use*_*379 27 security virtualization virtual-machines patch-management
我进行了搜索,但没有找到任何解决有关修补和系统更新问题的方法。我有指导方针说服务器需要有必要的补丁。如果我有一个 VM 主机,那么它是否是一个额外的层来修补和更新 - 即使使用裸机管理程序?与拥有金属服务器相反?(即根据我的指导方针进行更多的工作、测试和文档)。
类型 1/裸机管理程序多久更新一次?那有关系吗?它是一个额外的软件层这一事实是否会引入更多的复杂性和风险(安全性和可靠性)?(例如,99% 无错误软件 x 99% 无错误软件 = 98% 无错误系统)?
(我的实践经验是使用 VMWare 工作站和服务器,以及 VirtualBox。)
eww*_*ite 20
是的,像 VMware 这样的产品有时应该打补丁(更新是累积的),但补丁出现的频率低于主线操作系统,潜在的攻击向量更小——您的虚拟机管理程序不应公开访问。
我将使用 VMware ESXi 5.0 版(不是 5.1)作为示例...
ESXi 5.0 具有以下更新计划:
从 9/2011 到现在,对 ESXi 5.0 产品进行了十次更新。其中,有六个是以安全为中心的更新,包含在更新包中,其描述如下:
“ESXi NFS 流量解析漏洞” - CVE-2012-2448。
这些安全漏洞是真实存在的,因为它们有时会反映一般的 Linux 安全漏洞,但我认为大多数组织不太容易受到风险的影响。不过,评估这种风险取决于工程师。您的用户是否希望大量停机来修复以下漏洞?
“ncpmount 和 mount.cifs 使用的 GNU C 库(又名 glibc 或 libc6)2.11.1 及更早版本中 misc/mntent_r.c 中的 encode_name 宏无法正确处理挂载点名称中的换行符,这允许本地用户导致拒绝服务(mtab 损坏),或可能通过精心设计的挂载请求修改挂载选项并获得特权。”
也许?也许不吧。
我运行VMware 的更新管理器,但只有在受到错误影响或需要功能增强时才会更新。在集群设置中运行时,修补很容易,运行的 VM 不会停机。如果没有其他紧迫的原因,我会努力每季度更新一次。单个主机将需要完全重新启动,因为补丁是作为整体映像提供的。
附带说明一下,每当我继承 VMware ESXi 设置或在我通常不管理的系统上工作时,我经常看到运行的主机从未应用过任何 VMware 补丁。那是错的!!但是我可以看到,一旦系统启动并运行,管理员可能会犯这种错误。
如果您不熟悉使用“裸机”主机进行虚拟化,这是一个很好的问题。以这种方式做事需要与您可能采用的管理程序不同的思维方式,这些管理程序作为传统操作系统之上的服务/应用程序运行。
根据我的经验,可以说 ESX 和 HyperV总体上需要比传统操作系统更少的补丁。这并不意味着他们根本不需要打补丁,或者无论“需要”如何应用某些补丁都没有好处,但这意味着中断服务以修补主机应该不那么频繁并且更多在您的控制之下。虚拟机管理程序操作系统存在潜在的安全风险,就像其他任何操作系统一样,虽然您可以最大限度地减少这种风险的暴露(例如,仅将虚拟机管理程序管理暴露在无法从受感染的服务器逻辑上访问的隔离 VLAN 上)假装根本没有风险是愚蠢的。
因此,如果您有 4 个非虚拟服务器,并且您将它们全部移动到同一个单独的虚拟化主机,那么是的,您正在增加可能因需要修补主机系统(或处理硬件问题等)。
虽然我认为发生这种风险的可能性相对较低(我说的是修补虚拟主机与需要重新启动的修补之间的区别,无论如何您都必须对独立系统执行此操作),影响很大的事实是不可避免的。
那么我们为什么要这样做呢?
虚拟化的真正好处来自于能够设置多个主机并将主机配置为协同工作,如果一台主机出现故障或您希望在其上安排补丁程序,则允许来宾从一台主机移动到另一台主机主机系统。
使用这种方法,我成功地依次修补了 5 台 ESX 主机,而对运行在它们上面的 40 台虚拟服务器没有任何中断。这只是一个规模经济问题——一旦你有足够多的潜在虚拟客机来构建这种复杂的设置并使用@ewwhite 在他的回答中提到的工具来管理它,降低风险的回报你担心很快就到了。
虚拟服务器将需要与物理服务器相同的维护和补丁,裸机虚拟机管理程序将需要更新,以确保安全,同时修复错误并提高性能。您拥有的服务器越多,您需要做的工作就越多,以使它们保持最新状态,无论它们是物理的还是虚拟的。
| 归档时间: |
|
| 查看次数: |
851 次 |
| 最近记录: |