在今年3月由美国Computerworld主办的Premier 100 IT领导人会议上,曾经有过一次圆桌讨论,有一位CIO当场就表达了对于虚拟化基础设施安全问题的担心,因为他公司里一半以上的生产服务器都已经虚拟化了。很快,另外两位IT高管也插嘴说出了他们自己对于虚拟化安全问题的担忧。
尽管在场的很多IT高管不太愿意公开承认他们感觉自己在这方面很脆弱,但是德州普莱诺市的租赁业巨头Rent-a-Center公司的技术服务与系统架构高级经理Jai Chanani却表达出了他们的苦恼。他说,“我最害怕的一件事情就是虚拟服务器被盗。”他的团队每天要运行大约200个VMware ESX和XenServer虚拟服务器,用作文件和打印服务器,有时候还要用作应用服务器。但是出于安全上的考虑,他的团队没有将公司的ERP系统、数据库或e-mail系统虚拟化。
"我最不希望发生的事就是,有25台虚拟服务器在某处运行,而我却不知道它们的存在。”
“我最不希望发生的事情就是,有25台虚拟服务器在某处运行,而我却不知道它们的存在。”
——主题公园营运商六旗公司CIO Michael Israel
德州格兰德普雷里的主题公园营运商六旗公司的CIO Michael Israel还表达了另外一种担忧。对他来说,最让人焦躁不安的局面就是某个心怀不轨的管理员可能会把虚拟服务器从一个安全的网络段迁移到另一个不安全网络段的物理主机上去,或者创建新的、未登记的、未经许可的和未打过补丁的虚拟服务器。“我最大的担心就是出了叛徒。我最不希望发生的事情就是,有25台虚拟服务器在某处运行,而我却不知道它们的存在,”他说。
虽然向虚拟服务器进行迁移,由于服务器的整合及效率的提高,可以节省企业大量的金钱,但是因为虚拟化正在吞没越来越多的生产服务器,一些IT高管们正在担心可能会出现的消化不良症。一切都能在掌控之中吗?某次灾难性的违规会不会让关键应用崩溃,甚至使整个数据中心停运呢?“客户们有一天会突然意识到,已经有一半的关键业务应用都在虚拟服务器上跑,他们会惊讶地问:‘天哪!这样做安全吗?’”IBM安全解决方案副总裁兼安全咨询师Kris Lovejoy说。
问题不在于虚拟的基础设施能否保障自身的安全,而是很多企业始终没有采取最佳实践——如果他们有的话——去适应新的虚拟化环境。
虚拟化引入了不少的技术——包括一个新的软件层,即hypervisor——这些技术都必须是可管理的。但是还有一些新的技术:例如在虚拟服务器之间为网络流量提供路由的虚拟交换,对于原来为物理网络而设计的流量监控工具来说就并不总是可见的。
另外,虚拟化打破了IT部门中传统的责任划分,比如一名网管员只需按个键,而无须经过采购部门,或者网络、存储、业务连续性和安全部门的批准,便可一次生成大量新的虚拟服务器。在很多组织中,IT安全团队是不会对虚拟基础设施提供咨询意见的,除非是在组织构建了虚拟化基础设施,并在生产服务器上运行这些基础设施之后才会提供此类咨询服务。具有虚拟化意识的安全技术和最佳实践都还处在初期演进阶段。
虚拟化安全上市场发展的如此之快,以至于客户们已无法让企业的最佳实践与其保持同步,Lovejoy说。他们既缺乏关于这一话题的理论知识,也缺少现场处理问题的实际技能。尽管有些技术亦可用来保障虚拟化基础设施的安全,但是Lovejoy还是经常会看到,某些安全上的失误可以溯源到不正确的配置。
“和虚拟环境下的安全相关的主要问题就是缺少可见性,缺乏控制,和对未知事物的恐惧,”IT咨询公司Info Pro的安全研究执行经理Bill Trussell说。
#p#
麻烦不断的hypervisor
会不会有人劫持企业虚拟基础设施中的某个hypervisor,然后利用它来破坏驻留在该hypervisor上的所有虚拟服务器呢?会不会有某个攻击者控制一台虚拟服务器,利用它作为平台再去攻击其他的虚拟服务器,比如驻留在同一硬件上的支付卡处理应用,而网管员甚至根本察觉不到呢?
这些令人恐怖的场景将会顽固地存在,尽管目前还没有出现已知的针对虚拟基础设施的攻击,RSA Security安全基础设施高级经理Eric Baize说。
然而,很多IT安全专家仍然对此抱有疑虑。Info Pro在其2010年度的信息安全研究报告中对96位安全专家做了调查,结果有28%的受调查者称,他们“非常”关注或“相当”关注虚拟化环境中的安全问题。
在2006年的黑帽大会上,安全研究人员Joanna Rutkowska演示了著名的蓝色药丸hypervisor恶意rootkit,这之后,人们对于可能危及hypervisor的攻击的担忧就一直没有断过。
不过从那时以来,安全行业已经向前发展了一大步,开发了一些硬件技术来保障hypervisor的完整性,例如英特尔的VT-d(Virtualization Technology for Directed I/O)技术。“今天,绝大多数的英特尔Core i5和i7处理器都拥有这些技术”,而虚拟化软件厂商也开始支持这样的功能,如今已成为IT安全研究公司Invisible Things的创始人兼CEO的Rutkowska说。
但是,即便是VT-d技术也不能真正保障hypervisor的完整性,“不过英特尔的TXT扩展却可以提供可信任动态测量根(dynamic root of trust measurement,DRTM)技术,这种技术将在新一代英特尔处理器中出现,”Gartner分析师Neil MacDonald说。
Rutkowska本人对于是否有人会利用蓝色药丸类rootkit攻击虚拟机也表示怀疑。“没有任何理由会让坏分子们去使用如此复杂的rootkit工具,”她说,尤其从上世纪90年代以来,人们对于攻击传统操作系统的rootkit技术有了更深入的了解。
可以这么说,如果对虚拟基础设施来说,没有遵循和采纳最佳实践的话,那么虚拟化就会出现危险。Hypervisor必须像任何其他操作系统一样,定期修补安全漏洞,Rent-a-Center租赁公司的高级信息安全经理KC Condit说。“VMware今年以来已发布了9个重要安全公告,而XenServer也已发布了6个安全修复办法。”
“我们看到过大量配置不当的hypervisors,”RSA Security的高级安全咨询师Andrew Mulé说。他说,在他拜访客户的办公室时,经常会看到对虚拟机的补丁管理很不到位,而且虚拟机管理程序所使用的都是一些很容易猜到或者缺省的用户名和密码,这会让他人很容易进入并控制整个hypervisor。除此之外,他说,“我们还能偶然看到虚拟机管理工具放在了防火墙的错误一侧。”
#p#
看不见的网络
虚拟机之间的网络流量是安全专家们所担心的另一个问题,因为入侵检测和入侵防御系统、防火墙和其他监控工具都无法告诉你这些虚拟机是不是在同一台物理服务器上运行的。“我把数据包嗅探工具放在虚拟服务器上,但是在物理网络的界面上,却看不出有任何流量在进进出出。那么这些流量是如何发生的呢?它们走的是安全的通道吗?”凤凰城市政府的高级安全工程师Vauda Jordan说。虽然该市对虚拟基础设施投入了相当多的资金,但Jordan既没有谈论虚拟基础设施的技术或实施范围,而是谈到了不少有关安全方面的担忧。
“我更信任防火墙而不是hypervisor。”
——凤凰城市政府高级安全工程师Vauda Jordan
利用ESX服务器和其他主要的虚拟化平台,虚拟机之间所通过的数据是不加密的,各虚拟机在使用VMware的vMotion工具在不同物理主机间迁移时是处于内存状态的(VM盘文件本身仍然在同一个共享存储设备上)。VMware负责产品营销的高级经理Venu Aravamudan说,“在我们的路线图/规划执行中,加密是要主动加以考虑的,”但他拒绝评论VMware的产品是否要增加加密功能,以及何时增加等问题。
Aravamudan称,如果执行了最佳实践,那么加密“就不是什么大问题”。最佳实践会要求vMotion流量与生产流量完全隔离。但他也承认,“中间人攻击从理论上讲是有可能的,”尤其是因为虚拟服务器实例可能会在各个数据中心间迁移,而不只是在一个物理场所内迁移。
像VMware的vShield和其他第三方工具等产品可以创建虚拟防火墙将VMware、XenServer、Hyper-V和其他虚拟机彼此隔离在不同的安全区域中,但是并非所有的组织都已实施了这种隔离。例如,创建不同的安全区域就不是Rent-a-Center关注的大事。但是随着虚拟基础设施的不断扩展,这种隔离就会成为必须,Condit说。
Rent-a-center依然采用物理隔离虚拟机的方法,也就是将属于每一功能组合的虚拟机驻留在不同的物理服务器上。这种方法的缺点是当虚拟设置增长得很大的,难以维护,而且会限制虚拟化所提供的整合优势。Rent-a-Center的Chanani说,在某些场合下,一个刀片服务器机箱内只插了一块刀片。“这样做,成本很快就会变得极其高昂。这也就是我们为何正在谈论如何重新改造,设置虚拟防火墙的原由了,”他说。
有些现有的防火墙工具可以看见虚拟服务器流量,但在其他场合下,IT人员需要另外增加一组虚拟化工具,但这又会增加管理的复杂性。Gartner的MacDonald说,最好的办法是有一套能够跨越物理和虚拟环境的工具。然而,除非传统的安全工具厂商追赶上来,否则企业的IT部门就只能用一些不知名厂商如Altor网络、Catbird网络和HyTrust等公司的工具,这些工具为了适应虚拟机的需要而做了剪裁。
IBM的Lovejoy认为,近期来看,混合的工具环境不可避免。“必须要让这些厂商有和我们的战略相一致的战略路线图,”他说。“否则你就只能拥有短命的单独的工具了。”
#p#
虚拟网络架构
更重要的是,核心网络架构需要加以变动方能适应虚拟化,RSA Security的Mulé说。“能与物理服务器正确工作的网络却不一定能和虚拟服务器配合得很好。如果适当的路由、子网和VLAN都已配置好,那么安全就应当加以改进,”他说。大多数企业之所以会在虚拟化设置上出现连续的失败,可能就得归因于网络设计上的失误。
六旗公司的高级系统工程师Matthew Nowell利用VLAN来隔离虚拟服务器。“取决于我们如何设置路由规则,这些虚拟服务器或许能,或许不能彼此交谈,”他说。但是Gartner的MaCDonald提醒道,“VLAN和路由接入控制对于安全隔离来说都不够充分。”Gartner出版的指南要求必须部署某类虚拟化防火墙。
Jordan坚持凤凰城的系统管理员必须将每个虚拟服务器隔离在各自的安全区域内。“我必须不断对劝说那些喋喋不休地争辩说hypervisor就能实现安全隔离的服务器管理员。我更信任防火墙而不是hypervisor,”她说。
“最困难的人物之一就是如何将日常业务网络与支付卡基础设施进行隔离,”市民们可使用后者缴纳水费或其他服务项目的费用。Jordan说,为了满足PCI(支付卡行业)安全标准的要求,她需要对处理、存储或传输支付卡数据的虚拟服务器上的文件完整性进行监测。
对六旗公司来说,它利用VLAN将支付卡处理功能放在虚拟服务器上没有出现任何问题。“我们的PCI审计从未出现过反馈问题,”Nowell说。然而另一方面,Rent-a-Center却从不用虚拟机来处理信用卡流程。
明尼苏达州的Schwann食品公司则采取了一种不同的方法来进行支付卡处理:它只使用裸机虚拟化系统(即虚拟机直接安装在硬件上),而根本不用任何hypervisor。
#p#
强势管理员的危险
在一个没有监控的虚拟环境中,管理员就代表着一切的权力——咨询师和IT高管们一致认为,这种情形绝不是什么好事。“这等于给了管理员们进入王国的钥匙,而在大部分时间里,他们对安全风险却并不了解,”Jordan说。
举例来说,管理员可能创建了一个虚拟FTP服务器,而在进行维护时,又会粗心大意地使用某个虚拟机迁移工具,比如XenMotion、Hyper-V实时迁移功能,或者VMware的vMotion等,把虚拟服务器迁移到了不同的硬件上。但是他们可能并没有意识到,新的托管主机却有可能处在不可信任的网络区段上。或者,他们没有遵守最佳实践——比如说他们可能会把VMware虚拟网络计算(VNC)客户端的管理员证书的文本文件不小心存放在了虚拟机镜像中,然后又将这些虚拟机分发了出去。
在创建新的虚拟服务器时使用缺省口令是很常见的,IBM安全战略群组的架构师Harold Moss说,而负责管理新虚拟机的人却不会经常变更口令。“利用VNC,你可以打开所有的端口,”他说。利用这些未加变更的口令,窃贼们就有可能登录虚拟机,猜测出口令,从而“完全控制虚拟机,”他解释说。
Forrester分析师John Kindervag说,他就曾听到过一些客户的故事,说他们的VMware vCenter管理控制台就曾被控制。攻击者们利用该控制台拷贝了一台虚拟机,然后盗走了上面的数据。“一旦你盗窃了一台虚拟机,你便可以堂而皇之地进入数据中心,盗取其他硬件上的数据。这可是毁灭性的,”他说。
#p#
其他常见的错误
在IBM安全解决方案群组,Lovejoy在客户的网站上看到过由于构建不当的虚拟机镜像而出现的恶意软件和跨站脚本攻击等问题。“常见的情形是,虚拟机镜像常常包含恶意软件,或者有一些很容易被利用的漏洞。”
为了帮助防范被攻击的可能,安全软件厂商们正在创建这样一种模式,利用这种模式,虚拟化软件厂商可以让一些代码在hypervisor层上运行。例如趋势科技的Deep Security软件包括了防火墙、日志检测、文件完整性监测和入侵检测及防御功能。它能与Sun的Solaris Containers、微软的Windows Hyper-V、VMware的ESX Server和Citrix的XenServer虚拟机配合工作。但是通过vSphere,网络文件过滤功能可以在hypervisor上运行,趋势科技的1高级产品开发经理Bill McGee说。
然而,有个问题是,给hypervisor层加压是不是一个好想法呢?
未能实现最佳实践,或者未能在虚拟基础设施中建立明确的责任分工,这就是问题频发的根源,RSA Security的Mulé称。“人们今天仍然不喜欢实行责任分工。他们总想把权杖交给少数人去管理。”他建议开发一种强大的变更管理流程,包括变更管理工票的发放。
Condit对此也表示赞同。“在虚拟世界里,不存在固有的责任分工,所以你必须自己来创建这种分工,”他说。变更管理、配置管理和资产控制,对于保障虚拟基础设施安全来说是至关重要的。
合规性是又一个令人但有的问题。作为欧盟开发银行的系统工程设计经理,Jean-Louis Nguyen需要监控该银行140台虚拟机的管理员们的行为,以确保他们能够遵守各种监管和管理规则的要求。该银行曾尝试过VMware的日志功能,后来发现需要更好的方法才能整合各种日志信息。“要想获得这些日志本身就是不简单的事情,”他说。最后他决定使用HyTrust的专用工具来提供所有管理员行为的集中日志。
该银行还是用HyTrust为首席安全官(CSO)设置了一个完全隔离的虚拟环境,只有他才能全面控制所有物理的和虚拟的基础设施,并利用底层安全软件来加固基础设施。CSO可以监控所有生产现场的虚拟服务器及其配置,但无权做任何变更。
“关键是要确保你的管理体系不会出现管理员滥用权力的情况。我们需要确定的是管理系统是可靠的,不会有人偷窥数据,”Nguyen说。
其他工具可分层配置以获得更多控制。例如,新兴企业Catbird网络提供一种策略管理工具套件,既可在出现违反策略情况时向管理员示警,也可在有虚拟机破坏规则时对其进行隔离。“你需要知道虚拟机去了哪里,到了某地后正在做什么。如果你不喜欢它所做的事,那你就必须有能力终止它的运行,”Catbird的副总裁Tamar Newberger说。
而在Rent-a-Center,是不需要额外工具的,因为强大的检查与平衡策略足以满足管理需求。该公司的安全经理“会及时发布一个流程,说我们不能把某台虚拟服务器放入生产现场,除非他的团队已经将此服务器注销了,”Chanani说。
“你需要的是某个可控的技术及时到位吗?这个问题的答案可以是否定的。你需要的是良好的治理和监控吗?这个问题的答案是:绝对的,”RSA Security的Mulé说。
#p#
保护数据
由于虚拟机镜像里主要是数据——程序代码存储在某地的硬盘上——这些文件必须受到保护。“你肯定不希望看到某人将整个服务器放在一块USB硬盘上带出去Jordanm说。”她说,凤凰城市政府利用物理安全、网络存储访问控制和文件完整性监控等手段的相互结合来保护虚拟机镜像。
六旗公司则是将这些镜像放在受保护的网络存储区域中。“这些NFS安装盘是严格禁止任何人共享的。你也不可能去拷贝文件,因为在我们的环境中是不可能让你安装U盘的,”Nowell说。
RSA Security的Baize说,IT高管还需重新考虑其数据泄漏防护措施。除了制定策略,决定虚拟机在何种状态下可以访问何种数据之外,这些策略还必须是以数据为中心的。“你可以制定策略说,这个敏感数据不能跑到这台虚拟机上去。但你不能因此而对虚拟机上的数据从何而来不再关心——这纯粹是就事论事的策略。虚拟化正好是让我们重新思考如何做安全的一次机会。”
#p#
更好地理解安全控制
要保障虚拟基础设施的安全并非只是购买更多的工具,Baize说。“今天已经有了很多可用于控制虚拟基础设施的办法。我们所缺少的是了解怎么控制,以及何时进行控制。”
创建安全的虚拟基础设施的最佳办法就是从项目之初便引入IT安全或者让安全咨询师参与进来。Gartner估计,多达40%的IT组织并没有在虚拟基础设施部署之时引入IT安全的概念,都是在系统已经建好并上线之后才开始考虑安全问题的。这种有问题的做法在更多的关键任务应用开始向虚拟机迁移时表现得尤为明显。“一旦你要开始对SharePoint、Exchange或ERP进行虚拟化时,你实际上就已经进入敏感数据了。这就会出现安全问题,”Gartner的MacDonald说。
到了这个时候,一些组织才开始想到要给系统加上安全门闩,而这本来应该是在设计之初就应该考虑到的事情。事后修改设计肯定是要付出更高成本的。“CIO们应该确保在设计此类体系架构时有高管全程参与,”MacDonald说。
Rent-a-Center的Condit认为,一切皆可归结为策略。“如果没有及时制定强有力的安全策略,那么虚拟基础设施很快就会暴露出各种弱点,这是肯定会发生的事情,”他说,因为创建虚拟服务器的过程非常快,而且将它们在各个物理服务器之间进行迁移又非常容易。
CIO们对虚拟化安全表示担忧是正常的,Condit说。“某种健康程度的疑神疑鬼怎么说也是件好事。”
【编辑推荐】
