与物理服务器相比,用于托管多个网站的虚拟服务器是否存在特殊的安全漏洞?
例如,没有任何硬件防火墙会不会造成问题?那些(以某种方式)可以访问同一台服务器的 Pear 又会怎样呢?
在 VPS 上设置多个网络托管服务通常是一个坏主意吗?
非常感谢您的善意回复。
答案1
一般来说,不是。虚拟机中的安全性与物理机中的安全性没有区别。(除了少数例外。)
您提到的不受信任的人可能有权访问物理硬件,这一说法同样适用于虚拟机和裸机。除非您自己运营数据中心,否则您必须信任托管服务提供商来管理物理安全。信任,但要核实。
已经存在一些针对虚拟机加密的“侧通道”攻击。 这是我最喜欢的文章。这可能会影响您的 SSL 密钥(如果有)。您可以通过在负载均衡器上终止 SSL 来避免该特定问题(AWS 可以使用其 ELB 执行此操作,其他提供商将使用不同的缩写)。这不是一个特别大的威胁;很少有人具备管理此问题的技能,而且您不太可能成为具有足够高价值的目标。
硬件防火墙是在云提供商中可用,但不一定在您的提供商中可用。再次以 AWS 为例,安全组是您的 VM 外部的防火墙。使用它们,您可以在网络上的主机之间实施网络限制,即使是两个盒子上都具有 root 访问权限的入侵者也无法克服。
答案2
假设您选择一家信誉良好的托管服务提供商,那么实际上并没有太大的区别。
理论上,主机操作系统或虚拟化软件中某些未修补的漏洞可能会允许共享对等方获得未经授权的访问,但当今的虚拟化解决方案使用 CPU 内置的保护措施来防止这种情况。
几个月前曾有过一次绕过硬件保护措施的攻击演示(谷歌“VM 侧通道攻击”),但我还没有听说它真正被利用,而且我假设主要的 VM 供应商现在已经减轻了这种可能性。
如果您的安全立场需要,您仍然应该使用基于软件的网络和应用程序防火墙,但它们与基于硬件的解决方案一样强大。
因此,就像安全领域的其他一切一样,它始终是一场猫捉老鼠的游戏,黑帽子和白帽子试图找到利用现有系统的新方法,但除非您的安全要求非常高,否则大多数人都认为在虚拟服务器上托管的安全风险不会明显更高。
例如亚马逊等一些托管公司拥有 ISO 27001 认证,这表明他们的安全实践经过第三方的全面审核。