类型，使用被入侵的主机通过防火墙传输流量。例如，如果防火墙连接到三台主机（外部，内部和公共服务的一部分），那么外部主机将有机会通过在公共服务的主机上重新分配端口来与内部主机进行通信。
信任利用 -当某人利用网络内的信任关系时发生的攻击。例如，对公司网络中的一个系统（HTTP，DNS，SMTP服务器）进行黑客攻击可能会导致对其他系统的黑客攻击。

Engineering社会工程学

网络钓鱼 -代表知名组织，银行通过时事通讯获取机密信息（密码，银行卡号等）。
数据包嗅探器-访问关键信息，包括密码。之所以成功，很大程度上是因为用户经常重复使用其用户名和密码来访问各种应用程序和系统。这样，黑客可以访问系统用户帐户并通过该帐户创建新帐户，以便随时访问网络及其资源。
借口发短信是一种使用语音通信的脚本攻击，目的是迫使受害者采取行动。
特洛伊木马 -一种基于受害者情感的技术：恐惧，好奇心。恶意软件通常位于电子邮件附件中。
询问有关现状 （然后是服务提供）的信息-攻击者通过伪装成技术支持人员的公司电话或电子邮件与联系人联系，在受害人的计算机上报告问题并建议解决问题。目的是在此计算机上安装软件并执行恶意命令。
旅行中的苹果 -将感染的物理存储介质扔到公司的公共场所（厕所中的闪存驱动器，电梯中的驱动器），并带有引起好奇的铭文。
从社交网络收集信息。

s漏洞利用

任何旨在获取数据，破坏系统功能或控制系统的非法和未经授权的攻击都称为漏洞利用。它们是由软件开发过程中的错误引起的，其结果是程序保护系统中出现了漏洞，网络犯罪分子已成功使用这些漏洞来不受限制地访问程序本身，并通过程序访问整个计算机，甚至进一步访问机器网络。

accounts账户竞争

未经授权的人入侵公司员工的帐户，以访问受保护的信息：利用恶意软件拦截信息（包括声音）和密钥，直到其渗透到信息介质的物理存储中。

▍仓库竞争

感染软件安装程序文件，更新和库的存储库服务器。

▍公司内部风险

这包括由公司员工自身引起的信息泄漏。这可以是简单的疏忽，也可以是故意的恶意行为：从有针对性地破坏管理安全策略到向机密信息出售。其中包括未经授权的访问，不安全的接口，云平台的不正确配置以及未经授权的应用程序的安装/使用。

现在让我们看一下如何防止这么广泛的云安全问题。

现代专业云安全解决方案

每个云基础架构都需要全面的多层安全性。下述方法将帮助您了解确保云安全的一系列措施。

▍抗病毒

重要的是要记住，任何传统的防病毒软件在提供云安全性方面都不可靠。您需要使用专门为虚拟和云环境设计的解决方案，在这种情况下，安装它也有其自己的规则。如今，有两种方法可以使用使用最新技术开发的专用多组件防病毒来确保云安全：无代理保护和轻代理保护。

无代理保护。 它由VMware公司开发，仅在其解决方案上可用。带有虚拟机的物理服务器上另外部署了两个虚拟机：保护服务器（SVM）和网络攻击阻止程序（NAB）。它们中没有放置任何物品。在专用安全设备SVM中，仅安装防病毒引擎。在NAB计算机中，此组件仅负责验证虚拟机与生态系统中正在发生的事情之间的通信（以及与NSX技术进行通信）。此SVM处理对进入物理服务器的所有流量的验证。它构成了一个裁决池，所有虚拟防御机都可以通过公共裁决缓存访问该裁决池。每个保护虚拟机首先解决此池问题，而不是扫描整个系统-此原理可以减少资源成本并加速生态系统。

用光亮剂保护。 由卡巴斯基开发，没有VMware限制。与无代理保护一样，在SVM上安装了防病毒引擎，但与此相反，每个WM内仍安装了轻代理。该代理不执行检查，仅基于自学习网络技术监视本机WM内部发生的一切。该技术可以记住正确的应用顺序；面对WM内部应用程序的操作顺序未正确发生这一事实，它阻止了它。

在开发者的网站上了解有关虚拟环境安全性的更多信息，以及如何使用简单代理为您的虚拟服务器安装防病毒保护，请阅读我们的参考指南（页面底部是24小时技术支持联系，以防您有任何疑问）。

with与服务集成，以防止或修复与云安全相关的问题

变更管理平台。 这些经过验证的服务可支持公司的核心ITSM流程，包括IT安全性和事件。例如，ServiceNow，Remedy，JIRA。
安全扫描工具。 例如，Rapid7，Qualys，Tenable。
配置管理工具。 它们使您可以自动化服务器的运行，从而简化了可分布在全球的数十，数百甚至数千个服务器的配置和维护。例如，TrueSight服务器自动化，IBM BigFix，TrueSight漏洞管理器，Chef，Puppet。
. , , , ( Cisco 85% 2019 , , .. «» : — Microsoft Office. — Cisco 2019 ). , , OpsGenie.