令人擔憂的虛擬化安全:控制虛擬機是關鍵
在今年3月由美國Computerworld主辦的Premier 100 IT領導人會議上,曾經有過一次圓桌討論,有一位CIO當場就表達了對于虛擬化基礎設施安全問題的擔心,因為他公司里一半以上的生產服務器都已經虛擬化了。很快,另外兩位IT高管也插嘴說出了他們自己對于虛擬化安全問題的擔憂。
盡管在場的很多IT高管不太愿意公開承認他們感覺自己在這方面很脆弱,但是德州普萊諾市的租賃業巨頭Rent-a-Center公司的技術服務與系統架構高級經理Jai Chanani卻表達出了他們的苦惱。他說,“我最害怕的一件事情就是虛擬服務器被盜。”他的團隊每天要運行大約200個VMware ESX和XenServer虛擬服務器,用作文件和打印服務器,有時候還要用作應用服務器。但是出于安全上的考慮,他的團隊沒有將公司的ERP系統、數據庫或e-mail系統虛擬化。
"我最不希望發生的事就是,有25臺虛擬服務器在某處運行,而我卻不知道它們的存在。”
“我最不希望發生的事情就是,有25臺虛擬服務器在某處運行,而我卻不知道它們的存在。”
——主題公園營運商六旗公司CIO Michael Israel
德州格蘭德普雷里的主題公園營運商六旗公司的CIO Michael Israel還表達了另外一種擔憂。對他來說,最讓人焦躁不安的局面就是某個心懷不軌的管理員可能會把虛擬服務器從一個安全的網絡段遷移到另一個不安全網絡段的物理主機上去,或者創建新的、未登記的、未經許可的和未打過補丁的虛擬服務器。“我最大的擔心就是出了叛徒。我最不希望發生的事情就是,有25臺虛擬服務器在某處運行,而我卻不知道它們的存在,”他說。
雖然向虛擬服務器進行遷移,由于服務器的整合及效率的提高,可以節省企業大量的金錢,但是因為虛擬化正在吞沒越來越多的生產服務器,一些IT高管們正在擔心可能會出現的消化不良癥。一切都能在掌控之中嗎?某次災難性的違規會不會讓關鍵應用崩潰,甚至使整個數據中心停運呢?“客戶們有一天會突然意識到,已經有一半的關鍵業務應用都在虛擬服務器上跑,他們會驚訝地問:‘天哪!這樣做安全嗎?’”IBM安全解決方案副總裁兼安全咨詢師Kris Lovejoy說。
問題不在于虛擬的基礎設施能否保障自身的安全,而是很多企業始終沒有采取最佳實踐——如果他們有的話——去適應新的虛擬化環境。
虛擬化引入了不少的技術——包括一個新的軟件層,即hypervisor——這些技術都必須是可管理的。但是還有一些新的技術:例如在虛擬服務器之間為網絡流量提供路由的虛擬交換,對于原來為物理網絡而設計的流量監控工具來說就并不總是可見的。
另外,虛擬化打破了IT部門中傳統的責任劃分,比如一名網管員只需按個鍵,而無須經過采購部門,或者網絡、存儲、業務連續性和安全部門的批準,便可一次生成大量新的虛擬服務器。在很多組織中,IT安全團隊是不會對虛擬基礎設施提供咨詢意見的,除非是在組織構建了虛擬化基礎設施,并在生產服務器上運行這些基礎設施之后才會提供此類咨詢服務。具有虛擬化意識的安全技術和最佳實踐都還處在初期演進階段。
虛擬化安全上市場發展的如此之快,以至于客戶們已無法讓企業的最佳實踐與其保持同步,Lovejoy說。他們既缺乏關于這一話題的理論知識,也缺少現場處理問題的實際技能。盡管有些技術亦可用來保障虛擬化基礎設施的安全,但是Lovejoy還是經常會看到,某些安全上的失誤可以溯源到不正確的配置。
“和虛擬環境下的安全相關的主要問題就是缺少可見性,缺乏控制,和對未知事物的恐懼,”IT咨詢公司Info Pro的安全研究執行經理Bill Trussell說。
#p#
麻煩不斷的hypervisor
會不會有人劫持企業虛擬基礎設施中的某個hypervisor,然后利用它來破壞駐留在該hypervisor上的所有虛擬服務器呢?會不會有某個攻擊者控制一臺虛擬服務器,利用它作為平臺再去攻擊其他的虛擬服務器,比如駐留在同一硬件上的支付卡處理應用,而網管員甚至根本察覺不到呢?
這些令人恐怖的場景將會頑固地存在,盡管目前還沒有出現已知的針對虛擬基礎設施的攻擊,RSA Security安全基礎設施高級經理Eric Baize說。
然而,很多IT安全專家仍然對此抱有疑慮。Info Pro在其2010年度的信息安全研究報告中對96位安全專家做了調查,結果有28%的受調查者稱,他們“非常”關注或“相當”關注虛擬化環境中的安全問題。
在2006年的黑帽大會上,安全研究人員Joanna Rutkowska演示了著名的藍色藥丸hypervisor惡意rootkit,這之后,人們對于可能危及hypervisor的攻擊的擔憂就一直沒有斷過。
不過從那時以來,安全行業已經向前發展了一大步,開發了一些硬件技術來保障hypervisor的完整性,例如英特爾的VT-d(Virtualization Technology for Directed I/O)技術。“今天,絕大多數的英特爾Core i5和i7處理器都擁有這些技術”,而虛擬化軟件廠商也開始支持這樣的功能,如今已成為IT安全研究公司Invisible Things的創始人兼CEO的Rutkowska說。
但是,即便是VT-d技術也不能真正保障hypervisor的完整性,“不過英特爾的TXT擴展卻可以提供可信任動態測量根(dynamic root of trust measurement,DRTM)技術,這種技術將在新一代英特爾處理器中出現,”Gartner分析師Neil MacDonald說。
Rutkowska本人對于是否有人會利用藍色藥丸類rootkit攻擊虛擬機也表示懷疑。“沒有任何理由會讓壞分子們去使用如此復雜的rootkit工具,”她說,尤其從上世紀90年代以來,人們對于攻擊傳統操作系統的rootkit技術有了更深入的了解。
可以這么說,如果對虛擬基礎設施來說,沒有遵循和采納最佳實踐的話,那么虛擬化就會出現危險。Hypervisor必須像任何其他操作系統一樣,定期修補安全漏洞,Rent-a-Center租賃公司的高級信息安全經理KC Condit說。“VMware今年以來已發布了9個重要安全公告,而XenServer也已發布了6個安全修復辦法。”
“我們看到過大量配置不當的hypervisors,”RSA Security的高級安全咨詢師Andrew Mulé說。他說,在他拜訪客戶的辦公室時,經常會看到對虛擬機的補丁管理很不到位,而且虛擬機管理程序所使用的都是一些很容易猜到或者缺省的用戶名和密碼,這會讓他人很容易進入并控制整個hypervisor。除此之外,他說,“我們還能偶然看到虛擬機管理工具放在了防火墻的錯誤一側。”
#p#
看不見的網絡
虛擬機之間的網絡流量是安全專家們所擔心的另一個問題,因為入侵檢測和入侵防御系統、防火墻和其他監控工具都無法告訴你這些虛擬機是不是在同一臺物理服務器上運行的。“我把數據包嗅探工具放在虛擬服務器上,但是在物理網絡的界面上,卻看不出有任何流量在進進出出。那么這些流量是如何發生的呢?它們走的是安全的通道嗎?”鳳凰城市政府的高級安全工程師Vauda Jordan說。雖然該市對虛擬基礎設施投入了相當多的資金,但Jordan既沒有談論虛擬基礎設施的技術或實施范圍,而是談到了不少有關安全方面的擔憂。
“我更信任防火墻而不是hypervisor。”
——鳳凰城市政府高級安全工程師Vauda Jordan
利用ESX服務器和其他主要的虛擬化平臺,虛擬機之間所通過的數據是不加密的,各虛擬機在使用VMware的vMotion工具在不同物理主機間遷移時是處于內存狀態的(VM盤文件本身仍然在同一個共享存儲設備上)。VMware負責產品營銷的高級經理Venu Aravamudan說,“在我們的路線圖/規劃執行中,加密是要主動加以考慮的,”但他拒絕評論VMware的產品是否要增加加密功能,以及何時增加等問題。
Aravamudan稱,如果執行了最佳實踐,那么加密“就不是什么大問題”。最佳實踐會要求vMotion流量與生產流量完全隔離。但他也承認,“中間人攻擊從理論上講是有可能的,”尤其是因為虛擬服務器實例可能會在各個數據中心間遷移,而不只是在一個物理場所內遷移。
像VMware的vShield和其他第三方工具等產品可以創建虛擬防火墻將VMware、XenServer、Hyper-V和其他虛擬機彼此隔離在不同的安全區域中,但是并非所有的組織都已實施了這種隔離。例如,創建不同的安全區域就不是Rent-a-Center關注的大事。但是隨著虛擬基礎設施的不斷擴展,這種隔離就會成為必須,Condit說。
Rent-a-center依然采用物理隔離虛擬機的方法,也就是將屬于每一功能組合的虛擬機駐留在不同的物理服務器上。這種方法的缺點是當虛擬設置增長得很大的,難以維護,而且會限制虛擬化所提供的整合優勢。Rent-a-Center的Chanani說,在某些場合下,一個刀片服務器機箱內只插了一塊刀片。“這樣做,成本很快就會變得極其高昂。這也就是我們為何正在談論如何重新改造,設置虛擬防火墻的原由了,”他說。
有些現有的防火墻工具可以看見虛擬服務器流量,但在其他場合下,IT人員需要另外增加一組虛擬化工具,但這又會增加管理的復雜性。Gartner的MacDonald說,最好的辦法是有一套能夠跨越物理和虛擬環境的工具。然而,除非傳統的安全工具廠商追趕上來,否則企業的IT部門就只能用一些不知名廠商如Altor網絡、Catbird網絡和HyTrust等公司的工具,這些工具為了適應虛擬機的需要而做了剪裁。
IBM的Lovejoy認為,近期來看,混合的工具環境不可避免。“必須要讓這些廠商有和我們的戰略相一致的戰略路線圖,”他說。“否則你就只能擁有短命的單獨的工具了。”
#p#
虛擬網絡架構
更重要的是,核心網絡架構需要加以變動方能適應虛擬化,RSA Security的Mulé說。“能與物理服務器正確工作的網絡卻不一定能和虛擬服務器配合得很好。如果適當的路由、子網和VLAN都已配置好,那么安全就應當加以改進,”他說。大多數企業之所以會在虛擬化設置上出現連續的失敗,可能就得歸因于網絡設計上的失誤。
六旗公司的高級系統工程師Matthew Nowell利用VLAN來隔離虛擬服務器。“取決于我們如何設置路由規則,這些虛擬服務器或許能,或許不能彼此交談,”他說。但是Gartner的MaCDonald提醒道,“VLAN和路由接入控制對于安全隔離來說都不夠充分。”Gartner出版的指南要求必須部署某類虛擬化防火墻。
Jordan堅持鳳凰城的系統管理員必須將每個虛擬服務器隔離在各自的安全區域內。“我必須不斷對勸說那些喋喋不休地爭辯說hypervisor就能實現安全隔離的服務器管理員。我更信任防火墻而不是hypervisor,”她說。
“最困難的人物之一就是如何將日常業務網絡與支付卡基礎設施進行隔離,”市民們可使用后者繳納水費或其他服務項目的費用。Jordan說,為了滿足PCI(支付卡行業)安全標準的要求,她需要對處理、存儲或傳輸支付卡數據的虛擬服務器上的文件完整性進行監測。
對六旗公司來說,它利用VLAN將支付卡處理功能放在虛擬服務器上沒有出現任何問題。“我們的PCI審計從未出現過反饋問題,”Nowell說。然而另一方面,Rent-a-Center卻從不用虛擬機來處理信用卡流程。
明尼蘇達州的Schwann食品公司則采取了一種不同的方法來進行支付卡處理:它只使用裸機虛擬化系統(即虛擬機直接安裝在硬件上),而根本不用任何hypervisor。
#p#
強勢管理員的危險
在一個沒有監控的虛擬環境中,管理員就代表著一切的權力——咨詢師和IT高管們一致認為,這種情形絕不是什么好事。“這等于給了管理員們進入王國的鑰匙,而在大部分時間里,他們對安全風險卻并不了解,”Jordan說。
舉例來說,管理員可能創建了一個虛擬FTP服務器,而在進行維護時,又會粗心大意地使用某個虛擬機遷移工具,比如XenMotion、Hyper-V實時遷移功能,或者VMware的vMotion等,把虛擬服務器遷移到了不同的硬件上。但是他們可能并沒有意識到,新的托管主機卻有可能處在不可信任的網絡區段上。或者,他們沒有遵守最佳實踐——比如說他們可能會把VMware虛擬網絡計算(VNC)客戶端的管理員證書的文本文件不小心存放在了虛擬機鏡像中,然后又將這些虛擬機分發了出去。
在創建新的虛擬服務器時使用缺省口令是很常見的,IBM安全戰略群組的架構師Harold Moss說,而負責管理新虛擬機的人卻不會經常變更口令。“利用VNC,你可以打開所有的端口,”他說。利用這些未加變更的口令,竊賊們就有可能登錄虛擬機,猜測出口令,從而“完全控制虛擬機,”他解釋說。
Forrester分析師John Kindervag說,他就曾聽到過一些客戶的故事,說他們的VMware vCenter管理控制臺就曾被控制。攻擊者們利用該控制臺拷貝了一臺虛擬機,然后盜走了上面的數據。“一旦你盜竊了一臺虛擬機,你便可以堂而皇之地進入數據中心,盜取其他硬件上的數據。這可是毀滅性的,”他說。
#p#
其他常見的錯誤
在IBM安全解決方案群組,Lovejoy在客戶的網站上看到過由于構建不當的虛擬機鏡像而出現的惡意軟件和跨站腳本攻擊等問題。“常見的情形是,虛擬機鏡像常常包含惡意軟件,或者有一些很容易被利用的漏洞。”
為了幫助防范被攻擊的可能,安全軟件廠商們正在創建這樣一種模式,利用這種模式,虛擬化軟件廠商可以讓一些代碼在hypervisor層上運行。例如趨勢科技的Deep Security軟件包括了防火墻、日志檢測、文件完整性監測和入侵檢測及防御功能。它能與Sun的Solaris Containers、微軟的Windows Hyper-V、VMware的ESX Server和Citrix的XenServer虛擬機配合工作。但是通過vSphere,網絡文件過濾功能可以在hypervisor上運行,趨勢科技的1高級產品開發經理Bill McGee說。
然而,有個問題是,給hypervisor層加壓是不是一個好想法呢?
未能實現最佳實踐,或者未能在虛擬基礎設施中建立明確的責任分工,這就是問題頻發的根源,RSA Security的Mulé稱。“人們今天仍然不喜歡實行責任分工。他們總想把權杖交給少數人去管理。”他建議開發一種強大的變更管理流程,包括變更管理工票的發放。
Condit對此也表示贊同。“在虛擬世界里,不存在固有的責任分工,所以你必須自己來創建這種分工,”他說。變更管理、配置管理和資產控制,對于保障虛擬基礎設施安全來說是至關重要的。
合規性是又一個令人但有的問題。作為歐盟開發銀行的系統工程設計經理,Jean-Louis Nguyen需要監控該銀行140臺虛擬機的管理員們的行為,以確保他們能夠遵守各種監管和管理規則的要求。該銀行曾嘗試過VMware的日志功能,后來發現需要更好的方法才能整合各種日志信息。“要想獲得這些日志本身就是不簡單的事情,”他說。最后他決定使用HyTrust的專用工具來提供所有管理員行為的集中日志。
該銀行還是用HyTrust為首席安全官(CSO)設置了一個完全隔離的虛擬環境,只有他才能全面控制所有物理的和虛擬的基礎設施,并利用底層安全軟件來加固基礎設施。CSO可以監控所有生產現場的虛擬服務器及其配置,但無權做任何變更。
“關鍵是要確保你的管理體系不會出現管理員濫用權力的情況。我們需要確定的是管理系統是可靠的,不會有人偷窺數據,”Nguyen說。
其他工具可分層配置以獲得更多控制。例如,新興企業Catbird網絡提供一種策略管理工具套件,既可在出現違反策略情況時向管理員示警,也可在有虛擬機破壞規則時對其進行隔離。“你需要知道虛擬機去了哪里,到了某地后正在做什么。如果你不喜歡它所做的事,那你就必須有能力終止它的運行,”Catbird的副總裁Tamar Newberger說。
而在Rent-a-Center,是不需要額外工具的,因為強大的檢查與平衡策略足以滿足管理需求。該公司的安全經理“會及時發布一個流程,說我們不能把某臺虛擬服務器放入生產現場,除非他的團隊已經將此服務器注銷了,”Chanani說。
“你需要的是某個可控的技術及時到位嗎?這個問題的答案可以是否定的。你需要的是良好的治理和監控嗎?這個問題的答案是:絕對的,”RSA Security的Mulé說。
#p#
保護數據
由于虛擬機鏡像里主要是數據——程序代碼存儲在某地的硬盤上——這些文件必須受到保護。“你肯定不希望看到某人將整個服務器放在一塊USB硬盤上帶出去Jordanm說。”她說,鳳凰城市政府利用物理安全、網絡存儲訪問控制和文件完整性監控等手段的相互結合來保護虛擬機鏡像。
六旗公司則是將這些鏡像放在受保護的網絡存儲區域中。“這些NFS安裝盤是嚴格禁止任何人共享的。你也不可能去拷貝文件,因為在我們的環境中是不可能讓你安裝U盤的,”Nowell說。
RSA Security的Baize說,IT高管還需重新考慮其數據泄漏防護措施。除了制定策略,決定虛擬機在何種狀態下可以訪問何種數據之外,這些策略還必須是以數據為中心的。“你可以制定策略說,這個敏感數據不能跑到這臺虛擬機上去。但你不能因此而對虛擬機上的數據從何而來不再關心——這純粹是就事論事的策略。虛擬化正好是讓我們重新思考如何做安全的一次機會。”
#p#
更好地理解安全控制
要保障虛擬基礎設施的安全并非只是購買更多的工具,Baize說。“今天已經有了很多可用于控制虛擬基礎設施的辦法。我們所缺少的是了解怎么控制,以及何時進行控制。”
創建安全的虛擬基礎設施的最佳辦法就是從項目之初便引入IT安全或者讓安全咨詢師參與進來。Gartner估計,多達40%的IT組織并沒有在虛擬基礎設施部署之時引入IT安全的概念,都是在系統已經建好并上線之后才開始考慮安全問題的。這種有問題的做法在更多的關鍵任務應用開始向虛擬機遷移時表現得尤為明顯。“一旦你要開始對SharePoint、Exchange或ERP進行虛擬化時,你實際上就已經進入敏感數據了。這就會出現安全問題,”Gartner的MacDonald說。
到了這個時候,一些組織才開始想到要給系統加上安全門閂,而這本來應該是在設計之初就應該考慮到的事情。事后修改設計肯定是要付出更高成本的。“CIO們應該確保在設計此類體系架構時有高管全程參與,”MacDonald說。
Rent-a-Center的Condit認為,一切皆可歸結為策略。“如果沒有及時制定強有力的安全策略,那么虛擬基礎設施很快就會暴露出各種弱點,這是肯定會發生的事情,”他說,因為創建虛擬服務器的過程非常快,而且將它們在各個物理服務器之間進行遷移又非常容易。
CIO們對虛擬化安全表示擔憂是正常的,Condit說。“某種健康程度的疑神疑鬼怎么說也是件好事。”
【編輯推薦】
