谈到IT安全,很多人觉得厂商对此最感兴趣,还有一些人则非常谨慎。IT专业人士已经意识到虚拟化又给他们增加了一个潜在的攻击面。不过,虽然总会发现新的攻击源,但虚拟环境还是建立在安全的基础之上。
在这种情况下,我们最大的敌人可能就是我们自己。虽然恶意软件的共同特征仍然是依靠已知攻击,而最常见的恶意攻击通常是利用用户的行为危及他们自己的安全。作为虚拟化管理员,我们需要更多安全配置来减少这种情况的发生。
真实世界的虚拟层攻击
如果你认为虚拟机攻击只不过是一个概念,那让我们看一下VMware的漏洞(CVE - 2009- 1244),这个漏洞在2009年首次公布。黑客可以通过攻击一个虚拟机进而摆脱内置的虚拟安全限制,并取得虚拟主机的控制权。虽然这个漏洞迅速被修补,但它仍然是一种可用攻击。
另外一个有名的攻击是通过虚拟机的虚拟总线对没有打过补丁的Windows Server 2008或者R2的Hyper-V主机进行服务攻击。微软通过MS10-102修复了这个漏洞。
对Hyper-V影响重大的配置考量
虽然许多IT部门都很注重服务器的补丁管理,但是给虚拟主机打补丁却很痛苦。让所有虚拟机离线,或甚至是将它们转移到另一个Hyper-V的群集成员中,这都非常耗时, 而且我经常发现,它们在资源过量使用时会无法完成。把虚拟层看作是硬件虽然可以取得短期的稳定,但实际上它却产生了一个潜在的安全漏洞,所以虚拟层的补丁管理是至关重要的。
攻击和最新的补丁是明显要关心的事,但是此刻也许是你最不需要担心的,因为真正针对虚拟层的代码攻击相对来说并不常见。管理员们经常假设一些可能不存在的某种级别的安全或隔离,并且为了减轻虚拟机的日常管理负担而忽略了一些警告和最佳实践。这些错误的选择往往很快便被忘记。但是,当你的系统受到攻击时,你就会意识到了。
让我们把关注的焦点放在微软的Hyper-V上,为了减少攻击面,我们需要在系统初始安装时就采取一些关键的步骤。首先是虚拟网络设置。虚拟层上承载了很多虚拟交换机,使用虚拟主机上的网卡可以让这些虚拟交换机用各种方式连接到物理层。一旦配置错误,这些虚拟连接就可能导致严重的问题。
如果你把你的管理网络分给来宾虚拟机,攻击向量会允许一台虚拟机访问Hyper-V管理操作系统,如果得到正确的授权,还可以访问Hyper-V主机和设置或其它虚拟机。默认情况下,该选项是关闭的。但是为了解决多台机器管理或是网络接口卡(NIC)可用性有限的问题,很多管理员又启用了该选项。启用这个设置会是个安全隐患,因为你可以从它群集的任一台虚拟机来攻击这个管理系统。因此,对专有的管理网络要使用物理网络适配器,千万不要把这些NIC分给虚拟机流量。
你也可以配置Hyper-V来识别VLAN,以便在逻辑上隔离来自不同虚拟机的流量。虽然这个方法很妙,可以将不同的VLAN混合并匹配到一台物理机或集群主机上的单个物理网卡上,但这并不能真正地提高安全性。从表面上看,如果不从网络层配置访问规则和路由的话,不同VLAN的虚拟机之间是无法通讯的。但实际上,通往每个虚拟机的所有数据都经过这块物理网卡,这让黑客攻击VLAN成为可能。因此,适用于物理环境的规则也适用于虚拟环境。
这也引出了我的下一观点:不要将不同安全级别的虚拟机放在同一台虚拟主机上。你和IT部门对每台服务器都会有一些安全要求。例如,在一个非军事区(DMZ)的Web服务器的安全级别要比内部的文件服务器低。如果你认为面向互联网访问的WEB服务器比内部文件服务器的风险更高,就不应该把这些服务器同时放在一台虚拟主机上或者将它们放在同一台虚拟主机的两个网络中。这是物理环境的安全规则,同样适用于虚拟环境的另一种情况。
当运行微软Hyper-V时,除了在主机上安装Hyper-V角色外,其它的什么也不要安装。管理员常常会利用现有的服务器并安装Hyper- V角色来获得该物理服务器的额外用途。这一想法是好的,但是你不应该在主机上继续运行其它应用。相反,应该将应用程序迁移到虚拟机中。攻击会利用应用程序的代码漏洞(在大多数环境中往往难以跟踪和修补)获得主机的访问权,进而访问主机上集群的所有虚拟机。
我的另一个建议是为虚拟机的管理建立一个帐户或组并将它与管理主机的帐户分开。如果发生攻击,通往虚拟机的道路也不会敞开。另外,为了审计需要,应确保每台虚拟机都安装有Hyper-V的集成服务(IC)组件。
微软的Hyper-V拥有许多保护系统的功能,如地址空间布局随机化(ASLR)、用户模式下运行的虚拟处理器和每个虚拟机都拥有的虚拟设备和虚拟总线。通常,我们最大的担忧不在虚拟层本身,而在于对优先配置的访问或是对其它应用程序的运用。运用最佳实践来进行补丁更新和网络隔离,这能避免你的虚拟环境遇到更多的服务器威胁。
【编辑推荐】
