多年來,全球領(lǐng)先的電子商務(wù)海洋物流提供商Inttra公司一直在其后臺IBM大型機和Citrix Systems服務(wù)器中使用到虛擬化技術(shù),主要是運行虛擬Linux設(shè)備的IBM刀片服務(wù)器,從而形成其新一代數(shù)據(jù)中心基礎(chǔ)設(shè)施,同時這種基礎(chǔ)設(shè)施還通過虛擬化廠商Vmware運用于英特爾平臺上的虛擬化技術(shù)得到了進一步強化。
電子商務(wù)海洋物流提供商nttra公司IT副總裁John Debenedette表示:他相信他能夠在努力跟上已有的最佳實踐(best practices)步伐的同時保障好虛擬化數(shù)據(jù)中心環(huán)境安全;不過,若是要冒險在其非軍事區(qū)(DMZ)外運行虛擬Web服務(wù)器,或是在更難以控制的終端上運行虛擬機則他還沒有這個把握。
"您能夠在所有虛擬機上執(zhí)行最佳實踐。但說到最后,安全問題還是歸結(jié)為您對虛擬機平臺層本身寄望太多了,"Debenedette表示。"這一層稱為虛擬內(nèi)核或虛擬機監(jiān)控器(VMM),也稱為hypervisor,是位于硬件和操作系統(tǒng)等設(shè)備驅(qū)動程序之間,從而使其處在了一個權(quán)威性位置上。"
雖則還未有安全觀察員證實現(xiàn)在已有針對這平臺層的攻擊,但我們已可以看到普遍存在的虛擬機感知式惡意軟件(如,RedPill)以及虛擬機型rootkits(如BluePill)。有關(guān)專家表示:現(xiàn)在這個平臺層現(xiàn)在已成為虛擬機惡意軟件編寫者眼中的美味大餐。為此,Debenedette很是擔心這個新平臺層的安全。
其實,要做虛擬機平臺層的安全主要有以下三點:
一,在這種虛擬環(huán)境中迫切要求實施高效安全的最佳實踐;
二,除了物理設(shè)備以外,企業(yè)也必須對虛擬設(shè)備進行管理并加以保護,必須適當調(diào)整網(wǎng)絡(luò)防御來監(jiān)視虛擬機設(shè)備上非法流量;
三,虛擬機層的創(chuàng)建必須是安全、有保障地進行以避開最新型惡意軟件攻擊。
虛擬技術(shù)安全從基本安全策略入手
6月份,Research Concepts公司曾做過一次有關(guān)虛擬化安全的調(diào)查。結(jié)果顯示:有457個受訪者認為虛擬化技術(shù)并未增加他們的安全風險;只有250名受訪者(近36%)認為虛擬化技術(shù)成為非法分子手中新增安全威脅工具,增加了他們的安全風險。而在這36%受訪者中,有近一半的人員是有部署防火墻或是將關(guān)鍵網(wǎng)絡(luò)分段為虛擬LANs,而其余一半人員則是在其入侵檢測傳感器中加入了虛擬機流量感知功能。
看來,受訪者中僅有三分之一已認識到虛擬平臺層本身也是易受到攻擊的;其它人則不認為虛擬機平臺供應(yīng)商必須在其產(chǎn)品中加入安全組件。
明顯地,許多企業(yè)一直并未應(yīng)用最基本安全策略來保護好他們的虛擬服務(wù)器。現(xiàn)在,企業(yè)正逐漸感受著非法及未管理虛擬機的四處蔓延,企業(yè)必須要果斷的結(jié)束這種危險的錯誤行為。常為財富500強公司提供咨詢的專家表示:令人心痛的是,虛擬化技術(shù)本是為了促進硬件領(lǐng)域安全而采用的,結(jié)果卻反而增加了安全風險。
"隨著虛擬機范圍擴展,這個問題正逐漸為人所知,"咨詢專家Anil Desai表示。"如果沒有相關(guān)IT知識就輕率地創(chuàng)建虛擬機,甚至很難知道存在網(wǎng)絡(luò)上的這些問題。"
此外,Desai還表示: "軟件開發(fā)人員、內(nèi)聯(lián)網(wǎng)用戶,甚至是在數(shù)據(jù)中心服務(wù)器上擁有很多特權(quán)的用戶都正創(chuàng)建虛擬機(沒有相關(guān)IT知識),只是看中它們易于部署且有助于完成某些工作。"這是客戶端站點上普遍存在的一個問題。
對此,Debenedette表示:他實在了解不了這種現(xiàn)象;任何稱職的企業(yè)都應(yīng)根據(jù)最佳實踐來進行其數(shù)據(jù)中心的運作,這樣一旦有發(fā)行新虛擬服務(wù)器之類行為時他們就會得到示警。這些最佳實踐的強制實施最終會大大地減少問題范圍。
Debenedette領(lǐng)導(dǎo)的團隊現(xiàn)在使用的是Vmware虛擬中心管理軟件,這款軟件中包括有一項自動探測功能,它可定位虛擬機非法創(chuàng)建情況。Novell ZenWorks桌面管理系統(tǒng)和微軟的系統(tǒng)中心虛擬機管理器(SCVMM)以及其它虛擬機特定管理工具也有提供類似探測功能。對于那些不想要集成此類工具到他們控制臺的企業(yè),他們可采用CA、HP、Network General以及其它管理和監(jiān)控產(chǎn)品供應(yīng)商的產(chǎn)品,因為在去年這些供應(yīng)商就已在他們的產(chǎn)品套件中加入了各種程度的虛擬機感知功能。
Novell公司產(chǎn)品總監(jiān)Richard Whitehead表示:定位虛擬機這一功能(即探測功能)還會對許可操作和產(chǎn)品支持有所幫助。"如果您正運行虛擬服務(wù)器,若它們還未通過許可,那么它們就得不到相應(yīng)支持,"他表示。"這意味著它們不會有補丁,也不會有更新,從而使得它們即成為一種安全隱患。"
管理工具所提供其它有助于安全防護的探測相關(guān)功能還包括:假如有負載平衡、感染或攻擊方面有要求的話,它們還可終止不必要的虛擬機和不采用其它安全系統(tǒng)
#p#副標題#e#
如同針對物理領(lǐng)域一樣進行分區(qū)
面向大型公司、政府提供先進的通信和信息技術(shù)解決方案的新供應(yīng)商Verizon Business公司咨詢顧問Tom Parker表示:虛擬機故障切換的地點和方式是極為重要的;目前企業(yè)IT執(zhí)行人員滿腦子都是如何設(shè)置故障切換流程。
例如:故障切換可用于從一臺虛擬機切換到另一臺虛擬機,或是切換到另一個完全不同的虛擬子網(wǎng)中。最佳實踐可以要求故障切換時切換到一臺隔離的物理服務(wù)器上,這點在總系統(tǒng)發(fā)生故障時猶為重要。
在虛擬環(huán)境中,系統(tǒng)的隔離和分區(qū)是十分重要的,不僅適用于備份,同時還適用于創(chuàng)建DMZ。Parker認為IT們常常會忽略了這種隔離工作。"當同一臺計算機上有一大群的虛擬Web服務(wù)器,而數(shù)據(jù)庫服務(wù)器也隨之虛擬化時難以想像會發(fā)生什么。而我卻一直有發(fā)現(xiàn)到這種情況,"他表示。"這樣的結(jié)果只能是企業(yè)的安全風險系數(shù)直線上升,攻擊者和惡意軟件可任意地從Web服務(wù)器直接攻擊到數(shù)據(jù)庫服務(wù)器。"
#p#副標題#e#
最佳實踐往往要求此類系統(tǒng)應(yīng)通過DMZ隔離開來,您可虛擬地、物理地或是虛擬和物理元素混用地來達成這種隔離。
專家表示:在一個虛擬DMZ中,虛擬交換機和防火墻可虛擬地隔離一群的虛擬數(shù)據(jù)中心服務(wù)器和一群的虛擬Web服務(wù)器。只要虛擬網(wǎng)絡(luò)設(shè)備和防火墻也是根據(jù)最佳實踐進行管理的,任何地方皆可使用防火墻和交換機隔離子網(wǎng),可達到您想要的任何細致化程度。
不過,最好還是邏輯地隔離這些服務(wù)器群,邏輯地隔離同一臺物理服務(wù)器上Web服務(wù)器和另一臺物理服務(wù)器上數(shù)據(jù)庫服務(wù)器。Parker表示:"這樣就消除了惡意因素在虛擬機服務(wù)器群自身間傳播的風險性。"
鎖定最低層
咨詢專家Desai表示:Vmware平臺擁有大量對主機操作系統(tǒng)和硬件的訪問權(quán)限和特權(quán),它對于惡意軟件編寫者來說它無疑是一個很有誘惑力的目標。 "從技術(shù)觀點出發(fā),虛擬層的運行必須可直接訪問到硬件,或是可直接訪問到硬件抽象層。這意味著它運行時擁有對物理機器的高級許可權(quán)限,"他表示。"任何擁有這種訪問水平的應(yīng)用都免不了成為惡意軟件編寫者的目標。"
而隨著當針對虛擬機惡意軟件逐漸從在虛擬機之間作害,發(fā)展成向下入侵到主機操作系統(tǒng)甚至是虛擬機監(jiān)控層,這就成為我們必須面對的一個大問題。Parker和其他惡意軟件研究員皆有發(fā)現(xiàn)到此類攻擊。
計算機安全廠商DriveSentry公司首席執(zhí)行官John Safa 表示:"這些非法分子正尋找通過虛擬內(nèi)核攻擊沙盤(sandboxes)以及虛擬機的方式,"
針對企業(yè)用以運行其產(chǎn)品來防止安全故障發(fā)生的方法,Vmware產(chǎn)品管理高級總監(jiān)Patrick Lin還提供了一系列的測試和驗證名單。但安全問題歸結(jié)到底就是用戶過多寄望于供應(yīng)商了。
而英特爾公司服務(wù)器安全戰(zhàn)略決策人Paul Smith還由此推斷:虛擬機制將推動芯片級的認證技術(shù)發(fā)展。Smith舉了一個例子:可信計算組織(TCG)的可信平臺模塊(TPM)內(nèi)的"可信根"組件,它存儲了包括芯片上系統(tǒng)已驗證配置的hash值。;當該系統(tǒng)啟動時,可信根會對比密鑰和芯片上hash值,如果芯片上hash已發(fā)生改變,那么它將阻止任何系統(tǒng)運行。
英特爾和Advanced Micro Devices公司都針對虛擬機提供了TPM的可信根支持來檢測虛擬機監(jiān)控器的hash及hypervisor。假設(shè)其hash已發(fā)生改變,系統(tǒng)會嘗試重啟,可信根將恢復(fù)到原始hash或是索性不允許啟動。
至于,開發(fā)人員還一直在努力解決的虛擬TPMs問題。Novell產(chǎn)品經(jīng)理Larry Russon表示:在這一方面,可信-驗證流程將擴展到虛擬設(shè)備上。Smith表示:這將確保虛擬機平臺的完整性,進而通過其完整性特點達成其安全性,因為對該平臺的任何惡意或未授權(quán)改變(和最張?zhí)摂M機本身)都是不允許的。對此,Russon 則持反對意見,他表示:配置改變和補丁都是難以使用可信計算組織的模式。這是因為在可信-驗證流程中每臺虛擬設(shè)備的每一個改變必須再次復(fù)制并在芯片中再次生成hash。
當然,對芯片的管理要求的呼聲又是企業(yè)應(yīng)面對的一個嶄新的問題。至于結(jié)果如何?正如Debenedette所提及的:"通過芯片的Flash編程來實現(xiàn)更新方式會不會被攻破呢?我打賭未來我們會對此傷透腦筋。"
虛擬技術(shù)可能成黑客幫手
如果企業(yè)一味擴大虛擬化產(chǎn)品,而對虛擬機與物理服務(wù)器的本質(zhì)區(qū)別熟視無睹的話,那么他們遲早會給入侵者開辟新的方便之門,使之順利進入到數(shù)據(jù)中心。我們目前還無法精準地確定這類威脅的本質(zhì),因為它們尚未切實發(fā)生過。
一位來自波蘭的安全高手表示:虛擬化技術(shù)存在安全漏洞,這在VMware和AMD公司中都曾出現(xiàn)過。另外,黑客還可以利用虛擬化技術(shù)來隱藏病毒、特洛伊木馬及其他各種惡意軟件的蹤跡。
有專家表示:在虛擬化的新一代數(shù)據(jù)中心基礎(chǔ)設(shè)施中,每款虛擬設(shè)備及其系統(tǒng)和網(wǎng)絡(luò)段都必須根據(jù)最佳實踐進行管理和控制。這些實踐應(yīng)包括:
1、 為所有虛擬機及各類型虛擬機上運行的所有應(yīng)有程序建立黃金標準,應(yīng)用安全及版本和補丁管理控制。
2、通過虛擬防火墻、防惡意軟件和虛擬設(shè)備管理功能強制實施所定策略。
3、 依據(jù)虛擬機類型進行適當?shù)倪壿嫼臀锢砀綦x。例如:應(yīng)將虛擬Web服務(wù)器與虛擬數(shù)據(jù)庫服務(wù)器進行隔離。
4、適當調(diào)整網(wǎng)絡(luò)入侵檢測系統(tǒng)或是監(jiān)控器來監(jiān)視非法的及惡意的虛擬機流量
