德州格蘭德普雷里的主題公園營(yíng)運(yùn)商六旗公司的CIO Michael Israel還表達(dá)了另外一種擔(dān)憂。對(duì)他來(lái)說(shuō)，最讓人焦躁不安的局面就是某個(gè)心懷不軌的管理員可能會(huì)把虛擬服務(wù)器從一個(gè)安全的網(wǎng)絡(luò)段遷移到另一個(gè)不安全網(wǎng)絡(luò)段的物理主機(jī)上去，或者創(chuàng)建新的、未登記的、未經(jīng)許可的和未打過(guò)補(bǔ)丁的虛擬服務(wù)器。“我最大的擔(dān)心就是出了叛徒。我最不希望發(fā)生的事情就是，有25臺(tái)虛擬服務(wù)器在某處運(yùn)行，而我卻不知道它們的存在，”他說(shuō)。

雖然向虛擬服務(wù)器進(jìn)行遷移，由于服務(wù)器的整合及效率的提高，可以節(jié)省企業(yè)大量的金錢，但是因?yàn)樘摂M化正在吞沒(méi)越來(lái)越多的生產(chǎn)服務(wù)器，一些IT高管們正在擔(dān)心可能會(huì)出現(xiàn)的消化不良癥。一切都能在掌控之中嗎?某次災(zāi)難性的違規(guī)會(huì)不會(huì)讓關(guān)鍵應(yīng)用崩潰，甚至使整個(gè)數(shù)據(jù)中心停運(yùn)呢?“客戶們有一天會(huì)突然意識(shí)到，已經(jīng)有一半的關(guān)鍵業(yè)務(wù)應(yīng)用都在虛擬服務(wù)器上跑，他們會(huì)驚訝地問(wèn)：‘天哪!這樣做安全嗎?’”IBM安全解決方案副總裁兼安全咨詢師Kris Lovejoy說(shuō)。

問(wèn)題不在于虛擬的基礎(chǔ)設(shè)施能否保障自身的安全，而是很多企業(yè)始終沒(méi)有采取最佳實(shí)踐——如果他們有的話——去適應(yīng)新的虛擬化環(huán)境。

虛擬化引入了不少的技術(shù)——包括一個(gè)新的軟件層，即hypervisor——這些技術(shù)都必須是可管理的。但是還有一些新的技術(shù)：例如在虛擬服務(wù)器之間為網(wǎng)絡(luò)流量提供路由的虛擬交換，對(duì)于原來(lái)為物理網(wǎng)絡(luò)而設(shè)計(jì)的流量監(jiān)控工具來(lái)說(shuō)就并不總是可見的。

另外，虛擬化打破了IT部門中傳統(tǒng)的責(zé)任劃分，比如一名網(wǎng)管員只需按個(gè)鍵，而無(wú)須經(jīng)過(guò)采購(gòu)部門，或者網(wǎng)絡(luò)、存儲(chǔ)、業(yè)務(wù)連續(xù)性和安全部門的批準(zhǔn)，便可一次生成大量新的虛擬服務(wù)器。在很多組織中，IT安全團(tuán)隊(duì)是不會(huì)對(duì)虛擬基礎(chǔ)設(shè)施提供咨詢意見的，除非是在組織構(gòu)建了虛擬化基礎(chǔ)設(shè)施，并在生產(chǎn)服務(wù)器上運(yùn)行這些基礎(chǔ)設(shè)施之后才會(huì)提供此類咨詢服務(wù)。具有虛擬化意識(shí)的安全技術(shù)和最佳實(shí)踐都還處在初期演進(jìn)階段。

虛擬化安全上市場(chǎng)發(fā)展的如此之快，以至于客戶們已無(wú)法讓企業(yè)的最佳實(shí)踐與其保持同步，Lovejoy說(shuō)。他們既缺乏關(guān)于這一話題的理論知識(shí)，也缺少現(xiàn)場(chǎng)處理問(wèn)題的實(shí)際技能。盡管有些技術(shù)亦可用來(lái)保障虛擬化基礎(chǔ)設(shè)施的安全，但是Lovejoy還是經(jīng)常會(huì)看到，某些安全上的失誤可以溯源到不正確的配置。

“和虛擬環(huán)境下的安全相關(guān)的主要問(wèn)題就是缺少可見性，缺乏控制，和對(duì)未知事物的恐懼，”IT咨詢公司Info Pro的安全研究執(zhí)行經(jīng)理Bill Trussell說(shuō)。

麻煩不斷的hypervisor

會(huì)不會(huì)有人劫持企業(yè)虛擬基礎(chǔ)設(shè)施中的某個(gè)hypervisor，然后利用它來(lái)破壞駐留在該hypervisor上的所有虛擬服務(wù)器呢?會(huì)不會(huì)有某個(gè)攻擊者控制一臺(tái)虛擬服務(wù)器，利用它作為平臺(tái)再去攻擊其他的虛擬服務(wù)器，比如駐留在同一硬件上的支付卡處理應(yīng)用，而網(wǎng)管員甚至根本察覺不到呢?

這些令人恐怖的場(chǎng)景將會(huì)頑固地存在，盡管目前還沒(méi)有出現(xiàn)已知的針對(duì)虛擬基礎(chǔ)設(shè)施的攻擊，RSA Security安全基礎(chǔ)設(shè)施高級(jí)經(jīng)理Eric Baize說(shuō)。

然而，很多IT安全專家仍然對(duì)此抱有疑慮。Info Pro在其2010年度的信息安全研究報(bào)告中對(duì)96位安全專家做了調(diào)查，結(jié)果有28%的受調(diào)查者稱，他們“非?！标P(guān)注或“相當(dāng)”關(guān)注虛擬化環(huán)境中的安全問(wèn)題。

在2006年的黑帽大會(huì)上，安全研究人員Joanna Rutkowska演示了著名的藍(lán)色藥丸hypervisor惡意rootkit，這之后，人們對(duì)于可能危及hypervisor的攻擊的擔(dān)憂就一直沒(méi)有斷過(guò)。

不過(guò)從那時(shí)以來(lái)，安全行業(yè)已經(jīng)向前發(fā)展了一大步，開發(fā)了一些硬件技術(shù)來(lái)保障hypervisor的完整性，例如英特爾的VT-d(Virtualization Technology for Directed I/O)技術(shù)?！敖裉欤^大多數(shù)的英特爾Core i5和i7處理器都擁有這些技術(shù)”，而虛擬化軟件廠商也開始支持這樣的功能，如今已成為IT安全研究公司Invisible Things的創(chuàng)始人兼CEO的Rutkowska說(shuō)。

但是，即便是VT-d技術(shù)也不能真正保障hypervisor的完整性，“不過(guò)英特爾的TXT擴(kuò)展卻可以提供可信任動(dòng)態(tài)測(cè)量根(dynamic root of trust measurement，DRTM)技術(shù)，這種技術(shù)將在新一代英特爾處理器中出現(xiàn)，”Gartner分析師Neil MacDonald說(shuō)。

Rutkowska本人對(duì)于是否有人會(huì)利用藍(lán)色藥丸類rootkit攻擊虛擬機(jī)也表示懷疑?！皼](méi)有任何理由會(huì)讓壞分子們?nèi)ナ褂萌绱藦?fù)雜的rootkit工具，”她說(shuō)，尤其從上世紀(jì)90年代以來(lái)，人們對(duì)于攻擊傳統(tǒng)操作系統(tǒng)的rootkit技術(shù)有了更深入的了解。

可以這么說(shuō)，如果對(duì)虛擬基礎(chǔ)設(shè)施來(lái)說(shuō)，沒(méi)有遵循和采納最佳實(shí)踐的話，那么虛擬化就會(huì)出現(xiàn)危險(xiǎn)。Hypervisor必須像任何其他操作系統(tǒng)一樣，定期修補(bǔ)安全漏洞，Rent-a-Center租賃公司的高級(jí)信息安全經(jīng)理KC Condit說(shuō)。“VMware今年以來(lái)已發(fā)布了9個(gè)重要安全公告，而XenServer也已發(fā)布了6個(gè)安全修復(fù)辦法?！?/p>

“我們看到過(guò)大量配置不當(dāng)?shù)膆ypervisors，”RSA Security的高級(jí)安全咨詢師Andrew Mulé說(shuō)。他說(shuō)，在他拜訪客戶的辦公室時(shí)，經(jīng)常會(huì)看到對(duì)虛擬機(jī)的補(bǔ)丁管理很不到位，而且虛擬機(jī)管理程序所使用的都是一些很容易猜到或者缺省的用戶名和密碼，這會(huì)讓他人很容易進(jìn)入并控制整個(gè)hypervisor。除此之外，他說(shuō)，“我們還能偶然看到虛擬機(jī)管理工具放在了防火墻的錯(cuò)誤一側(cè)?！?/p>

liukai