1.摘要

在IT和網(wǎng)絡(luò)世界，虛擬化已在短時(shí)間內(nèi)產(chǎn)生了巨大的影響，并已經(jīng)提供了巨大的成本節(jié)省和高投資回報(bào)率的數(shù)據(jù)中心、企業(yè)和云計(jì)算。從安全角度，對(duì)于虛擬化和虛擬化環(huán)境似乎是缺乏實(shí)質(zhì)性和滯后的理解。一些人認(rèn)為虛擬化比傳統(tǒng)環(huán)境更加安全，因?yàn)樗麄兟?tīng)說(shuō)過(guò)虛擬機(jī)之間的隔離，卻沒(méi)有聽(tīng)說(shuō)過(guò)任何關(guān)于虛擬機(jī)管理程序的成功攻擊。另外一些人認(rèn)為，新的虛擬化環(huán)境需要像傳統(tǒng)的物理環(huán)境一樣需要安全，因此需要在適當(dāng)?shù)奈恢脩?yīng)用持續(xù)有效的安全加固方法。但是新的環(huán)境更加復(fù)雜，并且虛擬環(huán)境加入到現(xiàn)網(wǎng)環(huán)境創(chuàng)建一個(gè)新的網(wǎng)絡(luò)時(shí)，需要一種新的安全的方法。這就包括傳統(tǒng)的安全以及虛擬化方面的安全。本文簡(jiǎn)述了識(shí)別由虛擬化引起的差異、問(wèn)題、挑戰(zhàn)、風(fēng)險(xiǎn)等等。并期待為客戶提供良好的建議和最佳實(shí)踐以保證當(dāng)虛擬環(huán)境加入到現(xiàn)網(wǎng)環(huán)境時(shí)與原來(lái)一樣安全。

2.介紹

盡管這是一個(gè)可以追溯到五十多年前的概念，但是在目前及未來(lái)，該項(xiàng)技術(shù)在應(yīng)用程序方面仍將成長(zhǎng)與發(fā)展。實(shí)際上，當(dāng)今一半的服務(wù)器運(yùn)行在虛擬機(jī)上。1、到2014年，70%的工作負(fù)載運(yùn)行在虛擬機(jī)上。2、我們需要跟上技術(shù)的進(jìn)步，并且需要廣泛部署安全的虛擬化組件和虛擬化環(huán)境。讓我們看看那些目前由虛擬化帶來(lái)的效益。

3.虛擬化帶來(lái)的安全好處

以下是引入虛擬化環(huán)境的一些好處：

在虛擬化環(huán)境中，采用集中存儲(chǔ)來(lái)防止數(shù)據(jù)丟失，如設(shè)備丟失、竊取及重要數(shù)據(jù)被破壞。

當(dāng)虛擬機(jī)和應(yīng)用程序被正確隔離時(shí)，在一個(gè)操作系統(tǒng)只有一個(gè)應(yīng)用程序會(huì)受到攻擊的影響。

當(dāng)配置正確時(shí)，虛擬環(huán)境提供了靈活性，它允許系統(tǒng)不必分享那些至關(guān)重要的信息。

如果一個(gè)虛擬機(jī)被感染，它可以回滾到被攻擊前的一個(gè)安全狀態(tài)。

因?yàn)橛布O(shè)備及數(shù)據(jù)中心的減少，使虛擬化提高了物理安全性。

桌面虛擬化的部署可以更好的控制用戶環(huán)境。一個(gè)管理員可以創(chuàng)建并控制一個(gè)“鏡像”，并向下發(fā)送到用戶的計(jì)算機(jī)。該技術(shù)提供了更好的系統(tǒng)給控制，以保證滿足組織的安全策略需求。

服務(wù)器虛擬化可以帶來(lái)更好的事故處理，因?yàn)榉?wù)器可以恢復(fù)到以前的狀態(tài)，以便審查之前和攻擊期間發(fā)生了什么。

系統(tǒng)和網(wǎng)絡(luò)管理的訪問(wèn)控制以及職責(zé)分離可以被改善，通過(guò)只分配給特定個(gè)人控制虛擬環(huán)境內(nèi)部網(wǎng)絡(luò)，而其他人處理在DMZ區(qū)的虛擬機(jī)。例如你能有特定的管理員處理Windows服務(wù)器，而另一些人處理Linux服務(wù)器。

虛擬機(jī)管理軟件比較小并且不復(fù)雜。它提供了很小的攻擊面，程序以很小的攻擊面運(yùn)行，減少了潛在的脆弱性。

請(qǐng)注意，我們已經(jīng)描述了上述的一些好處，如“如果配置或設(shè)置不當(dāng)”。虛擬化是非常復(fù)雜的，所

以它必須是正確的，以保證獲得上述優(yōu)勢(shì)。

4.虛擬化面臨的安全挑戰(zhàn)、風(fēng)險(xiǎn)和問(wèn)題

現(xiàn)在我們已經(jīng)看到了虛擬化的一些優(yōu)勢(shì)，下面讓我們一起來(lái)看看一些挑戰(zhàn)、風(fēng)險(xiǎn)和問(wèn)題。

4.1主客之間的文件共享

當(dāng)使用文件共享時(shí)，一個(gè)有問(wèn)題的客體可以訪問(wèn)主機(jī)的文件系統(tǒng)，并修改用于共享的目錄。

當(dāng)剪貼板共享和拖拽被用于主客機(jī)時(shí)，或者當(dāng)應(yīng)用程序編程接口被用于編程，在這些領(lǐng)域的穩(wěn)定性漏洞可以最終影響整個(gè)基礎(chǔ)設(shè)施。

4.2快照

當(dāng)快照被恢復(fù)時(shí)，你所做的任何對(duì)配置的更改將丟失。如果你改變了安全策略，一些東西是可以當(dāng)下訪問(wèn)的。審計(jì)日志也可能消失，這可能消除你在服務(wù)器上進(jìn)行更改的任何記錄。這些不幸的結(jié)果很難滿足合規(guī)性的要求的。

圖像和快照包含的專有數(shù)據(jù)像個(gè)人身份信息和密碼，更像一個(gè)物理硬盤驅(qū)動(dòng)器。任何不必要的或者更多的圖像真的是引起關(guān)注令人擔(dān)憂的，因?yàn)槿魏慰煺盏拇鎯?chǔ)可能含有未被發(fā)現(xiàn)的惡意軟件在重新加載的時(shí)候會(huì)造嚴(yán)重的破壞。

4.3網(wǎng)絡(luò)存儲(chǔ)

光纖通道和iSCSI是明文協(xié)議，并可能會(huì)受到這方面的中間人攻擊。嗅探工具可用于讀出或記錄存儲(chǔ)流量，并可以被攻擊者重現(xiàn)。

這往往是一個(gè)光纖通道的性能和安全之間的權(quán)衡，加密可以在主機(jī)總線適配器用于光纖通道實(shí)現(xiàn)，但由于可能會(huì)發(fā)生的負(fù)面問(wèn)題而不能多次被使用。

4.4虛擬機(jī)管理程序(Hypervisor)

如果Hypervisor被攻破，所有連接的虛擬機(jī)也將受到影響，并且默認(rèn)的Hypervisor配置中并不總是最安全的。

Hypervisor控制一切，并提供在虛擬環(huán)境中的單點(diǎn)故障。一個(gè)單一的缺口可以把整個(gè)環(huán)境處于危險(xiǎn)之中。

在Hypervisor的一個(gè)管理員可以做任何事(“所有王國(guó)的鑰匙”)。在Hypervisor通常有密碼設(shè)置，但這些很容易被管理員之間共享，這樣你就不會(huì)真正知道誰(shuí)做了什么。

Hypervisor可以允許虛擬機(jī)彼此之間溝通，這種溝通甚至不會(huì)加入物理網(wǎng)絡(luò)，這最終表現(xiàn)得像一個(gè)私有網(wǎng)絡(luò)的虛擬機(jī)。這個(gè)流量并不能總是被看到，因?yàn)橛商摂M機(jī)管理程序進(jìn)行，并且你不能保證這是否安全。