许多公司都已经配置了虚拟化架构来降低成本,提高效率,但是虚拟化方面的安全专家表示,这些公司应该再次评估他们的安全措施,从而解决这一技术所造成的缺陷。
像过去一样,当采用物理架构和系统来满足商业需求时,在许多早期虚拟化配置中安全需求一般被放在次要位置,Dave Shackleford说道(Shackleford是Voodoo Security公司的创始人兼首席顾问,该公司的总部位于亚特兰大)。但好的消息是,用于防御物理系统免受攻击的策略可以用于解决虚拟化安全风险,Shackleford表示。
“你仍然需要监测网络流量,同时还需要解决一些配置和补丁管理方面的问题。” Shackleford说,“从网络的角度来看,真正的改变仅仅是你现在可以通过同一个通道传输更多的流量。”
虚拟化打破了物理系统的界限,将网络转化成了各种配置和内存中的快照文件。该技术使用一个管理程序,使得硬件可以支持多个系统在一个物理平台上同时运行。Shackleford称虚拟化平台具有“令人难以置信的适应性”。推出这些平台的公司有VMware、Citrix Systems和Microsoft等厂商,并不断的对其漏洞进行修补。
这些对虚拟系统的威胁,比如:利用管理程序和其他组件发起的攻击,目前已得到了相关的概念验证,Shackleford说道。研究人员已经记录了侵入一个虚拟服务器并拥有一个虚拟机的复杂方法,不过至今利用虚拟机来攻击的风险还是很低的。事实上,最新的Verizon数据泄漏调查报告显示:所有这些被调查的泄漏案件中——超过了923个独立案件——没有一个是涉及利用管理程序来允许攻击者越过虚拟机的。
除了被记录的所有复杂的攻击外,Shackleford相信攻击者更有可能选择破坏用于支持虚拟机的管理基础设施。他说,许多公司都不能将管理基础设施从虚拟网络的其余部分中完全分隔出来。这个漏洞可以是网络犯罪分子用来获得敏感数据的攻击向量。
“你必须确保管理基础设施不仅仅集中在你的生产流量的其余部分,”他说,“这需要额外的工作,但在大多数情况下,人们不愿再这上面花时间。”
Shackleford是一位经认证的SANS研究所讲师,他正在改进由该组织举办的虚拟化培训,该培训的目的是围绕具体的最佳策略拓展其范围。他说,各组织应该评估他们的物理安全设备和系统,看其是否能够在虚拟基础架构上工作。一些传统的方法,比如:隔离包含敏感数据的系统,确保管理团队职责分离,保护管理层不受内部和外部的攻击等等,都应该被采用。另外,安全厂商正在针对虚拟化环境优化它们的产品。
Andy Ellis是Akamai Technologies公司的信息安全高级主管和首席安全架构师,他说他的公司在虚拟服务器上运行基于Java的计算环境。Akamai的客户端在这个环境下运行面向用户的网络应用程序,比如:一个网站组件可以用来寻找一个零售地点或者寻找让网站访问者可以按需求定制产品的配置工具。Ellis说,这个环境建立起来后,Akamai可以在需要的时候向基于Java的网络应用程序传送计算能力。
为了提供安全性,Ellis的团队将应用程序以及每个单独的虚拟机限定在了运算系统的核心层。这两个限定层隔离了进程,并提供了对环境的严密监测,他解释到。
“这里有许多针对应用程序的监测以确保它在期望的参数内运行。” Ellis说。
虚拟机逃逸和虚拟机失窃
Edward L. Haletky是AstroArch咨询公司总裁和首席顾问,他赞同保护虚拟系统应从传统方法开始。将虚拟网络分隔成不同的部分并通过入侵防御和入侵预防系统来运行敏感虚拟机流量。他说,应用程序和底层运算系统应该被修补和更新。
虚拟机自身也是一个威胁面,Haletky说道。传统的反恶意软件能够扫描内存,但是它通常是基于特征的并可以被攻击者绕过。攻击者可以利用零日漏洞或者新的恶意软件变种来绕过反恶意软件技术,他补充道。
“从本质上讲,这是一个与总是名列前茅的黑客的军备竞赛” Haletky说。
研究人员继续研究虚拟机逃逸,这种逃逸指一个精明的攻击者能够突破虚拟机,获得管理程序并控制在主机上运行的其他虚拟机。“目前所有公开的逃逸对用于服务器虚拟化的主要管理程序都是无效的,比如vSphere,XenServer和Hyper-V,” Haletky说道。另一种技术叫做虚拟机失窃,通过这种技术,攻击者可以窃取一个虚拟机文件,然后查看服务器的内容。
“这里有许多不同的攻击途径,” Haletky说,“管理程序可以以某种方式自我保护,但是企业需要对它进行加强,并且应该像他们会在物理环境中做的那样,添加安全层。”
不过,Haletky认为攻击者很可能选择快速的效果。“当攻击者可以突破管理网络并得到所有东西时,为什么还费心的去窃取虚拟机并做困难的事情呢?”他说,“由于虚拟机和管理环境很容易被突破,所以当前的管理网络规则要将它从其余所有部分分隔出来。”
现有的工具可以帮助企业获得对虚拟网络和文件子系统的可视性,但是没有一个单一的工具可以做所有的事情,Haletky说。虚拟环境的审核也是一个需要改进的领域。传统的日志分析工具不能得到完整的情况。“你需要将谁做了什么事情,在哪里,是何时以及如何做的相联系起来,但在虚拟环境中这一点仍然是很难做到的。”他说道。