分析：虛擬化的安全到底怎么樣

申請免費試用、咨詢電話：400-8352-114

現(xiàn)在有些IT管理員把擁有多路網(wǎng)絡(luò)連接的系統(tǒng)放在非軍事區(qū)(DMZ)里面。關(guān)鍵是如何保護(hù)起來。

外頭有不少IT管理員以為：只要部署了虛擬服務(wù)器，虛擬機就能萬無一失，可以遠(yuǎn)離諸多安全漏洞和惡意攻擊。但是據(jù)Edward L. Haletky這樣的虛擬化安全專家認(rèn)為，IT管理人員會驚奇地發(fā)現(xiàn)：為了保護(hù)虛擬基礎(chǔ)架構(gòu)，他們付出的努力卻要大得多。

Haletky創(chuàng)辦了AstroArch咨詢公司，目前還在撰寫有關(guān)虛擬化安全的一本書。他說：“眼下與虛擬化有關(guān)的最大的安全問題就是，很多人不知道自己在做什么。虛擬化管理員不是安全管理員。他們不可能是安全管理員，因為有太多東西需要學(xué)習(xí)。虛擬化管理員也不是存儲經(jīng)理，他們也要明白這一點?！?/P>

盡管虛擬化技術(shù)并不是天生容易受到攻擊，但是虛擬化管理員和安全管理員在接受的安全教育方面之間有著巨大差異，這常常導(dǎo)致部署的虛擬服務(wù)器不安全。外面的大多數(shù)虛擬化安全專家(目前這樣的專家為數(shù)很少)建議，虛擬化管理員最好接受安全教育，設(shè)法為虛擬機實施合適的策略和審計措施，并且確保虛擬機上的功能和內(nèi)容劃分到彼此隔離的操作環(huán)境中。

隔離虛擬機

據(jù)Haletky聲稱，虛擬化管理員需要擔(dān)心這四種網(wǎng)絡(luò)：管理網(wǎng)絡(luò)、存儲網(wǎng)絡(luò)、虛擬機網(wǎng)絡(luò)以及VMotion網(wǎng)絡(luò)。他表示，如果虛擬化管理員不隔離這些網(wǎng)絡(luò)，就有可能出現(xiàn)一些最大的安全漏洞。

他說：“有些管理員把所有這四種網(wǎng)絡(luò)全部放在非軍事區(qū)(DMZ)里面――DMZ是指公司網(wǎng)絡(luò)上的暴露部分，里面可能含有Web及其他網(wǎng)絡(luò)服務(wù)器，而實際上只有一種網(wǎng)絡(luò)需要放在DMZ里面?！盚aletky表示，有一些明確的規(guī)則表明了IT人員在DMZ里面可以進(jìn)行哪些操作――一條首要的規(guī)則就是，對擁有多路網(wǎng)絡(luò)連接的系統(tǒng)進(jìn)行控制。他表示，這條規(guī)則同樣適用于虛擬服務(wù)器;他建議IT管理員讓虛擬服務(wù)器盡可能遠(yuǎn)離DMZ。

IDC加拿大公司的安全和軟件調(diào)研主任David Senf同意這個觀點。他說：“比方說，為了避免把不同的安全策略混同起來、防止出現(xiàn)權(quán)限提高之類的問題，有些IT部門不允許DMZ里面的虛擬機會話駐留在DMZ后面的主機上。”

信息技術(shù)研究集團(tuán)的高級研究分析師John Sloan表示，管理員可以把虛擬機歸類到一起、放在特定的安全區(qū)域，從而使用網(wǎng)絡(luò)隔離機制。他解釋說：“你可以把一些機器與其他機器分立出來，隨后賦予不同的安全級別?！?/P>

Sloan還建議：如果管理員使用實時遷移功能(指把運行中的虛擬機從一臺物理服務(wù)器遷移到另一臺物理服務(wù)器上的功能，從而可以優(yōu)化性能、縮短停機時間)，就要小心這項功能對安全帶來的影響。

他說：“有些情況下，服務(wù)器可能需要更高的安全級別，但是它們可能會出于提高性能、而不是提高安全的原因而動態(tài)遷移到其他設(shè)備上。所以，這進(jìn)一步增添了復(fù)雜性，因為你還不得不關(guān)注如何對物理服務(wù)器進(jìn)行分區(qū)，還要確保：即便使用了實時遷移，‘類似’的服務(wù)器仍一起駐留在同樣的平臺上?！?/P>

解決方案提供商正在努力滿足公司企業(yè)在安全、隔離的環(huán)境中運行工作任務(wù)的需要，Tresys Technology就是這樣一家提供商。該公司的旗艦產(chǎn)品VM Fortress致力于確保桌面虛擬化安全，讓虛擬化管理員可以通過把虛擬機限制在沙箱(sandbox)里面的辦法來控制虛擬機。

Tresys公司的技術(shù)工程主管Karl MacMillan說：“如果你的虛擬機不但要連接到另一個公司網(wǎng)絡(luò)，還要連接到控制核電站的一個網(wǎng)絡(luò)，你就要確保這兩個網(wǎng)絡(luò)隔離開來。一項最緊迫的安全要求就是，確保虛擬化軟件本身存在的漏洞讓來賓虛擬機無法對網(wǎng)絡(luò)系統(tǒng)造成破壞、可能闖入及訪問其他來賓操作系統(tǒng)。”

由于沙箱可以把擁有同樣訪問權(quán)的虛擬機歸類到一起，你就能對每個虛擬機上的每個應(yīng)用程序進(jìn)行隔離。他說，這有望確保你的人力資源應(yīng)用程序不會受到Web瀏覽器的影響。

MacMillan說：“這么做的優(yōu)點在于，你既可以利用創(chuàng)建更多虛擬機的功能，又能獲得強有力的隔離機制。但是由于虛擬機數(shù)量激增，你還要確保所有這些操作系統(tǒng)的安全。你要對它們進(jìn)行更新、打補丁，還要進(jìn)行全面跟蹤?！?/P>

管理虛擬機散亂現(xiàn)象

據(jù)信息技術(shù)研究集團(tuán)的Sloan聲稱，使用虛擬機的其中一個最大好處就是，虛擬機與底層硬件更加隔離開來。他說：“如果虛擬機受到了病毒感染，或者遭到了某種方式的惡意攻擊，造成的危害可以減小到最低程度，因為很容易隔絕這個虛擬機，并且終止運行?！?/P>

Sloan表示，但是盡管虛擬機本身可能更具有彈性，但是安全監(jiān)控和管理工作對運行關(guān)鍵任務(wù)的虛擬機來說仍必不可少。他說：“從總體上來看，管理就應(yīng)當(dāng)這樣;如果你沒有為虛擬機落實相應(yīng)的策略或者程序，就會面臨更大的風(fēng)險。你一定要有足夠完善的安全管理，才能跟蹤及管理虛擬機?！?/P>

現(xiàn)在大多數(shù)人都會認(rèn)同這一點：很難闖入物理數(shù)據(jù)中心、竊取大批數(shù)據(jù)。但是你有沒有想過這一幕：攻擊者不用步入你的數(shù)據(jù)中心，只要創(chuàng)建虛擬機，就可以用它來訪問敏感數(shù)據(jù)?Haletky說，很可能你不會知道發(fā)生了這種事。

他說：“如果你采用虛擬化技術(shù)，安全性并沒有因此而增強，實際上反而減弱了。另一個重要原因就是你現(xiàn)在面臨虛擬機散亂(VM sprawl)現(xiàn)象?！?/P>

今年年初Verizon Business公司撰寫的一份最新報告發(fā)現(xiàn)，27%的攻擊來自意料之外的系統(tǒng)連接;10%來自以不合適的權(quán)限訪問系統(tǒng)。

“管理員不知道有機器存在，”Haletky說，“有了虛擬化技術(shù)，新的虛擬機極其容易部署到環(huán)境里面;如果不加以控制、治理或者核實，那么這種容易部署虛擬機的優(yōu)點反而會帶來安全問題?！?/P>

Haletky表示，除非公司落實了合適的審計機制，否則要是有人未經(jīng)授權(quán)在公司網(wǎng)絡(luò)上創(chuàng)建虛擬機，數(shù)據(jù)中心就會繼續(xù)容易受到這些公司不知道存在的虛擬機的攻擊。他表示，IT管理員的解決辦法就是，采用某一種工作流審批流程，對系統(tǒng)進(jìn)行監(jiān)控及審計。

Haletky說：“目前，虛擬化安全離不開一大批審計機制;你需要審計、需要獲得報告，還需要接到通知。如果你在這些方面都做得很到位，就完全具有領(lǐng)先優(yōu)勢。”不過強大審計機制面臨的最大障礙卻是這個事實：目前市面上還沒有一款優(yōu)秀的工具。

Haletky說：“現(xiàn)在其實沒有工具可以告訴你已經(jīng)添加了一個新的虛擬機，你得自己去查看。如果使用VMware ESXi，你可以在虛擬機運行的時候接到報警;還能收到反映這個情況的電子郵件。但是你其實得不到表明虛擬機在做什么的任何信息?！?/P>

Haletky說，要關(guān)注的不僅僅是網(wǎng)絡(luò)安全。如今現(xiàn)有的三大安全監(jiān)控指導(dǎo)原則(包括VMware、CISecurity和DISA/STIG的指導(dǎo)原則)都不是太深入，沒有為期望把ESX服務(wù)器審計和監(jiān)控機制付諸實踐的用戶提供啟動腳本。他表示，這些指導(dǎo)原則概述了需要審計的部分內(nèi)容，但遠(yuǎn)遠(yuǎn)不夠全面。

據(jù)Haletky聲稱，另一個固有的問題就是，大多數(shù)虛擬化管理員完全從網(wǎng)絡(luò)的角度來看待虛擬安全。Haletky說：“保護(hù)虛擬環(huán)境不僅僅包括服務(wù)控制臺、管理設(shè)備和網(wǎng)絡(luò);還包括存儲、備份、災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性等方面，它幾乎包括每個方面，而每個特定方面都有相應(yīng)工具?！?/P>

他又說，虛擬機的攻擊面變得越來越大，全人們根本沒有認(rèn)識到這一點?！鞍烟摂M機放在虛擬服務(wù)器里面――不管你使用的是哪家廠商的技術(shù)，這并不會為你帶來足夠的保護(hù)。網(wǎng)絡(luò)安全對你大有幫助，但我不敢肯定光有網(wǎng)絡(luò)安全就夠了?！?/P>

如果你找不到或者請不起虛擬化安全專家來幫你入手，專家們建議公司只要找一名了解虛擬化技術(shù)的安全技術(shù)人員。對大多數(shù)公司來說，這歸結(jié)為先進(jìn)行風(fēng)險分析，然后最終確定自己需要哪種監(jiān)控流程。

他說：“如果你看一看外面針對虛擬服務(wù)器應(yīng)用部署的許多設(shè)計方案，就會發(fā)現(xiàn)設(shè)計方案中根本沒有提到安全。他們說，我們要部署虛擬化技術(shù);我們要節(jié)省成本、減少散熱，但他們就是沒有說我們要確保安全?！?比特網(wǎng))