Hyper-V安全威脅靠邊站 安全配置不難辦
談到IT安全,很多人覺得廠商對此最感興趣,還有一些人則非常謹慎。IT專業人士已經意識到虛擬化又給他們增加了一個潛在的攻擊面。不過,雖然總會發現新的攻擊源,但虛擬環境還是建立在安全的基礎之上。
在這種情況下,我們最大的敵人可能就是我們自己。雖然惡意軟件的共同特征仍然是依靠已知攻擊,而最常見的惡意攻擊通常是利用用戶的行為危及他們自己的安全。作為虛擬化管理員,我們需要更多安全配置來減少這種情況的發生。
真實世界的虛擬層攻擊
如果你認為虛擬機攻擊只不過是一個概念,那讓我們看一下VMware的漏洞(CVE - 2009- 1244),這個漏洞在2009年首次公布。黑客可以通過攻擊一個虛擬機進而擺脫內置的虛擬安全限制,并取得虛擬主機的控制權。雖然這個漏洞迅速被修補,但它仍然是一種可用攻擊。
另外一個有名的攻擊是通過虛擬機的虛擬總線對沒有打過補丁的Windows Server 2008或者R2的Hyper-V主機進行服務攻擊。微軟通過MS10-102修復了這個漏洞。
對Hyper-V影響重大的配置考量
雖然許多IT部門都很注重服務器的補丁管理,但是給虛擬主機打補丁卻很痛苦。讓所有虛擬機離線,或甚至是將它們轉移到另一個Hyper-V的群集成員中,這都非常耗時, 而且我經常發現,它們在資源過量使用時會無法完成。把虛擬層看作是硬件雖然可以取得短期的穩定,但實際上它卻產生了一個潛在的安全漏洞,所以虛擬層的補丁管理是至關重要的。
攻擊和最新的補丁是明顯要關心的事,但是此刻也許是你最不需要擔心的,因為真正針對虛擬層的代碼攻擊相對來說并不常見。管理員們經常假設一些可能不存在的某種級別的安全或隔離,并且為了減輕虛擬機的日常管理負擔而忽略了一些警告和最佳實踐。這些錯誤的選擇往往很快便被忘記。但是,當你的系統受到攻擊時,你就會意識到了。
讓我們把關注的焦點放在微軟的Hyper-V上,為了減少攻擊面,我們需要在系統初始安裝時就采取一些關鍵的步驟。首先是虛擬網絡設置。虛擬層上承載了很多虛擬交換機,使用虛擬主機上的網卡可以讓這些虛擬交換機用各種方式連接到物理層。一旦配置錯誤,這些虛擬連接就可能導致嚴重的問題。
如果你把你的管理網絡分給來賓虛擬機,攻擊向量會允許一臺虛擬機訪問Hyper-V管理操作系統,如果得到正確的授權,還可以訪問Hyper-V主機和設置或其它虛擬機。默認情況下,該選項是關閉的。但是為了解決多臺機器管理或是網絡接口卡(NIC)可用性有限的問題,很多管理員又啟用了該選項。啟用這個設置會是個安全隱患,因為你可以從它群集的任一臺虛擬機來攻擊這個管理系統。因此,對專有的管理網絡要使用物理網絡適配器,千萬不要把這些NIC分給虛擬機流量。
你也可以配置Hyper-V來識別VLAN,以便在邏輯上隔離來自不同虛擬機的流量。雖然這個方法很妙,可以將不同的VLAN混合并匹配到一臺物理機或集群主機上的單個物理網卡上,但這并不能真正地提高安全性。從表面上看,如果不從網絡層配置訪問規則和路由的話,不同VLAN的虛擬機之間是無法通訊的。但實際上,通往每個虛擬機的所有數據都經過這塊物理網卡,這讓黑客攻擊VLAN成為可能。因此,適用于物理環境的規則也適用于虛擬環境。
這也引出了我的下一觀點:不要將不同安全級別的虛擬機放在同一臺虛擬主機上。你和IT部門對每臺服務器都會有一些安全要求。例如,在一個非軍事區(DMZ)的Web服務器的安全級別要比內部的文件服務器低。如果你認為面向互聯網訪問的WEB服務器比內部文件服務器的風險更高,就不應該把這些服務器同時放在一臺虛擬主機上或者將它們放在同一臺虛擬主機的兩個網絡中。這是物理環境的安全規則,同樣適用于虛擬環境的另一種情況。
當運行微軟Hyper-V時,除了在主機上安裝Hyper-V角色外,其它的什么也不要安裝。管理員常常會利用現有的服務器并安裝Hyper- V角色來獲得該物理服務器的額外用途。這一想法是好的,但是你不應該在主機上繼續運行其它應用。相反,應該將應用程序遷移到虛擬機中。攻擊會利用應用程序的代碼漏洞(在大多數環境中往往難以跟蹤和修補)獲得主機的訪問權,進而訪問主機上集群的所有虛擬機。
我的另一個建議是為虛擬機的管理建立一個帳戶或組并將它與管理主機的帳戶分開。如果發生攻擊,通往虛擬機的道路也不會敞開。另外,為了審計需要,應確保每臺虛擬機都安裝有Hyper-V的集成服務(IC)組件。
微軟的Hyper-V擁有許多保護系統的功能,如地址空間布局隨機化(ASLR)、用戶模式下運行的虛擬處理器和每個虛擬機都擁有的虛擬設備和虛擬總線。通常,我們最大的擔憂不在虛擬層本身,而在于對優先配置的訪問或是對其它應用程序的運用。運用最佳實踐來進行補丁更新和網絡隔離,這能避免你的虛擬環境遇到更多的服務器威脅。
【編輯推薦】
