在今年3月由美国Computerworld主办的Premier 100 IT领导人会议上,曾经有过一次圆桌讨论,有一位CIO当场就表达了对于虚拟化基础设施安全问题的担心,因为他公司里一半以上的生产
尽管在场的很多IT高管不太愿意公开承认他们感觉自己在这方面很脆弱,但是德州普莱诺市的租赁业巨头Rent-a-Center公司的技术服务与系统架构高级经理Jai Chanani却表达出了他们的苦恼。他说,“我最害怕的一件事情就是虚拟服务器被盗。”他的团队每天要运行大约200个VMware ESX和XenServer虚拟服务器,用作文件和
“我最不希望发生的事情就是,有25台虚拟服务器在某处运行,而我却不知道它们的存在。”
——主题公园营运商六旗公司CIO Michael Israel
德州格兰德普雷里的主题公园营运商六旗公司的CIO Michael Israel还表达了另外一种担忧。对他来说,最让人焦躁不安的局面就是某个心怀不轨的管理员可能会把虚拟服务器从一个安全的网络段迁移到另一个不安全网络段的物理主机上去,或者创建新的、未登记的、未经许可的和未打过补丁的虚拟服务器。“我最大的担心就是出了叛徒。我最不希望发生的事情就是,有25台虚拟服务器在某处运行,而我却不知道它们的存在,”他说。
虽然向虚拟服务器进行迁移,由于服务器的整合及效率的提高,可以节省企业大量的金钱,但是因为虚拟化正在吞没越来越多的生产服务器,一些IT高管们正在担心可能会出现的消化不良症。一切都能在掌控之中吗?某次灾难性的违规会不会让关键应用崩溃,甚至使整个数据中心停运呢?“客户们有一天会突然意识到,已经有一半的关键业务应用都在虚拟服务器上跑,他们会惊讶地问:‘天哪!这样做安全吗?’”IBM安全解决方案副总裁兼安全咨询师Kris Lovejoy说。
问题不在于虚拟的基础设施能否保障自身的安全,而是很多企业始终没有采取最佳实践——如果他们有的话——去适应新的虚拟化环境。
虚拟化引入了不少的技术——包括一个新的软件层,即hypervisor——这些技术都必须是可管理的。但是还有一些新的技术:例如在虚拟服务器之间为网络流量提供路由的虚拟交换,对于原来为物理网络而设计的流量监控工具来说就并不总是可见的。
另外,虚拟化打破了IT部门中传统的责任划分,比如一名网管员只需按个键,而无须经过采购部门,或者网络、存储、业务连续性和安全部门的批准,便可一次生成大量新的虚拟服务器。在很多组织中,IT安全团队是不会对虚拟基础设施提供咨询意见的,除非是在组织构建了虚拟化基础设施,并在生产服务器上运行这些基础设施之后才会提供此类咨询服务。具有虚拟化意识的安全技术和最佳实践都还处在初期演进阶段。
虚拟化安全上市场发展的如此之快,以至于客户们已无法让企业的最佳实践与其保持同步,Lovejoy说。他们既缺乏关于这一话题的理论知识,也缺少现场处理问题的实际技能。尽管有些技术亦可用来保障虚拟化基础设施的安全,但是Lovejoy还是经常会看到,某些安全上的失误可以溯源到不正确的配置。
“和虚拟环境下的安全相关的主要问题就是缺少可见性,缺乏控制,和对未知事物的恐惧,”IT咨询公司Info Pro的安全研究执行经理Bill Trussell说。
会不会有人劫持企业虚拟基础设施中的某个hypervisor,然后利用它来破坏驻留在该hypervisor上的所有虚拟
这些令人恐怖的场景将会顽固地存在,尽管目前还没有出现已知的针对虚拟基础设施的攻击,RSA Security安全基础设施高级经理Eric Baize说。
然而,很多IT安全专家仍然对此抱有疑虑。Info Pro在其2010年度的信息安全研究报告中对96位安全专家做了调查,结果有28%的受调查者称,他们“非常”关注或“相当”关注虚拟化环境中的安全问题。
在2006年的黑帽大会上,安全研究人员Joanna Rutkowska演示了著名的蓝色药丸hypervisor恶意rootkit,这之后,人们对于可能危及hypervisor的攻击的担忧就一直没有断过。
不过从那时以来,安全行业已经向前发展了一大步,开发了一些硬件技术来保障hypervisor的完整性,例如英特尔的VT-d(Virtualization Technology for Directed I/O)技术。“今天,绝大多数的英特尔Core i5和i7处理器都拥有这些技术”,而
但是,即便是VT-d技术也不能真正保障hypervisor的完整性,“不过英特尔的TXT扩展却可以提供可信任动态测量根(dynamic root of trust measurement,DRTM)技术,这种技术将在新一代英特尔处理器中出现,”Gartner分析师Neil MacDonald说。
Rutkowska本人对于是否有人会利用蓝色药丸类rootkit攻击虚拟机也表示怀疑。“没有任何理由会让坏分子们去使用如此复杂的rootkit工具,”她说,尤其从上世纪90年代以来,人们对于攻击传统
可以这么说,如果对虚拟基础设施来说,没有遵循和采纳最佳实践的话,那么虚拟化就会出现危险。Hypervisor必须像任何其他操作系统一样,定期修补安全漏洞,Rent-a-Center租赁公司的高级信息安全经理KC Condit说。“VMware今年以来已发布了9个重要安全公告,而XenServer也已发布了6个安全修复办法。”
“我们看到过大量配置不当的hypervisors,”RSA Security的高级安全咨询师Andrew Mulé说。他说,在他拜访客户的办公室时,经常会看到对虚拟机的补丁管理很不到位,而且虚拟机管理程序所使用的都是一些很容易猜到或者缺省的用户名和密码,这会让他人很容易进入并控制整个hypervisor。除此之外,他说,“我们还能偶然看到虚拟机管理工具放在了
虚拟机之间的网络流量是安全专家们所担心的另一个问题,因为
“我更信任防火墙而不是hypervisor。”
——凤凰城市政府高级安全工程师Vauda Jordan
利用ESX服务器和其他主要的虚拟化平台,虚拟机之间所通过的数据是不加密的,各虚拟机在使用VMware的vMotion工具在不同物理主机间迁移时是处于
Aravamudan称,如果执行了最佳实践,那么加密“就不是什么大问题”。最佳实践会要求vMotion流量与生产流量完全隔离。但他也承认,“中间人攻击从理论上讲是有可能的,”尤其是因为虚拟服务器实例可能会在各个数据中心间迁移,而不只是在一个物理场所内迁移。
像VMware的vShield和其他第三方工具等产品可以创建虚拟防火墙将VMware、XenServer、Hyper-V和其他虚拟机彼此隔离在不同的安全区域中,但是并非所有的组织都已实施了这种隔离。例如,创建不同的安全区域就不是Rent-a-Center关注的大事。但是随着虚拟基础设施的不断扩展,这种隔离就会成为必须,Condit说。
Rent-a-center依然采用物理隔离虚拟机的方法,也就是将属于每一功能组合的虚拟机驻留在不同的物理服务器上。这种方法的缺点是当虚拟设置增长得很大的,难以维护,而且会限制虚拟化所提供的整合优势。Rent-a-Center的Chanani说,在某些场合下,一个刀片
有些现有的防火墙工具可以看见虚拟服务器流量,但在其他场合下,IT人员需要另外增加一组虚拟化工具,但这又会增加管理的复杂性。Gartner的MacDonald说,最好的办法是有一套能够跨越物理和虚拟环境的工具。然而,除非传统的安全工具厂商追赶上来,否则企业的IT部门就只能用一些不知名厂商如Altor网络、Catbird网络和HyTrust等公司的工具,这些工具为了适应虚拟机的需要而做了剪裁。
IBM的Lovejoy认为,近期来看,混合的工具环境不可避免。“必须要让这些厂商有和我们的战略相一致的战略路线图,”他说。“否则你就只能拥有短命的单独的工具了。”
更重要的是,核心网络架构需要加以变动方能适应虚拟化,RSA Security的Mulé说。“能与物理
六旗公司的高级系统工程师Matthew Nowell利用VLAN来隔离虚拟服务器。“取决于我们如何设置路由规则,这些虚拟服务器或许能,或许不能彼此交谈,”他说。但是Gartner的MaCDonald提醒道,“VLAN和路由接入控制对于安全隔离来说都不够充分。”Gartner出版的指南要求必须部署某类虚拟化
Jordan坚持凤凰城的系统管理员必须将每个虚拟服务器隔离在各自的安全区域内。“我必须不断对劝说那些喋喋不休地争辩说hypervisor就能实现安全隔离的服务器管理员。我更信任防火墙而不是hypervisor,”她说。
“最困难的人物之一就是如何将日常业务网络与支付卡基础设施进行隔离,”市民们可使用后者缴纳水费或其他服务项目的费用。Jordan说,为了满足PCI(支付卡行业)安全标准的要求,她需要对处理、存储或传输支付卡数据的虚拟服务器上的文件完整性进行监测。
对六旗公司来说,它利用VLAN将支付卡处理功能放在虚拟服务器上没有出现任何问题。“我们的PCI审计从未出现过反馈问题,”Nowell说。然而另一方面,Rent-a-Center却从不用虚拟机来处理信用卡流程。
明尼苏达州的Schwann食品公司则采取了一种不同的方法来进行支付卡处理:它只使用裸机虚拟化系统(即虚拟机直接安装在硬件上),而根本不用任何hypervisor、
在一个没有监控的虚拟环境中,管理员就代表着一切的权力——咨询师和IT高管们一致认为,这种情形绝不是什么好事。“这等于给了管理员们进入王国的钥匙,而在大部分时间里,他们对安全风险却并不了解,”Jordan说。
举例来说,管理员可能创建了一个虚拟FTP
在创建新的虚拟服务器时使用缺省口令是很常见的,IBM安全战略群组的架构师Harold Moss说,而负责管理新虚拟机的人却不会经常变更口令。“利用VNC,你可以打开所有的端口,”他说。利用这些未加变更的口令,窃贼们就有可能登录虚拟机,猜测出口令,从而“完全控制虚拟机,”他解释说。
Forrester分析师John Kindervag说,他就曾听到过一些客户的故事,说他们的VMware vCenter管理控制台就曾被控制。攻击者们利用该控制台拷贝了一台虚拟机,然后盗走了上面的数据。“一旦你盗窃了一台虚拟机,你便可以堂而皇之地进入数据中心,盗取其他硬件上的数据。这可是毁灭性的,”他说。
在IBM安全解决方案群组,Lovejoy在客户的网站上看到过由于构建不当的虚拟机镜像而出现的恶意软件和跨站脚本攻击等问题。“常见的情形是,虚拟机镜像常常包含恶意软件,或者有一些很容易被利用的漏洞。”
为了帮助防范被攻击的可能,安全软件厂商们正在创建这样一种模式,利用这种模式,
然而,有个问题是,给hypervisor层加压是不是一个好想法呢?
未能实现最佳实践,或者未能在虚拟基础设施中建立明确的责任分工,这就是问题频发的根源,RSA Security的Mulé称。“人们今天仍然不喜欢实行责任分工。他们总想把权杖交给少数人去管理。”他建议开发一种强大的变更管理流程,包括变更管理工票的发放。
Condit对此也表示赞同。“在虚拟世界里,不存在固有的责任分工,所以你必须自己来创建这种分工,”他说。变更管理、配置管理和资产控制,对于保障虚拟基础设施安全来说是至关重要的。
合规性是又一个令人但有的问题。作为欧盟开发银行的系统工程设计经理,Jean-Louis Nguyen需要监控该银行140台虚拟机的管理员们的行为,以确保他们能够遵守各种监管和管理规则的要求。该银行曾尝试过VMware的日志功能,后来发现需要更好的方法才能整合各种日志信息。“要想获得这些日志本身就是不简单的事情,”他说。最后他决定使用HyTrust的专用工具来提供所有管理员行为的集中日志。
该银行还是用HyTrust为首席安全官(CSO)设置了一个完全隔离的虚拟环境,只有他才能全面控制所有物理的和虚拟的基础设施,并利用底层安全软件来加固基础设施。CSO可以监控所有生产现场的虚拟
“关键是要确保你的管理体系不会出现管理员滥用权力的情况。我们需要确定的是管理系统是可靠的,不会有人偷窥数据,”Nguyen说。
其他工具可分层配置以获得更多控制。例如,新兴企业Catbird网络提供一种策略管理工具套件,既可在出现违反策略情况时向管理员示警,也可在有虚拟机破坏规则时对其进行隔离。“你需要知道虚拟机去了哪里,到了某地后正在做什么。如果你不喜欢它所做的事,那你就必须有能力终止它的运行,”Catbird的副总裁Tamar Newberger说。
而在Rent-a-Center,是不需要额外工具的,因为强大的检查与平衡策略足以满足管理需求。该公司的安全经理“会及时发布一个流程,说我们不能把某台虚拟服务器放入生产现场,除非他的团队已经将此服务器注销了,”Chanani说。
“你需要的是某个可控的技术及时到位吗?这个问题的答案可以是否定的。你需要的是良好的治理和监控吗?这个问题的答案是:绝对的,”RSA Security的Mulé说。
由于虚拟机镜像里主要是数据——程序代码存储在某地的
六旗公司则是将这些镜像放在受保护的网络存储区域中。“这些NFS安装盘是严格禁止任何人共享的。你也不可能去拷贝文件,因为在我们的环境中是不可能让你安装
RSA Security的Baize说,IT高管还需重新考虑其数据泄漏防护措施。除了制定策略,决定虚拟机在何种状态下可以访问何种数据之外,这些策略还必须是以数据为中心的。“你可以制定策略说,这个敏感数据不能跑到这台虚拟机上去。但你不能因此而对虚拟机上的数据从何而来不再关心——这纯粹是就事论事的策略。虚拟化正好是让我们重新思考如何做安全的一次机会。”
更好地理解安全控制
要保障虚拟基础设施的安全并非只是购买更多的工具,Baize说。“今天已经有了很多可用于控制虚拟基础设施的办法。我们所缺少的是了解怎么控制,以及何时进行控制。”
创建安全的虚拟基础设施的最佳办法就是从项目之初便引入IT安全或者让安全咨询师参与进来。Gartner估计,多达40%的IT组织并没有在虚拟基础设施部署之时引入IT安全的概念,都是在系统已经建好并上线之后才开始考虑安全问题的。这种有问题的做法在更多的关键任务应用开始向虚拟机迁移时表现得尤为明显。“一旦你要开始对SharePoint、Exchange或ERP进行虚拟化时,你实际上就已经进入敏感数据了。这就会出现安全问题,”Gartner的MacDonald说。
到了这个时候,一些组织才开始想到要给系统加上安全门闩,而这本来应该是在设计之初就应该考虑到的事情。事后修改设计肯定是要付出更高成本的。“CIO们应该确保在设计此类体系架构时有高管全程参与,”MacDonald说。
Rent-a-Center的Condit认为,一切皆可归结为策略。“如果没有及时制定强有力的安全策略,那么虚拟基础设施很快就会暴露出各种弱点,这是肯定会发生的事情,”他说,因为创建虚拟服务器的过程非常快,而且将它们在各个物理服务器之间进行迁移又非常容易。
CIO们对虚拟化安全表示担忧是正常的,Condit说。“某种健康程度的疑神疑鬼怎么说也是件好事。”
• 中国角型毛巾架行业运营态势与投资潜力研究报告(2018-2023)
• 中国直接挡轴市场深度研究及投资前景分析报告(2021-2023)
• 2018-2023年KTV专用触摸屏市场调研及发展前景分析报告
• 中国回流式高细度粉碎机市场深度调研与发展趋势预测报告(2018-2023)
• 2018-2023年中国原色瓦楞纸行业市场深度研究及发展策略预测报告
• 中国雪白深效精华液市场深度调研及战略研究报告(2018-2023)