您现在的位置是:首页 > IT基础架构 > 网络与安全 >
虚拟技术安全需从基本安全策略入手
2008-09-09 22:12:00作者:Deb Radcliff 来源:
摘要恶意软件编写者切入采用虚拟技术的IT设备平台核心只是时间早晚的问题。...
恶意软件编写者切入采用虚拟技术的IT设备平台核心只是时间早晚的问题。
电子商务海洋物流提供商nttra公司IT副总裁John Debenedette表示:他相信他能够在努力跟上已有的最佳实践(best practices)步伐的同时保障好虚拟化数据中心环境安全;不过,若是要冒险在其非军事区(DMZ)外运行虚拟Web,或是在更难以服务器控制的终端上运行虚拟机则他还没有这个把握。
"您能够在所有虚拟机上执行最佳实践。但说到最后,安全问题还是归结为您对虚拟机平台层本身寄望太多了,"Debenedette表示。"这一层称为虚拟内核或虚拟机监控器(VMM),也称为hypervisor,是位于硬件和操作系统等设备驱动程序之间,从而使其处在了一个权威性位置上。"
虽则还未有安全观察员证实现在已有针对这平台层的攻击,但我们已可以看到普遍存在的虚拟机感知式恶意软件(如RedPill)以及虚拟机型rootkits(如BluePill)。有关专家表示:现在这个平台层现在已成为虚拟机恶意软件编写者眼中的美味大餐。为此,Debenedette很是担心这个新平台层的安全。
其实,要做虚拟机平台层的安全主要有以下三点:
一,在这种虚拟环境中迫切要求实施高效安全的最佳实践;
二,除了物理设备以外,企业也必须对虚拟设备进行管理并加以保护,必须适当调整网络防御来监视虚拟机设备上非法流量;
三,虚拟机层的创建必须是安全、有保障地进行以避开最新型恶意软件攻击。
虚拟技术安全从基本安全策略入手
6月份,Research Concepts公司曾做过一次有关虚拟化安全的调查。结果显示:有457个受访者认为虚拟化技术并未增加他们的安全风险;只有250名受访者(近36%)认为虚拟化技术成为非法分子手中新增安全威胁工具,增加了他们的安全风险。而在这36%受访者中,有近一半的人员是有部署防火墙或是将关键网络分段为虚拟LANs,而其余一半人员则是在其入侵检测传感器中加入了虚拟机流量感知功能。
看来,受访者中仅有三分之一已认识到虚拟平台层本身也是易受到攻击的;其它人则不认为虚拟机平台供应商必须在其产品中加入安全组件。
明显地,许多企业一直并未应用最基本安全策略来保护好他们的虚拟服务器。现在,企业正逐渐感受着非法及未管理虚拟机的四处蔓延,企业必须要果断的结束这种危险的错误行为。常为财富500强公司提供咨询的专家表示:令人心痛的是,虚拟化技术本是为了促进硬件领域安全而采用的,结果却反而增加了安全风险。
"随着虚拟机范围扩展,这个问题正逐渐为人所知,"咨询专家Anil Desai表示。"如果没有相关IT知识就轻率地创建虚拟机,甚至很难知道存在网络上的这些问题。"
此外,Desai还表示: "软件开发人员、内联网用户,甚至是在数据中心服务器上拥有很多特权的用户都正创建虚拟机(没有相关IT知识),只是看中它们易于部署且有助于完成某些工作。"这是客户端站点上普遍存在的一个问题。
对此,Debenedette表示:他实在了解不了这种现象;任何称职的企业都应根据最佳实践来进行其数据中心的运作,这样一旦有发行新虚拟服务器之类行为时他们就会得到示警。这些最佳实践的强制实施最终会大大地减少问题范围。
Debenedette领导的团队现在使用的是Vmware虚拟中心管理软件,这款软件中包括有一项自动探测功能,它可定位虚拟机非法创建情况。Novell ZenWorks桌面管理系统和微软的系统中心虚拟机管理器(SCVMM)以及其它虚拟机特定管理工具也有提供类似探测功能。对于那些不想要集成此类工具到他们控制台的企业,他们可采用CA、HP、Network General以及其它管理和监控产品供应商的产品,因为在去年这些供应商就已在他们的产品套件中加入了各种程度的虚拟机感知功能。
Novell公司产品总监Richard Whitehead表示:定位虚拟机这一功能(即探测功能)还会对许可操作和产品支持有所帮助。"如果您正运行虚拟服务器,若它们还未通过许可,那么它们就得不到相应支持,"他表示。"这意味着它们不会有补丁,也不会有更新,从而使得它们即成为一种安全隐患。"
管理工具所提供其它有助于安全防护的探测相关功能还包括:假如有负载平衡、感染或攻击方面有要求的话,它们还可终止不必要的虚拟机和不采用其它安全系统。
如同针对物理领域一样进行分区
面向大型公司、政府提供先进的通信和信息技术解决方案的新供应商Verizon Business公司咨询顾问Tom Parker表示:虚拟机故障切换的地点和方式是极为重要的;目前企业IT执行人员满脑子都是如何设置故障切换流程。
例如:故障切换可用于从一台虚拟机切换到另一台虚拟机,或是切换到另一个完全不同的虚拟子网中。最佳实践可以要求故障切换时切换到一台隔离的物理服务器上,这点在总系统发生故障时犹为重要。
在虚拟环境中,系统的隔离和分区是十分重要的,不仅适用于备份,同时还适用于创建DMZ。Parker认为IT们常常会忽略了这种隔离工作。"当同一台计算机上有一大群的虚拟Web服务器,而数据库服务器也随之虚拟化时难以想像会发生什么。而我却一直有发现到这种情况,"他表示。"这样的结果只能是企业的安全风险系数直线上升,攻击者和恶意软件可任意地从Web服务器直接攻击到数据库服务器。"
最佳实践往往要求此类系统应通过DMZ隔离开来,您可虚拟地、物理地或是虚拟和物理元素混用地来达成这种隔离。
专家表示:在一个虚拟DMZ中,虚拟交换机和防火墙可虚拟地隔离一群的虚拟数据中心服务器和一群的虚拟Web服务器。只要虚拟网络设备和防火墙也是根据最佳实践进行管理的,任何地方皆可使用防火墙和交换机隔离子网,可达到您想要的任何细致化程度。
不过,最好还是逻辑地隔离这些服务器群,逻辑地隔离同一台物理服务器上Web服务器和另一台物理服务器上数据库服务器。Parker表示:"这样就消除了恶意因素在虚拟机服务器群自身间传播的风险性。"
锁定最低层
咨询专家Desai表示:Vmware平台拥有大量对主机操作系统和硬件的访问权限和特权,它对于恶意软件编写者来说它无疑是一个很有诱惑力的目标。 "从技术观点出发,虚拟层的运行必须可直接访问到硬件,或是可直接访问到硬件抽象层。这意味着它运行时拥有对物理机器的高级许可权限,"他表示。"任何拥有这种访问水平的应用都免不了成为恶意软件编写者的目标。"
而随着当针对虚拟机恶意软件逐渐从在虚拟机之间作害,发展成向下入侵到主机操作系统甚至是虚拟机监控层,这就成为我们必须面对的一个大问题。Parker和其他恶意软件研究员皆有发现到此类攻击。
计算机安全厂商DriveSentry公司首席执行官John Safa 表示:"这些非法分子正寻找通过虚拟内核攻击沙盘(sandboxes)以及虚拟机的方式,"
针对企业用以运行其产品来防止安全故障发生的方法,Vmware产品管理高级总监Patrick Lin还提供了一系列的测试和验证名单。但安全问题归结到底就是用户过多寄望于供应商了。
而英特尔公司服务器安全战略决策人Paul Smith还由此推断:虚拟机制将推动芯片级的认证技术发展。Smith举了一个例子:可信计算组织(TCG)的可信平台模块(TPM)内的"可信根"组件,它存储了包括芯片上系统已验证配置的hash值。;当该系统启动时,可信根会对比密钥和芯片上hash值,如果芯片上hash已发生改变,那么它将阻止任何系统运行。
英特尔和Advanced Micro Devices公司都针对虚拟机提供了TPM的可信根支持来检测虚拟机监控器的hash及hypervisor。假设其hash已发生改变,系统会尝试重启,可信根将恢复到原始hash或是索性不允许启动。
至于,开发人员还一直在努力解决的虚拟TPMs问题。Novell产品经理Larry Russon表示:在这一方面,可信-验证流程将扩展到虚拟设备上。Smith表示:这将确保虚拟机平台的完整性,进而通过其完整性特点达成其安全性,因为对该平台的任何恶意或未授权改变(和最张虚拟机本身)都是不允许的。对此,Russon 则持反对意见,他表示:配置改变和补丁都是难以使用可信计算组织的模式。这是因为在可信-验证流程中每台虚拟设备的每一个改变必须再次复制并在芯片中再次生成hash。
当然,对芯片的管理要求的呼声又是企业应面对的一个崭新的问题。至于结果如何?正如Debenedette所提及的:"通过芯片的Flash编程来实现更新方式会不会被攻破呢?我打赌未来我们会对此伤透脑筋。"
虚拟技术可能成黑客帮手
如果企业一味扩大虚拟化产品,而对虚拟机与物理服务器的本质区别熟视无睹的话,那么他们迟早会给入侵者开辟新的方便之门,使之顺利进入到数据中心。我们目前还无法精准地确定这类威胁的本质,因为它们尚未切实发生过。
一位来自波兰的安全高手表示:虚拟化技术存在安全漏洞,这在VMware和AMD公司中都曾出现过。另外,黑客还可以利用虚拟化技术来隐藏病毒、特洛伊木马及其他各种恶意软件的踪迹。
有专家表示:在虚拟化的新一代数据中心基础设施中,每款虚拟设备及其系统和网络段都必须根据最佳实践进行管理和控制。这些实践应包括:
1、为所有虚拟机及各类型虚拟机上运行的所有应有程序建立黄金标准,应用安全及版本和补丁管理控制。
2、通过虚拟防火墙、防恶意软件和虚拟设备管理功能强制实施所定策略。
3、依据虚拟机类型进行适当的逻辑和物理隔离。例如:应将虚拟Web服务器与虚拟数据库服务器进行隔离。
4、适当调整网络入侵检测系统或是监控器来监视非法的及恶意的虚拟机流量
(本文不涉密)
责任编辑:
上一篇:安全设防 给邮箱安装上黑客警报器