虚拟化安全问题

下面是目前人们最担心的服务器虚拟化的五大安全问题:管理失败和责任MacDonald说，虚拟服务器的主要问题是责任。与物理服务器不同，物理服务器是数据中心或者IT经理直接负责的，而虚拟服务器经常被人们遗忘。应该要求业务部门配置虚拟机并且保证其安全吗？IT经理应该更接近物理主机吗?一个集中的主系统管理员应该负责一个企业的全部虚拟化资产吗？MacDonald说，人们不理解这个问题：当你增加虚拟服务器的时候，除了应用程序、操作系统和硬件之外，你又增加了另一层技术。你必须要保证它的安全。补丁与管理缺少责任可能出现的最明显的风险是跟不上为企业的每一个虚拟机使用补丁、维护和保证安全的不断的、劳动密集型的流程。与虚拟机所处的物理服务器不同，物理服务器是由IT经理推出和配置的，IT经理还安装了最新的补丁。而虚拟机是由几个星期或者几个月之前创建、设置和使用补丁的服务器镜像创建的。MacDonald说，大多数企业都保持少量的通用的“黄金”镜像，从这些镜像推出或者重新推出用于许多用途的新的虚拟机。但是，在经过辛苦的设置支持具体的应用程序或者业务需求之后，大多数企业会把数十个或者数百个服务器镜像存储在DVD或者硬盘上。MacDonald说，你可以对虚拟机拍一个快照，把这个虚拟机写入硬盘，这样，你下一次就不用创建同样的虚拟机，并且可以利用这个虚拟机进行灾难恢复。在需要时，就推出在离线库中存储的许多虚拟机中的一个虚拟机即可。但是，大部分虚拟机都没有最新的杀毒软件特征和补丁。有些人在推出虚拟机的时候应该对虚拟机进行检查。但是，有些人经常不检查，通常也没有进行检查的方法。微软和VMware都用自己的基本基础设施产品提供了补丁管理的时间表。这两家公司都需要把磁盘镜像存储在库中，以便定期地发布，这样它们就能够使用补丁。然而，对于拥有数百个虚拟机镜像的库的企业来说，这是一个繁重的流程。这个流程没有解决正在运行的虚拟机的补丁状态问题，或者在几个星期或者几个月的时间里安装新的病毒特征的问题。当然，VMware、惠普和许多新兴企业现在都使用管理产品设法帮助IT实现大都数工作的自动化。可见性和遵守法规虚拟服务器的设计至少在数据中心中应该是可见的。虚拟机需要的所有的存储、带宽、地面空间或者电力都来自于虚拟机所处的物理服务器。数据中心管理员如果没有监视每一个主机中的虚拟机之间的全部联系记录，这些虚拟机就变成了一个几乎失控的看不见的网络。MacDonald说，虚拟交换机的应用让虚拟机能够相互之间沟通和跨网络地沟通。但是，除非你在那个虚拟网络中应用了物理服务器上使用了同样的控制措施，如虚拟嗅探器、虚拟防火墙等，否则，你就看不到正在运行什么东西。还有许多遵守法规和应用的问题。不会因为你没有嗅探器看不到虚拟服务器之间传送的数据包这些数据包就不存在。MacDonald说，你也许有一个HIPPA（健康保险可携性及责任性法案）控制的工作量与一个非HIPPA工作量进行沟通，或者PCI法案工作量与非PCI法案工作量相互之间沟通。这将使你处于不利的地位。你也许知道你是否查看了那个网络的数据包。但是，这些数据包并不是来自于你查看的那台机器。因此，除非你采取额外的步骤，否则你不会知道真实的情况。微软、VMware和思杰都在他们的基本产品中建立了对这些沟通的可见性和控制。但是，这个功能的水平还不足以达到保护用户安全的程度。思科没有参与这件事，瞻博网络也没有参与这件事。我们还没有达到这样一个转折点，让传统的网络厂商都感到他们能够进入虚拟机领域。在许多情况下，用户既不知道也不在乎某些风险。在上个月在拉斯维加斯举行的2009年RSA会议上，虚拟安全软件提供商SecurePassage实施并且发表的一项调查显示，72%的受访者没有使用任何类型的虚拟防火墙。主要原因是受访者不了解虚拟网络中的情况、管理虚拟安全的困难和缺少对于虚拟防火墙构成的理解。VMware建在其VSphere版本的虚拟基础设施产品中的应用程序编程接口VMSafe能够使第三方安全厂商把它们的应用程序应用到VMware虚拟机。VMware在RSA会议上还宣布称，它在vSphere软件中内置了RSA的预防数据丢失的软件以增强安全性。思杰首席技术官SimonCrosby在RSA会议上进行的安全辩论中称，安全应该建在应用程序中，而不应该建在管理程序或者虚拟基础设施管理产品中。虚拟机蔓延缺少对虚拟机监管的另一个后果是虚拟机蔓延。虚拟机蔓延是虚拟机没有控制的扩散。IT经理、开发人员或者业务部门的经理为了某些具体的应用需要一些额外的服务器。他们推出了这些虚拟服务器，但是，后来忘记了并且失去了对这些虚拟服务器的跟踪。虚拟机蔓延浪费资源，创建了可能访问敏感数据的没有人监视的服务器。当以后出现问题的时候，整个公司和IT部门要清除这些虚拟机是很痛苦的。要强迫业务部门经理填写申请表并且说明他们为什么需要额外的虚拟机，做什么用，需要多长时间减缓这个流程的速度。但是，还要给每一个人一些时间考虑每一个虚拟机是否有必要。Steffen说，如果他们需要更换一台他们已经在运行的一台服务器，我们不会那样做。但是，采用虚拟机，你有可能让虚拟机完全失去控制。有这样多的虚拟机，你不能对保证虚拟机的安全做任何事情。SecurePassage对RSA会议参加者的调查显示，42%的受访者担心虚拟机蔓延，特别是担心对业务部门经理随意增加虚拟机缺乏控制。业务部门经理随意增加新的虚拟机，不与IT部门进行协调并且保证管理和保护这些虚拟机。管理虚拟设备MacDonald称，有关虚拟基础设施的最佳事情之一是能够购买或者测试第三方厂商的产品，让这种产品在几分钟之内就设置完成并且开始运行，而不用在测试服务器上腾出地方，安装软件，让这个产品与操作系统和网络沟通，然后在几个小时之后再观察这个产品是否做它该做的事情。遗憾的是，虚拟设备也是虚拟的盲目买进的产品。每一套设备都有自己的操作系统和应用程序，每一个都有自己的设置和补丁状态。你不知道那里有什么或者谁在维护它，或者不知道长期的风险是什么。它有全部设置好的和准备运行的应用程序和操作系统。你可以在五分钟之内试验这个新的反垃圾邮件服务器。但是，你不知道这套设备中是什么操作系统，是否使用了补丁。如果没有使用补丁，谁将向你提供这个补丁。支持应用程序和操作系统虚拟化的概念并不是新的。然而，最近几年虚拟化应用的速度成倍增长，特别是软件操作系统虚拟化的应用。虚拟机最终的到了认可并且正在迅速进入企业数据中心，成为每一个地方IT部门内部所有人员和小组的通用工具。那么，虚拟机到底是什么?VMware把虚拟机定义为把物理硬件与操作系统分离的一个抽象层。目前，我们一般都认为虚拟机是在一个硬件平台范围内运行多个软件操作系统。这个概念通常是以这种方式实施的：在一台硬件服务器上的一个操作系统（主机平台）运行前后排列的虚拟硬件平台（客户机）上的多个独立的操作系统。平台虚拟化通常依靠全面的硬件分段：允许单个的客户机平台使用物理主机硬件的具体部分，对主机平台不会产生冲突和影响，并且运行主机和客户机按顺序运行并且没有相互影响。平台虚拟化有两种主要类型：透明的和熟悉主机的。透明的虚拟化是客户机不知道它在虚拟状态下运行。客户机就像在本地硬件平台上运行一样消耗资源，显然这是因为它正在由VMM（虚拟机监视器）或者管理程序等额外的组件管理。VMware等更标准的虚拟化形式都采用透明的管理程序系统。这些系统可以被看作是代理：管理程序将透明地代理客户机和主机硬件之间的全部通讯，并且把自己隐藏起来使客户机认为自己是在那个硬件上运行的唯一的系统。熟悉主机的虚拟化实施与此不同，客户机在内核中内置了某种形式的虚拟化知识。客户机操作系统内核的某些部分知道管理程序的存在并且直接与管理程序沟通。流行的Linux虚拟化软件Xen使用一种熟悉主机的架构，要求特别的管理程序指令代码积极地在主机和所有运行虚拟化的客户机上运行。推动虚拟化应用的一个推动因素之一是支持VMM的硬件的开放性质:运行和管理主机操作系统的硬件平台和VMM不是特殊的设备或者装置。这种把虚拟化软件应用到日常硬件的灵活性允许每一个人直接地和廉价地运行虚拟化的环境。虚拟化能够让企业购买一台高端硬件设备运行20个虚拟操作系统，而不用购买20台商品化的低端设备，每一台设备当作一个操作系统平台。虚拟化的入侵载体虚拟化的好处是明显的：能够节省更多的资金。但是，每一件事情都有正反两个方面，虚拟化也不例外。虚拟化的优点是很大的，但是，缺点不是那样明显。在一台服务器上运行20个虚拟机有什么坏处?虽然人们目前还没有把虚拟化当作一个巨大的威胁，没有考虑虚拟机和虚拟化环境的安全问题，但是，这并不是因为虚拟化的安全问题在技术上还是一个迷，而是因为正在广泛实施虚拟化的组织一般都不知道虚拟化入侵的载体。换句话说，虚拟化的实施一般都没有考虑到它可能带来的新的威胁。虚拟化带来了一套全新的问题和风险。安全管理员熟悉“增强的操作系统”、“有围墙的花园”和“网段”等在一台机器使用一个应用程序的环境中使用的词汇。但是，安全管理员如何把这些概念应用到虚拟数据中心这个未知的领域?我们如何在我们不熟悉的环境中保护自己?当前的系统和安全管理员需要把重点放在虚拟安全上，准备应付分布式攻击和有针对性的攻击等新的威胁。实施虚拟化前要考虑的六大问题虚拟基础设施管理员应该熟悉和准备应对虚度安全风险和考虑。许多安全风险和考虑在这次讨论中没有涉及到。在向全面虚拟化环境过渡时，还有许多问题需要考虑，如：•我们当前的分析、调试和取证工具如何适应虚拟化？•安全管理员需要什么新工具管理所有的虚拟化平台？•补丁管理对于客户机、主机和管理子系统等虚拟基础设施有什么影响？•新的安全工具(如，处理器内置的硬件虚拟化)能够通过把管理程序从软件转移到硬件来保护这个管理程序吗？•非执行栈(no-execstacks)等已知的安全最佳做法在全面实施虚拟化的时候有什么区别吗?硬件虚拟化能为真正安全的VMM铺平道路吗？•虚拟化和共享的存储：如果我们一直到iSCSI传输层都采用了虚拟化会出现什么情况呢?我们会为绕过内置存储局域网安全的攻击敞开防洪闸门吗？所有这些问题都是企业全面采用虚拟化之前需要考虑的问题。此外，我们现在还应该考虑虚拟化安全未来将把我们引向何方。我们都赞成这个观点，虚拟化是为了企业更好并且已经定型了。但是，安全管理员需要保证自己领先于威胁，在攻击者编写攻击虚拟化的代码之前想到虚拟化的威胁载体。虚拟化六大安全问题有待解决克不容

缓随着虚拟化技术不断向前发展，许多单位面临着实施虚拟化的诱人理由，如服务器的整合、更快的硬件、使用上的简单、灵活的快照技术等。这都使得虚拟化更加引人注目。在有些机构中，虚拟化已经成为其架构中的重要组成部分。在这里，技术再次走在了最佳的安全方法的前面。随着机构对灾难恢复和业务连续性的重视，特别是在金融界，虚拟环境正变得越来越普遍。我们应该关注这种繁荣背后的隐忧。使用虚拟化环境时存在的缺陷如果主机受到破坏，那么主要的主机所管理的客户端服务器有可能被攻克。如果虚拟网络受到破坏，那么客户端也会受到损害。需要保障客户端共享和主机共享的安全，因为这些共享有可被不法之徒利用其漏洞。如果主机有问题，那么所有的虚拟机都会产生问题。虚拟机被认为是二级主机，它们具有类似的特性，并以与物理机的类似的方式运行。在以后的几年中，虚拟机和物理机之间的不同点将会逐渐减少。在涉及到虚拟领域时，最少特权技术并没有得到应有的重视，甚至遭到了遗忘。这项技术可以减少攻击面，并且应当在物理的和类似的虚拟化环境中采用这项技术。保障虚拟服务器环境安全的措施升级你的操作系统和应用程序，这应当在所有的虚拟机和主机上进行。主机应用程序应当少之又少，仅应当安装所需要的程序。在不同的虚拟机之间，用防火墙进行隔离和防护，并确保只能处理经许可的协议。使每一台虚拟机与其它的虚拟机和主机相隔离。尽可能地在所有方面都进行隔离。在所有的主机和虚拟机上安装和更新反病毒机制，因为虚拟机如同物理机器一样易受病毒和蠕虫的感染。在主机和虚拟机之间使用IPSEC或强化加密，因为虚拟机之间、虚拟机与主机之间的通信可能被嗅探和破坏。虽然厂商们在想方设法改变这种状况，但在笔者完成此文时，这仍是一真实的威胁。企业仍需要最佳的方法来对机器之间的通信实施加密。不要从主机浏览互联网，间谍软件和恶意软件所造成的感染仍有可能危害主机。记住，主机管理着虚拟机，发生在虚拟机上的问题会导致严重的问题和潜在的“宕机”时间、服务的丧失等。在主机上保障管理员和管理员组账户的安全，因为未授权用户对特权账户的访问能导致严重的安全损害。调查发现，主机上的管理员（根）账户不如虚拟机上的账户安全。记住，你的安全性是由最弱的登录点决定的。强化主机操作系统，并终止和禁用不必要的服务。保持操作系统的精简，可以减少被攻击的机会。关闭不使用的虚拟机。如果你不需要一种虚拟机，就不要运行它。将虚拟机整合到企业的安全策略中。保证主机的安全，确保在虚拟机离线时，非授权用户无法破坏虚拟机文件。采用可隔离虚拟机管理程序的方案，这些系统可以进一步隔离和更好地保障虚拟环境的安全。确保主机驱动程序的更新和升级，这会保障你的硬件以最优的速度运行，而且软件的更新可极大地减少漏洞利用和拒绝服务攻击的机会。要禁用虚拟机中未用的端口。如果虚拟机环境并不利用端口技术，就应当禁用它。监视主机和虚拟主机上的事件日志和安全事件。这些日志应当妥善保存，用于日后的安全审计。16.限制并减少硬件资源的共享。从某种意义上讲，安全与硬件资源共享，如同鱼与熊掌，不可兼得。在资源被虚拟机轮流共享时，除发生数据泄漏外，拒绝服务攻击也将是家常便饭。在可能的情况下，保证网络接口卡专用于每一个虚拟机。这里再次减轻了资源共享问题，并且虚拟机的通信也得到了隔离。投资购买可满足特定目的并且支持虚拟机的硬件。不支持虚拟机的硬件会产生潜在的安全问题。分区可产生磁盘边界，它可用于分离每一个虚拟机并可在其专用的分区上保障安全性。如果一个虚拟机超出了正常的限制，专用分区会限制它对其它虚拟机的影响。要保证如果不需要互联的话，虚拟机不能彼此连接。前面我们已经说过网络隔离的重要性。要进行虚拟机之间的通信，可以使用一个在不同网络地址上的独立网络接口卡，这要比将虚拟机之间的通信直接推向暴露的网络要安全得多。NAC正走向虚拟机，对于基于虚拟机服务器的设备尤其如此。如果这是一种可以启用的特性，那么，正确的实施NAC将为你带来更长远的安全性。严格管理对虚拟机特别是对主机的远程访问可以使暴露的可能性更少。记住，主机代表着单个失效点，备份和连续性要求可以有助于减少这种风险。避免共享IP地址，这又是一个共享资源而造成问题和漏洞的典型实例。业界已经开始认识到，虚拟化安全并不是像我们看待物理安全那样简单。这项技术带来了新的需要解决的挑战。结论虚拟化安全是一项必须的投资。如果一个单位觉得其成本太高，那么笔者建议它最好不要采用虚拟化，可坚持使用物理机器，但后者也需要安全保障。云计算安全问题的解决办法云计算用户的安全办法听取专家建议，选用相对可靠的云计算服务提供商。用户在享受云计算服务之前，要清楚地了解使用云服务的风险所在？一般地，专家推荐使用那些规模大、商业信誉良好的云计算服务提供商。Gartner咨询公司副总裁DavidCearley表示，“使用云计算的局限是企业必须认真对待的敏感问题，企业必须对云计算发挥作用的时间和地点所产生的风险加以衡量”。企业通过减少对某些数据的控制，来节约经济成本，意味着可能要把企业信息、客户信息等敏感的商业数据存放到云计算服务提供商的手中，对于信息管理者而言，他们必须对这种交易是否值得做出选择。基于内容感知的技术可以帮助用户判断什么数据可以上载，什么数据不可以上载，如果发现试图将敏感数据传到云端，系统将及时阻断并报警。增强安全防范意识。幸运的是，一点点常识和一些简单的正确电脑操作练习可以将这类安全性失误的影响降至最低，避免将你的机密资料放在云端上，如果你真的放了，例如利用网上银行时，避免在网络咖啡厅、学校或图书馆内的公用电脑上进行，也别太随便给出自己真正的联络资料，避免每个账号都使用同一个密码，就算只更改一个字母也好。云计算下增强安全意识，清楚地认识到风险，并采取必要的防范措施来确保安全。经常备份。存储在云里的数据，要经常备份，以免在云计算服务遭受攻击、数据丢失的情况下，数据得不到恢复。建立企业的“私有云”。当数据重要到不放心放在别人管理的云里，就建立自己的私有云。私有云也叫企业云，它是居于企业防火墙以里的一种更加安全稳定的云计算环境，面向内部用户或者外部客户提供云计算服务，企业拥有云计算环境的自主权。与之相对应的是“公共云”，通过云计算提供商自己的基础架构直接向用户提供服务，用户通过互联网访问服务，但用户不拥有云计算资源。数据加密后放到云端保存。透明加密技术可以帮助企业强制执行安全策略，保证存储在云里的数据只能是以密文的形式存在，企业自主控制数据安全性，不再被动依赖服务提供商的安全保障措施。云计算服务提供商的安全办法国家对云计算服务提供商进行规范和监督。美国加利福尼亚州公用事业委员会的CIOCarolynLawson认为：“从政府的角度来讲，我们不会将所有的数据信息都迁移到‘云’中，因为我们的数据包括个人社会保障号码、驾驶执照、还有子女信息等等，公众把他们的个人信息交给我们希望我们能够很好的保护这些信息。如果我们将这些信息交给一家云计算公司，而这家公司非法将这些信息出售的话，我们该怎么解决？我们要承担这个责任”。这充分显示了云计算安全问题的症结，即云计算公司的安全可信度成了当今云计算应用的主要障碍。解决这个问题的根本办法不是依赖云计算提供商的自觉性，而是依赖政府部门或相当的权威部门强制要求云计算公司采用必要的措施，保证服务的安全性。也许不久的将来，国家政府部门将制定相应的法规，对云计算企业强制进行合规性检查，检查包括厂商对客户承诺的不合理性、厂商信守承诺的程度、厂商在对待客户的数据的审计和监管力度。像检查自来水公司水的安全性那样，国家要对云计算厂商的安全性进行规范和监督。云计算厂商采用必要的安全措施。云计算厂商内部的网络和我们大多数企业的网络没什么不一样的地方，其要实施的安全措施也是传统的安全措施。包括访问控制、入侵防御、反病毒部署、防止内部数据泄密和网络内容与行为监控审计等。云计算厂商采用分权分级管理。为了防止云计算平台供应商“偷窥”客户的数据和程序，可以采取分级控制和流程化管理的方法。银行是一个很好的例子，银行虽然储存着所有客户银行卡的密码，但即使是银行内部员工，也无法获取客户的密码信息；同时，银行系统内也有一系列流程防止出现“内鬼”。例如，将云计算的运维体系分为两级，一级是普通的运维人员，他们负责日常的运维工作，但是无法登录物理主机，也无法进入受控的机房，接触不到用户数据;二级是具备核心权限的人员，他们虽然可以进入机房也可以登录物理主机，但受到运维流程的严格控制。五、结语云计算改变了服务方式，但并没有颠覆传统的安全模式。所不同的是，在云计算时代，安全设备和安全措施的部署位置有所不同;安全责任的主体发生了变化。原来，用户自己要保证服务的安全性，现在由云计算服务提供商来保证服务提供的安全性。和云计算安全问题同样重要，云计算的可靠性和可用性值得高度关注。云计算提供给传统安全厂商以极大的优势来提高服务质量和水平。解决云计算安全问题的办法和传统的解决安全问题的办法一样，也是策略、技术和人的三个要素的组合。总体来说，云计算技术主要面临以下安全问题。虚拟化安全问题利用虚拟化带来的可扩展有利于加强在基础设施、平台、软件层面提供多租户云服务的能力，然而虚拟化技术也会带来以下安全问题：•如果主机受到破坏，那么主要的主机所管理的客户端服务器有可能被攻克；•如果虚拟网络受到破坏，那么客户端也会受到损害；•需要保障客户端共享和主机共享的安全，因为这些共享有可能被不法之徒利用其漏洞；•如果主机有问题，那么所有的虚拟机都会产生问题。数据集中后的安全问题用户的数据存储、处理、网络传输等都与云计算系统有关。如果发生关键或隐私信息丢失、窃取，对用户来说无疑是致命的。如何保证云服务提供商内部的安全管理和访问控制机制符合客户的安全需求；如何实施有效的安全审计，对数据操作进行安全监控；如何避免云计算环境中多用户共存带来的潜在风险都成为云计算环境所面临的安全挑战。云平台可用性问题用户的数据和业务应用处于云计算系统中，其业务流程将依赖于云计算服务提供商所提供的服务，这对服务商的云平台服务连续性、SLA和IT流程、安全策略、事件处理和分析等提出了挑战。另外，当发生系统故障时，如何保证用户数据的快速恢复也成为一个重要问题。云平台遭受攻击的问题云计算平台由于其用户、信息资源的高度集中，容易成为黑客攻击的目标，由于拒绝服务攻击造成的后果和破坏性将会明显超过传统的企业网应用环境。法律风险云计算应用地域性弱、信息流动性大，信息服务或用户数据可能分布在不同地区甚至不同国家，在政府信息安全监管等方面可能存在法律差异与纠纷；同时由于虚拟化等技术引起的用户间物理界限模糊而可能导致的司法取证问题也不容忽视。云计算存在的五个常见问题发展迅速的云计算给IT部门带来很多新的安全问题，以下是五个最常见的问题：问题一：P2P流量P2P应用程序可能抢占带宽并且引入恶意软件。这些应用程序可能特别难以控制，因为开发人员经常会通过交换端口使用来更新专为绕过防火墙防御的设计的新的抵御。问题二：流媒体流媒体音乐和视频流量会对网络性能带来沉重的负担，并且会严重影响关键应用程序流量。举例来说，一名IT管理员感到很困惑，为什么他需要花一个半小时来下载补丁文件，而正常只需要几分钟。后来他才意识到是因为很多员工打开流媒体看比赛，造成网络瘫痪，公司生产效率严重被影响。问题三：机密数据传送机密敏感信息和专利信息可能会被恶意地或者无意地被通过FTP上传或者电子邮件附件而发送出去。对工作缺乏安全感可能会导致员工偷偷下载客户、订单和支付历史记录。一项调查发现，超过一半的员工都会因为传闻的裁员消息而下载具有价值的企业数据。问题四：第三方电子邮件第三方电子邮件是潜在恶意软件感染和数据泄漏的另一个渠道，员工和承包商不仅可以通过企业SMTP和POP3电子邮