虛擬化響起安全警報(bào)

在虛擬機(jī)上一旦出現(xiàn)一次災(zāi)難性的安全事件，會(huì)不會(huì)拖垮關(guān)鍵的應(yīng)用程序，甚至拖垮整個(gè)數(shù)據(jù)中心?這已經(jīng)成為很多虛擬化應(yīng)用踐行者所關(guān)心的問題。

將企業(yè)內(nèi)的應(yīng)用遷移至虛擬服務(wù)器，不但能夠提高效率，還能為企業(yè)節(jié)省大筆費(fèi)用。但是，在積極開展服務(wù)器虛擬化的同時(shí)，越來越多的IT管理者也在思考由此帶來的安全問題。

有CIO就曾經(jīng)表示，由于所在公司的服務(wù)器中有一半以上采用了虛擬化技術(shù)，因此他特別關(guān)注這些虛擬基礎(chǔ)設(shè)施的安全問題。零售企業(yè)Rent-a-Center公司負(fù)責(zé)技術(shù)服務(wù)和架構(gòu)的高級(jí)IT主管Jai Chanani說:“我最擔(dān)心的問題就是，如果有人想盜取虛擬服務(wù)器怎么辦?。”

Jai Chanani和他的團(tuán)隊(duì)管理著約200個(gè)VMware ESX和XenServer虛擬服務(wù)器，這些虛擬機(jī)充當(dāng)文件和打印服務(wù)器，在某些情況下還充當(dāng)應(yīng)用服務(wù)器。出于安全上的考慮，Jai Chanani沒有將虛擬化技術(shù)用于公司的ERP系統(tǒng)、數(shù)據(jù)庫和電子郵件系統(tǒng)。

Six Flags公司是一家游樂場(chǎng)運(yùn)營(yíng)商，公司的CIO Michael Israel表達(dá)了另一種擔(dān)憂。在他看來，最令人不安的場(chǎng)景就是肆意妄為的管理員把虛擬服務(wù)器從安全網(wǎng)段遷移到了屬于不安全網(wǎng)段的物理主機(jī)上，或者私自創(chuàng)建未登記的、無許可證的、還沒打補(bǔ)丁的虛擬服務(wù)器。

相關(guān)專家認(rèn)為，產(chǎn)生這些擔(dān)憂的原因不是虛擬基礎(chǔ)設(shè)施本身的安全很難確保，而是許多公司還沒有讓現(xiàn)有的安全方面的最佳實(shí)踐應(yīng)用到新的虛擬環(huán)境?，F(xiàn)在，通過虛擬化，IT管理員可以很輕松地成批創(chuàng)建虛擬服務(wù)器，根本不像原來，采購(gòu)任何IT設(shè)備時(shí)都需要得到網(wǎng)絡(luò)、存儲(chǔ)、業(yè)務(wù)連續(xù)性或IT安全等管理者的批準(zhǔn)，虛擬化打破了原有IT內(nèi)部傳統(tǒng)的職責(zé)劃分。

IBM旗下的IBM安全解決方案咨詢公司副總裁Kirs Lovejoy表示，虛擬化市場(chǎng)變化太快了，客戶在最佳實(shí)踐方面沒有跟上時(shí)代的步伐，既缺少這方面的專業(yè)知識(shí)，也缺少實(shí)際技能。雖然不乏確保虛擬基礎(chǔ)設(shè)施安全的技術(shù)，但經(jīng)常因配置不當(dāng)而引發(fā)安全問題。

曼哈頓IT咨詢機(jī)構(gòu)The Info Pro公司的安全研究總經(jīng)理Bill Trussell說:“虛擬環(huán)境中的安全問題主要表現(xiàn)為缺少可視性、缺少控制性以及擔(dān)心未知因素。”

管好虛擬機(jī)

管理程序

會(huì)不會(huì)有人劫持公司虛擬基礎(chǔ)設(shè)施里面的虛擬機(jī)管理程序，用它來攻擊所有虛擬服務(wù)器?在管理員不知道的情況下，攻擊者會(huì)不會(huì)闖入一個(gè)虛擬服務(wù)器后，以此作為跳板，攻擊另一個(gè)虛擬服務(wù)器上的關(guān)鍵應(yīng)用?這些問題都是當(dāng)前一些CIO對(duì)于虛擬化應(yīng)用所擔(dān)心的問題。

RSA安全基礎(chǔ)設(shè)施高級(jí)主管Eric Baize說，盡管目前還沒有發(fā)現(xiàn)針對(duì)虛擬基礎(chǔ)設(shè)施的攻擊，但絕對(duì)不可掉以輕心。自從2006年Jonna Rutkowska在黑帽大會(huì)演示了著名的藍(lán)色藥丸(Blue Pill)虛擬機(jī)管理程序惡意軟件rootkit起，人們就開始擔(dān)心可能危及虛擬機(jī)管理程序的攻擊。不過Rutkowska本人也懷疑，是否有人真的會(huì)利用類似“藍(lán)色藥丸”這樣的rootkit來攻擊虛擬機(jī)，畢竟它相對(duì)復(fù)雜，更加適合攻擊傳統(tǒng)操作系統(tǒng)。

正是有了對(duì)rootkit的擔(dān)心，此后業(yè)界積極開發(fā)硬件技術(shù)，確保虛擬機(jī)管理程序的完整性，如英特爾公司的定向I/O虛擬化技術(shù)(VT-d)，虛擬化軟件供應(yīng)商也隨之開始支持這些技術(shù)。

Gartner公司的分析師Neil MacDonald表示，VT-d還不能真正保護(hù)虛擬機(jī)管理程序的完整性，因此英特爾在新型的處理器上引入了可信執(zhí)行技術(shù)(TXT)，以提供動(dòng)態(tài)度量可信根，保護(hù)虛擬環(huán)境免受rootkit惡意軟件的攻擊。

但是如果企業(yè)信息安全領(lǐng)域的最佳實(shí)踐未得到遵循，沒有應(yīng)用到虛擬基礎(chǔ)設(shè)施上，虛擬化應(yīng)用還是會(huì)帶來風(fēng)險(xiǎn)。因此必須像對(duì)待任何操作系統(tǒng)那樣，及時(shí)地給虛擬機(jī)打上補(bǔ)丁，那樣才能堵住安全漏洞。2010年以來，VMware已經(jīng)發(fā)布了9份重大安全公告，XenServer也發(fā)布了許多安全補(bǔ)丁。

但是在實(shí)際操作中，對(duì)虛擬機(jī)的管理中仍舊存在著很多配置不當(dāng)?shù)那闆r，對(duì)虛擬機(jī)的補(bǔ)丁管理也是混亂不堪，甚至有些管理員給虛擬機(jī)管理器軟件使用的是很容易被猜中、甚至是默認(rèn)的用戶名和密碼，而這些管理軟件是可以直接訪問虛擬機(jī)的。

無形的網(wǎng)絡(luò)隱患

虛擬機(jī)之間的通信也是另一個(gè)安全隱患，因?yàn)槿肭謾z測(cè)系統(tǒng)、防火墻及其他監(jiān)測(cè)工具無法判斷虛擬機(jī)是不是在同一物理服務(wù)器上運(yùn)行

菲尼克斯市政府的高級(jí)安全工程師Vauda Jordon就曾經(jīng)把數(shù)據(jù)包檢測(cè)程序裝在虛擬服務(wù)器上，但是沒有發(fā)現(xiàn)任何數(shù)據(jù)包進(jìn)出物理網(wǎng)絡(luò)接口，他對(duì)此就很擔(dān)憂，因?yàn)椴恢捞摂M機(jī)間的通信是否是基于安全通道進(jìn)行的。

一般情況下，若使用ESX Server及其他主要的虛擬化平臺(tái)，虛擬機(jī)之間傳送的數(shù)據(jù)是不經(jīng)過加密處理的。當(dāng)虛擬機(jī)的內(nèi)存使用VMware的vMotion工具，在不同物理主機(jī)之間移動(dòng)時(shí)，虛擬機(jī)也未經(jīng)加密。(虛擬機(jī)磁盤文件本身仍在同一個(gè)共享存儲(chǔ)設(shè)備上)。VMware公司的產(chǎn)品營(yíng)銷主管Venu Aravamudan表示，VMware正在積極考慮相關(guān)加密的問題，但至于何時(shí)會(huì)把加密技術(shù)添加到VMware的產(chǎn)品中還是個(gè)未知數(shù)。

目前，VMware的vShield等產(chǎn)品和其他第三方工具可以建立虛擬防火墻，從而把VMware、Xen Server、Hyper-V及其他虛擬機(jī)隔離到不同的安全區(qū)域，但并非所有企業(yè)都實(shí)施了這種安全策略。對(duì)于大多數(shù)企業(yè)而言，創(chuàng)建安全區(qū)域并不是重中之重。不過一旦虛擬基礎(chǔ)設(shè)施規(guī)模擴(kuò)大，創(chuàng)建安全區(qū)域就變得很有必要。

Rent-a-Center公司就對(duì)虛擬機(jī)進(jìn)行了物理分隔，不同功能的虛擬服務(wù)器駐留在不同的物理服務(wù)器上。不過隨著虛擬環(huán)境日漸龐大，這種做法也變得越來越困難，成本也會(huì)急劇提高，同時(shí)還限制了虛擬化的合并優(yōu)勢(shì)?！耙虼?，我們開始考慮要重新改造、建立虛擬防火墻。”Chanani說。

一些現(xiàn)有的防火墻工具可以檢測(cè)虛擬服務(wù)器的流量，但I(xiàn)T部門還是應(yīng)該添加一套專門針對(duì)虛擬化的工具，雖然這樣做會(huì)增加管理的復(fù)雜性，但是為了確保萬無一失還是很有必要的。并且一套工具既適用于物理環(huán)境，又適用于虛擬環(huán)境，也是大勢(shì)所趨。不過就目前的情況而言，除非傳統(tǒng)信息安全廠商奮力趕上，否則IT部門仍舊需要使用像Altor Networks、Catbird Networks和HyTrust這些不太知名的廠商提供的專門為虛擬機(jī)定制的工具。

除了上面所提到的因素外，也有業(yè)內(nèi)安全專家表示，要想保證虛擬化應(yīng)用的安全性，更重要的是要讓核心網(wǎng)絡(luò)架構(gòu)也能夠適應(yīng)虛擬化。

RSA安全部門的高級(jí)安全顧問Andrew Mulé說:“虛擬化環(huán)境中的業(yè)務(wù)連續(xù)性問題，大多是因?yàn)榫W(wǎng)絡(luò)設(shè)計(jì)缺陷而產(chǎn)生的。網(wǎng)絡(luò)能夠與物理的服務(wù)器協(xié)同工作，但未必也能夠與虛擬機(jī)協(xié)同工作，只有實(shí)施相應(yīng)的路由、子網(wǎng)和虛擬局域網(wǎng)部署，才有望提高虛擬機(jī)的安全性能?！?/p>

Six Flags的高級(jí)系統(tǒng)工程師Matthew Nowell通過使用虛擬局域網(wǎng)來隔離虛擬服務(wù)器，對(duì)此也有專家發(fā)出了不同的聲音，認(rèn)為單單靠虛擬局域網(wǎng)和基于路由器的訪問控制還不足以實(shí)現(xiàn)安全隔離，而是應(yīng)該部署某種可識(shí)別虛擬化的防火墻。

Jordon在日常工作中就遇到了相應(yīng)的問題，她需要把日常的業(yè)務(wù)網(wǎng)絡(luò)與銀行支付卡相關(guān)的基礎(chǔ)設(shè)施分開，菲尼克斯市的市民必須使用后者來支付水費(fèi)或支付其他服務(wù)費(fèi)。為了滿足支付卡行業(yè)安全標(biāo)準(zhǔn)(PCI Secruity Standard)的要求，Jordon在處理、存儲(chǔ)或傳輸支付卡數(shù)據(jù)的虛擬服務(wù)器上落實(shí)了監(jiān)測(cè)文件完整性的機(jī)制。Jordon表示，實(shí)踐證明相比虛擬機(jī)管理程序，防火墻更值得信賴。

明尼蘇達(dá)州的Schwann Food公司在支付卡處理上完全使用裸機(jī)虛擬化系統(tǒng)，根本不運(yùn)行任何虛擬機(jī)管理程序。

危險(xiǎn)的超級(jí)管理員

除了技術(shù)上的風(fēng)險(xiǎn)，人為因素的風(fēng)險(xiǎn)也大大威脅著虛擬化應(yīng)用的安全。在不受制約、不受監(jiān)控的虛擬環(huán)境下，如果管理員有很大的權(quán)限，很有可能會(huì)帶來安全上的問題。

比如說，管理員創(chuàng)建的虛擬FTP服務(wù)器可能會(huì)無意中使用遷移工具(比如XenMotion、Hyper-V實(shí)時(shí)遷移功能或VMware的Vmotion)，把服務(wù)器遷移到不同硬件上。但他們可能沒有意識(shí)到，新主機(jī)是在不可信的網(wǎng)段上?；蛘呤前裋Mware虛擬網(wǎng)絡(luò)計(jì)算(VNC)客戶機(jī)的管理憑證存儲(chǔ)在虛擬機(jī)映像里面的文本文件中，然后分配那些虛擬機(jī)，這樣的行為是不符合最佳安全實(shí)踐要求的。

IBM安全戰(zhàn)略部門的架構(gòu)師Harlod Moss表示，實(shí)際工作中，管理員在創(chuàng)建新的虛擬服務(wù)器時(shí)使用默認(rèn)密碼的情況司空見慣，負(fù)責(zé)管理新機(jī)器的人員也未必會(huì)去更改密碼，這很容易引發(fā)潛在的安全。

弗雷斯特公司分析師John Kindervag也透露說，曾經(jīng)有公司的VMware vCenter管理控制臺(tái)，因?yàn)槊艽a問題被攻擊的事情發(fā)生。攻擊者竊取虛擬機(jī)后，就闖入了數(shù)據(jù)中心，肆意竊取一個(gè)硬件設(shè)備中的數(shù)據(jù)，后果相當(dāng)嚴(yán)重。

日常工作中，還會(huì)經(jīng)常發(fā)生虛擬機(jī)映像創(chuàng)建不當(dāng)引起的惡意軟件問題。為了防止這種情況，安全軟件廠商們正積極應(yīng)對(duì)。一些虛擬化軟件允許一些代碼可以在虛擬機(jī)管理程序?qū)用孢\(yùn)行，趨勢(shì)科技公司的Deep Security軟件就包括了防火墻、日志檢查、文件完整性監(jiān)測(cè)以及入侵檢測(cè)和預(yù)防等功能。該軟件可與Sun Solaris Containers、微軟Windows Hyper-V、VMware ESX Server和思杰XenServer等虛擬機(jī)兼容。不過同時(shí)，也有人質(zhì)疑在虛擬機(jī)管理程序?qū)用孢\(yùn)行代碼的方法是不是個(gè)好主意。

RSA安全部門的Mulé說，在虛擬環(huán)境下沒有貫徹原有的最佳實(shí)施實(shí)踐，或者沒有明確職責(zé)分離，是導(dǎo)致虛擬環(huán)境安全問題頻頻出現(xiàn)的根源。應(yīng)制定嚴(yán)格的變更管理流程，包括頒發(fā)變更管理通知單，以保證不在不安全的環(huán)境里面運(yùn)行虛擬機(jī)。在虛擬環(huán)境下，變更管理、配置管理和資產(chǎn)控制對(duì)于確保虛擬基礎(chǔ)設(shè)施安全至關(guān)重要，因此要明確職劃分。

作為歐洲委員會(huì)發(fā)展銀行的系統(tǒng)工程主管，Jean-Louis Nguyen的工作是管理140個(gè)虛擬機(jī)的管理員，確保他們遵守相關(guān)法規(guī)和管理要求。這家銀行試用過VMware的日志記錄功能，但需要一種更好的辦法來合并信息。Jean-Louis Nguyen最后使用了HyTrust公司的一款專用工具，用來記錄所有活動(dòng)的中心日志。

這家銀行還使用了HyTrust為首席安全官建立了完全隔離的虛擬環(huán)境，首席安全官全權(quán)控制從底部支撐安全軟件的物理和虛擬基礎(chǔ)設(shè)施。他只能監(jiān)測(cè)所有虛擬服務(wù)器和配置情況，但無法進(jìn)行任何更改。這些機(jī)制確保了系統(tǒng)管理員不會(huì)濫用權(quán)限。

目前有一些公司已經(jīng)開始提供政策管理工具套件，這些產(chǎn)品既能提醒管理員不要做出違反政策的行為，還能隔離違反規(guī)則的任何虛擬機(jī)。

在Rent-a-Center公司，也許是個(gè)例外，他們沒有采用任何額外的管理工具，全憑嚴(yán)格的管理策略來滿足管理上的需要。

另一方面，由于虛擬機(jī)映像其實(shí)就是數(shù)據(jù)——存儲(chǔ)在某處硬盤上的程序代碼，所以這些文件必須予以保護(hù)。Jordon表示，菲尼克斯市政府綜合使用了物理安全、網(wǎng)絡(luò)存儲(chǔ)訪問控制和文件完整性監(jiān)控機(jī)制，以保護(hù)虛擬機(jī)映像。

Six Flags則把虛擬機(jī)映像保存在受保護(hù)的網(wǎng)絡(luò)存儲(chǔ)設(shè)備上，以此防止沒有授權(quán)的用戶進(jìn)入共享系統(tǒng)，拷貝虛擬機(jī)映像數(shù)據(jù)。

RSA的Baize認(rèn)為，IT部門應(yīng)該著重考慮如何制訂預(yù)防數(shù)據(jù)丟失的策略。他認(rèn)為，不必制定規(guī)定哪些虛擬機(jī)可以訪問哪些數(shù)據(jù)的政策，而是應(yīng)該規(guī)定哪些敏感數(shù)據(jù)不能遷移到哪些虛擬機(jī)上的機(jī)制。

確保虛擬基礎(chǔ)設(shè)施的安全不是說要購(gòu)買更多的安全產(chǎn)品，Baize表示，現(xiàn)在已經(jīng)有很多針對(duì)虛擬基礎(chǔ)設(shè)施的控制機(jī)制，現(xiàn)在缺少的是大家不了解控制機(jī)制適用于什么樣的環(huán)境，以及該什么時(shí)候運(yùn)用。

也有業(yè)內(nèi)信息安全專家表示，建立安全的虛擬基礎(chǔ)設(shè)施，最好的方法就是讓IT安全人員或安全顧問及早參與。Gartner的報(bào)告顯示， 40%的IT部門直到系統(tǒng)構(gòu)建好、投入使用后，才讓IT安全人員參與虛擬基礎(chǔ)設(shè)施的部署工作。隨著更多的關(guān)鍵業(yè)務(wù)應(yīng)用程序開始遷移到虛擬機(jī)上，這樣的情況不利于消除安全隱患。因?yàn)楫?dāng)開始考慮對(duì)ERP這樣的重要應(yīng)用進(jìn)行虛擬化時(shí)，會(huì)遇到很多敏感數(shù)據(jù)。到那時(shí)企業(yè)再試圖追加安全特性，就顯得有些力不從心了。因此應(yīng)該從系統(tǒng)規(guī)劃一開始就應(yīng)該設(shè)計(jì)安全特性，事后重新設(shè)計(jì)的工作只會(huì)產(chǎn)生高昂成本。

要是沒有嚴(yán)格的安全政策，虛擬基礎(chǔ)設(shè)施就會(huì)很快暴露出安全上的弱點(diǎn)。

—— Rent-a-Center公司信息安全高級(jí)總監(jiān)KC Condit