虛擬化安全需再評(píng)估 解決技術(shù)造成的缺陷

作者：佚名 2011-06-08 11:44:04
云計(jì)算
虛擬化 許多公司都已經(jīng)配置了虛擬化架構(gòu)來(lái)降低成本，提高效率，但是虛擬化方面的安全專(zhuān)家表示，這些公司應(yīng)該再次評(píng)估他們的安全措施，從而解決這一技術(shù)所造成的缺陷。

網(wǎng)站建設(shè)哪家好，找創(chuàng)新互聯(lián)！專(zhuān)注于網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開(kāi)發(fā)、重慶小程序開(kāi)發(fā)、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶(hù)創(chuàng)新互聯(lián)還提供了棗強(qiáng)免費(fèi)建站歡迎大家使用！

許多公司都已經(jīng)配置了虛擬化架構(gòu)來(lái)降低成本，提高效率，但是虛擬化方面的安全專(zhuān)家表示，這些公司應(yīng)該再次評(píng)估他們的安全措施，從而解決這一技術(shù)所造成的缺陷。

　　像過(guò)去一樣，當(dāng)采用物理架構(gòu)和系統(tǒng)來(lái)滿(mǎn)足商業(yè)需求時(shí)，在許多早期虛擬化配置中安全需求一般被放在次要位置，DaveShackleford說(shuō)道(Shackleford是VoodooSecurity公司的創(chuàng)始人兼首席顧問(wèn)，該公司的總部位于亞特蘭大)。但好的消息是，用于防御物理系統(tǒng)免受攻擊的策略可以用于解決虛擬化安全風(fēng)險(xiǎn)，Shackleford表示。

　　“你仍然需要監(jiān)測(cè)網(wǎng)絡(luò)流量，同時(shí)還需要解決一些配置和補(bǔ)丁管理方面的問(wèn)題?！盨hackleford說(shuō)，“從網(wǎng)絡(luò)的角度來(lái)看，真正的改變僅僅是你現(xiàn)在可以通過(guò)同一個(gè)通道傳輸更多的流量。”

　　虛擬化打破了物理系統(tǒng)的界限，將網(wǎng)絡(luò)轉(zhuǎn)化成了各種配置和內(nèi)存中的快照文件。該技術(shù)使用一個(gè)管理程序，使得硬件可以支持多個(gè)系統(tǒng)在一個(gè)物理平臺(tái)上同時(shí)運(yùn)行。Shackleford稱(chēng)虛擬化平臺(tái)具有“令人難以置信的適應(yīng)性”。推出這些平臺(tái)的公司有VMware、CitrixSystems和Microsoft等廠商，并不斷的對(duì)其漏洞進(jìn)行修補(bǔ)。

這些對(duì)虛擬系統(tǒng)的威脅，比如：利用管理程序和其他組件發(fā)起的攻擊，目前已得到了相關(guān)的概念驗(yàn)證，Shackleford說(shuō)道。研究人員已經(jīng)記錄了侵入一個(gè)虛擬服務(wù)器并擁有一個(gè)虛擬機(jī)的復(fù)雜方法，不過(guò)至今利用虛擬機(jī)來(lái)攻擊的風(fēng)險(xiǎn)還是很低的。事實(shí)上，最新的Verizon數(shù)據(jù)泄漏調(diào)查報(bào)告顯示：所有這些被調(diào)查的泄漏案件中——超過(guò)了923個(gè)獨(dú)立案件——沒(méi)有一個(gè)是涉及利用管理程序來(lái)允許攻擊者越過(guò)虛擬機(jī)的。

　　除了被記錄的所有復(fù)雜的攻擊外，Shackleford相信攻擊者更有可能選擇破壞用于支持虛擬機(jī)的管理基礎(chǔ)設(shè)施。他說(shuō)，許多公司都不能將管理基礎(chǔ)設(shè)施從虛擬網(wǎng)絡(luò)的其余部分中完全分隔出來(lái)。這個(gè)漏洞可以是網(wǎng)絡(luò)犯罪分子用來(lái)獲得敏感數(shù)據(jù)的攻擊向量。

　　“你必須確保管理基礎(chǔ)設(shè)施不僅僅集中在你的生產(chǎn)流量的其余部分，”他說(shuō)，“這需要額外的工作，但在大多數(shù)情況下，人們不愿再這上面花時(shí)間?！?/p>

　　Shackleford是一位經(jīng)認(rèn)證的SANS研究所講師，他正在改進(jìn)由該組織舉辦的虛擬化培訓(xùn)，該培訓(xùn)的目的是圍繞具體的最佳策略拓展其范圍。他說(shuō)，各組織應(yīng)該評(píng)估他們的物理安全設(shè)備和系統(tǒng)，看其是否能夠在虛擬基礎(chǔ)架構(gòu)上工作。一些傳統(tǒng)的方法，比如：隔離包含敏感數(shù)據(jù)的系統(tǒng)，確保管理團(tuán)隊(duì)職責(zé)分離，保護(hù)管理層不受內(nèi)部和外部的攻擊等等，都應(yīng)該被采用。另外，安全廠商正在針對(duì)虛擬化環(huán)境優(yōu)化它們的產(chǎn)品。

　　AndyEllis是AkamaiTechnologies公司的信息安全高級(jí)主管和首席安全架構(gòu)師，他說(shuō)他的公司在虛擬服務(wù)器上運(yùn)行基于Java的計(jì)算環(huán)境。Akamai的客戶(hù)端在這個(gè)環(huán)境下運(yùn)行面向用戶(hù)的網(wǎng)絡(luò)應(yīng)用程序，比如：一個(gè)網(wǎng)站組件可以用來(lái)尋找一個(gè)零售地點(diǎn)或者尋找讓網(wǎng)站訪問(wèn)者可以按需求定制產(chǎn)品的配置工具。Ellis說(shuō)，這個(gè)環(huán)境建立起來(lái)后，Akamai可以在需要的時(shí)候向基于Java的網(wǎng)絡(luò)應(yīng)用程序傳送計(jì)算能力。

　　為了提供安全性，Ellis的團(tuán)隊(duì)將應(yīng)用程序以及每個(gè)單獨(dú)的虛擬機(jī)限定在了運(yùn)算系統(tǒng)的核心層。這兩個(gè)限定層隔離了進(jìn)程，并提供了對(duì)環(huán)境的嚴(yán)密監(jiān)測(cè)，他解釋到。

　　“這里有許多針對(duì)應(yīng)用程序的監(jiān)測(cè)以確保它在期望的參數(shù)內(nèi)運(yùn)行?！盓llis說(shuō)。

　　虛擬機(jī)逃逸和虛擬機(jī)失竊

　　EdwardL.Haletky是AstroArch咨詢(xún)公司總裁和首席顧問(wèn)，他贊同保護(hù)虛擬系統(tǒng)應(yīng)從傳統(tǒng)方法開(kāi)始。將虛擬網(wǎng)絡(luò)分隔成不同的部分并通過(guò)入侵防御和入侵預(yù)防系統(tǒng)來(lái)運(yùn)行敏感虛擬機(jī)流量。他說(shuō)，應(yīng)用程序和底層運(yùn)算系統(tǒng)應(yīng)該被修補(bǔ)和更新。

　　虛擬機(jī)自身也是一個(gè)威脅面，Haletky說(shuō)道。傳統(tǒng)的反惡意軟件能夠掃描內(nèi)存，但是它通常是基于特征的并可以被攻擊者繞過(guò)。攻擊者可以利用零日漏洞或者新的惡意軟件變種來(lái)繞過(guò)反惡意軟件技術(shù)，他補(bǔ)充道。

　　“從本質(zhì)上講，這是一個(gè)與總是名列前茅的黑客的軍備競(jìng)賽”Haletky說(shuō)。

　　研究人員繼續(xù)研究虛擬機(jī)逃逸，這種逃逸指一個(gè)精明的攻擊者能夠突破虛擬機(jī)，獲得管理程序并控制在主機(jī)上運(yùn)行的其他虛擬機(jī)。“目前所有公開(kāi)的逃逸對(duì)用于服務(wù)器虛擬化的主要管理程序都是無(wú)效的，比如vSphere，Xenserver和Hyper-V，”Haletky說(shuō)道。另一種技術(shù)叫做虛擬機(jī)失竊，通過(guò)這種技術(shù)，攻擊者可以竊取一個(gè)虛擬機(jī)文件，然后查看服務(wù)器的內(nèi)容。

　　“這里有許多不同的攻擊途徑，”Haletky說(shuō)，“管理程序可以以某種方式自我保護(hù)，但是企業(yè)需要對(duì)它進(jìn)行加強(qiáng)，并且應(yīng)該像他們會(huì)在物理環(huán)境中做的那樣，添加安全層?！?/p>

　　不過(guò)，Haletky認(rèn)為攻擊者很可能選擇快速的效果?！爱?dāng)攻擊者可以突破管理網(wǎng)絡(luò)并得到所有東西時(shí)，為什么還費(fèi)心的去竊取虛擬機(jī)并做困難的事情呢？”他說(shuō)，“由于虛擬機(jī)和管理環(huán)境很容易被突破，所以當(dāng)前的管理網(wǎng)絡(luò)規(guī)則要將它從其余所有部分分隔出來(lái)?！?/p>

　　現(xiàn)有的工具可以幫助企業(yè)獲得對(duì)虛擬網(wǎng)絡(luò)和文件子系統(tǒng)的可視性，但是沒(méi)有一個(gè)單一的工具可以做所有的事情，Haletky說(shuō)。虛擬環(huán)境的審核也是一個(gè)需要改進(jìn)的領(lǐng)域。傳統(tǒng)的日志分析工具不能得到完整的情況?！澳阈枰獙⒄l(shuí)做了什么事情，在哪里，是何時(shí)以及如何做的相聯(lián)系起來(lái)，但在虛擬環(huán)境中這一點(diǎn)仍然是很難做到的?！彼f(shuō)道。

網(wǎng)站標(biāo)題：虛擬化安全需再評(píng)估解決技術(shù)造成的缺陷
標(biāo)題路徑：http://m.5511xx.com/article/dphjeej.html