減少虛擬化安全風險需要物理的視角
許多公司都已經配置了虛擬化架構來降低成本,提高效率,但是虛擬化方面的安全專家表示,這些公司應該再次評估他們的安全措施,從而解決這一技術所造成的缺陷。
像過去一樣,當采用物理架構和系統來滿足商業需求時,在許多早期虛擬化配置中安全需求一般被放在次要位置,Dave Shackleford說道(Shackleford是Voodoo Security公司的創始人兼首席顧問,該公司的總部位于亞特蘭大)。但好的消息是,用于防御物理系統免受攻擊的策略可以用于解決虛擬化安全風險,Shackleford表示。
“你仍然需要監測網絡流量,同時還需要解決一些配置和補丁管理方面的問題。” Shackleford說,“從網絡的角度來看,真正的改變僅僅是你現在可以通過同一個通道傳輸更多的流量。”
虛擬化打破了物理系統的界限,將網絡轉化成了各種配置和內存中的快照文件。該技術使用一個管理程序,使得硬件可以支持多個系統在一個物理平臺上同時運行。Shackleford稱虛擬化平臺具有“令人難以置信的適應性”。推出這些平臺的公司有VMware、Citrix Systems和Microsoft等廠商,并不斷的對其漏洞進行修補。
這些對虛擬系統的威脅,比如:利用管理程序和其他組件發起的攻擊,目前已得到了相關的概念驗證,Shackleford說道。研究人員已經記錄了侵入一個虛擬服務器并擁有一個虛擬機的復雜方法,不過至今利用虛擬機來攻擊的風險還是很低的。事實上,最新的Verizon數據泄漏調查報告顯示:所有這些被調查的泄漏案件中——超過了923個獨立案件——沒有一個是涉及利用管理程序來允許攻擊者越過虛擬機的。
除了被記錄的所有復雜的攻擊外,Shackleford相信攻擊者更有可能選擇破壞用于支持虛擬機的管理基礎設施。他說,許多公司都不能將管理基礎設施從虛擬網絡的其余部分中完全分隔出來。這個漏洞可以是網絡犯罪分子用來獲得敏感數據的攻擊向量。
“你必須確保管理基礎設施不僅僅集中在你的生產流量的其余部分,”他說,“這需要額外的工作,但在大多數情況下,人們不愿再這上面花時間。”
Shackleford是一位經認證的SANS研究所講師,他正在改進由該組織舉辦的虛擬化培訓,該培訓的目的是圍繞具體的最佳策略拓展其范圍。他說,各組織應該評估他們的物理安全設備和系統,看其是否能夠在虛擬基礎架構上工作。一些傳統的方法,比如:隔離包含敏感數據的系統,確保管理團隊職責分離,保護管理層不受內部和外部的攻擊等等,都應該被采用。另外,安全廠商正在針對虛擬化環境優化它們的產品。
Andy Ellis是Akamai Technologies公司的信息安全高級主管和首席安全架構師,他說他的公司在虛擬服務器上運行基于Java的計算環境。Akamai的客戶端在這個環境下運行面向用戶的網絡應用程序,比如:一個網站組件可以用來尋找一個零售地點或者尋找讓網站訪問者可以按需求定制產品的配置工具。Ellis說,這個環境建立起來后,Akamai可以在需要的時候向基于Java的網絡應用程序傳送計算能力。
為了提供安全性,Ellis的團隊將應用程序以及每個單獨的虛擬機限定在了運算系統的核心層。這兩個限定層隔離了進程,并提供了對環境的嚴密監測,他解釋到。
“這里有許多針對應用程序的監測以確保它在期望的參數內運行。” Ellis說。
虛擬機逃逸和虛擬機失竊
Edward L. Haletky是AstroArch咨詢公司總裁和首席顧問,他贊同保護虛擬系統應從傳統方法開始。將虛擬網絡分隔成不同的部分并通過入侵防御和入侵預防系統來運行敏感虛擬機流量。他說,應用程序和底層運算系統應該被修補和更新。
虛擬機自身也是一個威脅面,Haletky說道。傳統的反惡意軟件能夠掃描內存,但是它通常是基于特征的并可以被攻擊者繞過。攻擊者可以利用零日漏洞或者新的惡意軟件變種來繞過反惡意軟件技術,他補充道。
“從本質上講,這是一個與總是名列前茅的黑客的軍備競賽” Haletky說。
研究人員繼續研究虛擬機逃逸,這種逃逸指一個精明的攻擊者能夠突破虛擬機,獲得管理程序并控制在主機上運行的其他虛擬機。“目前所有公開的逃逸對用于服務器虛擬化的主要管理程序都是無效的,比如vSphere,XenServer和Hyper-V,” Haletky說道。另一種技術叫做虛擬機失竊,通過這種技術,攻擊者可以竊取一個虛擬機文件,然后查看服務器的內容。
“這里有許多不同的攻擊途徑,” Haletky說,“管理程序可以以某種方式自我保護,但是企業需要對它進行加強,并且應該像他們會在物理環境中做的那樣,添加安全層。”
不過,Haletky認為攻擊者很可能選擇快速的效果。“當攻擊者可以突破管理網絡并得到所有東西時,為什么還費心的去竊取虛擬機并做困難的事情呢?”他說,“由于虛擬機和管理環境很容易被突破,所以當前的管理網絡規則要將它從其余所有部分分隔出來。”
現有的工具可以幫助企業獲得對虛擬網絡和文件子系統的可視性,但是沒有一個單一的工具可以做所有的事情,Haletky說。虛擬環境的審核也是一個需要改進的領域。傳統的日志分析工具不能得到完整的情況。“你需要將誰做了什么事情,在哪里,是何時以及如何做的相聯系起來,但在虛擬環境中這一點仍然是很難做到的。”他說道。
