分析：虛擬化的安全到底怎么樣

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

現(xiàn)在有些IT管理員把擁有多路網(wǎng)絡(luò)連接的系統(tǒng)放在非軍事區(qū)(DMZ)里面。關(guān)鍵是如何保護(hù)起來(lái)。

外頭有不少I(mǎi)T管理員以為：只要部署了虛擬服務(wù)器，虛擬機(jī)就能萬(wàn)無(wú)一失，可以遠(yuǎn)離諸多安全漏洞和惡意攻擊。但是據(jù)Edward L. Haletky這樣的虛擬化安全專(zhuān)家認(rèn)為，IT管理人員會(huì)驚奇地發(fā)現(xiàn)：為了保護(hù)虛擬基礎(chǔ)架構(gòu)，他們付出的努力卻要大得多。

Haletky創(chuàng)辦了AstroArch咨詢公司，目前還在撰寫(xiě)有關(guān)虛擬化安全的一本書(shū)。他說(shuō)：“眼下與虛擬化有關(guān)的最大的安全問(wèn)題就是，很多人不知道自己在做什么。虛擬化管理員不是安全管理員。他們不可能是安全管理員，因?yàn)橛刑鄸|西需要學(xué)習(xí)。虛擬化管理員也不是存儲(chǔ)經(jīng)理，他們也要明白這一點(diǎn)?！?/P>

盡管虛擬化技術(shù)并不是天生容易受到攻擊，但是虛擬化管理員和安全管理員在接受的安全教育方面之間有著巨大差異，這常常導(dǎo)致部署的虛擬服務(wù)器不安全。外面的大多數(shù)虛擬化安全專(zhuān)家(目前這樣的專(zhuān)家為數(shù)很少)建議，虛擬化管理員最好接受安全教育，設(shè)法為虛擬機(jī)實(shí)施合適的策略和審計(jì)措施，并且確保虛擬機(jī)上的功能和內(nèi)容劃分到彼此隔離的操作環(huán)境中。

隔離虛擬機(jī)

據(jù)Haletky聲稱(chēng)，虛擬化管理員需要擔(dān)心這四種網(wǎng)絡(luò)：管理網(wǎng)絡(luò)、存儲(chǔ)網(wǎng)絡(luò)、虛擬機(jī)網(wǎng)絡(luò)以及VMotion網(wǎng)絡(luò)。他表示，如果虛擬化管理員不隔離這些網(wǎng)絡(luò)，就有可能出現(xiàn)一些最大的安全漏洞。

他說(shuō)：“有些管理員把所有這四種網(wǎng)絡(luò)全部放在非軍事區(qū)(DMZ)里面――DMZ是指公司網(wǎng)絡(luò)上的暴露部分，里面可能含有Web及其他網(wǎng)絡(luò)服務(wù)器，而實(shí)際上只有一種網(wǎng)絡(luò)需要放在DMZ里面?！盚aletky表示，有一些明確的規(guī)則表明了IT人員在DMZ里面可以進(jìn)行哪些操作――一條首要的規(guī)則就是，對(duì)擁有多路網(wǎng)絡(luò)連接的系統(tǒng)進(jìn)行控制。他表示，這條規(guī)則同樣適用于虛擬服務(wù)器;他建議IT管理員讓虛擬服務(wù)器盡可能遠(yuǎn)離DMZ。

IDC加拿大公司的安全和軟件調(diào)研主任David Senf同意這個(gè)觀點(diǎn)。他說(shuō)：“比方說(shuō)，為了避免把不同的安全策略混同起來(lái)、防止出現(xiàn)權(quán)限提高之類(lèi)的問(wèn)題，有些IT部門(mén)不允許DMZ里面的虛擬機(jī)會(huì)話?cǎi)v留在DMZ后面的主機(jī)上。”

信息技術(shù)研究集團(tuán)的高級(jí)研究分析師John Sloan表示，管理員可以把虛擬機(jī)歸類(lèi)到一起、放在特定的安全區(qū)域，從而使用網(wǎng)絡(luò)隔離機(jī)制。他解釋說(shuō)：“你可以把一些機(jī)器與其他機(jī)器分立出來(lái)，隨后賦予不同的安全級(jí)別?！?/P>

Sloan還建議：如果管理員使用實(shí)時(shí)遷移功能(指把運(yùn)行中的虛擬機(jī)從一臺(tái)物理服務(wù)器遷移到另一臺(tái)物理服務(wù)器上的功能，從而可以優(yōu)化性能、縮短停機(jī)時(shí)間)，就要小心這項(xiàng)功能對(duì)安全帶來(lái)的影響。

他說(shuō)：“有些情況下，服務(wù)器可能需要更高的安全級(jí)別，但是它們可能會(huì)出于提高性能、而不是提高安全的原因而動(dòng)態(tài)遷移到其他設(shè)備上。所以，這進(jìn)一步增添了復(fù)雜性，因?yàn)槟氵€不得不關(guān)注如何對(duì)物理服務(wù)器進(jìn)行分區(qū)，還要確保：即便使用了實(shí)時(shí)遷移，‘類(lèi)似’的服務(wù)器仍一起駐留在同樣的平臺(tái)上?！?/P>

解決方案提供商正在努力滿足公司企業(yè)在安全、隔離的環(huán)境中運(yùn)行工作任務(wù)的需要，Tresys Technology就是這樣一家提供商。該公司的旗艦產(chǎn)品VM Fortress致力于確保桌面虛擬化安全，讓虛擬化管理員可以通過(guò)把虛擬機(jī)限制在沙箱(sandbox)里面的辦法來(lái)控制虛擬機(jī)。

Tresys公司的技術(shù)工程主管Karl MacMillan說(shuō)：“如果你的虛擬機(jī)不但要連接到另一個(gè)公司網(wǎng)絡(luò)，還要連接到控制核電站的一個(gè)網(wǎng)絡(luò)，你就要確保這兩個(gè)網(wǎng)絡(luò)隔離開(kāi)來(lái)。一項(xiàng)最緊迫的安全要求就是，確保虛擬化軟件本身存在的漏洞讓來(lái)賓虛擬機(jī)無(wú)法對(duì)網(wǎng)絡(luò)系統(tǒng)造成破壞、可能闖入及訪問(wèn)其他來(lái)賓操作系統(tǒng)。”

由于沙箱可以把擁有同樣訪問(wèn)權(quán)的虛擬機(jī)歸類(lèi)到一起，你就能對(duì)每個(gè)虛擬機(jī)上的每個(gè)應(yīng)用程序進(jìn)行隔離。他說(shuō)，這有望確保你的人力資源應(yīng)用程序不會(huì)受到Web瀏覽器的影響。

MacMillan說(shuō)：“這么做的優(yōu)點(diǎn)在于，你既可以利用創(chuàng)建更多虛擬機(jī)的功能，又能獲得強(qiáng)有力的隔離機(jī)制。但是由于虛擬機(jī)數(shù)量激增，你還要確保所有這些操作系統(tǒng)的安全。你要對(duì)它們進(jìn)行更新、打補(bǔ)丁，還要進(jìn)行全面跟蹤。”

管理虛擬機(jī)散亂現(xiàn)象

據(jù)信息技術(shù)研究集團(tuán)的Sloan聲稱(chēng)，使用虛擬機(jī)的其中一個(gè)最大好處就是，虛擬機(jī)與底層硬件更加隔離開(kāi)來(lái)。他說(shuō)：“如果虛擬機(jī)受到了病毒感染，或者遭到了某種方式的惡意攻擊，造成的危害可以減小到最低程度，因?yàn)楹苋菀赘艚^這個(gè)虛擬機(jī)，并且終止運(yùn)行?！?/P>

Sloan表示，但是盡管虛擬機(jī)本身可能更具有彈性，但是安全監(jiān)控和管理工作對(duì)運(yùn)行關(guān)鍵任務(wù)的虛擬機(jī)來(lái)說(shuō)仍必不可少。他說(shuō)：“從總體上來(lái)看，管理就應(yīng)當(dāng)這樣;如果你沒(méi)有為虛擬機(jī)落實(shí)相應(yīng)的策略或者程序，就會(huì)面臨更大的風(fēng)險(xiǎn)。你一定要有足夠完善的安全管理，才能跟蹤及管理虛擬機(jī)。”

現(xiàn)在大多數(shù)人都會(huì)認(rèn)同這一點(diǎn)：很難闖入物理數(shù)據(jù)中心、竊取大批數(shù)據(jù)。但是你有沒(méi)有想過(guò)這一幕：攻擊者不用步入你的數(shù)據(jù)中心，只要?jiǎng)?chuàng)建虛擬機(jī)，就可以用它來(lái)訪問(wèn)敏感數(shù)據(jù)?Haletky說(shuō)，很可能你不會(huì)知道發(fā)生了這種事。

他說(shuō)：“如果你采用虛擬化技術(shù)，安全性并沒(méi)有因此而增強(qiáng)，實(shí)際上反而減弱了。另一個(gè)重要原因就是你現(xiàn)在面臨虛擬機(jī)散亂(VM sprawl)現(xiàn)象?！?/P>

今年年初Verizon Business公司撰寫(xiě)的一份最新報(bào)告發(fā)現(xiàn)，27%的攻擊來(lái)自意料之外的系統(tǒng)連接;10%來(lái)自以不合適的權(quán)限訪問(wèn)系統(tǒng)。

“管理員不知道有機(jī)器存在，”Haletky說(shuō)，“有了虛擬化技術(shù)，新的虛擬機(jī)極其容易部署到環(huán)境里面;如果不加以控制、治理或者核實(shí)，那么這種容易部署虛擬機(jī)的優(yōu)點(diǎn)反而會(huì)帶來(lái)安全問(wèn)題。”

Haletky表示，除非公司落實(shí)了合適的審計(jì)機(jī)制，否則要是有人未經(jīng)授權(quán)在公司網(wǎng)絡(luò)上創(chuàng)建虛擬機(jī)，數(shù)據(jù)中心就會(huì)繼續(xù)容易受到這些公司不知道存在的虛擬機(jī)的攻擊。他表示，IT管理員的解決辦法就是，采用某一種工作流審批流程，對(duì)系統(tǒng)進(jìn)行監(jiān)控及審計(jì)。

Haletky說(shuō)：“目前，虛擬化安全離不開(kāi)一大批審計(jì)機(jī)制;你需要審計(jì)、需要獲得報(bào)告，還需要接到通知。如果你在這些方面都做得很到位，就完全具有領(lǐng)先優(yōu)勢(shì)。”不過(guò)強(qiáng)大審計(jì)機(jī)制面臨的最大障礙卻是這個(gè)事實(shí)：目前市面上還沒(méi)有一款優(yōu)秀的工具。

Haletky說(shuō)：“現(xiàn)在其實(shí)沒(méi)有工具可以告訴你已經(jīng)添加了一個(gè)新的虛擬機(jī)，你得自己去查看。如果使用VMware ESXi，你可以在虛擬機(jī)運(yùn)行的時(shí)候接到報(bào)警;還能收到反映這個(gè)情況的電子郵件。但是你其實(shí)得不到表明虛擬機(jī)在做什么的任何信息?！?/P>

Haletky說(shuō)，要關(guān)注的不僅僅是網(wǎng)絡(luò)安全。如今現(xiàn)有的三大安全監(jiān)控指導(dǎo)原則(包括VMware、CISecurity和DISA/STIG的指導(dǎo)原則)都不是太深入，沒(méi)有為期望把ESX服務(wù)器審計(jì)和監(jiān)控機(jī)制付諸實(shí)踐的用戶提供啟動(dòng)腳本。他表示，這些指導(dǎo)原則概述了需要審計(jì)的部分內(nèi)容，但遠(yuǎn)遠(yuǎn)不夠全面。

據(jù)Haletky聲稱(chēng)，另一個(gè)固有的問(wèn)題就是，大多數(shù)虛擬化管理員完全從網(wǎng)絡(luò)的角度來(lái)看待虛擬安全。Haletky說(shuō)：“保護(hù)虛擬環(huán)境不僅僅包括服務(wù)控制臺(tái)、管理設(shè)備和網(wǎng)絡(luò);還包括存儲(chǔ)、備份、災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性等方面，它幾乎包括每個(gè)方面，而每個(gè)特定方面都有相應(yīng)工具?！?/P>

他又說(shuō)，虛擬機(jī)的攻擊面變得越來(lái)越大，全人們根本沒(méi)有認(rèn)識(shí)到這一點(diǎn)?！鞍烟摂M機(jī)放在虛擬服務(wù)器里面――不管你使用的是哪家廠商的技術(shù)，這并不會(huì)為你帶來(lái)足夠的保護(hù)。網(wǎng)絡(luò)安全對(duì)你大有幫助，但我不敢肯定光有網(wǎng)絡(luò)安全就夠了。”

如果你找不到或者請(qǐng)不起虛擬化安全專(zhuān)家來(lái)幫你入手，專(zhuān)家們建議公司只要找一名了解虛擬化技術(shù)的安全技術(shù)人員。對(duì)大多數(shù)公司來(lái)說(shuō)，這歸結(jié)為先進(jìn)行風(fēng)險(xiǎn)分析，然后最終確定自己需要哪種監(jiān)控流程。

他說(shuō)：“如果你看一看外面針對(duì)虛擬服務(wù)器應(yīng)用部署的許多設(shè)計(jì)方案，就會(huì)發(fā)現(xiàn)設(shè)計(jì)方案中根本沒(méi)有提到安全。他們說(shuō)，我們要部署虛擬化技術(shù);我們要節(jié)省成本、減少散熱，但他們就是沒(méi)有說(shuō)我們要確保安全?！?比特網(wǎng))