虛擬化響起安全警報

申請免費試用、咨詢電話：400-8352-114

將企業(yè)內(nèi)的應(yīng)用遷移至虛擬服務(wù)器，不但能夠提高效率，還能為企業(yè)節(jié)省大筆費用。但是，在積極開展服務(wù)器虛擬化的同時，越來越多的IT管理者也在思考由此帶來的安全問題。

有CIO就曾經(jīng)表示，由于所在公司的服務(wù)器中有一半以上采用了虛擬化技術(shù)，因此他特別關(guān)注這些虛擬基礎(chǔ)設(shè)施的安全問題。零售企業(yè)Rent-a-Center公司負責技術(shù)服務(wù)和架構(gòu)的高級IT主管Jai Chanani說：“我最擔心的問題就是，如果有人想盜取虛擬服務(wù)器怎么辦？?！?/P>

Jai Chanani和他的團隊管理著約200個VMware ESX和XenServer虛擬服務(wù)器，這些虛擬機充當文件和打印服務(wù)器，在某些情況下還充當應(yīng)用服務(wù)器。出于安全上的考慮，Jai Chanani沒有將虛擬化技術(shù)用于公司的erp系統(tǒng)、數(shù)據(jù)庫和電子郵件系統(tǒng)。

Six Flags公司是一家游樂場運營商，公司的CIO Michael Israel表達了另一種擔憂。在他看來，最令人不安的場景就是肆意妄為的管理員把虛擬服務(wù)器從安全網(wǎng)段遷移到了屬于不安全網(wǎng)段的物理主機上，或者私自創(chuàng)建未登記的、無許可證的、還沒打補丁的虛擬服務(wù)器。

相關(guān)專家認為，產(chǎn)生這些擔憂的原因不是虛擬基礎(chǔ)設(shè)施本身的安全很難確保，而是許多公司還沒有讓現(xiàn)有的安全方面的最佳實踐應(yīng)用到新的虛擬環(huán)境。現(xiàn)在，通過虛擬化，IT管理員可以很輕松地成批創(chuàng)建虛擬服務(wù)器，根本不像原來，采購任何IT設(shè)備時都需要得到網(wǎng)絡(luò)、存儲、業(yè)務(wù)連續(xù)性或IT安全等管理者的批準，虛擬化打破了原有IT內(nèi)部傳統(tǒng)的職責劃分。

IBM旗下的IBM安全解決方案咨詢公司副總裁Kirs Lovejoy表示，虛擬化市場變化太快了，客戶在最佳實踐方面沒有跟上時代的步伐，既缺少這方面的專業(yè)知識，也缺少實際技能。雖然不乏確保虛擬基礎(chǔ)設(shè)施安全的技術(shù)，但經(jīng)常因配置不當而引發(fā)安全問題。

曼哈頓IT咨詢機構(gòu)The Info Pro公司的安全研究總經(jīng)理Bill Trussell說：“虛擬環(huán)境中的安全問題主要表現(xiàn)為缺少可視性、缺少控制性以及擔心未知因素?！?/P>

管好虛擬機管理程序

會不會有人劫持公司虛擬基礎(chǔ)設(shè)施里面的虛擬機管理程序，用它來攻擊所有虛擬服務(wù)器？在管理員不知道的情況下，攻擊者會不會闖入一個虛擬服務(wù)器后，以此作為跳板，攻擊另一個虛擬服務(wù)器上的關(guān)鍵應(yīng)用？這些問題都是當前一些CIO對于虛擬化應(yīng)用所擔心的問題。

RSA安全基礎(chǔ)設(shè)施高級主管Eric Baize說，盡管目前還沒有發(fā)現(xiàn)針對虛擬基礎(chǔ)設(shè)施的攻擊，但絕對不可掉以輕心。自從2006年Jonna Rutkowska在黑帽大會演示了著名的藍色藥丸（Blue Pill）虛擬機管理程序惡意軟件rootkit起，人們就開始擔心可能危及虛擬機管理程序的攻擊。不過Rutkowska本人也懷疑，是否有人真的會利用類似“藍色藥丸”這樣的rootkit來攻擊虛擬機，畢竟它相對復(fù)雜，更加適合攻擊傳統(tǒng)操作系統(tǒng)。

正是有了對rootkit的擔心，此后業(yè)界積極開發(fā)硬件技術(shù)，確保虛擬機管理程序的完整性，如英特爾公司的定向I/O虛擬化技術(shù)（VT-d），虛擬化軟件供應(yīng)商也隨之開始支持這些技術(shù)。

Gartner公司的分析師Neil MacDonald表示，VT-d還不能真正保護虛擬機管理程序的完整性，因此英特爾在新型的處理器上引入了可信執(zhí)行技術(shù)（TXT），以提供動態(tài)度量可信根，保護虛擬環(huán)境免受rootkit惡意軟件的攻擊。

但是如果企業(yè)信息安全領(lǐng)域的最佳實踐未得到遵循，沒有應(yīng)用到虛擬基礎(chǔ)設(shè)施上，虛擬化應(yīng)用還是會帶來風險。因此必須像對待任何操作系統(tǒng)那樣，及時地給虛擬機打上補丁，那樣才能堵住安全漏洞。2010年以來，VMware已經(jīng)發(fā)布了9份重大安全公告，XenServer也發(fā)布了許多安全補丁。

但是在實際操作中，對虛擬機的管理中仍舊存在著很多配置不當?shù)那闆r，對虛擬機的補丁管理也是混亂不堪，甚至有些管理員給虛擬機管理器軟件使用的是很容易被猜中、甚至是默認的用戶名和密碼，而這些管理軟件是可以直接訪問虛擬機的。

無形的網(wǎng)絡(luò)隱患

虛擬機之間的通信也是另一個安全隱患，因為入侵檢測系統(tǒng)、防火墻及其他監(jiān)測工具無法判斷虛擬機是不是在同一物理服務(wù)器上運行

菲尼克斯市政府的高級安全工程師Vauda Jordon就曾經(jīng)把數(shù)據(jù)包檢測程序裝在虛擬服務(wù)器上，但是沒有發(fā)現(xiàn)任何數(shù)據(jù)包進出物理網(wǎng)絡(luò)接口，他對此就很擔憂，因為不知道虛擬機間的通信是否是基于安全通道進行的。

一般情況下，若使用ESX Server及其他主要的虛擬化平臺，虛擬機之間傳送的數(shù)據(jù)是不經(jīng)過加密處理的。當虛擬機的內(nèi)存使用VMware的vMotion工具，在不同物理主機之間移動時，虛擬機也未經(jīng)加密。（虛擬機磁盤文件本身仍在同一個共享存儲設(shè)備上）。VMware公司的產(chǎn)品營銷主管Venu Aravamudan表示，VMware正在積極考慮相關(guān)加密的問題，但至于何時會把加密技術(shù)添加到VMware的產(chǎn)品中還是個未知數(shù)。

目前，VMware的vShield等產(chǎn)品和其他第三方工具可以建立虛擬防火墻，從而把VMware、Xen Server、Hyper-V及其他虛擬機隔離到不同的安全區(qū)域，但并非所有企業(yè)都實施了這種安全策略。對于大多數(shù)企業(yè)而言，創(chuàng)建安全區(qū)域并不是重中之重。不過一旦虛擬基礎(chǔ)設(shè)施規(guī)模擴大，創(chuàng)建安全區(qū)域就變得很有必要。

Rent-a-Center公司就對虛擬機進行了物理分隔，不同功能的虛擬服務(wù)器駐留在不同的物理服務(wù)器上。不過隨著虛擬環(huán)境日漸龐大，這種做法也變得越來越困難，成本也會急劇提高，同時還限制了虛擬化的合并優(yōu)勢?！耙虼?，我們開始考慮要重新改造、建立虛擬防火墻。”Chanani說。

一些現(xiàn)有的防火墻工具可以檢測虛擬服務(wù)器的流量，但IT部門還是應(yīng)該添加一套專門針對虛擬化的工具，雖然這樣做會增加管理的復(fù)雜性，但是為了確保萬無一失還是很有必要的。并且一套工具既適用于物理環(huán)境，又適用于虛擬環(huán)境，也是大勢所趨。不過就目前的情況而言，除非傳統(tǒng)信息安全廠商奮力趕上，否則IT部門仍舊需要使用像Altor Networks、Catbird Networks和HyTrust這些不太知名的廠商提供的專門為虛擬機定制的工具。

除了上面所提到的因素外，也有業(yè)內(nèi)安全專家表示，要想保證虛擬化應(yīng)用的安全性，更重要的是要讓核心網(wǎng)絡(luò)架構(gòu)也能夠適應(yīng)虛擬化。

RSA安全部門的高級安全顧問Andrew Mulé說：“虛擬化環(huán)境中的業(yè)務(wù)連續(xù)性問題，大多是因為網(wǎng)絡(luò)設(shè)計缺陷而產(chǎn)生的。網(wǎng)絡(luò)能夠與物理的服務(wù)器協(xié)同工作，但未必也能夠與虛擬機協(xié)同工作，只有實施相應(yīng)的路由、子網(wǎng)和虛擬局域網(wǎng)部署，才有望提高虛擬機的安全性能?！?/P>

Six Flags的高級系統(tǒng)工程師Matthew Nowell通過使用虛擬局域網(wǎng)來隔離虛擬服務(wù)器，對此也有專家發(fā)出了不同的聲音，認為單單靠虛擬局域網(wǎng)和基于路由器的訪問控制還不足以實現(xiàn)安全隔離，而是應(yīng)該部署某種可識別虛擬化的防火墻。

Jordon在日常工作中就遇到了相應(yīng)的問題，她需要把日常的業(yè)務(wù)網(wǎng)絡(luò)與銀行支付卡相關(guān)的基礎(chǔ)設(shè)施分開，菲尼克斯市的市民必須使用后者來支付水費或支付其他服務(wù)費。為了滿足支付卡行業(yè)安全標準（PCI Secruity Standard）的要求，Jordon在處理、存儲或傳輸支付卡數(shù)據(jù)的虛擬服務(wù)器上落實了監(jiān)測文件完整性的機制。Jordon表示，實踐證明相比虛擬機管理程序，防火墻更值得信賴。

明尼蘇達州的Schwann Food公司在支付卡處理上完全使用裸機虛擬化系統(tǒng)，根本不運行任何虛擬機管理程序。

危險的超級管理員

除了技術(shù)上的風險，人為因素的風險也大大威脅著虛擬化應(yīng)用的安全。在不受制約、不受監(jiān)控的虛擬環(huán)境下，如果管理員有很大的權(quán)限，很有可能會帶來安全上的問題。

比如說，管理員創(chuàng)建的虛擬FTP服務(wù)器可能會無意中使用遷移工具（比如XenMotion、Hyper-V實時遷移功能或VMware的Vmotion），把服務(wù)器遷移到不同硬件上。但他們可能沒有意識到，新主機是在不可信的網(wǎng)段上。或者是把VMware虛擬網(wǎng)絡(luò)計算（VNC）客戶機的管理憑證存儲在虛擬機映像里面的文本文件中，然后分配那些虛擬機，這樣的行為是不符合最佳安全實踐要求的。

IBM安全戰(zhàn)略部門的架構(gòu)師Harlod Moss表示，實際工作中，管理員在創(chuàng)建新的虛擬服務(wù)器時使用默認密碼的情況司空見慣，負責管理新機器的人員也未必會去更改密碼，這很容易引發(fā)潛在的安全。

弗雷斯特公司分析師John Kindervag也透露說，曾經(jīng)有公司的VMware vCenter管理控制臺，因為密碼問題被攻擊的事情發(fā)生。攻擊者竊取虛擬機后，就闖入了數(shù)據(jù)中心，肆意竊取一個硬件設(shè)備中的數(shù)據(jù)，后果相當嚴重。

日常工作中，還會經(jīng)常發(fā)生虛擬機映像創(chuàng)建不當引起的惡意軟件問題。為了防止這種情況，安全軟件廠商們正積極應(yīng)對。一些虛擬化軟件允許一些代碼可以在虛擬機管理程序?qū)用孢\行，趨勢科技公司的Deep Security軟件就包括了防火墻、日志檢查、文件完整性監(jiān)測以及入侵檢測和預(yù)防等功能。該軟件可與Sun Solaris Containers、微軟Windows Hyper-V、VMware ESX Server和思杰XenServer等虛擬機兼容。不過同時，也有人質(zhì)疑在虛擬機管理程序?qū)用孢\行代碼的方法是不是個好主意。

RSA安全部門的Mulé說，在虛擬環(huán)境下沒有貫徹原有的最佳實施實踐，或者沒有明確職責分離，是導(dǎo)致虛擬環(huán)境安全問題頻頻出現(xiàn)的根源。應(yīng)制定嚴格的變更管理流程，包括頒發(fā)變更管理通知單，以保證不在不安全的環(huán)境里面運行虛擬機。在虛擬環(huán)境下，變更管理、配置管理和資產(chǎn)控制對于確保虛擬基礎(chǔ)設(shè)施安全至關(guān)重要，因此要明確職劃分。

作為歐洲委員會發(fā)展銀行的系統(tǒng)工程主管，Jean-Louis Nguyen的工作是管理140個虛擬機的管理員，確保他們遵守相關(guān)法規(guī)和管理要求。這家銀行試用過VMware的日志記錄功能，但需要一種更好的辦法來合并信息。Jean-Louis Nguyen最后使用了HyTrust公司的一款專用工具，用來記錄所有活動的中心日志。

這家銀行還使用了HyTrust為首席安全官建立了完全隔離的虛擬環(huán)境，首席安全官全權(quán)控制從底部支撐安全軟件的物理和虛擬基礎(chǔ)設(shè)施。他只能監(jiān)測所有虛擬服務(wù)器和配置情況，但無法進行任何更改。這些機制確保了系統(tǒng)管理員不會濫用權(quán)限。

目前有一些公司已經(jīng)開始提供政策管理工具套件，這些產(chǎn)品既能提醒管理員不要做出違反政策的行為，還能隔離違反規(guī)則的任何虛擬機。

在Rent-a-Center公司，也許是個例外，他們沒有采用任何額外的管理工具，全憑嚴格的管理策略來滿足管理上的需要。

另一方面，由于虛擬機映像其實就是數(shù)據(jù)——存儲在某處硬盤上的程序代碼，所以這些文件必須予以保護。Jordon表示，菲尼克斯市政府綜合使用了物理安全、網(wǎng)絡(luò)存儲訪問控制和文件完整性監(jiān)控機制，以保護虛擬機映像。

Six Flags則把虛擬機映像保存在受保護的網(wǎng)絡(luò)存儲設(shè)備上，以此防止沒有授權(quán)的用戶進入共享系統(tǒng)，拷貝虛擬機映像數(shù)據(jù)。

RSA的Baize認為，IT部門應(yīng)該著重考慮如何制訂預(yù)防數(shù)據(jù)丟失的策略。他認為，不必制定規(guī)定哪些虛擬機可以訪問哪些數(shù)據(jù)的政策，而是應(yīng)該規(guī)定哪些敏感數(shù)據(jù)不能遷移到哪些虛擬機上的機制。

確保虛擬基礎(chǔ)設(shè)施的安全不是說要購買更多的安全產(chǎn)品，Baize表示，現(xiàn)在已經(jīng)有很多針對虛擬基礎(chǔ)設(shè)施的控制機制，現(xiàn)在缺少的是大家不了解控制機制適用于什么樣的環(huán)境，以及該什么時候運用。

也有業(yè)內(nèi)信息安全專家表示，建立安全的虛擬基礎(chǔ)設(shè)施，最好的方法就是讓IT安全人員或安全顧問及早參與。Gartner的報告顯示， 40%的IT部門直到系統(tǒng)構(gòu)建好、投入使用后，才讓IT安全人員參與虛擬基礎(chǔ)設(shè)施的部署工作。隨著更多的關(guān)鍵業(yè)務(wù)應(yīng)用程序開始遷移到虛擬機上，這樣的情況不利于消除安全隱患。因為當開始考慮對ERP這樣的重要應(yīng)用進行虛擬化時，會遇到很多敏感數(shù)據(jù)。到那時企業(yè)再試圖追加安全特性，就顯得有些力不從心了。因此應(yīng)該從系統(tǒng)規(guī)劃一開始就應(yīng)該設(shè)計安全特性，事后重新設(shè)計的工作只會產(chǎn)生高昂成本。

CIO對虛擬環(huán)境中的安全問題的關(guān)注度

來源： The Info Pro