虛擬化是黑客美味嗎

虛擬化技術(shù)實(shí)現(xiàn)了多個(gè)操作系統(tǒng)在同一臺(tái)計(jì)算機(jī)上運(yùn)行應(yīng)用軟件，由于這可更好地管理和利用IT資源，因此引起了IT管理者的關(guān)注。

然而，一些IT經(jīng)理和安全研究人員警告企業(yè)，采用虛擬化后呈現(xiàn)出的技術(shù)問(wèn)題將使公司系統(tǒng)更容易受到黑客的攻擊。

一家金融服務(wù)公司的技術(shù)安全官員Chad Lorenc說(shuō)，虛擬機(jī)的IT安全與合規(guī)性項(xiàng)目遠(yuǎn)比運(yùn)行單一操作系統(tǒng)和應(yīng)用軟件的服務(wù)器更為復(fù)雜。

“目前，無(wú)法找出單一的方案來(lái)解決虛擬環(huán)境的安全問(wèn)題。而要從客戶、流程以及技術(shù)等多個(gè)角度來(lái)考慮。”

虛擬化技術(shù)使得企業(yè)可以整合運(yùn)行在單一服務(wù)器多個(gè)系統(tǒng)上的應(yīng)用軟件，這就簡(jiǎn)化了管理需求，并使得IT硬件資源更好地被利用。然而，盡管這一技術(shù)已經(jīng)存在了很多年，IT企業(yè)直到近期才對(duì)這一技術(shù)有了濃厚的興趣。同時(shí)，英特爾、AMD、VMware、微軟和IBM等公司也研發(fā)了很多產(chǎn)品。

一家安全公司的技術(shù)分析師George Gerchow說(shuō)，在IT架構(gòu)轉(zhuǎn)而采用虛擬化工具之前，他們必須明白將多個(gè)服務(wù)器合并為一個(gè)并不會(huì)改變其安全需求。

事實(shí)上，他注意到，每個(gè)虛擬服務(wù)器分別面臨著與傳統(tǒng)服務(wù)器同樣的威脅。George說(shuō)：“如果一臺(tái)主機(jī)容易受到攻擊，那么所有的虛擬客戶機(jī)以及這些虛擬機(jī)上的企業(yè)應(yīng)用軟件也同樣處于危險(xiǎn)中。”

因此，一臺(tái)運(yùn)行虛擬機(jī)的服務(wù)器面臨著比一臺(tái)物理服務(wù)器更多的危險(xiǎn)。

他注意到，虛擬化軟件使開(kāi)發(fā)者、質(zhì)量保證小組以及其他企業(yè)用戶建立虛擬機(jī)的程序變得更加容易，且不易出現(xiàn)技術(shù)漏洞。如果IT管理人員不著手對(duì)之進(jìn)行控制，這樣的虛擬機(jī)就可能會(huì)突然出現(xiàn)、在系統(tǒng)間進(jìn)行轉(zhuǎn)移或者完全消失。

“IT部門(mén)經(jīng)常未做好應(yīng)對(duì)這一復(fù)雜系統(tǒng)的準(zhǔn)備，因?yàn)樗麄儾涣私馓摂M機(jī)存在于哪臺(tái)服務(wù)器上，也不明白哪臺(tái)是運(yùn)行的、哪臺(tái)處于未運(yùn)行狀態(tài)。”由于不了解虛擬機(jī)的運(yùn)行情況，公司通常不能在必要時(shí)給系統(tǒng)打補(bǔ)丁或者進(jìn)行升級(jí)。

給系統(tǒng)打補(bǔ)丁的復(fù)雜性

即使IT員工的確了解了虛擬機(jī)的運(yùn)行情況，他們?nèi)悦媾R著安裝補(bǔ)丁或者使系統(tǒng)脫機(jī)以執(zhí)行常規(guī)安全升級(jí)的問(wèn)題。隨著虛擬機(jī)數(shù)目的增多，系統(tǒng)補(bǔ)丁以及應(yīng)用軟件升級(jí)隨之而來(lái)的風(fēng)險(xiǎn)也會(huì)逐臺(tái)增加。

Lorenc建議企業(yè)在創(chuàng)建虛擬服務(wù)器時(shí)安裝可快速檢查和發(fā)現(xiàn)虛擬機(jī)的工具。他還建議企業(yè)出臺(tái)嚴(yán)格的政策以控制虛擬機(jī)的數(shù)量的擴(kuò)充。同時(shí)，對(duì)于IT經(jīng)理很重要的一點(diǎn)是對(duì)企業(yè)每個(gè)應(yīng)用軟件在虛擬環(huán)境的運(yùn)行有清醒的認(rèn)識(shí)。企業(yè)應(yīng)該為虛擬機(jī)建立單獨(dú)的補(bǔ)丁流程，并創(chuàng)建嚴(yán)格的改進(jìn)管理政策，同時(shí)限制對(duì)虛擬環(huán)境的訪問(wèn)。

我們還處在這樣的階段：必須通過(guò)改進(jìn)管理和技術(shù)而自己使這一領(lǐng)域的一些操作流程成熟起來(lái)。

BT Radianzd的首席安全官員Lloyd Hession說(shuō)，虛擬化也揭示了一個(gè)潛在的網(wǎng)絡(luò)訪問(wèn)路徑控制問(wèn)題。他注意到這一技術(shù)使得有多種訪問(wèn)需求的不同應(yīng)用軟件服務(wù)器運(yùn)行在只有單一IP地址的一臺(tái)主機(jī)上。因此，IT管理人員應(yīng)該采用適當(dāng)?shù)脑L問(wèn)路徑控制方式來(lái)確保一個(gè)網(wǎng)絡(luò)許可對(duì)應(yīng)一臺(tái)主機(jī)上的虛擬服務(wù)器。

當(dāng)前，大多數(shù)網(wǎng)絡(luò)不是虛擬化的。很多網(wǎng)絡(luò)許可控制技術(shù)使得“進(jìn)入”和“不得進(jìn)入”的決定是未知的，無(wú)論某臺(tái)服務(wù)器是不是虛擬機(jī)。

安全專(zhuān)家也注意到來(lái)自主要供應(yīng)商虛擬化工具的擴(kuò)展功能給黑客和安全研究人員提供一堆未經(jīng)研究的代碼，從中可發(fā)現(xiàn)安全漏洞和系統(tǒng)的攻擊方式。

這個(gè)月，微軟發(fā)布了一個(gè)補(bǔ)丁以處理其虛擬化軟件的一個(gè)漏洞——用戶可在未經(jīng)控制的情況下進(jìn)入操作系統(tǒng)和應(yīng)用軟件，微軟將這一缺陷評(píng)價(jià)為重要的而非關(guān)鍵的。

安全專(zhuān)家說(shuō)，隨著虛擬化技術(shù)的普及，軟件包中將出現(xiàn)更多這樣的漏洞。

可能的缺陷

IBM網(wǎng)絡(luò)系統(tǒng)部X-Force小組的主管Kris Lamb采用了虛擬機(jī)控制工具——管理系統(tǒng)的虛擬化功能，作為黑客對(duì)虛擬機(jī)攻擊的一個(gè)強(qiáng)大的潛在平臺(tái)。

作為硬件和主機(jī)不同虛擬機(jī)之間的分界，虛擬機(jī)管理器采用了控制臺(tái)來(lái)管理主機(jī)資源。

據(jù)安全專(zhuān)家說(shuō)，控制軟件通常僅位于某一硬件水平上，用于發(fā)布無(wú)法察覺(jué)的對(duì)操作系統(tǒng)和應(yīng)用軟件的攻擊。事實(shí)上，安全研究人員說(shuō)他們已經(jīng)證明了控制軟件如何開(kāi)展虛擬機(jī)攻擊。比如，微軟和密歇根大學(xué)的研究人員今年年初發(fā)現(xiàn)了SubVirt——可采用“根文件”以在一個(gè)操作系統(tǒng)下安裝虛擬機(jī)控制器，這一行為使得研究人員實(shí)現(xiàn)了對(duì)虛擬機(jī)的完全控制。

一個(gè)相似的攻擊方法被稱為Blue Pill，是由Joanne Rutkowska開(kāi)發(fā)的。Rutkowska的“根文件”攻擊方法是基于AMD的安全虛擬機(jī)，代碼名稱為Pacifica。其采用與SubVirt攻擊方式類(lèi)似的方法攻擊虛擬系統(tǒng)，然而卻仍未被IT人員發(fā)現(xiàn)。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]