令人担忧的虚拟化安全控制虚拟机是关键

1、在今年 3 月由Computerworld 主办的100 IT会议上，曾经有过一次圆桌，有一位 CIO 当场就表达了对于虚拟化基础设施安全问题的担心，因为他公司里一半以上的生产服务器都已经虚拟化了。很快，另外两位 IT 高管也插嘴说出了他们自己对于虚拟化安全问题的担忧。尽管在场的很多 IT 高管不太愿意公开承认他们感觉自己在这方面很脆弱，但是德州市的租赁业巨头 Rent-a-Center 公司的技术服务与系统架构高级经理 Jai Chanani 却表达出了他们的苦恼。他说，“我最害怕的一件事情就是虚拟服务器。”他的团队每天要运行大约 200 个 VMware ESX 和 XenServer 虚

2、拟服务器，用作文件和打印服务器，有时候还要用作应用服务器。但是出于安全上的考虑，他的团队没有将公司的系统虚拟化。系统、数据库或“我最不希望发生的事情就是，有 25 台虚拟服务器在某处运行，而我却不知道它们的存在。”公园营运商六旗公司 CIO Michael Israel德州的公园营运商六旗公司的 CIO Michael Israel 还表达了另外一种担忧。对他来说，最让人焦躁不安的局面就是某个心怀不轨的管理员可能会把虚拟服务器从一个安全的网络段迁移到另一个不安全网络段的物理主机上去，或者创建新的、未登记的、未经的和未打过补丁的虚拟服务器。“我最大的担心就是出了叛徒。我最不希望发生的事情就是，有

3、 25 台虚拟服务器在某处运行，而我却不知道它们的存在，”他说。虽然向虚拟服务器进行迁移，由于服务器的整合及效率的提高，可以节省企业大量的金钱，但是因为虚拟化正在吞没越来越多的生产服务器，一些 IT 高管们正在担心可能会出现的消化不良症。一切都能在掌控之中吗?某次数据中心停运呢?“客户们有一天会突然性的会不会让关键应用，甚至使整个，已经有一半的关键业务应用都在虚拟服务器上跑，他们会惊讶地问：天哪!这样做安全吗?”IBM 安全解决方案副师 Kris Lovejoy 说。兼安全问题不在于虚拟的基础设施能否保障自身的安全，而是很多企业始终没有采取最佳实践如果他们有的话去适应新的虚拟化环境。虚拟化引入

4、了不少的技术包括一个新的层，即 hypervisor这些技术都必须是可管理的。但是还有一些新的技术：例如在虚拟服务器之间为网络流量提供路由的虚拟交换，对于原来为物理网络而设计的流量工具来说就并不总是可见的。另外，虚拟化打破了 IT 部门中传统的责任划分，比如一名员只需按个键，而无须经过采购部门，或者网络、业务连续性和安全部门的批准，便可一次生成大量新的虚拟服务器。在很多组织中，IT 安全团队是不会对虚拟基础设施提供意见的，除非是在组织构建了虚拟化基础设施，并在生产服务器上运行这些基础设施之后才会提供此类具有虚拟化意识的安全技术和最佳实践都还处在初期演进阶段。服务。，虚拟化安全上市场发展的如此之

5、快，以至于客户们已无法让企业的最佳实践与其保持同步， Lovejoy 说。他们既缺乏关于这一话题的理论知识，也缺少现场处理问题的实际技能。尽管有些技术亦可用来保障虚拟化基础设施的安全，但是 Lovejoy 还是经常会看到，某些安全上的可以溯源到不正确的配置。“和虚拟环境下的安全相关的主要问题就是缺少可见性，缺乏控制，和对未知事物的恐惧，”IT公司 Info Pro 的安全研究执行经理 Bill Trul 说。麻烦不断的 hypervisor会不会有人劫持企业虚拟基础设施中的某个 hypervisor，然后利用它来破坏驻留在该 hypervisor 上的所有虚拟服务器呢?会不会有某个者控制一台虚

6、拟服务器，利用它作为再去其他的虚拟服务器，比如驻留在同一硬件上的支付卡处理应用，而员甚至根本察觉不到呢?这些令人的场景将会顽固地存在，尽管目前还没有出现已知的针对虚拟基础设施的RSA Security 安全基础设施高级经理 Eric Baize 说。然而，很多 IT 安全仍然对此疑虑。Info Pro 在其 2010 年度的中对 96 位安全做了，结果有 28%的受者称，他们“非常”关注或“相当”关注虚拟化环境中的安全问题。在 2006 年的黑帽大会上，安全研究Joanna Rutkowska 演示了著名的蓝色药丸hypervisor有断过。rootkit，这之后，人们对于可能危及 hyper

7、visor 的的担忧就一直没不过从那时以来，安全行业已经向前发展了一大步，开发了一些硬件技术来保障 hypervisor的完整性，例如英特尔的 VT-d(Virtualization Technology for Directed I/O)技术。“今天，绝大多数的英特尔 Core i5 和 i7 处理器都拥有这些技术”，而虚拟化厂商也开始支持这样的功能，如今已成为 IT 安全研究公司 Invisible Things 的创始人兼 CEO 的Rutkowska 说。但是，即便是 VT-d 技术也不能真正保障 hypervisor 的完整性，“不过英特尔的 TXT 扩展却可以提供任动态测量根(dy

8、namic root of trust measurement，DRTM)技术，这种技术将在新一代英特尔处理器中出现，”Gartner 分析师 Neil MacDonald 说。Rutkowska 本人对于是否有人会利用蓝色药丸类 rootkit虚拟机也表示怀疑。“没有任何理由会让坏分子们去使用如此复杂的 rootkit 工具，”她说，尤其从上世纪 90 年代以来，人们对于传统操作系统的 rootkit 技术有了更深入的了解。可以这么说，如果对虚拟基础设施来说，没有遵循和采纳最佳实践的话，那么虚拟化就会出现。Hypervisor 必须像任何其他操作系样，定期修补安全，Rent-a-Center

9、租赁公司的高级经理 KC Condit 说。“VMware 今年以来已发布了 9 个重要安全公告，而 XenServer 也已发布了 6 个安全修复办法。”“看到过大量配置不当的 hypervisors，”RSA Security 的高级安全师 Andrew Mul说。他说，在他拜访客户的时，经常会看到对虚拟机的补丁管理很，而且虚拟机管理程序所使用的都是一些很容易猜到或者缺省的用户名和，这会让他人很容易进入并hypervisor。除此之外，他说，“的错误一侧。”还能偶然看到虚拟机管理工具放在了看不见的网络虚拟机之间的网络流量是安全们所担心的另一个问题，因为检测和防御系统、和其他把数据包工具都无

10、法告诉你这些虚拟机是不是在同一台物理服务器上运行的。“我工具放在虚拟服务器上，但是在物理网络的界面上，却看不出有任何流量在进进出出。那么这些流量是如何发生的呢?它们走的是安全的通道吗?”凤凰城市的高级安全工程师 Vauda Jordan 说。虽然该市对虚拟基础设施投入了相当多的，但 Jordan 既没有谈论虚拟基础设施的技术或实施范围，而是谈到了不少有关安全方面的担忧。“我更信任而不是 hypervisor。”凤凰城市高级安全工程师 Vauda Jordan利用 ESX 服务器和其他主要的虚拟化，虚拟机之间所通过的数据是不加密的，各虚拟机在使用 VMware 的 vMotion 工具在不同物理

11、主机间迁移时是处于内存状态的(VM 盘文件本身仍然在同一个共享设备上)。VMware 负责产品的高级经理 Venu Aravamudan 说，“在的路线图/规划执行中，加密是要主动加以考虑的，”但他要增加加密功能，以及何时增加等问题。评论 VMware 的产品是否Aravamudan 称，如果执行了最佳实践，那么加密“就不是什么大问题”。最佳实践会要求 vMotion 流量与生产流量完全。但他也承认，“中间人从理论上讲是有可能的，”尤其是因为虚拟服务器实例可能会在各个数据中心间迁移，而不只是在一个物理场所内迁移。像 VMware 的 vShield 和其他第工具等产品可以创建虚拟将 VMwar

12、e、XenServer、 Hyper-V 和其他虚拟机彼此在不同的安全区域中，但是并非所有的组织都已实施了这种。例如，创建不同的安全区域就不是 Rent-a-Center 关注的大事。但是随着虚拟基础设施的不断扩展，这种就会成为必须，Condit 说。Rent-a-center 依然采用物理 虚拟机的方法，也就是将属于每 能组合的虚拟机驻留在不同的物理服务器上。这种方法的缺点是当虚拟设置增长得很大的，难以 ，而且会限制虚拟化所提供的整合优势。Rent-a-Center 的 Chanani 说，在某些场合下，一个刀片服务器机箱内只插了一块刀片。“这样做，成本很快就会变得极其高昂。这也就是 为何正

13、在谈论如何重新改造，设置虚拟 的原由了，”他说。有些现有的 工具可以看见虚拟服务器流量，但在其他场合下，IT 需要另外增加一组虚拟化工具，但这又会增加管理的复杂性。Gartner 的 MacDonald 说，最好的办法是有一套能够 物理和虚拟环境的工具。然而，除非传统的安全工具厂商追赶上来，否则企业的IT 部门就只能用一些不知名厂商如 Altor 网络、Catbird 网络和 HyTrust 等公司的工具，这些工具为了适应虚拟机的需要而做了剪裁。IBM 的 Lovejoy 认为，近期来看，混合的工具环境不可避免。“必须要让这些厂商有和的相一致的路线图，”他说。“否则你就只能拥有短命的单独的工具

14、了。”虚拟网络架构更重要的是， 网络架构需要加以变动方能适应虚拟化，RSA Security 的 Mul说。“能与物理服务器正确工作的网络却不一定能和虚拟服务器配合得很好。如果适当的路由、子网和 VLAN 都已配置好，那么安全就应当加以改进，”他说。大多数企业之所以会在虚拟化设置上出现连续 ，可能就得归因于网络设计上的 。六旗公司的高级系统工程师 Matthew Nowell 利用 VLAN 来虚拟服务器。“取决于如何设置路由规则，这些虚拟服务器或许能，或许不能彼此交谈，”他说。但是 Gartner 的 MaCDonald 提醒道，“VLAN 和路由接入控制对于安全来说都不够充分。”Gartn

15、er的指南要求必须部署某类虚拟化。Jordan 坚持凤凰城的系统管理员必须将每个虚拟服务器 在各自的安全区域内。“我必须不断对劝说那些喋喋不休地争辩说 hypervisor 就能实现安全 的服务器管理员。我更信任 而不是 hypervisor，”她说。“最 的人物之一就是如何将日常业务网络与支付卡基础设施进行 ，”市民们可使用后者缴纳水费或其他服务项目的费用。Jordan 说，为了满足 PCI(支付卡行业)安全标准的要求，她需要对处理、 或传输支付卡数据的虚拟服务器上的文件完整性进行监测。对六旗公司来说，它利用 VLAN 将支付卡处理功能放在虚拟服务器上没有出现任何问题。“我们的 PCI 审计

16、从未出现过反馈问题，”Nowell 说。然而另一方面，Rent-a-Center 却从不用虚拟机来处理流程。明尼苏达州的 Schwann 食品公司则采取了一种不同的方法来进行支付卡处理：它只使用机虚拟化系统(即虚拟机直接安装在硬件上)，而根本不用任何 hypervisor、强势管理员的在一个没有的虚拟环境中，管理员就代表着一切的权力师和 IT 高管们一致认，而在大部分时间里，为，这种情形绝不是什么好事。“这等于给了管理员们进入王国的他们对安全风险却并不了解，”Jordan 说。举例来说，管理员可能创建了一个虚拟 FTP 服务器，而在进行时，又会粗心大意地使用某个虚拟机迁移工具，比如 XenMo

17、tion、Hyper-V 实时迁移功能，或者 VMware 的 vMotion等，把虚拟服务器迁移到了不同的硬件上。但是他们可能并没有，新的托管主机却有可能处在不任的网络区段上。或者，他们没有遵守最佳实践比如说他们可能会把VMware 虚拟网络计算(VNC)客户端的管理员然后又将这些虚拟机分发了出去。的文本文件不存放在了虚拟机镜像中，在创建新的虚拟服务器时使用缺省口令是很常见的，IBM群组的架构师Harold Moss说，而负责管理新虚拟机的人却不会经常变更口令。“利用 VNC，你可以打开所有的端口，”他说。利用这些未加变更的口令，窃贼们就有可能登录虚拟机，猜测出口令，从而“完全控制虚拟机，”

18、他解释说。Forrester 分析师 John Kindervag 说，他就曾听到过一些客户的故事，说他们的 VMwarevCenter 管理控制台就曾被控制。者们利用该控制台拷贝了一台虚拟机，然后盗走了上面的数据。“一旦你上的数据。这了一台虚拟机，你便可以堂而皇之地进入数据中心，盗取其他硬件性的，”他说。其他常见的错误在 IBM 安全解决方案群组，Lovejoy 在客户的上看到过由于构建不当的虚拟机镜像而出现的跨站等问题。“常见的情形是，虚拟机镜像常常包含。”，或者有一些很容易被利用的为了帮助防范被的可能，安全厂商们正在创建这样一种模式，利用这种模式，虚拟化厂商可以让一些代码在 hyperv

19、isor 层上运行。例如趋势科技的 Deep Security包括了、日志检测、文件完整性监测和检测及防御功能。它能与 Sun 的 SolarisContainers、微软的 Windows Hyper-V、VMware 的 ESX Server 和 Citrix 的 XenServer 虚拟机配合工作。但是通过 vSphere，网络文件过滤功能可以在 hypervisor 上运行，趋势科技的 1 高级产品开发经理 Bill McGee 说。然而，有个问题是，给 hypervisor 层加压是不是一个好想法呢?未能实现最佳实践，或者未能在虚拟基础设施中建立明确的责任分工，这就是问题频发的根源，

20、RSA Security 的 Mul称。“人们今天仍然不喜欢实行责任分工。他们总想把权杖交给少数人去管理。”他建议开发一种强大的变更管理流程，包括变更管理工票的。Condit 对此也表示赞同。“在虚拟世界里，不存在固有的责任分工，所以你必须自己来创建这种分工，”他说。变更管理、配置管理和资产控制，对于保障虚拟基础设施安全来说是的。合规性是又一个令人但有。作为欧盟开发的系统工程设计经理，Jean-LouisNguyen 需要该140 台虚拟机的管理员们的行为，以确保他们能够遵守各种和管理规则的要求。该曾尝试过 VMware 的日志功能，后来发现需要更好的方法才能整合各种日志信息。“要想获得这些日

21、志本身就是不简单的事情，”他说。最后他决定使用 HyTrust的工具来提供所有管理员行为的集志。该还是用 HyTrust 为首席安全官(CSO)设置了一个完全的虚拟环境，只有他才能全来加固基础设施。CSO 可以面控制所有物理的和虚拟的基础设施，并利用底层安全所有生产现场的虚拟服务器及其配置，但无权做任何变更。“关键是要确保你的管理体系不会出现管理员权力的情况需要确定的是管理系统是可靠的，不会有人数据，”Nguyen 说。其他工具可分层配置以获得控制。例如，新兴企业 Catbird 网络提供一种策略管理工具套件，既可在出现策略情况时向管理员示警，也可在有虚拟机破坏规则时对其进行。“你需要知道虚拟

22、机去了哪里，到了某地后正在做什么。如果你不喜欢它所做的事，那你就必须有能力终止它的运行，”Catbird 的副Tamar Newberger 说。而在 Rent-a-Center，是不需要额外工具的，因为强大的检查与平衡策略足以满足管理需求。该公司的安全经理“会及时发布一个流程，说不能把某台虚拟服务器放入生产现场，除非他的团队已经将此服务器注销了，”Chanani 说。“你需要的是某个可控的技术及时到位吗?这个问题的可以是否定的。你需要的是良好的治理和吗?这个问题的是：，”RSA Security 的 Mul说。保护数据由于虚拟机镜像里主要是数据程序代码在某地的硬盘上这些文件必须受到保护。“你肯定不希望看到将整个服务器放在一块 USB 硬盘上带出去 Jordanm 说。”她说，凤凰城市利用物理安全、网络控制和文件完整性等的相互结合来保护虚拟机镜像。六旗公司则是将这些镜像放在受保护的网络人共享的。你也不可能去拷贝文件，因为在说。区域中。“这些 NFS 安装盘是严格任何的环境中是不可能让你安装 U 盘的，”NowellRSA Security 的 Baize 说，IT