德州格蘭德普雷里的主題公園營運商六旗公司的CIO Michael Israel還表達了另外一種擔憂。對他來說,最讓人焦躁不安的局面就是某個心懷不軌的管理員可能會把虛擬服務器從一個安全的網(wǎng)絡段遷移到另一個不安全網(wǎng)絡段的物理主機上去,或者創(chuàng)建新的、未登記的、未經(jīng)許可的和未打過補丁的虛擬服務器。“我最大的擔心就是出了叛徒。我最不希望發(fā)生的事情就是,有25臺虛擬服務器在某處運行,而我卻不知道它們的存在,”他說。
雖然向虛擬服務器進行遷移,由于服務器的整合及效率的提高,可以節(jié)省企業(yè)大量的金錢,但是因為虛擬化正在吞沒越來越多的生產(chǎn)服務器,一些IT高管們正在擔心可能會出現(xiàn)的消化不良癥。一切都能在掌控之中嗎?某次災難性的違規(guī)會不會讓關(guān)鍵應用崩潰,甚至使整個數(shù)據(jù)中心停運呢?“客戶們有一天會突然意識到,已經(jīng)有一半的關(guān)鍵業(yè)務應用都在虛擬服務器上跑,他們會驚訝地問:‘天哪!這樣做安全嗎?’”IBM安全解決方案副總裁兼安全咨詢師Kris Lovejoy說。
問題不在于虛擬的基礎設施能否保障自身的安全,而是很多企業(yè)始終沒有采取最佳實踐——如果他們有的話——去適應新的虛擬化環(huán)境。
虛擬化引入了不少的技術(shù)——包括一個新的軟件層,即hypervisor——這些技術(shù)都必須是可管理的。但是還有一些新的技術(shù):例如在虛擬服務器之間為網(wǎng)絡流量提供路由的虛擬交換,對于原來為物理網(wǎng)絡而設計的流量監(jiān)控工具來說就并不總是可見的。
另外,虛擬化打破了IT部門中傳統(tǒng)的責任劃分,比如一名網(wǎng)管員只需按個鍵,而無須經(jīng)過采購部門,或者網(wǎng)絡、存儲、業(yè)務連續(xù)性和安全部門的批準,便可一次生成大量新的虛擬服務器。在很多組織中,IT安全團隊是不會對虛擬基礎設施提供咨詢意見的,除非是在組織構(gòu)建了虛擬化基礎設施,并在生產(chǎn)服務器上運行這些基礎設施之后才會提供此類咨詢服務。具有虛擬化意識的安全技術(shù)和最佳實踐都還處在初期演進階段。
虛擬化安全上市場發(fā)展的如此之快,以至于客戶們已無法讓企業(yè)的最佳實踐與其保持同步,Lovejoy說。他們既缺乏關(guān)于這一話題的理論知識,也缺少現(xiàn)場處理問題的實際技能。盡管有些技術(shù)亦可用來保障虛擬化基礎設施的安全,但是Lovejoy還是經(jīng)常會看到,某些安全上的失誤可以溯源到不正確的配置。
“和虛擬環(huán)境下的安全相關(guān)的主要問題就是缺少可見性,缺乏控制,和對未知事物的恐懼,”IT咨詢公司Info Pro的安全研究執(zhí)行經(jīng)理Bill Trussell說。
麻煩不斷的hypervisor
會不會有人劫持企業(yè)虛擬基礎設施中的某個hypervisor,然后利用它來破壞駐留在該hypervisor上的所有虛擬服務器呢?會不會有某個攻擊者控制一臺虛擬服務器,利用它作為平臺再去攻擊其他的虛擬服務器,比如駐留在同一硬件上的支付卡處理應用,而網(wǎng)管員甚至根本察覺不到呢?
這些令人恐怖的場景將會頑固地存在,盡管目前還沒有出現(xiàn)已知的針對虛擬基礎設施的攻擊,RSA Security安全基礎設施高級經(jīng)理Eric Baize說。
然而,很多IT安全專家仍然對此抱有疑慮。Info Pro在其2010年度的信息安全研究報告中對96位安全專家做了調(diào)查,結(jié)果有28%的受調(diào)查者稱,他們“非?!标P(guān)注或“相當”關(guān)注虛擬化環(huán)境中的安全問題。
在2006年的黑帽大會上,安全研究人員Joanna Rutkowska演示了著名的藍色藥丸hypervisor惡意rootkit,這之后,人們對于可能危及hypervisor的攻擊的擔憂就一直沒有斷過。
不過從那時以來,安全行業(yè)已經(jīng)向前發(fā)展了一大步,開發(fā)了一些硬件技術(shù)來保障hypervisor的完整性,例如英特爾的VT-d(Virtualization Technology for Directed I/O)技術(shù)。“今天,絕大多數(shù)的英特爾Core i5和i7處理器都擁有這些技術(shù)”,而虛擬化軟件廠商也開始支持這樣的功能,如今已成為IT安全研究公司Invisible Things的創(chuàng)始人兼CEO的Rutkowska說。
但是,即便是VT-d技術(shù)也不能真正保障hypervisor的完整性,“不過英特爾的TXT擴展卻可以提供可信任動態(tài)測量根(dynamic root of trust measurement,DRTM)技術(shù),這種技術(shù)將在新一代英特爾處理器中出現(xiàn),”Gartner分析師Neil MacDonald說。
Rutkowska本人對于是否有人會利用藍色藥丸類rootkit攻擊虛擬機也表示懷疑。“沒有任何理由會讓壞分子們?nèi)ナ褂萌绱藦碗s的rootkit工具,”她說,尤其從上世紀90年代以來,人們對于攻擊傳統(tǒng)操作系統(tǒng)的rootkit技術(shù)有了更深入的了解。
可以這么說,如果對虛擬基礎設施來說,沒有遵循和采納最佳實踐的話,那么虛擬化就會出現(xiàn)危險。Hypervisor必須像任何其他操作系統(tǒng)一樣,定期修補安全漏洞,Rent-a-Center租賃公司的高級信息安全經(jīng)理KC Condit說?!癡Mware今年以來已發(fā)布了9個重要安全公告,而XenServer也已發(fā)布了6個安全修復辦法?!?/p>
“我們看到過大量配置不當?shù)膆ypervisors,”RSA Security的高級安全咨詢師Andrew Mulé說。他說,在他拜訪客戶的辦公室時,經(jīng)常會看到對虛擬機的補丁管理很不到位,而且虛擬機管理程序所使用的都是一些很容易猜到或者缺省的用戶名和密碼,這會讓他人很容易進入并控制整個hypervisor。除此之外,他說,“我們還能偶然看到虛擬機管理工具放在了防火墻的錯誤一側(cè)?!?/p>