【51CTO 9月13號外電】環境更安全——可以防御的邏輯邊界比物理邊界更多。任由虛擬化環境暴露在攻擊者面前，這個過錯不在于我們的運氣，甚至也不在于我們的虛擬機管理程序，而在于我們自己。

　　現在很清楚的是，虛擬化環境不僅提供了更靈活地管理數據中心的機會，也為離經叛道的管理員提供了一種更有效的攻擊途徑。在虛擬化環境中，我們可以建立深層防御機制，遠遠勝過在物理環境下所能實現的防御機制。但是我們剛剛習慣于這種靈活應變、千變萬化的虛擬機環境;而在茜些情況下，我們帶來了更大的風險，而不是互相加強深層保護機制。

　　以日本制藥公司的北美子公司鹽野義制藥(Shionogi)為例。2010年7月，鹽野義在亞特蘭大辦事處的IT員工Jason Cornish與他經理發生爭執后憤然辭職。據新澤西澤紐瓦克的美國地方檢察官Paul Fishman提交的案卷顯示，在同一家公司共事15年的一位朋友主張，既然熟悉網絡，他應該繼續以合同工的身份為鹽野義制藥工作。2010年9月，提供給Cornish的工作被終止了;當月晚些時候，鹽野義制藥宣布裁員，Cornish的朋友也在裁員名單之列。10月1日，這位朋友拒不將網絡密碼告訴給鹽野義制藥留下來的管理員，結果導致他被公司直接炒魷魚。

　　2月3日，Cornish使用鹽野義制藥的一個用戶帳戶CVAULT和系統認可的密碼，訪問了一臺服務器，而他在幾周前，將VMware vSphere客戶軟件偷偷安裝在了該服務器上。鹽野義運行一套高度虛擬化的基礎架構，Cornish將一臺筆記本電腦帶到配備了無線網絡的麥當勞餐廳，進而刪掉了鹽野義的電子郵件、黑莓、訂單跟蹤和財務管理等服務器。

　　總的來說，Cornish只用vSphere客戶軟件就能訪問vSphere的虛擬化管理控制臺，只輕松點擊一下，就徹底刪除了鹽野義的15個虛擬主機上的每個虛擬服務器。Cornish邊嚼著巨無霸漢堡和薯條，邊刪掉了88個虛擬服務器，而鹽野義的日常業務依賴這些虛擬服務器。

　　他最后被逮捕了，你不由得會想鹽野義的防御機制最后還是勝出了，其實表明其防御機制根本不行。

　　他后來之所以被逮捕，主要是聯邦調查局的網絡犯罪打擊小組快速介入有關。在這起攻擊的發生地紐瓦克和亞特蘭大都有聯邦調查局的小組成員。犯罪現場在附近的麥當勞餐廳;特工跟蹤查明了攻擊者的IP地址后，查到了這起攻擊來自那家麥當勞餐廳。就在攻擊前幾分鐘，Cornish曾出現在現場，他用信用卡購買了4.96美元的食品。他肯定缺錢花。要不然，他的計劃原本會得逞——那樣他可能仍逍遙法外，沒人知曉他與鹽野義蒙受的80萬美元損失有直接關系。

　　鹽野義發現，從9月被解雇到次年2月3日發動攻擊，Cornish前后訪問系統達20次，這對破案也有所幫助。他們發現了為非作歹的vSphere客戶軟件，進而提出了訴訟，最終促使Cornish在8月16日低頭認罪。11月10日，他將面臨量刑法官，可能面臨長達10年的監禁和25萬美元的罰款。

　　但在此案中，正義得到伸張并沒有給人多少安慰。鹽野義的安全程序似乎很松懈;不過我知道有幾回，妥善管理的公司也不了解為本公司工作的合同工。即使在前員工迅速被開除、合同工受到嚴格監控的情況下，每家公司要保護自己遠離內賊作案還是有很大的難度。Cornish案并沒有弄清楚他在何處獲得了有效密碼。在這種情況下，鹽野義有可能采取了正確的措施，保護自己遠離某位心懷不滿的員工，隨后卻淪為無法證明其有罪的另一位員工的受害者。

　　在IT員工被裁減的那一刻，公司就特別容易受到內部人員的攻擊。

　　不過，鹽野義本該遵守最佳實踐：比如對IT管理員的權限進行限制，限制每個管理員只能訪問一組規定的服務器。但是并非只有鹽野義這一家公司才將一般的權限分配給公司信任的IT工作人員;不然，有時意味著擁有相應技能的人無法訪問相應的故障處。鹽野義本該設置一個軟件看門狗系統，從而監控誰登錄到了哪些服務器、誰刪除了服務器，但是許多公司沒有落實能夠從軟件事件查到某個人的此類保護機制。

　　鹽野義案真正讓人關注的地方并不在于，多快地伸張了正義，而是多快地造成了嚴重破壞——這歸因于虛擬化環境的管理界面。鹽野義的業務被迫中斷了好幾天，直到后來虛擬服務器被重新構建，已知、有效的數據被重新創建。

　　我常常得到積極正面的反饋，說在這些新興的虛擬化數據中心，IT經理具有怎樣驚人的能力。但是有必要記住的一點是，如果使用虛擬化，不是只有好人才得到“上帝般”的權力。

　　譯文來源： http://www.informationweek.com/news/security/vulnerabilities/231600871

       【51CTO.com獨家譯稿，非經授權謝絕轉載！合作媒體轉載請注明原文出處及出處！】