在今年3月由美國Computerworld主辦的Premier 100 IT領(lǐng)導人會議上，曾經(jīng)有過一次圓桌討論，有一位CIO當場就表達了對于虛擬化基礎(chǔ)設(shè)施安全問題的擔心，因為他公司里一半以上的生產(chǎn)服務(wù)器都已經(jīng)虛擬化了。很快，另外兩位IT高管也插嘴說出了他們自己對于虛擬化安全問題的擔憂。

盡管在場的很多IT高管不太愿意公開承認他們感覺自己在這方面很脆弱，但是德州普萊諾市的租賃業(yè)巨頭Rent-a-Center公司的技術(shù)服務(wù)與系統(tǒng)架構(gòu)高級經(jīng)理Jai Chanani卻表達出了他們的苦惱。他說，“我最害怕的一件事情就是虛擬服務(wù)器被盜。”他的團隊每天要運行大約200個VMware ESX和XenServer虛擬服務(wù)器，用作文件和打印服務(wù)器，有時候還要用作應(yīng)用服務(wù)器。但是出于安全上的考慮，他的團隊沒有將公司的ERP系統(tǒng)、數(shù)據(jù)庫或e-mail系統(tǒng)虛擬化。

"我最不希望發(fā)生的事就是，有25臺虛擬服務(wù)器在某處運行，而我卻不知道它們的存在。”

[[14746]] 

“我最不希望發(fā)生的事情就是，有25臺虛擬服務(wù)器在某處運行，而我卻不知道它們的存在。”

——主題公園營運商六旗公司CIO Michael Israel

德州格蘭德普雷里的主題公園營運商六旗公司的CIO Michael Israel還表達了另外一種擔憂。對他來說，最讓人焦躁不安的局面就是某個心懷不軌的管理員可能會把虛擬服務(wù)器從一個安全的網(wǎng)絡(luò)段遷移到另一個不安全網(wǎng)絡(luò)段的物理主機上去，或者創(chuàng)建新的、未登記的、未經(jīng)許可的和未打過補丁的虛擬服務(wù)器。“我最大的擔心就是出了叛徒。我最不希望發(fā)生的事情就是，有25臺虛擬服務(wù)器在某處運行，而我卻不知道它們的存在，”他說。

雖然向虛擬服務(wù)器進行遷移，由于服務(wù)器的整合及效率的提高，可以節(jié)省企業(yè)大量的金錢，但是因為虛擬化正在吞沒越來越多的生產(chǎn)服務(wù)器，一些IT高管們正在擔心可能會出現(xiàn)的消化不良癥。一切都能在掌控之中嗎?某次災(zāi)難性的違規(guī)會不會讓關(guān)鍵應(yīng)用崩潰，甚至使整個數(shù)據(jù)中心停運呢?“客戶們有一天會突然意識到，已經(jīng)有一半的關(guān)鍵業(yè)務(wù)應(yīng)用都在虛擬服務(wù)器上跑，他們會驚訝地問：‘天哪!這樣做安全嗎?’”IBM安全解決方案副總裁兼安全咨詢師Kris Lovejoy說。

問題不在于虛擬的基礎(chǔ)設(shè)施能否保障自身的安全，而是很多企業(yè)始終沒有采取最佳實踐——如果他們有的話——去適應(yīng)新的虛擬化環(huán)境。

虛擬化引入了不少的技術(shù)——包括一個新的軟件層，即hypervisor——這些技術(shù)都必須是可管理的。但是還有一些新的技術(shù)：例如在虛擬服務(wù)器之間為網(wǎng)絡(luò)流量提供路由的虛擬交換，對于原來為物理網(wǎng)絡(luò)而設(shè)計的流量監(jiān)控工具來說就并不總是可見的。

另外，虛擬化打破了IT部門中傳統(tǒng)的責任劃分，比如一名網(wǎng)管員只需按個鍵，而無須經(jīng)過采購部門，或者網(wǎng)絡(luò)、存儲、業(yè)務(wù)連續(xù)性和安全部門的批準，便可一次生成大量新的虛擬服務(wù)器。在很多組織中，IT安全團隊是不會對虛擬基礎(chǔ)設(shè)施提供咨詢意見的，除非是在組織構(gòu)建了虛擬化基礎(chǔ)設(shè)施，并在生產(chǎn)服務(wù)器上運行這些基礎(chǔ)設(shè)施之后才會提供此類咨詢服務(wù)。具有虛擬化意識的安全技術(shù)和最佳實踐都還處在初期演進階段。

虛擬化安全上市場發(fā)展的如此之快，以至于客戶們已無法讓企業(yè)的最佳實踐與其保持同步，Lovejoy說。他們既缺乏關(guān)于這一話題的理論知識，也缺少現(xiàn)場處理問題的實際技能。盡管有些技術(shù)亦可用來保障虛擬化基礎(chǔ)設(shè)施的安全，但是Lovejoy還是經(jīng)常會看到，某些安全上的失誤可以溯源到不正確的配置。

“和虛擬環(huán)境下的安全相關(guān)的主要問題就是缺少可見性，缺乏控制，和對未知事物的恐懼，”IT咨詢公司Info Pro的安全研究執(zhí)行經(jīng)理Bill Trussell說。

#p#

麻煩不斷的hypervisor

會不會有人劫持企業(yè)虛擬基礎(chǔ)設(shè)施中的某個hypervisor，然后利用它來破壞駐留在該hypervisor上的所有虛擬服務(wù)器呢?會不會有某個攻擊者控制一臺虛擬服務(wù)器，利用它作為平臺再去攻擊其他的虛擬服務(wù)器，比如駐留在同一硬件上的支付卡處理應(yīng)用，而網(wǎng)管員甚至根本察覺不到呢?

這些令人恐怖的場景將會頑固地存在，盡管目前還沒有出現(xiàn)已知的針對虛擬基礎(chǔ)設(shè)施的攻擊，RSA Security安全基礎(chǔ)設(shè)施高級經(jīng)理Eric Baize說。

然而，很多IT安全專家仍然對此抱有疑慮。Info Pro在其2010年度的信息安全研究報告中對96位安全專家做了調(diào)查，結(jié)果有28%的受調(diào)查者稱，他們“非常”關(guān)注或“相當”關(guān)注虛擬化環(huán)境中的安全問題。
 

在2006年的黑帽大會上，安全研究人員Joanna Rutkowska演示了著名的藍色藥丸hypervisor惡意rootkit，這之后，人們對于可能危及hypervisor的攻擊的擔憂就一直沒有斷過。

不過從那時以來，安全行業(yè)已經(jīng)向前發(fā)展了一大步，開發(fā)了一些硬件技術(shù)來保障hypervisor的完整性，例如英特爾的VT-d(Virtualization Technology for Directed I/O)技術(shù)。“今天，絕大多數(shù)的英特爾Core i5和i7處理器都擁有這些技術(shù)”，而虛擬化軟件廠商也開始支持這樣的功能，如今已成為IT安全研究公司Invisible Things的創(chuàng)始人兼CEO的Rutkowska說。

但是，即便是VT-d技術(shù)也不能真正保障hypervisor的完整性，“不過英特爾的TXT擴展卻可以提供可信任動態(tài)測量根(dynamic root of trust measurement，DRTM)技術(shù)，這種技術(shù)將在新一代英特爾處理器中出現(xiàn)，”Gartner分析師Neil MacDonald說。

Rutkowska本人對于是否有人會利用藍色藥丸類rootkit攻擊虛擬機也表示懷疑。“沒有任何理由會讓壞分子們?nèi)ナ褂萌绱藦碗s的rootkit工具，”她說，尤其從上世紀90年代以來，人們對于攻擊傳統(tǒng)操作系統(tǒng)的rootkit技術(shù)有了更深入的了解。

可以這么說，如果對虛擬基礎(chǔ)設(shè)施來說，沒有遵循和采納最佳實踐的話，那么虛擬化就會出現(xiàn)危險。Hypervisor必須像任何其他操作系統(tǒng)一樣，定期修補安全漏洞，Rent-a-Center租賃公司的高級信息安全經(jīng)理KC Condit說。“VMware今年以來已發(fā)布了9個重要安全公告，而XenServer也已發(fā)布了6個安全修復辦法。”

“我們看到過大量配置不當?shù)膆ypervisors，”RSA Security的高級安全咨詢師Andrew Mulé說。他說，在他拜訪客戶的辦公室時，經(jīng)常會看到對虛擬機的補丁管理很不到位，而且虛擬機管理程序所使用的都是一些很容易猜到或者缺省的用戶名和密碼，這會讓他人很容易進入并控制整個hypervisor。除此之外，他說，“我們還能偶然看到虛擬機管理工具放在了防火墻的錯誤一側(cè)。”

#p#

看不見的網(wǎng)絡(luò)

虛擬機之間的網(wǎng)絡(luò)流量是安全專家們所擔心的另一個問題，因為入侵檢測和入侵防御系統(tǒng)、防火墻和其他監(jiān)控工具都無法告訴你這些虛擬機是不是在同一臺物理服務(wù)器上運行的。“我把數(shù)據(jù)包嗅探工具放在虛擬服務(wù)器上，但是在物理網(wǎng)絡(luò)的界面上，卻看不出有任何流量在進進出出。那么這些流量是如何發(fā)生的呢?它們走的是安全的通道嗎?”鳳凰城市政府的高級安全工程師Vauda Jordan說。雖然該市對虛擬基礎(chǔ)設(shè)施投入了相當多的資金，但Jordan既沒有談?wù)撎摂M基礎(chǔ)設(shè)施的技術(shù)或?qū)嵤┓秶钦劦搅瞬簧儆嘘P(guān)安全方面的擔憂。
 

[[14747]] 

“我更信任防火墻而不是hypervisor。”

——鳳凰城市政府高級安全工程師Vauda Jordan

利用ESX服務(wù)器和其他主要的虛擬化平臺，虛擬機之間所通過的數(shù)據(jù)是不加密的，各虛擬機在使用VMware的vMotion工具在不同物理主機間遷移時是處于內(nèi)存狀態(tài)的(VM盤文件本身仍然在同一個共享存儲設(shè)備上)。VMware負責產(chǎn)品營銷的高級經(jīng)理Venu Aravamudan說，“在我們的路線圖/規(guī)劃執(zhí)行中，加密是要主動加以考慮的，”但他拒絕評論VMware的產(chǎn)品是否要增加加密功能，以及何時增加等問題。

Aravamudan稱，如果執(zhí)行了最佳實踐，那么加密“就不是什么大問題”。最佳實踐會要求vMotion流量與生產(chǎn)流量完全隔離。但他也承認，“中間人攻擊從理論上講是有可能的，”尤其是因為虛擬服務(wù)器實例可能會在各個數(shù)據(jù)中心間遷移，而不只是在一個物理場所內(nèi)遷移。

像VMware的vShield和其他第三方工具等產(chǎn)品可以創(chuàng)建虛擬防火墻將VMware、XenServer、Hyper-V和其他虛擬機彼此隔離在不同的安全區(qū)域中，但是并非所有的組織都已實施了這種隔離。例如，創(chuàng)建不同的安全區(qū)域就不是Rent-a-Center關(guān)注的大事。但是隨著虛擬基礎(chǔ)設(shè)施的不斷擴展，這種隔離就會成為必須，Condit說。
 

Rent-a-center依然采用物理隔離虛擬機的方法，也就是將屬于每一功能組合的虛擬機駐留在不同的物理服務(wù)器上。這種方法的缺點是當虛擬設(shè)置增長得很大的，難以維護，而且會限制虛擬化所提供的整合優(yōu)勢。Rent-a-Center的Chanani說，在某些場合下，一個刀片服務(wù)器機箱內(nèi)只插了一塊刀片。“這樣做，成本很快就會變得極其高昂。這也就是我們?yōu)楹握谡務(wù)撊绾沃匦赂脑欤O(shè)置虛擬防火墻的原由了，”他說。

有些現(xiàn)有的防火墻工具可以看見虛擬服務(wù)器流量，但在其他場合下，IT人員需要另外增加一組虛擬化工具，但這又會增加管理的復雜性。Gartner的MacDonald說，最好的辦法是有一套能夠跨越物理和虛擬環(huán)境的工具。然而，除非傳統(tǒng)的安全工具廠商追趕上來，否則企業(yè)的IT部門就只能用一些不知名廠商如Altor網(wǎng)絡(luò)、Catbird網(wǎng)絡(luò)和HyTrust等公司的工具，這些工具為了適應(yīng)虛擬機的需要而做了剪裁。

IBM的Lovejoy認為，近期來看，混合的工具環(huán)境不可避免。“必須要讓這些廠商有和我們的戰(zhàn)略相一致的戰(zhàn)略路線圖，”他說。“否則你就只能擁有短命的單獨的工具了。”

#p#

虛擬網(wǎng)絡(luò)架構(gòu)

更重要的是，核心網(wǎng)絡(luò)架構(gòu)需要加以變動方能適應(yīng)虛擬化，RSA Security的Mulé說。“能與物理服務(wù)器正確工作的網(wǎng)絡(luò)卻不一定能和虛擬服務(wù)器配合得很好。如果適當?shù)穆酚?、子網(wǎng)和VLAN都已配置好，那么安全就應(yīng)當加以改進，”他說。大多數(shù)企業(yè)之所以會在虛擬化設(shè)置上出現(xiàn)連續(xù)的失敗，可能就得歸因于網(wǎng)絡(luò)設(shè)計上的失誤。

六旗公司的高級系統(tǒng)工程師Matthew Nowell利用VLAN來隔離虛擬服務(wù)器。“取決于我們?nèi)绾卧O(shè)置路由規(guī)則，這些虛擬服務(wù)器或許能，或許不能彼此交談，”他說。但是Gartner的MaCDonald提醒道，“VLAN和路由接入控制對于安全隔離來說都不夠充分。”Gartner出版的指南要求必須部署某類虛擬化防火墻。

Jordan堅持鳳凰城的系統(tǒng)管理員必須將每個虛擬服務(wù)器隔離在各自的安全區(qū)域內(nèi)。“我必須不斷對勸說那些喋喋不休地爭辯說hypervisor就能實現(xiàn)安全隔離的服務(wù)器管理員。我更信任防火墻而不是hypervisor，”她說。

“最困難的人物之一就是如何將日常業(yè)務(wù)網(wǎng)絡(luò)與支付卡基礎(chǔ)設(shè)施進行隔離，”市民們可使用后者繳納水費或其他服務(wù)項目的費用。Jordan說，為了滿足PCI(支付卡行業(yè))安全標準的要求，她需要對處理、存儲或傳輸支付卡數(shù)據(jù)的虛擬服務(wù)器上的文件完整性進行監(jiān)測。

對六旗公司來說，它利用VLAN將支付卡處理功能放在虛擬服務(wù)器上沒有出現(xiàn)任何問題。“我們的PCI審計從未出現(xiàn)過反饋問題，”Nowell說。然而另一方面，Rent-a-Center卻從不用虛擬機來處理信用卡流程。

明尼蘇達州的Schwann食品公司則采取了一種不同的方法來進行支付卡處理：它只使用裸機虛擬化系統(tǒng)(即虛擬機直接安裝在硬件上)，而根本不用任何hypervisor。

#p#

強勢管理員的危險

在一個沒有監(jiān)控的虛擬環(huán)境中，管理員就代表著一切的權(quán)力——咨詢師和IT高管們一致認為，這種情形絕不是什么好事。“這等于給了管理員們進入王國的鑰匙，而在大部分時間里，他們對安全風險卻并不了解，”Jordan說。

舉例來說，管理員可能創(chuàng)建了一個虛擬FTP服務(wù)器，而在進行維護時，又會粗心大意地使用某個虛擬機遷移工具，比如XenMotion、Hyper-V實時遷移功能，或者VMware的vMotion等，把虛擬服務(wù)器遷移到了不同的硬件上。但是他們可能并沒有意識到，新的托管主機卻有可能處在不可信任的網(wǎng)絡(luò)區(qū)段上?；蛘?，他們沒有遵守最佳實踐——比如說他們可能會把VMware虛擬網(wǎng)絡(luò)計算(VNC)客戶端的管理員證書的文本文件不小心存放在了虛擬機鏡像中，然后又將這些虛擬機分發(fā)了出去。

在創(chuàng)建新的虛擬服務(wù)器時使用缺省口令是很常見的，IBM安全戰(zhàn)略群組的架構(gòu)師Harold Moss說，而負責管理新虛擬機的人卻不會經(jīng)常變更口令。“利用VNC，你可以打開所有的端口，”他說。利用這些未加變更的口令，竊賊們就有可能登錄虛擬機，猜測出口令，從而“完全控制虛擬機，”他解釋說。

Forrester分析師John Kindervag說，他就曾聽到過一些客戶的故事，說他們的VMware vCenter管理控制臺就曾被控制。攻擊者們利用該控制臺拷貝了一臺虛擬機，然后盜走了上面的數(shù)據(jù)。“一旦你盜竊了一臺虛擬機，你便可以堂而皇之地進入數(shù)據(jù)中心，盜取其他硬件上的數(shù)據(jù)。這可是毀滅性的，”他說。

#p#

其他常見的錯誤

在IBM安全解決方案群組，Lovejoy在客戶的網(wǎng)站上看到過由于構(gòu)建不當?shù)奶摂M機鏡像而出現(xiàn)的惡意軟件和跨站腳本攻擊等問題。“常見的情形是，虛擬機鏡像常常包含惡意軟件，或者有一些很容易被利用的漏洞。”

為了幫助防范被攻擊的可能，安全軟件廠商們正在創(chuàng)建這樣一種模式，利用這種模式，虛擬化軟件廠商可以讓一些代碼在hypervisor層上運行。例如趨勢科技的Deep Security軟件包括了防火墻、日志檢測、文件完整性監(jiān)測和入侵檢測及防御功能。它能與Sun的Solaris Containers、微軟的Windows Hyper-V、VMware的ESX Server和Citrix的XenServer虛擬機配合工作。但是通過vSphere，網(wǎng)絡(luò)文件過濾功能可以在hypervisor上運行，趨勢科技的1高級產(chǎn)品開發(fā)經(jīng)理Bill McGee說。

然而，有個問題是，給hypervisor層加壓是不是一個好想法呢?

未能實現(xiàn)最佳實踐，或者未能在虛擬基礎(chǔ)設(shè)施中建立明確的責任分工，這就是問題頻發(fā)的根源，RSA Security的Mulé稱。“人們今天仍然不喜歡實行責任分工。他們總想把權(quán)杖交給少數(shù)人去管理。”他建議開發(fā)一種強大的變更管理流程，包括變更管理工票的發(fā)放。

Condit對此也表示贊同。“在虛擬世界里，不存在固有的責任分工，所以你必須自己來創(chuàng)建這種分工，”他說。變更管理、配置管理和資產(chǎn)控制，對于保障虛擬基礎(chǔ)設(shè)施安全來說是至關(guān)重要的。

合規(guī)性是又一個令人但有的問題。作為歐盟開發(fā)銀行的系統(tǒng)工程設(shè)計經(jīng)理，Jean-Louis Nguyen需要監(jiān)控該銀行140臺虛擬機的管理員們的行為，以確保他們能夠遵守各種監(jiān)管和管理規(guī)則的要求。該銀行曾嘗試過VMware的日志功能，后來發(fā)現(xiàn)需要更好的方法才能整合各種日志信息。“要想獲得這些日志本身就是不簡單的事情，”他說。最后他決定使用HyTrust的專用工具來提供所有管理員行為的集中日志。

該銀行還是用HyTrust為首席安全官(CSO)設(shè)置了一個完全隔離的虛擬環(huán)境，只有他才能全面控制所有物理的和虛擬的基礎(chǔ)設(shè)施，并利用底層安全軟件來加固基礎(chǔ)設(shè)施。CSO可以監(jiān)控所有生產(chǎn)現(xiàn)場的虛擬服務(wù)器及其配置，但無權(quán)做任何變更。

“關(guān)鍵是要確保你的管理體系不會出現(xiàn)管理員濫用權(quán)力的情況。我們需要確定的是管理系統(tǒng)是可靠的，不會有人偷窺數(shù)據(jù)，”Nguyen說。

其他工具可分層配置以獲得更多控制。例如，新興企業(yè)Catbird網(wǎng)絡(luò)提供一種策略管理工具套件，既可在出現(xiàn)違反策略情況時向管理員示警，也可在有虛擬機破壞規(guī)則時對其進行隔離。“你需要知道虛擬機去了哪里，到了某地后正在做什么。如果你不喜歡它所做的事，那你就必須有能力終止它的運行，”Catbird的副總裁Tamar Newberger說。

而在Rent-a-Center，是不需要額外工具的，因為強大的檢查與平衡策略足以滿足管理需求。該公司的安全經(jīng)理“會及時發(fā)布一個流程，說我們不能把某臺虛擬服務(wù)器放入生產(chǎn)現(xiàn)場，除非他的團隊已經(jīng)將此服務(wù)器注銷了，”Chanani說。
 

“你需要的是某個可控的技術(shù)及時到位嗎?這個問題的答案可以是否定的。你需要的是良好的治理和監(jiān)控嗎?這個問題的答案是：絕對的，”RSA Security的Mulé說。

#p#

保護數(shù)據(jù)

由于虛擬機鏡像里主要是數(shù)據(jù)——程序代碼存儲在某地的硬盤上——這些文件必須受到保護。“你肯定不希望看到某人將整個服務(wù)器放在一塊USB硬盤上帶出去Jordanm說。”她說，鳳凰城市政府利用物理安全、網(wǎng)絡(luò)存儲訪問控制和文件完整性監(jiān)控等手段的相互結(jié)合來保護虛擬機鏡像。

六旗公司則是將這些鏡像放在受保護的網(wǎng)絡(luò)存儲區(qū)域中。“這些NFS安裝盤是嚴格禁止任何人共享的。你也不可能去拷貝文件，因為在我們的環(huán)境中是不可能讓你安裝U盤的，”Nowell說。

RSA Security的Baize說，IT高管還需重新考慮其數(shù)據(jù)泄漏防護措施。除了制定策略，決定虛擬機在何種狀態(tài)下可以訪問何種數(shù)據(jù)之外，這些策略還必須是以數(shù)據(jù)為中心的。“你可以制定策略說，這個敏感數(shù)據(jù)不能跑到這臺虛擬機上去。但你不能因此而對虛擬機上的數(shù)據(jù)從何而來不再關(guān)心——這純粹是就事論事的策略。虛擬化正好是讓我們重新思考如何做安全的一次機會。”

#p#

更好地理解安全控制

要保障虛擬基礎(chǔ)設(shè)施的安全并非只是購買更多的工具，Baize說。“今天已經(jīng)有了很多可用于控制虛擬基礎(chǔ)設(shè)施的辦法。我們所缺少的是了解怎么控制，以及何時進行控制。”

創(chuàng)建安全的虛擬基礎(chǔ)設(shè)施的最佳辦法就是從項目之初便引入IT安全或者讓安全咨詢師參與進來。Gartner估計，多達40%的IT組織并沒有在虛擬基礎(chǔ)設(shè)施部署之時引入IT安全的概念，都是在系統(tǒng)已經(jīng)建好并上線之后才開始考慮安全問題的。這種有問題的做法在更多的關(guān)鍵任務(wù)應(yīng)用開始向虛擬機遷移時表現(xiàn)得尤為明顯。“一旦你要開始對SharePoint、Exchange或ERP進行虛擬化時，你實際上就已經(jīng)進入敏感數(shù)據(jù)了。這就會出現(xiàn)安全問題，”Gartner的MacDonald說。

到了這個時候，一些組織才開始想到要給系統(tǒng)加上安全門閂，而這本來應(yīng)該是在設(shè)計之初就應(yīng)該考慮到的事情。事后修改設(shè)計肯定是要付出更高成本的。“CIO們應(yīng)該確保在設(shè)計此類體系架構(gòu)時有高管全程參與，”MacDonald說。

Rent-a-Center的Condit認為，一切皆可歸結(jié)為策略。“如果沒有及時制定強有力的安全策略，那么虛擬基礎(chǔ)設(shè)施很快就會暴露出各種弱點，這是肯定會發(fā)生的事情，”他說，因為創(chuàng)建虛擬服務(wù)器的過程非?？欤覍⑺鼈冊诟鱾€物理服務(wù)器之間進行遷移又非常容易。

CIO們對虛擬化安全表示擔憂是正常的，Condit說。“某種健康程度的疑神疑鬼怎么說也是件好事。”
 

【編輯推薦】

1. 虛擬機備份與恢復的難題
2. VMware VI3 虛擬機熱備份的幾種方法
3. 細數(shù)用于虛擬機遷移的轉(zhuǎn)換工具
4. Hyper-V R2中進行虛擬機配置安裝指南（上）