恶意软件编写者切入采用虚拟技术的IT设备平台核心只是时间早晚的问题。
多年来,全球领先的电子商务海洋物流提供商Inttra公司一直在其后台IBM大型机和Citrix Systems服务器中使用到虚拟化技术,主要是运行虚拟Linux设备的IBM刀片服务器,从而形成其新一代数据中心基础设施,同时这种基础设施还通过虚拟化厂商Vmware运用于英特尔平台上的虚拟化技术得到了进一步强化。
电子商务海洋物流提供商nttra公司IT副总裁John Debenedette表示:他相信他能够在努力跟上已有的最佳实践(best practices)步伐的同时保障好虚拟化数据中心环境安全;不过,若是要冒险在其非军事区(DMZ)外运行虚拟Web服务器,或是在更难以控制的终端上运行虚拟机则他还没有这个把握。
"您能够在所有虚拟机上执行最佳实践。但说到最后,安全问题还是归结为您对虚拟机平台层本身寄望太多了,"Debenedette表示。"这一层称为虚拟内核或虚拟机监控器(VMM),也称为hypervisor,是位于硬件和操作系统等设备驱动程序之间,从而使其处在了一个权威性位置上。"
虽则还未有安全观察员证实现在已有针对这平台层的攻击,但我们已可以看到普遍存在的虚拟机感知式恶意软件(如,RedPill)以及虚拟机型rootkits(如BluePill)。有关专家表示:现在这个平台层现在已成为虚拟机恶意软件编写者眼中的美味大餐。为此,Debenedette很是担心这个新平台层的安全。
其实,要做虚拟机平台层的安全主要有以下三点:
一,在这种虚拟环境中迫切要求实施高效安全的最佳实践;
二,除了物理设备以外,企业也必须对虚拟设备进行管理并加以保护,必须适当调整网络防御来监视虚拟机设备上非法流量;
三,虚拟机层的创建必须是安全、有保障地进行以避开最新型恶意软件攻击。
虚拟技术安全从基本安全策略入手
6月份,Research Concepts公司曾做过一次有关虚拟化安全的调查。结果显示:有457个受访者认为虚拟化技术并未增加他们的安全风险;只有250名受访者(近36%)认为虚拟化技术成为非法分子手中新增安全威胁工具,增加了他们的安全风险。而在这36%受访者中,有近一半的人员是有部署防火墙或是将关键网络分段为虚拟LANs,而其余一半人员则是在其入侵检测传感器中加入了虚拟机流量感知功能。
看来,受访者中仅有三分之一已认识到虚拟平台层本身也是易受到攻击的;其它人则不认为虚拟机平台供应商必须在其产品中加入安全组件。
明显地,许多企业一直并未应用最基本安全策略来保护好他们的虚拟服务器。现在,企业正逐渐感受着非法及未管理虚拟机的四处蔓延,企业必须要果断的结束这种危险的错误行为。常为财富500强公司提供咨询的专家表示:令人心痛的是,虚拟化技术本是为了促进硬件领域安全而采用的,结果却反而增加了安全风险。
"随着虚拟机范围扩展,这个问题正逐渐为人所知,"咨询专家Anil Desai表示。"如果没有相关IT知识就轻率地创建虚拟机,甚至很难知道存在网络上的这些问题。"
此外,Desai还表示: "软件开发人员、内联网用户,甚至是在数据中心服务器上拥有很多特权的用户都正创建虚拟机(没有相关IT知识),只是看中它们易于部署且有助于完成某些工作。"这是客户端站点上普遍存在的一个问题。
对此,Debenedette表示:他实在了解不了这种现象;任何称职的企业都应根据最佳实践来进行其数据中心的运作,这样一旦有发行新虚拟服务器之类行为时他们就会得到示警。这些最佳实践的强制实施最终会大大地减少问题范围。
Debenedette领导的团队现在使用的是Vmware虚拟中心管理软件,这款软件中包括有一项自动探测功能,它可定位虚拟机非法创建情况。Novell ZenWorks桌面管理系统和微软的系统中心虚拟机管理器(SCVMM)以及其它虚拟机特定管理工具也有提供类似探测功能。对于那些不想要集成此类工具到他们控制台的企业,他们可采用CA、HP、Network General以及其它管理和监控产品供应商的产品,因为在去年这些供应商就已在他们的产品套件中加入了各种程度的虚拟机感知功能。
Novell公司产品总监Richard Whitehead表示:定位虚拟机这一功能(即探测功能)还会对许可操作和产品支持有所帮助。"如果您正运行虚拟服务器,若它们还未通过许可,那么它们就得不到相应支持,"他表示。"这意味着它们不会有补丁,也不会有更新,从而使得它们即成为一种安全隐患。"
管理工具所提供其它有助于安全防护的探测相关功能还包括:假如有负载平衡、感染或攻击方面有要求的话,它们还可终止不必要的虚拟机和不采用其它安全系统。
