По сравнению с физическим сервером, есть ли какие-либо особые уязвимости в безопасности виртуальных серверов для размещения нескольких веб-сайтов?
Например, может ли тот факт, что нет аппаратного межсетевого экрана создавать проблемы? А как насчет груш, у которых (каким-то образом) есть доступ к одному серверу.
Является ли установка нескольких сервисов веб-хостинга на VPS плохой идеей?
Большое спасибо за ваш любезный ответ.
В общем, нет. Нет различий в подходе к безопасности на виртуальной машине и на физическом устройстве. (За некоторыми исключениями.)
Ваше предположение о том, что недоверенные люди могут иметь доступ к физическому оборудованию, применимо и к виртуальным машинам, и к голому железу. Если у вас нет собственного центра обработки данных, вам придется доверять своему хостинг-провайдеру управление физической безопасностью. Доверяй, но проверяй.
Были некоторые атаки "побочного канала" на криптографию виртуальных машин. Это моя любимая статья. Это может повлиять на ваши ключи SSL, если они у вас есть. Вы можете избежать этой конкретной проблемы, прервав свой SSL на балансировщике нагрузки (AWS может сделать это со своими ELB, у других провайдеров будут другие аббревиатуры). Это не особенно большая угроза; очень немногие люди способны справиться с этим, и вы вряд ли являетесь целью достаточно высокой ценности.
Аппаратные межсетевые экраны являются доступно у облачных провайдеров, но не обязательно у вас. Если снова использовать AWS в качестве примера, группа безопасности - это брандмауэр, внешний по отношению к вашей виртуальной машине. Используя их, вы можете установить сетевые ограничения между хостами в вашей сети, которые не сможет преодолеть даже злоумышленник с root-доступом на обоих устройствах.
Если предположить, что вы пользуетесь услугами авторитетного хостинг-провайдера, тогда нет особой разницы.
Теоретически существует вероятность того, что некоторая незащищенная уязвимость в ОС хоста или программном обеспечении виртуализации позволит совместно используемым одноранговым узлам получить несанкционированный доступ, но современные решения виртуализации используют средства защиты, встроенные в ЦП, для защиты от этого.
Была продемонстрирована атака, которая обошла аппаратные средства защиты, сделанные несколько месяцев назад (Google «Атака побочного канала виртуальной машины»), но я не слышал о том, чтобы она действительно использовалась, и я предполагаю, что основные поставщики виртуальных машин уменьшили эту возможность. к настоящему времени.
Вы все равно должны использовать программные сетевые и прикладные брандмауэры, если этого требует ваша политика безопасности, но они столь же надежны, как и их аппаратные аналоги.
Так что, как и все остальное в сфере безопасности, это всегда игра в кошки-мышки, где черные и белые шляпы пытаются найти новые способы использования существующих систем, но если у вас нет очень высоких требований к безопасности, большинство людей согласны с тем, что риск безопасности хостинга на виртуальный сервер ненамного выше.
Некоторые хостинговые компании, такие как Amazon, например, имеют сертификат ISO 27001, который указывает на то, что их методы обеспечения безопасности были тщательно проверены третьей стороной.