• 将不同重要性的应用程序和信息整合到一台物理服务器上,但没有保证它们之间的充分隔离;
虚拟化技术保护的监管要求
制定保护虚拟化和监管框架的最佳实践的过程始于几年前,并且仍在进行中。美国国家标准与技术研究所 (NIST) 是最早发布保护虚拟化技术建议的机构之一。目前,国际组织云安全联盟已经发布了第三版云安全指南。 PCI 委员会为金融机构和支付卡行业制定行业建议。
在我国,虚拟化安全控制的先行者是俄罗斯的FSTEC,其在2013年颁布了第17号和第21号命令,这些文件特别列出了在政府信息系统和个人数据信息系统中使用虚拟环境时必须采取的安全措施。同时,特别注意需要使用经过认证的手段保护虚拟环境。
此外,GOST R系列“信息安全”国家标准可能很快就会出现。使用 澳大利亚电报数据 虚拟化技术处理的信息的保护要求。基本规定”,这也是在俄罗斯FSTEC的倡议下正在制定的。
这些监管文件帮助消费者确定需要采取哪些措施来降低信息风险并确保使用虚拟化技术的安全性。
vGate - 虚拟化认证保护
Code Security 开发的 vGate 产品是 VMware vSphere 和 Microsoft Hyper-V 虚拟平台最受欢迎的认证信息安全工具之一。该产品考虑到虚拟环境中信息保护的具体特点,并为企业安全服务提供了使用过程中监控和抵制滥用的工具。
vGate 产品的主要优势是能够控制与管理虚拟基础设施和访问虚拟机数据相关的所有操作。虚拟基础设施面临的最紧迫威胁之一是超级用户的存在,虚拟基础设施管理员可以从他们的工作站操纵虚拟机,并且不受控制。此外,虚拟机(与物理机不同)可以被复制、删除或篡改,因此传统的保护方法(例如密封外壳、APMDZ、物理访问限制等)不适用于保护虚拟基础设施。