|
|
|
 |
|
虛擬化技術給企業用戶帶來的安全新挑戰
|
|
來源:IT168 2008-01-10 10:10:33
|
|
【IT168專稿】據最近一項民意調查顯示,70%的調查對象聲稱自己在運行至少一臺虛擬化服務器,然而專門為這一虛擬化環境,制訂專門安全策略的還不到調查對象的12%。考慮到針對X86平臺的虛擬化產品相對比較新,這一結果并不讓人感到吃驚,但這并不意味著這個結果是可以接受的。在沒有落實安全計劃的調查對象當中,近一半的受訪者認為,虛擬機與傳統的物理服務器一樣安全;另有18%的人承認自己不知道虛擬化技術是否會改變安全行業的游戲規則。 毫無疑問,虛擬化是一項重要的顛覆性技術,它會在比較短的一段時間內改變數據中心的現狀。因為虛擬化技術具有極強的顛覆性,它顯然也會改變企業保護數據及計算基礎設施安全的規則。雖然我們并不認為在安全策略完全得到落實之前不該涉足虛擬化領域,但明智的公司在為虛擬化技術制訂部署方案時,也會制訂安全和管理策略。新的安全威脅來自兩個方面: 第一個也是最明顯的方面是,虛擬化技術帶來了額外的軟件占用空間(software footprint)。虛擬化常常作為“應用程序”部署在桌面電腦上,作為進程在Windows之類的桌面操作系統下運行。對服務器而言,虛擬機管理程序(hypervisor)已逐漸成為在“裸機”硬件和通用操作系統之間引入一個硬件虛擬層的優先方法。 與通用操作系統由數百萬行的代碼組成相比,虛擬機管理程序部署就要簡單許多,一般這類程序代碼均低于10萬行,正因為如此,虛擬機管理程序遭受的攻擊概率也要小許多。從代碼行數來判斷,創建安全可靠的虛擬機管理程序是更具有現實意義的目標。可是在現實生活中,詢價管理程序依然存在安全缺陷,而在這些漏洞有經常被人所利用。 因此,各大虛擬化廠商都聲稱,創建安全的虛擬機管理程序是需要優先考慮的一項重要工作。VMware公司的首席技術官Mendel Rosenblum甚至夸口:VMware的ESX產品不會出現任何安全漏洞,因為沒有設計缺陷——當然,部署時仍有可能出現錯誤。遺憾的是,由于其產品缺少不能與其他廠商的產品進行良好地協同工作,被有些用戶棄之不用。雖然現在有些工具能夠檢測到常規操作系統上的rootkit及其他安全威脅,但目前還沒有能夠檢測到虛擬機管理程序中這些安全隱患的工具。 針對虛擬化給用戶帶來的新的安全威脅,目前大致有兩種方式可以幫助用戶應對: 一種是,隨著虛擬化技術變得更加主流化,硬件廠商們可能會從頭開始設計最終用戶系統,以便提供管理員控制的虛擬機分區和虛擬機管理程序層,從而加大惡意軟件侵入系統的難度。 一種更好的補救方法是,使用大多數基于x86的新系統中所用的可信平臺模塊(TPM)。使用TPM,就可以檢驗軟件可靠性;虛擬機之間的流量也更容易加密。如果使用TPM的軟件簽名功能,就更容易確定系統鏡像是否被篡改、安全是否受到了危及。因為TPM被設計成用于加密和軟件簽名的防止篡改的硬件方案,所以它會大大有助于證實各種軟件沒有遭到惡意軟件或者其他途徑的破壞。 另一種重大威脅是在同一個系統上的多個虛擬機彼此通信帶來的;雖然能夠把運行中的虛擬機從一臺機器轉移到另一臺機器,但同時也使得大多數基于網絡的安全產品的效果大打折扣。 合并服務器是X86虛擬化技術用于實際應用的首要選擇之一。這種想法就是,在一臺功能強大的服務器上運行諸多虛擬機,從而取代幾臺甚至是幾十臺負荷比較小的舊服務器。由于這么多的虛擬機在一個系統上運行,虛擬機之間的通信量就會相當大。針對虛擬機之間服務器內部通信需要,所有虛擬化產品創建一個虛擬交換機,然后服務器上的所有虛擬機共享該虛擬交換機。從防火墻、入侵檢測和預防系統到異常行為檢測器,這些外部網絡安全工具對從不離開物理服務器的網絡流量原本都是視若無睹的。 保護一臺服務器上多個虛擬機安全的一種方法就是,確保所有虛擬機運行相似的操作系統;并且每個虛擬機都打上了合理補丁。其想法是,如果在某臺服務器上運行的所有系統同樣都是安全的,那么它們之間的通信也會是安全的。應當部署基于主機的防火墻等安全產品,提供應有的安全保護。 一種比較好的解決方案是,使用專門為了加強虛擬化環境的安全性而設計的工具。 顧名思義,虛擬設備(Virtual appliance)就是采用了精簡型、加固型操作系統的虛擬機;操作系統經過配置,完全是為了滿足該設備針對某種應用的需要。其想法是,為最終用戶盡量減少或者消除操作系統配置方面的任何工作,從而實現迅速、一致的部署,而安裝人員又不需要多少技能和專長。虛擬設備的應用領域包括網格計算、軟件服務化(SaaS)和安全等。 雖然可以針對任何虛擬化環境構建虛擬設備,但VMware公司是這個行當的領頭羊,除了建立先試后買的網站外,它還建立了一個交易市場。網站上列出了100多款與安全有關的虛擬設備。其中只有一小部分來自商業廠商,其余的都是由公司內部部門或者開源協作組織開發的。 上面列出的廠商包括:Astaro公司(統一威脅管理工具)、Blue Lane公司(虛擬化補丁設備)、Catbird公司(安全代理)以及Reflex公司(入侵預防設備)。與普通安全設備保護傳統數據中心那樣,這些虛擬設備能夠堵住虛擬化環境帶來的諸多安全缺口。 雖然現在不斷出現建立安全虛擬化環境的工具,但要是你認為只要購買一組不同的安全產品就能確保虛擬化安全,那就錯了。安全研究公司Neohapsis的首席技術官Greg Shipley給出了這個忠告:“認真分析一下你實際上面臨哪些威脅,現在可以使用哪些工具或者方法(可能不需要購買技術!)來幫助緩解這些威脅。”Shipley堅持認為,應當對安全軟件廠商持有合理的懷疑態度。他說:“有些廠商試圖向使用VMware的所有公司推銷其號稱一應俱全的產品’。我認為,使用虛擬化技術的用戶及消費者要做的一方面工作就是,討論什么是威脅途徑有哪些,然后調查相應的工具。” 虛擬化技術將改變從桌面電腦到數據中心的業界現狀。做好安全工作則需要我們重新評估安全方法及目標。平臺和網絡安全是迄今為止大多數安全項目的重心,不過它們會讓位于這種重要工作:保護數據安全、只允許安全策略規定可以使用數據的人才能使用它。 |
