虚拟化响起安全警报

申请免费试用、咨询电话：400-8352-114

将企业内的应用迁移至虚拟服务器，不但能够提高效率，还能为企业节省大笔费用。但是，在积极开展服务器虚拟化的同时，越来越多的IT管理者也在思考由此带来的安全问题。

有CIO就曾经表示，由于所在公司的服务器中有一半以上采用了虚拟化技术，因此他特别关注这些虚拟基础设施的安全问题。零售企业Rent-a-Center公司负责技术服务和架构的高级IT主管Jai Chanani说：“我最担心的问题就是，如果有人想盗取虚拟服务器怎么办？。”

Jai Chanani和他的团队管理着约200个VMware ESX和XenServer虚拟服务器，这些虚拟机充当文件和打印服务器，在某些情况下还充当应用服务器。出于安全上的考虑，Jai Chanani没有将虚拟化技术用于公司的erp系统、数据库和电子邮件系统。

Six Flags公司是一家游乐场运营商，公司的CIO Michael Israel表达了另一种担忧。在他看来，最令人不安的场景就是肆意妄为的管理员把虚拟服务器从安全网段迁移到了属于不安全网段的物理主机上，或者私自创建未登记的、无许可证的、还没打补丁的虚拟服务器。

相关专家认为，产生这些担忧的原因不是虚拟基础设施本身的安全很难确保，而是许多公司还没有让现有的安全方面的最佳实践应用到新的虚拟环境。现在，通过虚拟化，IT管理员可以很轻松地成批创建虚拟服务器，根本不像原来，采购任何IT设备时都需要得到网络、存储、业务连续性或IT安全等管理者的批准，虚拟化打破了原有IT内部传统的职责划分。

IBM旗下的IBM安全解决方案咨询公司副总裁Kirs Lovejoy表示，虚拟化市场变化太快了，客户在最佳实践方面没有跟上时代的步伐，既缺少这方面的专业知识，也缺少实际技能。虽然不乏确保虚拟基础设施安全的技术，但经常因配置不当而引发安全问题。

曼哈顿IT咨询机构The Info Pro公司的安全研究总经理Bill Trussell说：“虚拟环境中的安全问题主要表现为缺少可视性、缺少控制性以及担心未知因素。”

管好虚拟机管理程序

会不会有人劫持公司虚拟基础设施里面的虚拟机管理程序，用它来攻击所有虚拟服务器？在管理员不知道的情况下，攻击者会不会闯入一个虚拟服务器后，以此作为跳板，攻击另一个虚拟服务器上的关键应用？这些问题都是当前一些CIO对于虚拟化应用所担心的问题。

RSA安全基础设施高级主管Eric Baize说，尽管目前还没有发现针对虚拟基础设施的攻击，但绝对不可掉以轻心。自从2006年Jonna Rutkowska在黑帽大会演示了著名的蓝色药丸（Blue Pill）虚拟机管理程序恶意软件rootkit起，人们就开始担心可能危及虚拟机管理程序的攻击。不过Rutkowska本人也怀疑，是否有人真的会利用类似“蓝色药丸”这样的rootkit来攻击虚拟机，毕竟它相对复杂，更加适合攻击传统操作系统。

正是有了对rootkit的担心，此后业界积极开发硬件技术，确保虚拟机管理程序的完整性，如英特尔公司的定向I/O虚拟化技术（VT-d），虚拟化软件供应商也随之开始支持这些技术。

Gartner公司的分析师Neil MacDonald表示，VT-d还不能真正保护虚拟机管理程序的完整性，因此英特尔在新型的处理器上引入了可信执行技术（TXT），以提供动态度量可信根，保护虚拟环境免受rootkit恶意软件的攻击。

但是如果企业信息安全领域的最佳实践未得到遵循，没有应用到虚拟基础设施上，虚拟化应用还是会带来风险。因此必须像对待任何操作系统那样，及时地给虚拟机打上补丁，那样才能堵住安全漏洞。2010年以来，VMware已经发布了9份重大安全公告，XenServer也发布了许多安全补丁。

但是在实际操作中，对虚拟机的管理中仍旧存在着很多配置不当的情况，对虚拟机的补丁管理也是混乱不堪，甚至有些管理员给虚拟机管理器软件使用的是很容易被猜中、甚至是默认的用户名和密码，而这些管理软件是可以直接访问虚拟机的。

无形的网络隐患

虚拟机之间的通信也是另一个安全隐患，因为入侵检测系统、防火墙及其他监测工具无法判断虚拟机是不是在同一物理服务器上运行

菲尼克斯市政府的高级安全工程师Vauda Jordon就曾经把数据包检测程序装在虚拟服务器上，但是没有发现任何数据包进出物理网络接口，他对此就很担忧，因为不知道虚拟机间的通信是否是基于安全通道进行的。

一般情况下，若使用ESX Server及其他主要的虚拟化平台，虚拟机之间传送的数据是不经过加密处理的。当虚拟机的内存使用VMware的vMotion工具，在不同物理主机之间移动时，虚拟机也未经加密。（虚拟机磁盘文件本身仍在同一个共享存储设备上）。VMware公司的产品营销主管Venu Aravamudan表示，VMware正在积极考虑相关加密的问题，但至于何时会把加密技术添加到VMware的产品中还是个未知数。

目前，VMware的vShield等产品和其他第三方工具可以建立虚拟防火墙，从而把VMware、Xen Server、Hyper-V及其他虚拟机隔离到不同的安全区域，但并非所有企业都实施了这种安全策略。对于大多数企业而言，创建安全区域并不是重中之重。不过一旦虚拟基础设施规模扩大，创建安全区域就变得很有必要。

Rent-a-Center公司就对虚拟机进行了物理分隔，不同功能的虚拟服务器驻留在不同的物理服务器上。不过随着虚拟环境日渐庞大，这种做法也变得越来越困难，成本也会急剧提高，同时还限制了虚拟化的合并优势。“因此，我们开始考虑要重新改造、建立虚拟防火墙。”Chanani说。

一些现有的防火墙工具可以检测虚拟服务器的流量，但IT部门还是应该添加一套专门针对虚拟化的工具，虽然这样做会增加管理的复杂性，但是为了确保万无一失还是很有必要的。并且一套工具既适用于物理环境，又适用于虚拟环境，也是大势所趋。不过就目前的情况而言，除非传统信息安全厂商奋力赶上，否则IT部门仍旧需要使用像Altor Networks、Catbird Networks和HyTrust这些不太知名的厂商提供的专门为虚拟机定制的工具。

除了上面所提到的因素外，也有业内安全专家表示，要想保证虚拟化应用的安全性，更重要的是要让核心网络架构也能够适应虚拟化。

RSA安全部门的高级安全顾问Andrew Mulé说：“虚拟化环境中的业务连续性问题，大多是因为网络设计缺陷而产生的。网络能够与物理的服务器协同工作，但未必也能够与虚拟机协同工作，只有实施相应的路由、子网和虚拟局域网部署，才有望提高虚拟机的安全性能。”

Six Flags的高级系统工程师Matthew Nowell通过使用虚拟局域网来隔离虚拟服务器，对此也有专家发出了不同的声音，认为单单靠虚拟局域网和基于路由器的访问控制还不足以实现安全隔离，而是应该部署某种可识别虚拟化的防火墙。

Jordon在日常工作中就遇到了相应的问题，她需要把日常的业务网络与银行支付卡相关的基础设施分开，菲尼克斯市的市民必须使用后者来支付水费或支付其他服务费。为了满足支付卡行业安全标准（PCI Secruity Standard）的要求，Jordon在处理、存储或传输支付卡数据的虚拟服务器上落实了监测文件完整性的机制。Jordon表示，实践证明相比虚拟机管理程序，防火墙更值得信赖。

明尼苏达州的Schwann Food公司在支付卡处理上完全使用裸机虚拟化系统，根本不运行任何虚拟机管理程序。

危险的超级管理员

除了技术上的风险，人为因素的风险也大大威胁着虚拟化应用的安全。在不受制约、不受监控的虚拟环境下，如果管理员有很大的权限，很有可能会带来安全上的问题。

比如说，管理员创建的虚拟FTP服务器可能会无意中使用迁移工具（比如XenMotion、Hyper-V实时迁移功能或VMware的Vmotion），把服务器迁移到不同硬件上。但他们可能没有意识到，新主机是在不可信的网段上。或者是把VMware虚拟网络计算（VNC）客户机的管理凭证存储在虚拟机映像里面的文本文件中，然后分配那些虚拟机，这样的行为是不符合最佳安全实践要求的。

IBM安全战略部门的架构师Harlod Moss表示，实际工作中，管理员在创建新的虚拟服务器时使用默认密码的情况司空见惯，负责管理新机器的人员也未必会去更改密码，这很容易引发潜在的安全。

弗雷斯特公司分析师John Kindervag也透露说，曾经有公司的VMware vCenter管理控制台，因为密码问题被攻击的事情发生。攻击者窃取虚拟机后，就闯入了数据中心，肆意窃取一个硬件设备中的数据，后果相当严重。

日常工作中，还会经常发生虚拟机映像创建不当引起的恶意软件问题。为了防止这种情况，安全软件厂商们正积极应对。一些虚拟化软件允许一些代码可以在虚拟机管理程序层面运行，趋势科技公司的Deep Security软件就包括了防火墙、日志检查、文件完整性监测以及入侵检测和预防等功能。该软件可与Sun Solaris Containers、微软Windows Hyper-V、VMware ESX Server和思杰XenServer等虚拟机兼容。不过同时，也有人质疑在虚拟机管理程序层面运行代码的方法是不是个好主意。

RSA安全部门的Mulé说，在虚拟环境下没有贯彻原有的最佳实施实践，或者没有明确职责分离，是导致虚拟环境安全问题频频出现的根源。应制定严格的变更管理流程，包括颁发变更管理通知单，以保证不在不安全的环境里面运行虚拟机。在虚拟环境下，变更管理、配置管理和资产控制对于确保虚拟基础设施安全至关重要，因此要明确职划分。

作为欧洲委员会发展银行的系统工程主管，Jean-Louis Nguyen的工作是管理140个虚拟机的管理员，确保他们遵守相关法规和管理要求。这家银行试用过VMware的日志记录功能，但需要一种更好的办法来合并信息。Jean-Louis Nguyen最后使用了HyTrust公司的一款专用工具，用来记录所有活动的中心日志。

这家银行还使用了HyTrust为首席安全官建立了完全隔离的虚拟环境，首席安全官全权控制从底部支撑安全软件的物理和虚拟基础设施。他只能监测所有虚拟服务器和配置情况，但无法进行任何更改。这些机制确保了系统管理员不会滥用权限。

目前有一些公司已经开始提供政策管理工具套件，这些产品既能提醒管理员不要做出违反政策的行为，还能隔离违反规则的任何虚拟机。

在Rent-a-Center公司，也许是个例外，他们没有采用任何额外的管理工具，全凭严格的管理策略来满足管理上的需要。

另一方面，由于虚拟机映像其实就是数据——存储在某处硬盘上的程序代码，所以这些文件必须予以保护。Jordon表示，菲尼克斯市政府综合使用了物理安全、网络存储访问控制和文件完整性监控机制，以保护虚拟机映像。

Six Flags则把虚拟机映像保存在受保护的网络存储设备上，以此防止没有授权的用户进入共享系统，拷贝虚拟机映像数据。

RSA的Baize认为，IT部门应该着重考虑如何制订预防数据丢失的策略。他认为，不必制定规定哪些虚拟机可以访问哪些数据的政策，而是应该规定哪些敏感数据不能迁移到哪些虚拟机上的机制。

确保虚拟基础设施的安全不是说要购买更多的安全产品，Baize表示，现在已经有很多针对虚拟基础设施的控制机制，现在缺少的是大家不了解控制机制适用于什么样的环境，以及该什么时候运用。

也有业内信息安全专家表示，建立安全的虚拟基础设施，最好的方法就是让IT安全人员或安全顾问及早参与。Gartner的报告显示， 40%的IT部门直到系统构建好、投入使用后，才让IT安全人员参与虚拟基础设施的部署工作。随着更多的关键业务应用程序开始迁移到虚拟机上，这样的情况不利于消除安全隐患。因为当开始考虑对ERP这样的重要应用进行虚拟化时，会遇到很多敏感数据。到那时企业再试图追加安全特性，就显得有些力不从心了。因此应该从系统规划一开始就应该设计安全特性，事后重新设计的工作只会产生高昂成本。

CIO对虚拟环境中的安全问题的关注度

来源： The Info Pro