虚拟化安全:控制虚拟机才是真正的关键!

在今年3月由美国Computerworld主办的Premier 100 IT领导人会议上,曾经有过一次圆桌讨论,有一位CIO当场就表达了对于虚拟化基础设施安全问题的担心,因为他公司里一半以上的生产服务器都已经虚拟化了。很快,另外两位IT高管也插嘴说出了他们自己对于虚拟化安全问题的担忧。

尽管在场的很多IT高管不太愿意公开承认他们感觉自己在这方面很脆弱,但是德州普莱诺市的租赁业巨头Rent-a-Center公司的技术服务与系统架构高级经理Jai Chanani却表达出了他们的苦恼。他说,“我最害怕的一件事情就是虚拟服务器被盗。”他的团队每天要运行大约200个VMware ESX和XenServer虚拟服务器,用作文件和打印服务器,有时候还要用作应用服务器。但是出于安全上的考虑,他的团队没有将公司的ERP系统、数据库或e-mail系统虚拟化。

德州格兰德普雷里的主题公园营运商六旗公司的CIO Michael Israel还表达了另外一种担忧。对他来说,最让人焦躁不安的局面就是某个心怀不轨的管理员可能会把虚拟服务器从一个安全的网络段迁移到另一个不安全网络段的物理主机上去,或者创建新的、未登记的、未经许可的和未打过补丁的虚拟服务器。“我最大的担心就是出了叛徒。我最不希望发生的事情就是,有25台虚拟服务器在某处运行,而我却不知道它们的存在,”他说。

虽然向虚拟服务器进行迁移,由于服务器的整合及效率的提高,可以节省企业大量的金钱,但是因为虚拟化正在吞没越来越多的生产服务器,一些IT高管们正在担心可能会出现的消化不良症。一切都能在掌控之中吗?某次灾难性的违规会不会让关键应用崩溃,甚至使整个数据中心停运呢?“客户们有一天会突然意识到,已经有一半的关键业务应用都在虚拟服务器上跑,他们会惊讶地问:‘天哪!这样做安全吗?’”IBM安全解决方案副总裁兼安全咨询师Kris Lovejoy说。

问题不在于虚拟的基础设施能否保障自身的安全,而是很多企业始终没有采取最佳实践——如果他们有的话——去适应新的虚拟化环境。

虚拟化引入了不少的技术——包括一个新的软件层,即hypervisor——这些技术都必须是可管理的。但是还有一些新的技术:例如在虚拟服务器之间为网络流量提供路由的虚拟交换,对于原来为物理网络而设计的流量监控工具来说就并不总是可见的。

另外,虚拟化打破了IT部门中传统的责任划分,比如一名网管员只需按个键,而无须经过采购部门,或者网络、存储、业务连续性和安全部门的批准,便可一次生成大量新的虚拟服务器。在很多组织中,IT安全团队是不会对虚拟基础设施提供咨询意见的,除非是在组织构建了虚拟化基础设施,并在生产服务器上运行这些基础设施之后才会提供此类咨询服务。具有虚拟化意识的安全技术和最佳实践都还处在初期演进阶段。

虚拟化安全上市场发展的如此之快,以至于客户们已无法让企业的最佳实践与其保持同步,Lovejoy说。他们既缺乏关于这一话题的理论知识,也缺少现场处理问题的实际技能。尽管有些技术亦可用来保障虚拟化基础设施的安全,但是Lovejoy还是经常会看到,某些安全上的失误可以溯源到不正确的配置。

“和虚拟环境下的安全相关的主要问题就是缺少可见性,缺乏控制,和对未知事物的恐惧,”IT咨询公司Info Pro的安全研究执行经理Bill Trussell说。

麻烦不断的hypervisor

会不会有人劫持企业虚拟基础设施中的某个hypervisor,然后利用它来破坏驻留在该hypervisor上的所有虚拟服务器呢?会不会有某个攻击者控制一台虚拟服务器,利用它作为平台再去攻击其他的虚拟服务器,比如驻留在同一硬件上的支付卡处理应用,而网管员甚至根本察觉不到呢?

这些令人恐怖的场景将会顽固地存在,尽管目前还没有出现已知的针对虚拟基础设施的攻击,RSA Security安全基础设施高级经理Eric Baize说。

然而,很多IT安全专家仍然对此抱有疑虑。Info Pro在其2010年度的信息安全研究报告中对96位安全专家做了调查,结果有28%的受调查者称,他们“非常”关注或“相当”关注虚拟化环境中的安全问题。

在2006年的黑帽大会上,安全研究人员Joanna Rutkowska演示了著名的蓝色药丸hypervisor恶意rootkit,这之后,人们对于可能危及hypervisor的攻击的担忧就一直没有断过。

不过从那时以来,安全行业已经向前发展了一大步,开发了一些硬件技术来保障hypervisor的完整性,例如英特尔的VT-d(Virtualization Technology for Directed I/O)技术。“今天,绝大多数的英特尔Core i5和i7处理器都拥有这些技术”,而虚拟化软件厂商也开始支持这样的功能,如今已成为IT安全研究公司Invisible Things的创始人兼CEO的Rutkowska说。

但是,即便是VT-d技术也不能真正保障hypervisor的完整性,“不过英特尔的TXT扩展却可以提供可信任动态测量根(dynamic root of trust measurement,DRTM)技术,这种技术将在新一代英特尔处理器中出现,”Gartner分析师Neil MacDonald说。

Rutkowska本人对于是否有人会利用蓝色药丸类rootkit攻击虚拟机也表示怀疑。“没有任何理由会让坏分子们去使用如此复杂的rootkit工具,”她说,尤其从上世纪90年代以来,人们对于攻击传统操作系统的rootkit技术有了更深入的了解。

可以这么说,如果对虚拟基础设施来说,没有遵循和采纳最佳实践的话,那么虚拟化就会出现危险。Hypervisor必须像任何其他操作系统一样,定期修补安全漏洞,Rent-a-Center租赁公司的高级信息安全经理KC Condit说。“VMware今年以来已发布了9个重要安全公告,而XenServer也已发布了6个安全修复办法。”

“我们看到过大量配置不当的hypervisors,”RSA Security的高级安全咨询师Andrew Mulé说。他说,在他拜访客户的办公室时,经常会看到对虚拟机的补丁管理很不到位,而且虚拟机管理程序所使用的都是一些很容易猜到或者缺省的用户名和密码,这会让他人很容易进入并控制整个hypervisor。除此之外,他说,“我们还能偶然看到虚拟机管理工具放在了防火墙的错误一侧。”