危及虚拟机管理程序(hypervisor)安全的攻击如今成了IT人员最害怕的噩梦。你为此做好准备了吗?
今年3月,Gartner公司指出了一个明显的事实:虚拟化技术为攻击者带来了新的机遇,从而在博客圈引发了热烈争论。现在虚拟安全方面的局势仍然很不明朗,也许只有时间才能证明谁在背后炒作、故弄玄虚。新的虚拟化安全“设备”厂商显然在其中有着利害关系。但许多企业现在认识到:自己仓促上马虚拟化项目,却没有考虑到这对数据保护政策有什么影响,所以IT专业人士自然担心有多少宝贵资源被攻击虚拟机管理程序得逞的不法分子消耗掉了。
如果你现在就坐立不安,需要搞清楚答案的一大问题是:现在我们面临攻击的风险到底有多大?毕竟,Gartner就在同一份报告中预测,2008年年底之前会在主流产品中发现需要打补丁的虚拟机管理程序漏洞。这些潜在的安全漏洞分为两大类。首先,如果你能避开客户机操作系统、潜入主机操作系统,就能访问这台机器上其他所有客户机操作系统上面的数据。其次就是众多全新的rootkit,它们旨在充分利用虚拟化技术的弱点。
安全咨询公司Neohapsis的首席技术官Greg Shipley说:“有人一直在竭力突破VMware环境中来宾操作系统(guest OS)的安全,这已有一段时日。对任何一家组织而言,虚拟机管理程序被植入rootkit都将是一种严重威胁。不过,我不认为rootkit的发展会成为重大挑战。”
真正让Shipley关注的是部署这类rootkit的方法。
“什么需要我们付出更多的努力:是研究哪个安全漏洞让我们可以突破来宾操作系统的安全、进而控制虚拟机管理程序层?还是以管理员为目标、劫持安装rootkit所需的证书,就像任何其他应用程序那样?如果这个任务摆在了我的面前,我知道该走哪条路。”
至于突破客户机镜像的安全,咨询公司Intelguardians在前不久举行的SANSFire展会上演示了这样一种攻击是如何侵入主机操作系统的。有关这个漏洞的细节内容没有公之于众,所以这种攻击针对哪个目标得逞也就无从得知,但可以肯定:不是只有这些研究人员在从事虚拟安全方面的研究。
得到的教训是,如今公司企业需要假设:动机足够强烈的攻击者有能力钻这样一种漏洞的空子,并为此做好相应的规划。其中关键是深层防御以及良好的虚拟机部署和设计,包括同一个主机系统上不同虚拟机要有不同的安全状况和要求。
为了弄清楚读者在这方面准备得如何,我们开展了一项调研,有些结果令人大跌眼镜。我们忍不住想这个事实:43%的调查对象表示自己认为虚拟机就跟传统环境一样安全可靠,其实他们只是借吹口哨壮胆。在接受调查的384名IT操作和安全专业人士当中,只有区区12%的人部署了保护虚拟机的正式策略。
现在,很多人表示自己依赖现有的IT政策和工具包来管理及保护虚拟服务器,这在一定程度上是明智之举。虚拟化环境确实面临着与传统服务器同样的诸多运营威胁和风险,但它们还面临另外的隐藏问题:从主机内威胁、审查第三方的虚拟机管理程序驱动程序插件,到为公司信息安全政策添加新的要求项目,不一而足。
咱们还是面对现实吧:如果一台传统的1U服务器安全遭到了威胁,你多少会觉得脸上无光,于是会重新部署、评估破坏程度、解决问题,然后继续使用。大多数公司部署了相应的策略,以便把内部破坏限制在局部地方,并且布下了第二道和第三道防线,避免系统安全接二连三地受到威胁。可问题是,很少有网络监控和管理工具有能力来保护来宾虚拟机。当传统服务器遭到了攻击、开始出现异常或者可疑行为,就会警报大作。但如果所有机器到机器的通信在“一体化数据中心”里面的虚拟机之间进行,你那些久经考验的网络监控工具又有多少效果呢?在你明白过来怎么回事之前,不法分子探查、测试并且钻主机内漏洞的空子只需要多长时间呢?
另外,针对虚拟机的环境其安全性让人忧心忡忡,这是不是杞人忧天呢?甚嚣尘上的说法至少向人们敲响了警钟:危险就在我们眼前。
夯实基础
为了评估理论上的风险以及确定哪些新的应用程序可能遭到旧方法的攻击,你就要明白虚拟化主机的底层设计。
虚拟化技术创建了一个抽象层,它把来宾操作系统与底层硬件分离开来,这样在一台服务器上就可以运行多个虚拟机。虚拟机可能依赖简洁的虚拟机管理程序,后者使用短小的特权代码库作为这个抽象层的基础;这种方法的优点在于,虚拟机上运行的应用程序其性能几乎可以达到本地运行的效果。针对企业服务器市场的产品都青睐虚拟机管理程序设计,其中包括VMware ESX、英特尔公司的VPro、Virtual Iron和XenEnterprise。
另外,桌面虚拟机和微软公司的虚拟服务器产品使用了传统的“胖操作系统”模式。在这种模式下,来宾虚拟机运行在成熟完备的主机操作系统上面。
虽然虚拟机管理程序提供了经过优化的性能,并且缩小了攻击面,但它们也带来了新的安全漏洞,因此需要从一开始就考虑到安全性,而不是事后才添加上去。这里有个没有答案的重要问题:是依靠开源社区来检查及测试Xen产品来得更安全?还是VMware及其他专有虚拟机管理程序厂商才是保护主机安全的非常好的路线?
Shipley说:“据我了解,VMware的质量保证工作做得相当好。与其他许多公司相比,它简直就像是摇滚明星。知道Oracle在今年发布了多少补丁?多达三位数,想跟踪都跟踪不过来。”
XenSource公司的首席技术官Simon Crosby说,与此同时,XenEnterprise即将发布的4.0版本虚拟机管理程序会有6万行左右的代码,这已经很精简了。代码越少,意味着可能出现的故障越少。另外,XenSource(最近已同意被思杰系统公司收购)采用了IBM公司的安全虚拟机管理程序技术;XenEnterprise还经历了开源社区的考验,获得了公共标准5级认证。
芯片设计公司和虚拟机软件厂商也在竭力驾驭这场安全之战。英特尔公司的商业客户架构主管Steve Grobman表示,英特尔的VT-X服务器和桌面虚拟化产品就是从头到尾经过设计的,旨在加强安全性。比方说,英特尔最新的VT增强型服务器芯片组为传统的三层CPU代码特权上的虚拟化提供了三层新的代码特权。
当然,VMware主导着企业级虚拟化市场,这家公司的地位相当牢固。
VMware的联合创办人兼首席科学家Mendel Rosenblum说:“VMware ESX服务器的设计、测试和部署与传统的大型平台操作系统形成了鲜明对比;从编写第一行代码开始,我们就关注安全问题。我百分之百地确信,我们的虚拟机管理程序不会因设计缺陷而面临安全威胁。”
我们当然希望事实证明他的这种自信是有根据的。的确,到目前为止,几家虚拟化软件厂商并没有出过安全问题。