与物理服务器相比,虚拟服务器中是否存在特殊的安全漏洞,用于托pipe多个网站?
比如说,没有任何硬件防火墙的事实会有问题吗? 怎么样的梨(不知何故)访问同一台服务器。
在VPS上设置多个虚拟主机服务通常是一个坏主意?
非常感谢你的回应。
一般来说,不。 在虚拟机中处理安全性的方式与在物理机器上处理方式没有区别。 (除less数例外)。
你的build议是,不受信任的人可能有权访问物理硬件,同样适用于虚拟机和裸机。 除非您运行自己的数据中心,否则您将不得不信任您的托pipe服务提供商来pipe理物理安全。 信任但要validation。
在虚拟机中出现了一些“副通道”encryption攻击。 这是我最喜欢的写作 。 这可能会影响您的SSL密钥,如果有的话。 您可以通过在负载平衡器(AWS可以使用ELB执行此操作,其他提供程序将使用不同的缩略词)来终止您的SSL,从而避免这个特殊问题。 这不是一个特别大的威胁, 很less有人有能力处理这个问题,而且你不太可能成为价值足够高的目标。
硬件防火墙在云提供商中可用,虽然不一定在你的。 再次以AWS为例,安全组是虚拟机外部的防火墙。 使用这些,你可以在你的networking上的主机之间实施networking限制,即使是在两个机器上都有root权限的入侵者也无法克服。
假设你和一个有信誉的托pipe服务提供商合作,那么不,实际上没什么区别。
从理论上讲,主机操作系统或虚拟化软件中的一些未修补的漏洞可能会导致共享对端获得未经授权的访问,但是现在的虚拟化解决scheme使用内置于CPU的保护措施来防范这种情况。
有一个攻击绕过了几个月前做出的硬件保护(谷歌“VM端通道攻击”),但我还没有听说过它实际上被利用,我假设主要的虚拟机供应商已经减轻了这种可能性目前为止。
如果您的安全态势需要它,您仍然应该使用基于软件的networking和应用程序防火墙,但这些防火墙与基于硬件的对应scheme一样强大。
因此,像其他所有安全产品一样,它总是一个猫和老鼠的游戏,黑白帽子试图find新的方式来利用现有的系统,但除非你有非常高的安全性要求,大多数人都认为,托pipe的安全风险虚拟服务器并不明显更高。
像亚马逊这样的一些托pipe公司有ISO 27001authentication,这表明他们的安全实践已经被第三方彻底审核。