利用碎片時(shí)間了解虛擬化安全(一)
1.摘要
在IT和網(wǎng)絡(luò)世界,虛擬化已在短時(shí)間內(nèi)產(chǎn)生了巨大的影響,并已經(jīng)提供了巨大的成本節(jié)省和高投資回報(bào)率的數(shù)據(jù)中心、企業(yè)和云計(jì)算。從安全角度,對(duì)于虛擬化和虛擬化環(huán)境似乎是缺乏實(shí)質(zhì)性和滯后的理解。一些人認(rèn)為虛擬化比傳統(tǒng)環(huán)境更加安全,因?yàn)樗麄兟?tīng)說(shuō)過(guò)虛擬機(jī)之間的隔離,卻沒(méi)有聽(tīng)說(shuō)過(guò)任何關(guān)于虛擬機(jī)管理程序的成功攻擊。另外一些人認(rèn)為,新的虛擬化環(huán)境需要像傳統(tǒng)的物理環(huán)境一樣需要安全,因此需要在適當(dāng)?shù)奈恢脩?yīng)用持續(xù)有效的安全加固方法。但是新的環(huán)境更加復(fù)雜,并且虛擬環(huán)境加入到現(xiàn)網(wǎng)環(huán)境創(chuàng)建一個(gè)新的網(wǎng)絡(luò)時(shí),需要一種新的安全的方法。這就包括傳統(tǒng)的安全以及虛擬化方面的安全。本文簡(jiǎn)述了識(shí)別由虛擬化引起的差異、問(wèn)題、挑戰(zhàn)、風(fēng)險(xiǎn)等等。并期待為客戶(hù)提供良好的建議和最佳實(shí)踐以保證當(dāng)虛擬環(huán)境加入到現(xiàn)網(wǎng)環(huán)境時(shí)與原來(lái)一樣安全。
2.介紹
盡管這是一個(gè)可以追溯到五十多年前的概念,但是在目前及未來(lái),該項(xiàng)技術(shù)在應(yīng)用程序方面仍將成長(zhǎng)與發(fā)展。實(shí)際上,當(dāng)今一半的服務(wù)器運(yùn)行在虛擬機(jī)上。1、到2014年,70%的工作負(fù)載運(yùn)行在虛擬機(jī)上。2、我們需要跟上技術(shù)的進(jìn)步,并且需要廣泛部署安全的虛擬化組件和虛擬化環(huán)境。讓我們看看那些目前由虛擬化帶來(lái)的效益。
3.虛擬化帶來(lái)的安全好處
以下是引入虛擬化環(huán)境的一些好處:
在虛擬化環(huán)境中,采用集中存儲(chǔ)來(lái)防止數(shù)據(jù)丟失,如設(shè)備丟失、竊取及重要數(shù)據(jù)被破壞。
當(dāng)虛擬機(jī)和應(yīng)用程序被正確隔離時(shí),在一個(gè)操作系統(tǒng)只有一個(gè)應(yīng)用程序會(huì)受到攻擊的影響。
當(dāng)配置正確時(shí),虛擬環(huán)境提供了靈活性,它允許系統(tǒng)不必分享那些至關(guān)重要的信息。
如果一個(gè)虛擬機(jī)被感染,它可以回滾到被攻擊前的一個(gè)安全狀態(tài)。
因?yàn)橛布O(shè)備及數(shù)據(jù)中心的減少,使虛擬化提高了物理安全性。
桌面虛擬化的部署可以更好的控制用戶(hù)環(huán)境。一個(gè)管理員可以創(chuàng)建并控制一個(gè)“鏡像”,并向下發(fā)送到用戶(hù)的計(jì)算機(jī)。該技術(shù)提供了更好的系統(tǒng)給控制,以保證滿(mǎn)足組織的安全策略需求。
服務(wù)器虛擬化可以帶來(lái)更好的事故處理,因?yàn)榉?wù)器可以恢復(fù)到以前的狀態(tài),以便審查之前和攻擊期間發(fā)生了什么。
系統(tǒng)和網(wǎng)絡(luò)管理的訪問(wèn)控制以及職責(zé)分離可以被改善,通過(guò)只分配給特定個(gè)人控制虛擬環(huán)境內(nèi)部網(wǎng)絡(luò),而其他人處理在DMZ區(qū)的虛擬機(jī)。例如你能有特定的管理員處理Windows服務(wù)器,而另一些人處理Linux服務(wù)器。
虛擬機(jī)管理軟件比較小并且不復(fù)雜。它提供了很小的攻擊面,程序以很小的攻擊面運(yùn)行,減少了潛在的脆弱性。
請(qǐng)注意,我們已經(jīng)描述了上述的一些好處,如“如果配置或設(shè)置不當(dāng)”。虛擬化是非常復(fù)雜的,所
以它必須是正確的,以保證獲得上述優(yōu)勢(shì)。
4.虛擬化面臨的安全挑戰(zhàn)、風(fēng)險(xiǎn)和問(wèn)題
現(xiàn)在我們已經(jīng)看到了虛擬化的一些優(yōu)勢(shì),下面讓我們一起來(lái)看看一些挑戰(zhàn)、風(fēng)險(xiǎn)和問(wèn)題。
4.1主客之間的文件共享
當(dāng)使用文件共享時(shí),一個(gè)有問(wèn)題的客體可以訪問(wèn)主機(jī)的文件系統(tǒng),并修改用于共享的目錄。
當(dāng)剪貼板共享和拖拽被用于主客機(jī)時(shí),或者當(dāng)應(yīng)用程序編程接口被用于編程,在這些領(lǐng)域的穩(wěn)定性漏洞可以最終影響整個(gè)基礎(chǔ)設(shè)施。
4.2快照
當(dāng)快照被恢復(fù)時(shí),你所做的任何對(duì)配置的更改將丟失。如果你改變了安全策略,一些東西是可以當(dāng)下訪問(wèn)的。審計(jì)日志也可能消失,這可能消除你在服務(wù)器上進(jìn)行更改的任何記錄。這些不幸的結(jié)果很難滿(mǎn)足合規(guī)性的要求的。
圖像和快照包含的專(zhuān)有數(shù)據(jù)像個(gè)人身份信息和密碼,更像一個(gè)物理硬盤(pán)驅(qū)動(dòng)器。任何不必要的或者更多的圖像真的是引起關(guān)注令人擔(dān)憂(yōu)的,因?yàn)槿魏慰煺盏拇鎯?chǔ)可能含有未被發(fā)現(xiàn)的惡意軟件在重新加載的時(shí)候會(huì)造嚴(yán)重的破壞。
4.3網(wǎng)絡(luò)存儲(chǔ)
光纖通道和iSCSI是明文協(xié)議,并可能會(huì)受到這方面的中間人攻擊。嗅探工具可用于讀出或記錄存儲(chǔ)流量,并可以被攻擊者重現(xiàn)。
這往往是一個(gè)光纖通道的性能和安全之間的權(quán)衡,加密可以在主機(jī)總線(xiàn)適配器用于光纖通道實(shí)現(xiàn),但由于可能會(huì)發(fā)生的負(fù)面問(wèn)題而不能多次被使用。
4.4虛擬機(jī)管理程序(Hypervisor)
如果Hypervisor被攻破,所有連接的虛擬機(jī)也將受到影響,并且默認(rèn)的Hypervisor配置中并不總是最安全的。
Hypervisor控制一切,并提供在虛擬環(huán)境中的單點(diǎn)故障。一個(gè)單一的缺口可以把整個(gè)環(huán)境處于危險(xiǎn)之中。
在Hypervisor的一個(gè)管理員可以做任何事(“所有王國(guó)的鑰匙”)。在Hypervisor通常有密碼設(shè)置,但這些很容易被管理員之間共享,這樣你就不會(huì)真正知道誰(shuí)做了什么。
Hypervisor可以允許虛擬機(jī)彼此之間溝通,這種溝通甚至不會(huì)加入物理網(wǎng)絡(luò),這最終表現(xiàn)得像一個(gè)私有網(wǎng)絡(luò)的虛擬機(jī)。這個(gè)流量并不能總是被看到,因?yàn)橛商摂M機(jī)管理程序進(jìn)行,并且你不能保證這是否安全。