虚拟服务器容易受到与物理服务器相同的攻击服务器,以及利用管理程序技术弱点的新威胁,专家警告说。
服务器虚拟化使它可以运行多个应用程序在更少的硬件资源上运行操作系统,并允许客户根据需求快速提供新的资源。但使这种灵活计算成为可能的特征是网络和安全虚拟环境中的安全威胁是否会蔓延到整个网络。
佛罗里达州Gainesville Exactech的网络管理员Craig Bush说:“我推迟了服务器虚拟化,因为我已经听说了hypervisor的安全问题。”“一个服务器被攻破并不会破坏我们的整个网络,但如果hypervisor有可能做到这一点,我就会等到安全问题得到进一步解决后,再开始虚拟化。”
在这里,我们讨论了关于保护虚拟环境的四个最重要的问题,并试图从现实中辨别炒作。
1.虚拟机转义可能传播安全问题
IT管理人员担心,旨在利用管理程序的安全攻击可能会感染驻留在同一物理主机上的虚拟机,这就是所谓的“虚拟机逃脱”。
如果虚拟机能够“逃脱”它所在的隔离环境,并与父虚拟机监控程序交互,行业专家表示,攻击者有可能获得对控制其他虚拟机的虚拟机监控程序的访问权,从而避免旨在保护虚拟机的安全控制。
“虚拟世界的安全圣杯是跳出(虚拟机)并控制它,”伯顿集团的高级分析师皮特·林德斯特伦(Pete Lindstrom)在最近一次关于虚拟化安全的网络广播中说。
但是,虽然有文档记录了执行虚拟机转义的尝试,但一些人指出,与此类事件相关的安全灾难尚未得到证实。
“据我所知,从来没有一个黑客,使得安全问题从一个虚拟主机传播到另一个通过hypervisor技术,”史蒂夫·罗斯说与弹射系统顾问,帮助物流供应商在普莱诺换位,德克萨斯州,VMware虚拟环境部署和维护。
缅因州布伦瑞克鲍登学院(Bowdoin College)的系统工程师蒂姆·安东诺维奇(Tim Antonowicz)补充说:“这种情况可能会发生,攻击者或破坏者可能会从[虚拟机]跳到[虚拟机],但我目前还没有看到这是一个功能性的漏洞。”
Antonowicz使用VMware ESX来虚拟化服务器,他说他试图通过将虚拟机隔离在资源集群中来解决这类问题,这取决于虚拟机所承载的应用程序或数据的敏感性水平。他说:“你必须以这种方式隔离机器,以提高安全性。”
芝加哥Cars.com的技术运营总监爱德华•克里斯滕森(Edward Christensen)也在采取措施,隔离公司的虚拟环境。
“保护环境的老式方法包括放置防火墙例如,在数据库和应用程序层之间,但当你有一个虚拟化环境时,这些线就会交叉,”克里斯滕森说。在线汽车公司使用VMware虚拟化服务器惠普克里斯滕森表示,能够在网络之外存储虚拟环境有助于缓解安全担忧。“这是虚拟环境的优点之一,”他说。
2.虚拟机增加了补丁负担
虚拟服务器蔓延的威胁——在这种情况下,部署虚拟机的便利会导致比计划中更多的实例——使得掌握操作系统的补丁和更新在虚拟环境中至关重要。
“打补丁变得更有挑战性,因为这些(虚拟机)到处移动,它们成倍增加,”伯顿集团的Lindstrom说。“在虚拟世界中,在单个机器上验证补丁状态的能力变得更加重要。”
IT管理人员一致认为,补丁在虚拟环境中至关重要,但虚拟服务器和物理服务器补丁的真正区别不是安全问题,而是数量问题。
“我们需要记住,我们的虚拟化服务器需要与物理服务器相同的补丁管理和维护,”Catapult的Ross说。Transplace有三个虚拟环境——两个在网络中,一个在DMZ中——其中包括大约150个虚拟机。Ross说:“hypervisor增加了另一层补丁,但补丁本身在物理机和虚拟机上同样重要。”
对于Bowdoin的Antonowicz来说,保持在虚拟服务器蔓延的前沿是现在的首要任务,因为当服务器成倍增长超出他的直接控制时,打补丁所需的时间就会增加。过去,他经常为40个服务器打补丁,但现在他负责保护80多个服务器。他希望有一天能找到更好地自动化这一过程的工具。
Antonowicz说:“虚拟环境在没有物理约束的情况下会发展得太快。”“在我们推出更多(虚拟机)之前,我希望在打补丁方面实现更多自动化。”
3.在DMZ中运行虚拟机
通常,许多IT管理人员避免将虚拟服务器放在DMZ中,其他IT管理人员也不会在DMZ中的虚拟机上运行关键任务应用程序,甚至不会在那些受到公司防火墙保护的机器上运行。然而,根据伯顿集团的林德斯特罗姆的说法,只要采取适当的安全措施,就可以做到这一点。“只要防火墙或分离设备是物理的,就可以在DMZ内运行虚拟化。在大多数情况下,只要你把资源分离出来,就没问题。”
Bowdoin的Antonowicz说,不管是不是DMZ,他都用存在漏洞的心态来建立虚拟环境,并努力限制虚拟资源集群之间的访问。他解释说:“每个集群都有自己的一组资源和访问,所以你不能从一个集群跳转到另一个集群,也没有办法在每个集群中跳转。”
许多IT管理人员将虚拟服务器分割开来,并将其置于公司防火墙中,但有些人将虚拟机放在DMZ中——但只在虚拟机上运行非关键服务。Transplace的IT基础设施总监Scott Engle表示,所有有价值的东西都在防火墙后面,那些运行在DMZ虚拟机上的应用程序包括DNS等服务。
“我们在可信主机上的可信段中运行(虚拟机)。在我们的DMZ中,我们将运行带有一些VMware实例的物理机器,但我们不会在可信网络和不可信网络之间架起桥梁。
4.虚拟机监控程序技术的新特性可能会吸引黑客
任何新的操作系统都充满了缺陷。那么,这是否意味着黑客们正迫不及待地寻找虚拟操作系统的漏洞并发动安全攻击呢?
行业观察人士建议安全管理人员对虚拟操作系统以及它们可能引入的漏洞和漏洞多过手动修补的可能性持怀疑态度。
“虚拟化本质上是一种新的操作系统,这是一种很久没有出现的东西,它使底层硬件和环境之间的亲密交互成为可能,”Ptak, Noel and Associates的创始人兼首席分析师Rich Ptak说。“把事情搞砸的可能性非常大。”
然而,虚拟管理程序本身并不像人们想象的那样构成那么大的安全威胁。有从微软VMware等公司可能已经在努力限制虚拟机监控程序技术中存在安全漏洞的可能性。
“与微软相比,VMware做得很好,供应商似乎走在了这类问题的前面,”互联网研究集团(Internet Research Group)负责人彼得•克里斯蒂(Peter Christy)说。“但是一个管理程序是一小段代码,它代表了一个小而有限的表面区域,这比8000万行代码更容易做到更安全。”