多年來,全球領先的電子商務海洋物流提供商Inttra公司一直在其后臺IBM大型機和Citrix Systems服務器中使用到虛擬化技術,主要是運行虛擬Linux設備的IBM刀片服務器,從而形成其新一代數據中心基礎設施,同時這種基礎設施還通過虛擬化廠商Vmware運用于英特爾平臺上的虛擬化技術得到了進一步強化。
電子商務海洋物流提供商nttra公司IT副總裁John Debenedette表示:他相信他能夠在努力跟上已有的最佳實踐(best practices)步伐的同時保障好虛擬化數據中心環境安全;不過,若是要冒險在其非軍事區(DMZ)外運行虛擬Web服務器,或是在更難以控制的終端上運行虛擬機則他還沒有這個把握。
"您能夠在所有虛擬機上執行最佳實踐。但說到最后,安全問題還是歸結為您對虛擬機平臺層本身寄望太多了,"Debenedette表示。"這一層稱為虛擬內核或虛擬機監控器(VMM),也稱為hypervisor,是位于硬件和操作系統等設備驅動程序之間,從而使其處在了一個權威性位置上。"
雖則還未有安全觀察員證實現在已有針對這平臺層的攻擊,但我們已可以看到普遍存在的虛擬機感知式惡意軟件(如,RedPill)以及虛擬機型rootkits(如BluePill)。有關專家表示:現在這個平臺層現在已成為虛擬機惡意軟件編寫者眼中的美味大餐。為此,Debenedette很是擔心這個新平臺層的安全。
其實,要做虛擬機平臺層的安全主要有以下三點:
一,在這種虛擬環境中迫切要求實施高效安全的最佳實踐;
二,除了物理設備以外,企業也必須對虛擬設備進行管理并加以保護,必須適當調整網絡防御來監視虛擬機設備上非法流量;
三,虛擬機層的創建必須是安全、有保障地進行以避開最新型惡意軟件攻擊。
虛擬技術安全從基本安全策略入手
6月份,Research Concepts公司曾做過一次有關虛擬化安全的調查。結果顯示:有457個受訪者認為虛擬化技術并未增加他們的安全風險;只有250名受訪者(近36%)認為虛擬化技術成為非法分子手中新增安全威脅工具,增加了他們的安全風險。而在這36%受訪者中,有近一半的人員是有部署防火墻或是將關鍵網絡分段為虛擬LANs,而其余一半人員則是在其入侵檢測傳感器中加入了虛擬機流量感知功能。
看來,受訪者中僅有三分之一已認識到虛擬平臺層本身也是易受到攻擊的;其它人則不認為虛擬機平臺供應商必須在其產品中加入安全組件。
明顯地,許多企業一直并未應用最基本安全策略來保護好他們的虛擬服務器。現在,企業正逐漸感受著非法及未管理虛擬機的四處蔓延,企業必須要果斷的結束這種危險的錯誤行為。常為財富500強公司提供咨詢的專家表示:令人心痛的是,虛擬化技術本是為了促進硬件領域安全而采用的,結果卻反而增加了安全風險。
"隨著虛擬機范圍擴展,這個問題正逐漸為人所知,"咨詢專家Anil Desai表示。"如果沒有相關IT知識就輕率地創建虛擬機,甚至很難知道存在網絡上的這些問題。"
此外,Desai還表示: "軟件開發人員、內聯網用戶,甚至是在數據中心服務器上擁有很多特權的用戶都正創建虛擬機(沒有相關IT知識),只是看中它們易于部署且有助于完成某些工作。"這是客戶端站點上普遍存在的一個問題。
對此,Debenedette表示:他實在了解不了這種現象;任何稱職的企業都應根據最佳實踐來進行其數據中心的運作,這樣一旦有發行新虛擬服務器之類行為時他們就會得到示警。這些最佳實踐的強制實施最終會大大地減少問題范圍。
Debenedette領導的團隊現在使用的是Vmware虛擬中心管理軟件,這款軟件中包括有一項自動探測功能,它可定位虛擬機非法創建情況。Novell ZenWorks桌面管理系統和微軟的系統中心虛擬機管理器(SCVMM)以及其它虛擬機特定管理工具也有提供類似探測功能。對于那些不想要集成此類工具到他們控制臺的企業,他們可采用CA、HP、Network General以及其它管理和監控產品供應商的產品,因為在去年這些供應商就已在他們的產品套件中加入了各種程度的虛擬機感知功能。
Novell公司產品總監Richard Whitehead表示:定位虛擬機這一功能(即探測功能)還會對許可操作和產品支持有所幫助。"如果您正運行虛擬服務器,若它們還未通過許可,那么它們就得不到相應支持,"他表示。"這意味著它們不會有補丁,也不會有更新,從而使得它們即成為一種安全隱患。"
管理工具所提供其它有助于安全防護的探測相關功能還包括:假如有負載平衡、感染或攻擊方面有要求的話,它們還可終止不必要的虛擬機和不采用其它安全系統
#p#副標題#e#
如同針對物理領域一樣進行分區
面向大型公司、政府提供先進的通信和信息技術解決方案的新供應商Verizon Business公司咨詢顧問Tom Parker表示:虛擬機故障切換的地點和方式是極為重要的;目前企業IT執行人員滿腦子都是如何設置故障切換流程。
例如:故障切換可用于從一臺虛擬機切換到另一臺虛擬機,或是切換到另一個完全不同的虛擬子網中。最佳實踐可以要求故障切換時切換到一臺隔離的物理服務器上,這點在總系統發生故障時猶為重要。
在虛擬環境中,系統的隔離和分區是十分重要的,不僅適用于備份,同時還適用于創建DMZ。Parker認為IT們常常會忽略了這種隔離工作。"當同一臺計算機上有一大群的虛擬Web服務器,而數據庫服務器也隨之虛擬化時難以想像會發生什么。而我卻一直有發現到這種情況,"他表示。"這樣的結果只能是企業的安全風險系數直線上升,攻擊者和惡意軟件可任意地從Web服務器直接攻擊到數據庫服務器。"
#p#副標題#e#
最佳實踐往往要求此類系統應通過DMZ隔離開來,您可虛擬地、物理地或是虛擬和物理元素混用地來達成這種隔離。
專家表示:在一個虛擬DMZ中,虛擬交換機和防火墻可虛擬地隔離一群的虛擬數據中心服務器和一群的虛擬Web服務器。只要虛擬網絡設備和防火墻也是根據最佳實踐進行管理的,任何地方皆可使用防火墻和交換機隔離子網,可達到您想要的任何細致化程度。
不過,最好還是邏輯地隔離這些服務器群,邏輯地隔離同一臺物理服務器上Web服務器和另一臺物理服務器上數據庫服務器。Parker表示:"這樣就消除了惡意因素在虛擬機服務器群自身間傳播的風險性。"
鎖定最低層
咨詢專家Desai表示:Vmware平臺擁有大量對主機操作系統和硬件的訪問權限和特權,它對于惡意軟件編寫者來說它無疑是一個很有誘惑力的目標。 "從技術觀點出發,虛擬層的運行必須可直接訪問到硬件,或是可直接訪問到硬件抽象層。這意味著它運行時擁有對物理機器的高級許可權限,"他表示。"任何擁有這種訪問水平的應用都免不了成為惡意軟件編寫者的目標。"
而隨著當針對虛擬機惡意軟件逐漸從在虛擬機之間作害,發展成向下入侵到主機操作系統甚至是虛擬機監控層,這就成為我們必須面對的一個大問題。Parker和其他惡意軟件研究員皆有發現到此類攻擊。
計算機安全廠商DriveSentry公司首席執行官John Safa 表示:"這些非法分子正尋找通過虛擬內核攻擊沙盤(sandboxes)以及虛擬機的方式,"
針對企業用以運行其產品來防止安全故障發生的方法,Vmware產品管理高級總監Patrick Lin還提供了一系列的測試和驗證名單。但安全問題歸結到底就是用戶過多寄望于供應商了。
而英特爾公司服務器安全戰略決策人Paul Smith還由此推斷:虛擬機制將推動芯片級的認證技術發展。Smith舉了一個例子:可信計算組織(TCG)的可信平臺模塊(TPM)內的"可信根"組件,它存儲了包括芯片上系統已驗證配置的hash值。;當該系統啟動時,可信根會對比密鑰和芯片上hash值,如果芯片上hash已發生改變,那么它將阻止任何系統運行。
英特爾和Advanced Micro Devices公司都針對虛擬機提供了TPM的可信根支持來檢測虛擬機監控器的hash及hypervisor。假設其hash已發生改變,系統會嘗試重啟,可信根將恢復到原始hash或是索性不允許啟動。
至于,開發人員還一直在努力解決的虛擬TPMs問題。Novell產品經理Larry Russon表示:在這一方面,可信-驗證流程將擴展到虛擬設備上。Smith表示:這將確保虛擬機平臺的完整性,進而通過其完整性特點達成其安全性,因為對該平臺的任何惡意或未授權改變(和最張虛擬機本身)都是不允許的。對此,Russon 則持反對意見,他表示:配置改變和補丁都是難以使用可信計算組織的模式。這是因為在可信-驗證流程中每臺虛擬設備的每一個改變必須再次復制并在芯片中再次生成hash。
當然,對芯片的管理要求的呼聲又是企業應面對的一個嶄新的問題。至于結果如何?正如Debenedette所提及的:"通過芯片的Flash編程來實現更新方式會不會被攻破呢?我打賭未來我們會對此傷透腦筋。"
虛擬技術可能成黑客幫手
如果企業一味擴大虛擬化產品,而對虛擬機與物理服務器的本質區別熟視無睹的話,那么他們遲早會給入侵者開辟新的方便之門,使之順利進入到數據中心。我們目前還無法精準地確定這類威脅的本質,因為它們尚未切實發生過。
一位來自波蘭的安全高手表示:虛擬化技術存在安全漏洞,這在VMware和AMD公司中都曾出現過。另外,黑客還可以利用虛擬化技術來隱藏病毒、特洛伊木馬及其他各種惡意軟件的蹤跡。
有專家表示:在虛擬化的新一代數據中心基礎設施中,每款虛擬設備及其系統和網絡段都必須根據最佳實踐進行管理和控制。這些實踐應包括:
1、 為所有虛擬機及各類型虛擬機上運行的所有應有程序建立黃金標準,應用安全及版本和補丁管理控制。
2、通過虛擬防火墻、防惡意軟件和虛擬設備管理功能強制實施所定策略。
3、 依據虛擬機類型進行適當的邏輯和物理隔離。例如:應將虛擬Web服務器與虛擬數據庫服務器進行隔離。
4、適當調整網絡入侵檢測系統或是監控器來監視非法的及惡意的虛擬機流量
