虚拟服务器并不总是那么安全

现在有些IT管理员把拥有多路网络连接的系统放在非军事区(DMZ)里面。关键是如何保护起来。

    外头有不少IT管理员以为:只要部署了虚拟服务器,虚拟机就能万无一失,可以远离诸多安全漏洞和恶意攻击。但是据Edward L. Haletky这样的虚拟化安全专家认为,IT管理人员会惊奇地发现:为了保护虚拟基础架构,他们付出的努力却要大得多。
 
    Haletky创办了AstroArch咨询公司,目前还在撰写有关虚拟化安全的一本书。他说:“眼下与虚拟化有关的最大的安全问题就是,很多人不知道自己在做什么。虚拟化管理员不是安全管理员。他们不可能是安全管理员,因为有太多东西需要学习。虚拟化管理员也不是存储经理,他们也要明白这一点。”
 
    尽管虚拟化技术并不是天生容易受到攻击,但是虚拟化管理员和安全管理员在接受的安全教育方面之间有着巨大差异,这常常导致部署的虚拟服务器不安全。外面的大多数虚拟化安全专家(目前这样的专家为数很少)建议,虚拟化管理员最好接受安全教育,设法为虚拟机实施合适的策略和审计措施,并且确保虚拟机上的功能和内容划分到彼此隔离的操作环境中。
 
    隔离虚拟机
 
    据Haletky声称,虚拟化管理员需要担心这四种网络:管理网络、存储网络、虚拟机网络以及VMotion网络。他表示,如果虚拟化管理员不隔离这些网络,就有可能出现一些最大的安全漏洞。
 
    他说:“有些管理员把所有这四种网络全部放在非军事区(DMZ)里面――DMZ是指公司网络上的暴露部分,里面可能含有Web及其他网络服务器,而实际上只有一种网络需要放在DMZ里面。”Haletky表示,有一些明确的规则表明了IT人员在DMZ里面可以进行哪些操作――一条首要的规则就是,对拥有多路网络连接的系统进行控制。他表示,这条规则同样适用于虚拟服务器;他建议IT管理员让虚拟服务器尽可能远离DMZ。
 
    IDC加拿大公司的安全和软件调研主任David Senf同意这个观点。他说:“比方说,为了避免把不同的安全策略混同起来、防止出现权限提高之类的问题,有些IT部门不允许DMZ里面的虚拟机会话驻留在DMZ后面的主机上。”
 
    信息技术研究集团的高级研究分析师John Sloan表示,管理员可以把虚拟机归类到一起、放在特定的安全区域,从而使用网络隔离机制。他解释说:“你可以把一些机器与其他机器分立出来,随后赋予不同的安全级别。”
 
    Sloan还建议:如果管理员使用实时迁移功能(指把运行中的虚拟机从一台物理服务器迁移到另一台物理服务器上的功能,从而可以优化性能、缩短停机时间),就要小心这项功能对安全带来的影响。
 
    他说:“有些情况下,服务器可能需要更高的安全级别,但是它们可能会出于提高性能、而不是提高安全的原因而动态迁移到其他设备上。所以,这进一步增添了复杂性,因为你还不得不关注如何对物理服务器进行分区,还要确保:即便使用了实时迁移,‘类似’的服务器仍一起驻留在同样的平台上。”
 
    解决方案提供商正在努力满足公司企业在安全、隔离的环境中运行工作任务的需要,Tresys Technology就是这样一家提供商。该公司的旗舰产品VM Fortress致力于确保桌面虚拟化安全,让虚拟化管理员可以通过把虚拟机限制在沙箱(sandbox)里面的办法来控制虚拟机。
 
    Tresys公司的技术工程主管Karl MacMillan说:“如果你的虚拟机不但要连接到另一个公司网络,还要连接到控制核电站的一个网络,你就要确保这两个网络隔离开来。一项最紧迫的安全要求就是,确保虚拟化软件本身存在的漏洞让来宾虚拟机无法对网络系统造成破坏、可能闯入及访问其他来宾操作系统。”
 
    由于沙箱可以把拥有同样访问权的虚拟机归类到一起,你就能对每个虚拟机上的每个应用程序进行隔离。他说,这有望确保你的人力资源应用程序不会受到Web浏览器的影响。
 
    MacMillan说:“这么做的优点在于,你既可以利用创建更多虚拟机的功能,又能获得强有力的隔离机制。但是由于虚拟机数量激增,你还要确保所有这些操作系统的安全。你要对它们进行更新、打补丁,还要进行全面跟踪。”
管理虚拟机散乱现象
 
    据信息技术研究集团的Sloan声称,使用虚拟机的其中一个最大好处就是,虚拟机与底层硬件更加隔离开来。他说:“如果虚拟机受到了病毒感染,或者遭到了某种方式的恶意攻击,造成的危害可以减小到最低程度,因为很容易隔绝这个虚拟机,并且终止运行。”
 
    Sloan表示,但是尽管虚拟机本身可能更具有弹性,但是安全监控和管理工作对运行关键任务的虚拟机来说仍必不可少。他说:“从总体上来看,管理就应当这样;如果你没有为虚拟机落实相应的策略或者程序,就会面临更大的风险。你一定要有足够完善的安全管理,才能跟踪及管理虚拟机。”
 
    现在大多数人都会认同这一点:很难闯入物理数据中心、窃取大批数据。但是你有没有想过这一幕:攻击者不用步入你的数据中心,只要创建虚拟机,就可以用它来访问敏感数据?Haletky说,很可能你不会知道发生了这种事。
 
    他说:“如果你采用虚拟化技术,安全性并没有因此而增强,实际上反而减弱了。另一个重要原因就是你现在面临虚拟机散乱(VM sprawl)现象。”
 
    今年年初Verizon Business公司撰写的一份最新报告发现,27%的攻击来自意料之外的系统连接;10%来自以不合适的权限访问系统。
 
    “管理员不知道有机器存在,”Haletky说,“有了虚拟化技术,新的虚拟机极其容易部署到环境里面;如果不加以控制、治理或者核实,那么这种容易部署虚拟机的优点反而会带来安全问题。”
 
    Haletky表示,除非公司落实了合适的审计机制,否则要是有人未经授权在公司网络上创建虚拟机,数据中心就会继续容易受到这些公司不知道存在的虚拟机的攻击。他表示,IT管理员的解决办法就是,采用某一种工作流审批流程,对系统进行监控及审计。
 
    Haletky说:“目前,虚拟化安全离不开一大批审计机制;你需要审计、需要获得报告,还需要接到通知。如果你在这些方面都做得很到位,就完全具有领先优势。”不过强大审计机制面临的最大障碍却是这个事实:目前市面上还没有一款优秀的工具。
 
    Haletky说:“现在其实没有工具可以告诉你已经添加了一个新的虚拟机,你得自己去查看。如果使用VMware ESXi,你可以在虚拟机运行的时候接到报警;还能收到反映这个情况的电子邮件。但是你其实得不到表明虚拟机在做什么的任何信息。”
 
    Haletky说,要关注的不仅仅是网络安全。如今现有的三大安全监控指导原则(包括VMware、CISecurity和DISA/STIG的指导原则)都不是太深入,没有为期望把ESX服务器审计和监控机制付诸实践的用户提供启动脚本。他表示,这些指导原则概述了需要审计的部分内容,但远远不够全面。
 
    据Haletky声称,另一个固有的问题就是,大多数虚拟化管理员完全从网络的角度来看待虚拟安全。Haletky说:“保护虚拟环境不仅仅包括服务控制台、管理设备和网络;还包括存储、备份、灾难恢复和业务连续性等方面,它几乎包括每个方面,而每个特定方面都有相应工具。”
 
    他又说,虚拟机的攻击面变得越来越大,全人们根本没有认识到这一点。“把虚拟机放在虚拟服务器里面――不管你使用的是哪家厂商的技术,这并不会为你带来足够的保护。网络安全对你大有帮助,但我不敢肯定光有网络安全就够了。”
 
    如果你找不到或者请不起虚拟化安全专家来帮你入手,专家们建议公司只要找一名了解虚拟化技术的安全技术人员。对大多数公司来说,这归结为先进行风险分析,然后最终确定自己需要哪种监控流程。
 
    他说:“如果你看一看外面针对虚拟服务器应用部署的许多设计方案,就会发现设计方案中根本没有提到安全。他们说,我们要部署虚拟化技术;我们要节省成本、减少散热,但他们就是没有说我们要确保安全。”