环境更安全——可以防御的逻辑边界比物理边界更多。任由虚拟化环境暴露在攻击者面前,这个过错不在于我们的运气,甚至也不在于我们的虚拟机管理程序,而在于我们自己。
现在很清楚的是,虚拟化环境不仅提供了更灵活地管理数据中心的机会,也为离经叛道的管理员提供了一种更有效的攻击途径。在虚拟化环境中,我们可以建立深层防御机制,远远胜过在物理环境下所能实现的防御机制。但是我们刚刚习惯于这种灵活应变、千变万化的虚拟机环境;而在茜些情况下,我们带来了更大的风险,而不是互相加强深层保护机制。
以日本制药公司的北美子公司盐野义制药(Shionogi)为例。2010年7月,盐野义在亚特兰大办事处的IT员工Jason Cornish与他经理发生争执后愤然辞职。据新泽西泽纽瓦克的美国地方检察官Paul Fishman提交的案卷显示,在同一家公司共事15年的一位朋友主张,既然熟悉网络,他应该继续以合同工的身份为盐野义制药工作。2010年9月,提供给Cornish的工作被终止了;当月晚些时候,盐野义制药宣布裁员,Cornish的朋友也在裁员名单之列。10月1日,这位朋友拒不将网络密码告诉给盐野义制药留下来的管理员,结果导致他被公司直接炒鱿鱼。
2月3日,Cornish使用盐野义制药的一个用户帐户CVAULT和系统认可的密码,访问了一台服务器,而他在几周前,将VMware vSphere客户软件偷偷安装在了该服务器上。盐野义运行一套高度虚拟化的基础架构,Cornish将一台笔记本电脑带到配备了无线网络的麦当劳餐厅,进而删掉了盐野义的电子邮件、黑莓、订单跟踪和财务管理等服务器。
总的来说,Cornish只用vSphere客户软件就能访问vSphere的虚拟化管理控制台,只轻松点击一下,就彻底删除了盐野义的15个虚拟主机上的每个虚拟服务器。Cornish边嚼着巨无霸汉堡和薯条,边删掉了88个虚拟服务器,而盐野义的日常业务依赖这些虚拟服务器。
他最后被逮捕了,你不由得会想盐野义的防御机制最后还是胜出了,其实表明其防御机制根本不行。
他后来之所以被逮捕,主要是联邦调查局的网络犯罪打击小组快速介入有关。在这起攻击的发生地纽瓦克和亚特兰大都有联邦调查局的小组成员。犯罪现场在附近的麦当劳餐厅;特工跟踪查明了攻击者的IP地址后,查到了这起攻击来自那家麦当劳餐厅。就在攻击前几分钟,Cornish曾出现在现场,他用信用卡购买了4.96美元的食品。他肯定缺钱花。要不然,他的计划原本会得逞——那样他可能仍逍遥法外,没人知晓他与盐野义蒙受的80万美元损失有直接关系。
盐野义发现,从9月被解雇到次年2月3日发动攻击,Cornish前后访问系统达20次,这对破案也有所帮助。他们发现了为非作歹的vSphere客户软件,进而提出了诉讼,最终促使Cornish在8月16日低头认罪。11月10日,他将面临量刑法官,可能面临长达10年的监禁和25万美元的罚款。
但在此案中,正义得到伸张并没有给人多少安慰。盐野义的安全程序似乎很松懈;不过我知道有几回,妥善管理的公司也不了解为本公司工作的合同工。即使在前员工迅速被开除、合同工受到严格监控的情况下,每家公司要保护自己远离内贼作案还是有很大的难度。Cornish案并没有弄清楚他在何处获得了有效密码。在这种情况下,盐野义有可能采取了正确的措施,保护自己远离某位心怀不满的员工,随后却沦为无法证明其有罪的另一位员工的受害者。
在IT员工被裁减的那一刻,公司就特别容易受到内部人员的攻击。
不过,盐野义本该遵守最佳实践:比如对IT管理员的权限进行限制,限制每个管理员只能访问一组规定的服务器。但是并非只有盐野义这一家公司才将一般的权限分配给公司信任的IT工作人员;不然,有时意味着拥有相应技能的人无法访问相应的故障处。盐野义本该设置一个软件看门狗系统,从而监控谁登录到了哪些服务器、谁删除了服务器,但是许多公司没有落实能够从软件事件查到某个人的此类保护机制。
盐野义案真正让人关注的地方并不在于,多快地伸张了正义,而是多快地造成了严重破坏——这归因于虚拟化环境的管理界面。盐野义的业务被迫中断了好几天,直到后来虚拟服务器被重新构建,已知、有效的数据被重新创建。
我常常得到积极正面的反馈,说在这些新兴的虚拟化数据中心,IT经理具有怎样惊人的能力。但是有必要记住的一点是,如果使用虚拟化,不是只有好人才得到“上帝般”的权力。