您的位置:信息化->AMD公司开发的“安全虚拟机”Pacifica
AMD公司开发的“安全虚拟机”Pacifica2007-10-23 来自:xuejinyoulan [收藏到我的网摘]
来源:博客
新攻击可以撕破虚拟机管理程序的防线,令IT猝不及防,俨然已成为IT部门的新梦魇。你,准备好了吗?
高德纳公司(Gartner)一语点破了不争的事实:虚拟化为新攻击的产生创造了“良机”。这在博客圈内引发了热烈的讨论。现在,围绕着这个话题的,仍然是一团浓浓的烟雾,只有时间才能说明,在这厚重的浓烟的背后,到底有多大的火势,又是谁在那儿“煽风点火”。有一点可以明确的是,新虚拟化安全“设备”厂商对此尤为关注。尽管如此,许多企业已开始认识到,他们当初一头扎进虚拟化的旋涡中,而丝毫没有考虑到这种做法对其数据保护政策的影响,实乃轻率之举。因此,IT专业人士现已开始切实担心,对虚拟机管理程序的成功攻击,到底会在多大程度上吞噬企业的安全基础。
如果你为此寝食难安,心中的最大疑问必定是:现在我们遭受攻击的风险到底有多大?高德纳在同一份报告中预测到,无论如何,厂商会在2008年年底之前发现主流产品中需要打补丁的安全漏洞。这些潜在的安全漏洞又可分为两大类。首先,如果你能避开客户操作系统而潜入主操作系统,那你也就掌握了对那台服务器上所有其他客户端操作系统数据的访问权限。其次,攻击者也在开发全新的Rootkit,以充分利用虚拟化技术的弱点。
“一直以来,攻击者都在不遗余力地寻找打破VMware客户操作系统(Guest OS)的方法。”安全咨询机构Neohapsis公司首席技术官(CTO)格雷格·西普雷(Greg Shipley)指出。他同时也是《InformationWeek》的特约撰稿人。“对于任何组织而言,虚拟机管理程序(Hypervisor)中被安插了Rootkit,都可谓严重的威胁。但是,我不认为Rootkit的开发会成为一大挑战。”
真正令西普雷感兴趣的,是部署这类Rootkit的过程。
“我们需要进一步搞清楚,攻击者到底采用的是哪一种手段:是对某个安全漏洞进行研究,利用此漏洞渗透到客户操作系统进而控制虚拟机管理程序层,还是追踪管理程序并劫取安装Rootkit所需的信用,就像安装任何其他应用软件一样?如果我去干这活儿,我知道该怎么干。”
至于如何攻破客户图像,咨询公司Intelguardians公司在前不久举行的SANSFire展上对这类侵入主操作系统的攻击进行了演示。但他们并未公布此类安全漏洞的细节,因此我们无法确切地得知此类攻击到底成功地攻破了哪部分系统。但毫无疑问,这些研究人员肯定不是在唱独角戏。
可以从中得到的启示是,用户现在需要做到:假定有虎视眈眈、全副武装的入侵者完全能实施此类攻击,并为此做好准备。其中的关键在于深度防御以及恰当的虚拟机部署和设计,具体包括:在同一个主系统中,针对不同的虚拟机,采取不同的安全政策,制定不同的要求。
为了获取有关读者准备情况的信息,我们进行了一项调研,结果令人大跌眼镜。43%的受访者认为虚拟机像传统环境一样安全,对此,我们无法不得出这样的结论:他们过于乐观了。事实上,在384位参与调查的IT运营和安全专业人士中,只有12%的公司正式部署了保护虚拟机安全的策略。
现在,有很多组织纷纷表示,他们依赖现有的IT政策和工具包来管理和保护虚拟机,从某种角度上说这不无道理。诚然,虚拟化环境面临着与传统服务器相同的运营威胁和风险,但除此之外,摆在它们面前的还有其他陷阱,从Intrahost攻击(参见第60页图表),到对第三方虚拟机管理程序驱动程序插件进行评估,再到制定公司信息安全政策所需的各类信息,令其难以招架。
让我们看看:如果一台传统的1U服务器的安全遭到威胁,你可能会觉得面上无光,马上重新对之进行部署,对系统遭到的破坏进行分析,修复系统,然后一切恢复正常。多数组织的IT部门都建立了相应的策略,以防止内部灾难的扩大,他们也都部署有第二和第三防御阵营,以阻止系统安全接二连三地受到威胁。其中的问题在于,鲜有网络监测和管理工具有能力保护客户虚拟机。当传统服务器受到攻击,开始显示乱码或者出现可疑行为时,系统会发出警报。在“装在盒子中的数据中心”内,如果虚拟机之间全部采取机器与机器的内部通信时,你那久经考验的网络监测工具的有效程度能有多高?在你发现大难临头之前,居心叵测的攻击者需要多长时间可完成对你系统内部弱点的探查和测试,并用之实施攻击?
在特定的虚拟机环境中,人们对于系统安全的深深的忧虑可谓无处不在。这有必要吗?这句话问到点上了,滚滚浓烟的含意再显而易见不过——它警告人们危险不可忽视。
夯实地基
欲从理论上对风险进行评估,并确定如何部署带有漏洞的新应用软件而不致受到攻击,你都需要理解虚拟化主机的根本设计原理。
虚拟化软件可建立抽象层,从而将客户操作系统与其所依赖的硬件分离,使在一台服务器上运行多台虚拟机变为现实。虚拟机有赖于整齐化一的虚拟机管理程序,而后者以短小的特定代码库为基础,构成抽象层。这种做法的优点在于,托管应用软件的性能几乎可与独立软件比肩。目前,VMware ESX服务器、英特尔公司(Intel)的博锐平台(VPro)、Virtual Iron、以及XenEnterprise等定位于企业级服务器市场的产品,均采用虚拟机管理程序技术。
与此相对,桌面虚拟机和微软公司(Microsoft)的虚拟服务器产品则采用传统的“胖操作系统”模式。在这些模式下,客户虚拟机运行于成熟完善的主操作系统之上。
尽管虚拟机管理程序可提供优化的性能,并缩小了可能的被攻击范围,但新的安全漏洞也会相伴而生,因此需要从设计伊始就将安全性纳入考虑之内,而不能做事后诸葛亮。这里有个问题:选择什么产品事关上百万美元的开支——是让开源社区去评测XenSource的产品更可靠呢,还是应该采用VMware和其他专有虚拟机管理程序厂商的产品来保护主系统?
“就我所了解,VMware的质量保证(Quality Assurance)做得简直天衣无缝,”西普雷表示,“与其他许多公司相比,他们就像摇滚明星一样夺目。今年甲骨文公司(Oracle)到底推出了多少个补丁?我无法说出确切的数字,因为那已经是个3位数了。”
与此同时,有近6万行代码的XenEnterprise 4.0也已粉墨登场,XenSource的CTO西蒙·克罗斯比(Simon Crosby)介绍说。代码愈少,意味着出现安全漏洞的机会也就愈低。此外,XenSource采用的是国际商业机器公司(IBM)的安全虚拟机管理程序技术;而且,XenEnterprise还历经开源社区堪称苛刻的评测,获得了公共标准5级认证(Common Criteria Level 5)。
芯片设计公司和虚拟化软件厂商力争在这场安全之战中保持领先位置。英特尔商业客户架构总监史蒂夫·格罗勃曼(Steve Grobman)表示,英特尔VT-X服务器和桌面虚拟化产品干脆就是以加强安全性为安身立命的根本。比如说,英特尔现行VT加强服务器芯片组即在传统3个CPU代码特权层上,提供用于虚拟化的新代码特权层。
毫无疑问,VMware是企业级虚拟化市场当仁不让的领导者,而且目前尚无人可撼动其地位。
“VMware ESX服务器的设计、测试和部署与传统大型平台操作系统形成鲜明对照,”VMware联合创始人兼首席科学家曼德尔·罗森布鲁姆(Mendel Rosenblum)指出,“从写第一行代码开始,我们对安全性给予了始终如一的关注。我百分之百地确信,VMware虚拟机管理程序的安全性不会因为设计缺陷而功亏一篑。”
我们当然希望现实能为他的这种成竹在胸提供佐证。而且,事实上,迄今为止,虚拟化软件厂商在此方面确实无往而不胜。
让我们祝他们好运。
世界末日
并非只有虚拟化软件厂商拥有这种所向无敌的大好局面,危及到独立服务器操作系统安全的伪装的Rootkit也大有打遍天下无敌手之势。如果你掌控着虚拟机管理程序,你就等于拥有了其上运行的所有数据,并且有权采集或者重定向任何数据,甚至玩弄欺骗伎俩。由于缺乏相应的自动防故障装置,客户操作系统根本无法知晓其赖以运行的平台安全已经受到了威胁。
那些大规模的虚拟化平台可在一台硬件上运行10台、50台、乃至上百台虚拟服务器,而这些软件的安全一旦出现了漏洞,其所造成的影响也如噩梦一般。由于安全失控而导致的风险和营业额损失将难以计数。
确保平台安全运行的关键在于,在安装多台自动防故障装置的同时保持虚拟机管理程序的完整性,这样虚拟操作系统才能确保与之通信的主操作系统的安全尚未受到威胁,并进而将之作为通向底层硬件和外部连接的桥梁。如果某个客户操作系统未经修改,就试图在Ring 0层之外运行,那么虚拟机管理程序定会拦截“违禁的”Ring 0层指令,并将这些指令转到他处仿真执行,而客户操作系统对所发生的一切全然不知。硅制造商也开始关注这一领域,并且已开始行动起来;比如,英特尔和AMD公司新推出的定位于虚拟化市场的芯片,即可在Ring 0层以下安插新的特权层。两家公司的新机器代码指令均只能运行于Ring 1层,以便于虚拟机管理程序对之进行管理。采用此法,厂商无需修改客户操作系统,而虚拟机管理程序转移执行“违禁指令”的做法也大大减少了。
虚拟机管理程序一方面需要令客户端操作系统确信,只有他有权访问主服务器的物理资源,同时又要修改访问权限以确保程序和数据不致在不同操作系统间随意流动。利用基于最新芯片组的虚拟化平台所需的额外的代码特权层,在发生安全漏洞事件或应用程序出现错误时,厂商便可以降低出错的客户操作系统的影响。
如果负责拦截客户操作系统与底层硬件之间的通信的平台安全受到威胁,就需要将风险降到最低。为此,需要执行某种形式的事务确认过程。
在可信赖计算联盟(The Trusted Computing Group)中,广为采用的标准是可信平台模块(Trusted Platform Module,TPM)。TPM是可信赖虚拟机管理程序的核心组成部分,它负责提供基于硬件的可信根证书(Root Certificate),进行度量的可信之所,以及几个可存储信用度量的目录。利用TPM硬件加密提供的可靠方式,客户操作系统可评估与虚拟机管理程序之间的通信。
TPM的目标是提供入侵检测与预防;比如说,采用英特尔的技术,即可提供主机平台上可信的虚拟机监测记录。在任何软件加载之前,TPM握有生杀大权,并在启动中检查使用者,在每个系统加载时对之进行认证。简而言之,只有在虚拟机管理程序处于已知的、可信的状态时,TPM才会将平台的控制权转交给它。
这些概念听起来有些耳熟吧?在Vista的高级版本中,微软采用的是基于芯片组的TPM,并提供BitLocker功能,以对本地硬盘上的数据进行加密。英特尔和AMD的未来硬件平台也计划采用TPM,建立与附加外设之间的可信通讯路径,并且凭此建立并存储数据路径的硬件层加密密钥。有了这个加密过程,再加上对虚拟化组件的确认过程,要想拦截TPM或者虚拟机管理程序的控制权变得难上加难,而IT部门也因此更有信心确保操作系统与虚拟机管理程序之间的通信往来毫发无损。
潜在风险
就像一个人开车时不系安全带,时刻担心会被闪电击中一般,跟很可能会“狠咬你一口”的虚拟化沾上边儿,也要冒些险,那也是再正常不过的事。举例来说,胖服务器和由虚拟机管理程序驱动的服务器,其客户操作系统的安全都有可能面临跟传统服务器一样的威胁。未打补丁的或没有受到良好保护的公共服务器总是会处于危险之中,不管它是台独立运行的机器,还是大型主机平台上的诸多虚拟机之一。
尽管如此,用户暴露于风险之中的程度与其对虚拟化和服务器整合的依赖程度呈正比,即每个平台上分布的虚拟机越多,未检测到的Intrahost问题扩散的风险也越大。事实上,传统的外部安全设施也都无法检测到Intrahost威胁。外部防火墙和其他安全工具无法检查或控制Intrahost的通讯,因为在这些通信中,信息包从不给主机以机会对有线基础设施进行深入检测。还有些问题虽在现实世界得到普遍关切,而在复杂的主机托管环境中却沦为“阳光照不到的角落”。这些问题包括:外来的或可疑的Intrahost干扰伪装成合法通信,那意味着端口检测、病毒行为、或者其他恶意软件;直接或偶然的拒绝服务攻击,这些攻击由于CPU周期、输入/输出资源、或者虚拟化网络带宽等问题,会对其他客户虚拟机造成影响。
“单纯从运营的角度看,‘将所有的鸡蛋放在同一个篮子里’,风险会成倍增长,这与其说与不断增长的威胁数量有关,不如说是因为IT无能。” Neohapsis的西普雷表示,同时他还补充说,这同早期存储区域网络(SAN)时代,IT部门面临的问题如出一辙。“多数企业组织可以通过在设计时加大容量、迅速实现虚拟服务器的迁移、以及不断追加补丁等做法,管理这类风险。”最后一条怎么反复强调也不为过。
“即使我认为VMware在减少攻击面方面干得漂亮,ESX/VI3仍然只是个源于Linux的操作系统,也正基于此,才需要给它打补丁。” 西普雷指出,“问题在于,给ESX服务器打补丁这件事本身更加危险,对系统构成的侵犯也更深入,因为你停掉的不只是一个操作系统,同时停止运行的还有它管理的所有操作系统。”
值得庆幸的是,迄今为止出现的VMware产品的关键补丁少之又少。
在虚拟世界中求生存
现在,所有人都在拭目以待,静候针对虚拟机管理程序或者虚拟机监视器安全的首个攻击的产生。要确保你的网络没有成为众矢之的,就得对主机运营情况进行密切监测,以将攻击面缩到最小。在虚拟机管理程序或更高一层中找出第三方设备驱动程序的位置,以改善其性能,在降低安全风险的同时还要能承受轻微打击。
在主机平台和客户操作系统上关闭不必要的仿真设备、无关的功能和用不到的服务。记住:虚拟机也是机器。尽管这点勿庸置疑,但面对虚拟机,IT部门仍需要拿出对待传统服务器的勤奋与专注,同时坚持安全策略和指导方针。在我们的调查中,有36%的受访者承认,他们尚未部署任何IT安全或者保护计划;还有23%的人表示,其安全政策正在制定之中。由于有超过70%的受访者已经部署了至少一个主机平台,因此很明显,未打补丁或者未受保护的虚拟化服务器迟早会成为攻击对象。
此外,还要确保对安全设置、许可、以及环境设置进行恰如其分的配置,以使虚拟机能够与新主机保持一致。尽管环境灵活性是VMware ESX等企业级产品的核心优势,但未经详细筹划即匆忙转移虚拟机的做法势必会引火烧身。
“在减少被攻击面和整体暴露范围方面,我发现不少用户会将VMware管理工具从网络的其余部分中移出,并限定哪些人以及哪些程序拥有对此软件的访问权限。”西普雷分析道:“显而易见,在数据中心内建立防火墙是大势所趋,但这个结果并非单纯是由VMware驱动的。同时,也有些更富进取心的IT团队,已开始思考在网络划分方面推行‘最低特权’模式的概念,而且组织可以通过严格限制对VMware管理基础设施的访问权限,降低风险预测。”
此外,西普雷还强调说,IT部门绝不能在需要强化的网络区域部署虚拟化主机,比如,允许ESX软件将客户虚拟机移入或移出隔离区。
防护之道
创新性专业虚拟化安全设备厂商的关注点并未停留在虚拟化技术已成为新的攻击对象这一点上,相反,他们已开始在其安全解决方案中应用虚拟化技术,比如Reflex公司的VSA和Blue Lane公司的虚拟盾(VirtualShield)。尽管我们乐意将“设备”这个词专门用于形容带有三相插头的物体(指物理服务器),但我们还是认识到自己在打一场不可能赢的战争:VMware已在全力推动一个概念——专为特定目的而开发或者经过预配置的“随机访问”的专业虚拟机,以满足特定的安全或管理需求,而且其他许多厂商也已开始趋之若鹜地进入这一新兴领域;尽管目前为止尚无大型厂商正式昭告天下,我们仍然可以预测,赛门铁克公司(Symantec)等传统安全厂商很快会携专业化产品大规模杀入这一市场。
但是,这对于IT部门而言是好事吗?
“我忍不住在想,也许有些厂商只是简简单单浏览了一下市场上的虚拟化产品,就说‘嗨,我怎么才能让所有这些使用VMware产品的部门采购我的安全产品呢?’”西普雷生动地分析道,“用户或者消费者也肩负着一定的责任,那就是探讨其网络中真正的威胁是什么,然后自然便知道需要什么样的工具。”
尽管如此,没人会因为采购了某些设备从而防止自己的组织成为下一个TJX公司而被解雇。VMware公司那些脑筋灵活的高管们当然深谙此道,最近他们买下了Determina公司,后者销售的内存防火墙可以保护系统内存不致发生堆栈溢出。尽管这类产品可以保护的范围很窄,但却是至关重要的一环。对于某些应用来说,Determina内存防火墙在提升整体性能方面起到了恰到好处的推动作用。
此外,VMware也吸收了Determina的LiveShield技术。应用此技术,无需重启服务器即可于运行进程中,在内存中打补丁。当然,这对于VMware来说可谓轻车熟路,因为该技术与其自身的二进制仿真系统相近,后者在加载时会重写部分可执行代码。
尽管给运行中的操作系统或应用软件打补丁的想法听起来很动人,但这丝毫不能减轻打补丁之前对之进行测试的难度。通常,延缓了整个过程的并非服务器重启操作,而是测试环节。
这也正是Blue Lane公司补丁仿真产品(有物理设备版和针对VMware产品的虚拟设备版)的切入点。这类产品的原理是,捕获到达的攻击,并在入侵包接近服务器之前,切实起到补丁软件的作用,立即进行修复。尽管Blue Lane的反对者大有人在,但我们在美国佛罗里达现实世界实验室(Florida Real-World Labs)对虚拟盾进行的测试表明,该产品名副其实。而且,微软也对该物理设备进行了测试,并鉴于其完美无缺的互操作性,签发了“批准令”。
在虚拟世界,有了这三款产品,网络就可以固若金汤了。内存防火墙可防止内存溢出;而借助Blue Lane的技术,IT部门可腾出足够的时间对补丁进行完全测试;一旦测试完毕,即可用LiveShield在系统运行过程中完成打补丁这一环。
最后,我们希望虚拟机能在桌面系统中起到日益重要的作用,笔记本电脑和台式机从设计之初就支持管理员锁定的虚拟机分区,对所有运行区域进行持续不断的监测,删除用户安装的恶意软件,去除人为错误导致的安全隐患。
如果我们有什么建议给你的话,那就是提升安全意识。我们的读者调查问卷中的最后一个问题是开放性的,询问读者对于虚拟化安全还关注其他哪些问题,或者有什么意见。当然,不出所料,有些受访者对某些厂商颇有微辞,但在回答中不断出现的一句话则是:“直到参与了这个调查,我才开始关心。”
如果知识就是力量,最好确保你已然是全副武装。
桌面虚拟化也来凑热闹?
服务器虚拟化使数据中心内长期存在的一些问题得到缓解。该技术的盛行会同时掀起桌面虚拟化的热潮吗?如果能,用户端安全将得到改善呢,还是会受到阻碍?
当然,厂商希望其虚拟桌面架构(Virtual Desktop Infrastructure,VDI)可以乘服务器整合之浪,顺利进入主流市场。他们表示,VDI可提高多数企业级桌面基础设施的精益度和安全性,同时其部署和管理成本也相对低廉。事实上,VDI与服务器虚拟化差别不大。其核心优势在于管理方法和特性,比如资源池和连接池。VDI可复制用户的桌面操作实践,将各种资源收入囊中,以简化管理并提升安全性。例如,可在需要时部署敏感应用或数据,以选择用户。虚拟化桌面的缺省状态是彼此隔离的,因此攻击者即便获得了访问权限,这种做法也能降低风险。同时,采用标准化VDI,也能使打补丁的过程变得更便捷。
对于IT部门而言,桌面虚拟化是绝对的利好消息。但是,多数组织目前尚未采购VDI。为了有效利用这一技术,你首先需要做出准确的判断,选择可控的部署方法,并建立对于这一新技术的利弊的现实认识,然后你才能培训用户。
新攻击可以撕破虚拟机管理程序的防线,令IT猝不及防,俨然已成为IT部门的新梦魇。你,准备好了吗?
高德纳公司(Gartner)一语点破了不争的事实:虚拟化为新攻击的产生创造了“良机”。这在博客圈内引发了热烈的讨论。现在,围绕着这个话题的,仍然是一团浓浓的烟雾,只有时间才能说明,在这厚重的浓烟的背后,到底有多大的火势,又是谁在那儿“煽风点火”。有一点可以明确的是,新虚拟化安全“设备”厂商对此尤为关注。尽管如此,许多企业已开始认识到,他们当初一头扎进虚拟化的旋涡中,而丝毫没有考虑到这种做法对其数据保护政策的影响,实乃轻率之举。因此,IT专业人士现已开始切实担心,对虚拟机管理程序的成功攻击,到底会在多大程度上吞噬企业的安全基础。
如果你为此寝食难安,心中的最大疑问必定是:现在我们遭受攻击的风险到底有多大?高德纳在同一份报告中预测到,无论如何,厂商会在2008年年底之前发现主流产品中需要打补丁的安全漏洞。这些潜在的安全漏洞又可分为两大类。首先,如果你能避开客户操作系统而潜入主操作系统,那你也就掌握了对那台服务器上所有其他客户端操作系统数据的访问权限。其次,攻击者也在开发全新的Rootkit,以充分利用虚拟化技术的弱点。
“一直以来,攻击者都在不遗余力地寻找打破VMware客户操作系统(Guest OS)的方法。”安全咨询机构Neohapsis公司首席技术官(CTO)格雷格·西普雷(Greg Shipley)指出。他同时也是《InformationWeek》的特约撰稿人。“对于任何组织而言,虚拟机管理程序(Hypervisor)中被安插了Rootkit,都可谓严重的威胁。但是,我不认为Rootkit的开发会成为一大挑战。”
真正令西普雷感兴趣的,是部署这类Rootkit的过程。
“我们需要进一步搞清楚,攻击者到底采用的是哪一种手段:是对某个安全漏洞进行研究,利用此漏洞渗透到客户操作系统进而控制虚拟机管理程序层,还是追踪管理程序并劫取安装Rootkit所需的信用,就像安装任何其他应用软件一样?如果我去干这活儿,我知道该怎么干。”
至于如何攻破客户图像,咨询公司Intelguardians公司在前不久举行的SANSFire展上对这类侵入主操作系统的攻击进行了演示。但他们并未公布此类安全漏洞的细节,因此我们无法确切地得知此类攻击到底成功地攻破了哪部分系统。但毫无疑问,这些研究人员肯定不是在唱独角戏。
可以从中得到的启示是,用户现在需要做到:假定有虎视眈眈、全副武装的入侵者完全能实施此类攻击,并为此做好准备。其中的关键在于深度防御以及恰当的虚拟机部署和设计,具体包括:在同一个主系统中,针对不同的虚拟机,采取不同的安全政策,制定不同的要求。
为了获取有关读者准备情况的信息,我们进行了一项调研,结果令人大跌眼镜。43%的受访者认为虚拟机像传统环境一样安全,对此,我们无法不得出这样的结论:他们过于乐观了。事实上,在384位参与调查的IT运营和安全专业人士中,只有12%的公司正式部署了保护虚拟机安全的策略。
现在,有很多组织纷纷表示,他们依赖现有的IT政策和工具包来管理和保护虚拟机,从某种角度上说这不无道理。诚然,虚拟化环境面临着与传统服务器相同的运营威胁和风险,但除此之外,摆在它们面前的还有其他陷阱,从Intrahost攻击(参见第60页图表),到对第三方虚拟机管理程序驱动程序插件进行评估,再到制定公司信息安全政策所需的各类信息,令其难以招架。
让我们看看:如果一台传统的1U服务器的安全遭到威胁,你可能会觉得面上无光,马上重新对之进行部署,对系统遭到的破坏进行分析,修复系统,然后一切恢复正常。多数组织的IT部门都建立了相应的策略,以防止内部灾难的扩大,他们也都部署有第二和第三防御阵营,以阻止系统安全接二连三地受到威胁。其中的问题在于,鲜有网络监测和管理工具有能力保护客户虚拟机。当传统服务器受到攻击,开始显示乱码或者出现可疑行为时,系统会发出警报。在“装在盒子中的数据中心”内,如果虚拟机之间全部采取机器与机器的内部通信时,你那久经考验的网络监测工具的有效程度能有多高?在你发现大难临头之前,居心叵测的攻击者需要多长时间可完成对你系统内部弱点的探查和测试,并用之实施攻击?
在特定的虚拟机环境中,人们对于系统安全的深深的忧虑可谓无处不在。这有必要吗?这句话问到点上了,滚滚浓烟的含意再显而易见不过——它警告人们危险不可忽视。
夯实地基
欲从理论上对风险进行评估,并确定如何部署带有漏洞的新应用软件而不致受到攻击,你都需要理解虚拟化主机的根本设计原理。
虚拟化软件可建立抽象层,从而将客户操作系统与其所依赖的硬件分离,使在一台服务器上运行多台虚拟机变为现实。虚拟机有赖于整齐化一的虚拟机管理程序,而后者以短小的特定代码库为基础,构成抽象层。这种做法的优点在于,托管应用软件的性能几乎可与独立软件比肩。目前,VMware ESX服务器、英特尔公司(Intel)的博锐平台(VPro)、Virtual Iron、以及XenEnterprise等定位于企业级服务器市场的产品,均采用虚拟机管理程序技术。
与此相对,桌面虚拟机和微软公司(Microsoft)的虚拟服务器产品则采用传统的“胖操作系统”模式。在这些模式下,客户虚拟机运行于成熟完善的主操作系统之上。
尽管虚拟机管理程序可提供优化的性能,并缩小了可能的被攻击范围,但新的安全漏洞也会相伴而生,因此需要从设计伊始就将安全性纳入考虑之内,而不能做事后诸葛亮。这里有个问题:选择什么产品事关上百万美元的开支——是让开源社区去评测XenSource的产品更可靠呢,还是应该采用VMware和其他专有虚拟机管理程序厂商的产品来保护主系统?
“就我所了解,VMware的质量保证(Quality Assurance)做得简直天衣无缝,”西普雷表示,“与其他许多公司相比,他们就像摇滚明星一样夺目。今年甲骨文公司(Oracle)到底推出了多少个补丁?我无法说出确切的数字,因为那已经是个3位数了。”
与此同时,有近6万行代码的XenEnterprise 4.0也已粉墨登场,XenSource的CTO西蒙·克罗斯比(Simon Crosby)介绍说。代码愈少,意味着出现安全漏洞的机会也就愈低。此外,XenSource采用的是国际商业机器公司(IBM)的安全虚拟机管理程序技术;而且,XenEnterprise还历经开源社区堪称苛刻的评测,获得了公共标准5级认证(Common Criteria Level 5)。
芯片设计公司和虚拟化软件厂商力争在这场安全之战中保持领先位置。英特尔商业客户架构总监史蒂夫·格罗勃曼(Steve Grobman)表示,英特尔VT-X服务器和桌面虚拟化产品干脆就是以加强安全性为安身立命的根本。比如说,英特尔现行VT加强服务器芯片组即在传统3个CPU代码特权层上,提供用于虚拟化的新代码特权层。
毫无疑问,VMware是企业级虚拟化市场当仁不让的领导者,而且目前尚无人可撼动其地位。
“VMware ESX服务器的设计、测试和部署与传统大型平台操作系统形成鲜明对照,”VMware联合创始人兼首席科学家曼德尔·罗森布鲁姆(Mendel Rosenblum)指出,“从写第一行代码开始,我们对安全性给予了始终如一的关注。我百分之百地确信,VMware虚拟机管理程序的安全性不会因为设计缺陷而功亏一篑。”
我们当然希望现实能为他的这种成竹在胸提供佐证。而且,事实上,迄今为止,虚拟化软件厂商在此方面确实无往而不胜。
让我们祝他们好运。
世界末日
并非只有虚拟化软件厂商拥有这种所向无敌的大好局面,危及到独立服务器操作系统安全的伪装的Rootkit也大有打遍天下无敌手之势。如果你掌控着虚拟机管理程序,你就等于拥有了其上运行的所有数据,并且有权采集或者重定向任何数据,甚至玩弄欺骗伎俩。由于缺乏相应的自动防故障装置,客户操作系统根本无法知晓其赖以运行的平台安全已经受到了威胁。
那些大规模的虚拟化平台可在一台硬件上运行10台、50台、乃至上百台虚拟服务器,而这些软件的安全一旦出现了漏洞,其所造成的影响也如噩梦一般。由于安全失控而导致的风险和营业额损失将难以计数。
确保平台安全运行的关键在于,在安装多台自动防故障装置的同时保持虚拟机管理程序的完整性,这样虚拟操作系统才能确保与之通信的主操作系统的安全尚未受到威胁,并进而将之作为通向底层硬件和外部连接的桥梁。如果某个客户操作系统未经修改,就试图在Ring 0层之外运行,那么虚拟机管理程序定会拦截“违禁的”Ring 0层指令,并将这些指令转到他处仿真执行,而客户操作系统对所发生的一切全然不知。硅制造商也开始关注这一领域,并且已开始行动起来;比如,英特尔和AMD公司新推出的定位于虚拟化市场的芯片,即可在Ring 0层以下安插新的特权层。两家公司的新机器代码指令均只能运行于Ring 1层,以便于虚拟机管理程序对之进行管理。采用此法,厂商无需修改客户操作系统,而虚拟机管理程序转移执行“违禁指令”的做法也大大减少了。
虚拟机管理程序一方面需要令客户端操作系统确信,只有他有权访问主服务器的物理资源,同时又要修改访问权限以确保程序和数据不致在不同操作系统间随意流动。利用基于最新芯片组的虚拟化平台所需的额外的代码特权层,在发生安全漏洞事件或应用程序出现错误时,厂商便可以降低出错的客户操作系统的影响。
如果负责拦截客户操作系统与底层硬件之间的通信的平台安全受到威胁,就需要将风险降到最低。为此,需要执行某种形式的事务确认过程。
在可信赖计算联盟(The Trusted Computing Group)中,广为采用的标准是可信平台模块(Trusted Platform Module,TPM)。TPM是可信赖虚拟机管理程序的核心组成部分,它负责提供基于硬件的可信根证书(Root Certificate),进行度量的可信之所,以及几个可存储信用度量的目录。利用TPM硬件加密提供的可靠方式,客户操作系统可评估与虚拟机管理程序之间的通信。
TPM的目标是提供入侵检测与预防;比如说,采用英特尔的技术,即可提供主机平台上可信的虚拟机监测记录。在任何软件加载之前,TPM握有生杀大权,并在启动中检查使用者,在每个系统加载时对之进行认证。简而言之,只有在虚拟机管理程序处于已知的、可信的状态时,TPM才会将平台的控制权转交给它。
这些概念听起来有些耳熟吧?在Vista的高级版本中,微软采用的是基于芯片组的TPM,并提供BitLocker功能,以对本地硬盘上的数据进行加密。英特尔和AMD的未来硬件平台也计划采用TPM,建立与附加外设之间的可信通讯路径,并且凭此建立并存储数据路径的硬件层加密密钥。有了这个加密过程,再加上对虚拟化组件的确认过程,要想拦截TPM或者虚拟机管理程序的控制权变得难上加难,而IT部门也因此更有信心确保操作系统与虚拟机管理程序之间的通信往来毫发无损。
潜在风险
就像一个人开车时不系安全带,时刻担心会被闪电击中一般,跟很可能会“狠咬你一口”的虚拟化沾上边儿,也要冒些险,那也是再正常不过的事。举例来说,胖服务器和由虚拟机管理程序驱动的服务器,其客户操作系统的安全都有可能面临跟传统服务器一样的威胁。未打补丁的或没有受到良好保护的公共服务器总是会处于危险之中,不管它是台独立运行的机器,还是大型主机平台上的诸多虚拟机之一。
尽管如此,用户暴露于风险之中的程度与其对虚拟化和服务器整合的依赖程度呈正比,即每个平台上分布的虚拟机越多,未检测到的Intrahost问题扩散的风险也越大。事实上,传统的外部安全设施也都无法检测到Intrahost威胁。外部防火墙和其他安全工具无法检查或控制Intrahost的通讯,因为在这些通信中,信息包从不给主机以机会对有线基础设施进行深入检测。还有些问题虽在现实世界得到普遍关切,而在复杂的主机托管环境中却沦为“阳光照不到的角落”。这些问题包括:外来的或可疑的Intrahost干扰伪装成合法通信,那意味着端口检测、病毒行为、或者其他恶意软件;直接或偶然的拒绝服务攻击,这些攻击由于CPU周期、输入/输出资源、或者虚拟化网络带宽等问题,会对其他客户虚拟机造成影响。
“单纯从运营的角度看,‘将所有的鸡蛋放在同一个篮子里’,风险会成倍增长,这与其说与不断增长的威胁数量有关,不如说是因为IT无能。” Neohapsis的西普雷表示,同时他还补充说,这同早期存储区域网络(SAN)时代,IT部门面临的问题如出一辙。“多数企业组织可以通过在设计时加大容量、迅速实现虚拟服务器的迁移、以及不断追加补丁等做法,管理这类风险。”最后一条怎么反复强调也不为过。
“即使我认为VMware在减少攻击面方面干得漂亮,ESX/VI3仍然只是个源于Linux的操作系统,也正基于此,才需要给它打补丁。” 西普雷指出,“问题在于,给ESX服务器打补丁这件事本身更加危险,对系统构成的侵犯也更深入,因为你停掉的不只是一个操作系统,同时停止运行的还有它管理的所有操作系统。”
值得庆幸的是,迄今为止出现的VMware产品的关键补丁少之又少。
在虚拟世界中求生存
现在,所有人都在拭目以待,静候针对虚拟机管理程序或者虚拟机监视器安全的首个攻击的产生。要确保你的网络没有成为众矢之的,就得对主机运营情况进行密切监测,以将攻击面缩到最小。在虚拟机管理程序或更高一层中找出第三方设备驱动程序的位置,以改善其性能,在降低安全风险的同时还要能承受轻微打击。
在主机平台和客户操作系统上关闭不必要的仿真设备、无关的功能和用不到的服务。记住:虚拟机也是机器。尽管这点勿庸置疑,但面对虚拟机,IT部门仍需要拿出对待传统服务器的勤奋与专注,同时坚持安全策略和指导方针。在我们的调查中,有36%的受访者承认,他们尚未部署任何IT安全或者保护计划;还有23%的人表示,其安全政策正在制定之中。由于有超过70%的受访者已经部署了至少一个主机平台,因此很明显,未打补丁或者未受保护的虚拟化服务器迟早会成为攻击对象。
此外,还要确保对安全设置、许可、以及环境设置进行恰如其分的配置,以使虚拟机能够与新主机保持一致。尽管环境灵活性是VMware ESX等企业级产品的核心优势,但未经详细筹划即匆忙转移虚拟机的做法势必会引火烧身。
“在减少被攻击面和整体暴露范围方面,我发现不少用户会将VMware管理工具从网络的其余部分中移出,并限定哪些人以及哪些程序拥有对此软件的访问权限。”西普雷分析道:“显而易见,在数据中心内建立防火墙是大势所趋,但这个结果并非单纯是由VMware驱动的。同时,也有些更富进取心的IT团队,已开始思考在网络划分方面推行‘最低特权’模式的概念,而且组织可以通过严格限制对VMware管理基础设施的访问权限,降低风险预测。”
此外,西普雷还强调说,IT部门绝不能在需要强化的网络区域部署虚拟化主机,比如,允许ESX软件将客户虚拟机移入或移出隔离区。
防护之道
创新性专业虚拟化安全设备厂商的关注点并未停留在虚拟化技术已成为新的攻击对象这一点上,相反,他们已开始在其安全解决方案中应用虚拟化技术,比如Reflex公司的VSA和Blue Lane公司的虚拟盾(VirtualShield)。尽管我们乐意将“设备”这个词专门用于形容带有三相插头的物体(指物理服务器),但我们还是认识到自己在打一场不可能赢的战争:VMware已在全力推动一个概念——专为特定目的而开发或者经过预配置的“随机访问”的专业虚拟机,以满足特定的安全或管理需求,而且其他许多厂商也已开始趋之若鹜地进入这一新兴领域;尽管目前为止尚无大型厂商正式昭告天下,我们仍然可以预测,赛门铁克公司(Symantec)等传统安全厂商很快会携专业化产品大规模杀入这一市场。
但是,这对于IT部门而言是好事吗?
“我忍不住在想,也许有些厂商只是简简单单浏览了一下市场上的虚拟化产品,就说‘嗨,我怎么才能让所有这些使用VMware产品的部门采购我的安全产品呢?’”西普雷生动地分析道,“用户或者消费者也肩负着一定的责任,那就是探讨其网络中真正的威胁是什么,然后自然便知道需要什么样的工具。”
尽管如此,没人会因为采购了某些设备从而防止自己的组织成为下一个TJX公司而被解雇。VMware公司那些脑筋灵活的高管们当然深谙此道,最近他们买下了Determina公司,后者销售的内存防火墙可以保护系统内存不致发生堆栈溢出。尽管这类产品可以保护的范围很窄,但却是至关重要的一环。对于某些应用来说,Determina内存防火墙在提升整体性能方面起到了恰到好处的推动作用。
此外,VMware也吸收了Determina的LiveShield技术。应用此技术,无需重启服务器即可于运行进程中,在内存中打补丁。当然,这对于VMware来说可谓轻车熟路,因为该技术与其自身的二进制仿真系统相近,后者在加载时会重写部分可执行代码。
尽管给运行中的操作系统或应用软件打补丁的想法听起来很动人,但这丝毫不能减轻打补丁之前对之进行测试的难度。通常,延缓了整个过程的并非服务器重启操作,而是测试环节。
这也正是Blue Lane公司补丁仿真产品(有物理设备版和针对VMware产品的虚拟设备版)的切入点。这类产品的原理是,捕获到达的攻击,并在入侵包接近服务器之前,切实起到补丁软件的作用,立即进行修复。尽管Blue Lane的反对者大有人在,但我们在美国佛罗里达现实世界实验室(Florida Real-World Labs)对虚拟盾进行的测试表明,该产品名副其实。而且,微软也对该物理设备进行了测试,并鉴于其完美无缺的互操作性,签发了“批准令”。
在虚拟世界,有了这三款产品,网络就可以固若金汤了。内存防火墙可防止内存溢出;而借助Blue Lane的技术,IT部门可腾出足够的时间对补丁进行完全测试;一旦测试完毕,即可用LiveShield在系统运行过程中完成打补丁这一环。
最后,我们希望虚拟机能在桌面系统中起到日益重要的作用,笔记本电脑和台式机从设计之初就支持管理员锁定的虚拟机分区,对所有运行区域进行持续不断的监测,删除用户安装的恶意软件,去除人为错误导致的安全隐患。
如果我们有什么建议给你的话,那就是提升安全意识。我们的读者调查问卷中的最后一个问题是开放性的,询问读者对于虚拟化安全还关注其他哪些问题,或者有什么意见。当然,不出所料,有些受访者对某些厂商颇有微辞,但在回答中不断出现的一句话则是:“直到参与了这个调查,我才开始关心。”
如果知识就是力量,最好确保你已然是全副武装。
桌面虚拟化也来凑热闹?
服务器虚拟化使数据中心内长期存在的一些问题得到缓解。该技术的盛行会同时掀起桌面虚拟化的热潮吗?如果能,用户端安全将得到改善呢,还是会受到阻碍?
当然,厂商希望其虚拟桌面架构(Virtual Desktop Infrastructure,VDI)可以乘服务器整合之浪,顺利进入主流市场。他们表示,VDI可提高多数企业级桌面基础设施的精益度和安全性,同时其部署和管理成本也相对低廉。事实上,VDI与服务器虚拟化差别不大。其核心优势在于管理方法和特性,比如资源池和连接池。VDI可复制用户的桌面操作实践,将各种资源收入囊中,以简化管理并提升安全性。例如,可在需要时部署敏感应用或数据,以选择用户。虚拟化桌面的缺省状态是彼此隔离的,因此攻击者即便获得了访问权限,这种做法也能降低风险。同时,采用标准化VDI,也能使打补丁的过程变得更便捷。
对于IT部门而言,桌面虚拟化是绝对的利好消息。但是,多数组织目前尚未采购VDI。为了有效利用这一技术,你首先需要做出准确的判断,选择可控的部署方法,并建立对于这一新技术的利弊的现实认识,然后你才能培训用户。
用户评论
正在载入评论列表...
是谁推荐了此篇文章
张翠萍
- 张翠萍推荐的其他文章