企業(yè)虛擬化安全需要再評(píng)估 解決技術(shù)造成的缺陷 |
發(fā)布時(shí)間: 2012/8/4 18:34:02 |
企業(yè)虛擬化安全需要再評(píng)估 解決技術(shù)造成的缺陷核心提示:許多公司都已經(jīng)配置了虛擬化架構(gòu)來(lái)降低成本,提高效率,但是虛擬化方面的安全專家表示,這些公司應(yīng)該再次評(píng)估他們的安全措施,從而解決這一技術(shù)所造成的缺陷。 許多公司都已經(jīng)配置了虛擬化架構(gòu)來(lái)降低成本,提高效率,但是虛擬化方面的安全專家表示,這些公司應(yīng)該再次評(píng)估他們的安全措施,從而解決這一技術(shù)所造成的缺陷。 像過(guò)去一樣,當(dāng)采用物理架構(gòu)和系統(tǒng)來(lái)滿足商業(yè)需求時(shí),在許多早期虛擬化配置中安全需求一般被放在次要位置,DaveShackleford說(shuō)道(Shackleford是VoodooSecurity公司的創(chuàng)始人兼首席顧問(wèn),該公司的總部位于亞特蘭大)。但好的消息是,用于防御物理系統(tǒng)免受攻擊的策略可以用于解決虛擬化安全風(fēng)險(xiǎn),Shackleford表示。 “你仍然需要監(jiān)測(cè)網(wǎng)絡(luò)流量,同時(shí)還需要解決一些配置和補(bǔ)丁管理方面的問(wèn)題。”Shackleford說(shuō),“從網(wǎng)絡(luò)的角度來(lái)看,真正的改變僅僅是你現(xiàn)在可以通過(guò)同一個(gè)通道傳輸更多的流量。” 虛擬化打破了物理系統(tǒng)的界限,將網(wǎng)絡(luò)轉(zhuǎn)化成了各種配置和內(nèi)存中的快照文件。該技術(shù)使用一個(gè)管理程序,使得硬件可以支持多個(gè)系統(tǒng)在一個(gè)物理平臺(tái)上同時(shí)運(yùn)行。Shackleford稱虛擬化平臺(tái)具有“令人難以置信的適應(yīng)性”。推出這些平臺(tái)的公司有VMware、CitrixSystems和Microsoft等廠商,并不斷的對(duì)其漏洞進(jìn)行修補(bǔ)。 這些對(duì)虛擬系統(tǒng)的威脅,比如:利用管理程序和其他組件發(fā)起的攻擊,目前已得到了相關(guān)的概念驗(yàn)證,Shackleford說(shuō)道。研究人員已經(jīng)記錄了侵入一個(gè)虛擬服務(wù)器并擁有一個(gè)虛擬機(jī)的復(fù)雜方法,不過(guò)至今利用虛擬機(jī)來(lái)攻擊的風(fēng)險(xiǎn)還是很低的。事實(shí)上,最新的Verizon數(shù)據(jù)泄漏調(diào)查報(bào)告顯示:所有這些被調(diào)查的泄漏案件中——超過(guò)了923個(gè)獨(dú)立案件——沒(méi)有一個(gè)是涉及利用管理程序來(lái)允許攻擊者越過(guò)虛擬機(jī)的。 除了被記錄的所有復(fù)雜的攻擊外,Shackleford相信攻擊者更有可能選擇破壞用于支持虛擬機(jī)的管理基礎(chǔ)設(shè)施。他說(shuō),許多公司都不能將管理基礎(chǔ)設(shè)施從虛擬網(wǎng)絡(luò)的其余部分中完全分隔出來(lái)。這個(gè)漏洞可以是網(wǎng)絡(luò)犯罪分子用來(lái)獲得敏感數(shù)據(jù)的攻擊向量。 “你必須確保管理基礎(chǔ)設(shè)施不僅僅集中在你的生產(chǎn)流量的其余部分,”他說(shuō),“這需要額外的工作,但在大多數(shù)情況下,人們不愿再這上面花時(shí)間。” Shackleford是一位經(jīng)認(rèn)證的SANS研究所講師,他正在改進(jìn)由該組織舉辦的虛擬化培訓(xùn),該培訓(xùn)的目的是圍繞具體的最佳策略拓展其范圍。他說(shuō),各組織應(yīng)該評(píng)估他們的物理安全設(shè)備和系統(tǒng),看其是否能夠在虛擬基礎(chǔ)架構(gòu)上工作。一些傳統(tǒng)的方法,比如:隔離包含敏感數(shù)據(jù)的系統(tǒng),確保管理團(tuán)隊(duì)職責(zé)分離,保護(hù)管理層不受內(nèi)部和外部的攻擊等等,都應(yīng)該被采用。另外,安全廠商正在針對(duì)虛擬化環(huán)境優(yōu)化它們的產(chǎn)品。 AndyEllis是AkamaiTechnologies公司的信息安全高級(jí)主管和首席安全架構(gòu)師,他說(shuō)他的公司在虛擬服務(wù)器上運(yùn)行基于Java的計(jì)算環(huán)境。Akamai的客戶端在這個(gè)環(huán)境下運(yùn)行面向用戶的網(wǎng)絡(luò)應(yīng)用程序,比如:一個(gè)網(wǎng)站組件可以用來(lái)尋找一個(gè)零售地點(diǎn)或者尋找讓網(wǎng)站訪問(wèn)者可以按需求定制產(chǎn)品的配置工具。Ellis說(shuō),這個(gè)環(huán)境建立起來(lái)后,Akamai可以在需要的時(shí)候向基于Java的網(wǎng)絡(luò)應(yīng)用程序傳送計(jì)算能力。 為了提供安全性,Ellis的團(tuán)隊(duì)將應(yīng)用程序以及每個(gè)單獨(dú)的虛擬機(jī)限定在了運(yùn)算系統(tǒng)的核心層。這兩個(gè)限定層隔離了進(jìn)程,并提供了對(duì)環(huán)境的嚴(yán)密監(jiān)測(cè),他解釋到。 “這里有許多針對(duì)應(yīng)用程序的監(jiān)測(cè)以確保它在期望的參數(shù)內(nèi)運(yùn)行。”Ellis說(shuō)。 虛擬機(jī)逃逸和虛擬機(jī)失竊 EdwardL.Haletky是AstroArch咨詢公司總裁和首席顧問(wèn),他贊同保護(hù)虛擬系統(tǒng)應(yīng)從傳統(tǒng)方法開(kāi)始。將虛擬網(wǎng)絡(luò)分隔成不同的部分并通過(guò)入侵防御和入侵預(yù)防系統(tǒng)來(lái)運(yùn)行敏感虛擬機(jī)流量。他說(shuō),應(yīng)用程序和底層運(yùn)算系統(tǒng)應(yīng)該被修補(bǔ)和更新。 虛擬機(jī)自身也是一個(gè)威脅面,Haletky說(shuō)道。傳統(tǒng)的反惡意軟件能夠掃描內(nèi)存,但是它通常是基于特征的并可以被攻擊者繞過(guò)。攻擊者可以利用零日漏洞或者新的惡意軟件變種來(lái)繞過(guò)反惡意軟件技術(shù),他補(bǔ)充道。 “從本質(zhì)上講,這是一個(gè)與總是名列前茅的黑客的軍備競(jìng)賽”Haletky說(shuō)。 研究人員繼續(xù)研究虛擬機(jī)逃逸,這種逃逸指一個(gè)精明的攻擊者能夠突破虛擬機(jī),獲得管理程序并控制在主機(jī)上運(yùn)行的其他虛擬機(jī)。“目前所有公開(kāi)的逃逸對(duì)用于服務(wù)器虛擬化的主要管理程序都是無(wú)效的,比如vSphere,XenServer和Hyper-V,”Haletky說(shuō)道。另一種技術(shù)叫做虛擬機(jī)失竊,通過(guò)這種技術(shù),攻擊者可以竊取一個(gè)虛擬機(jī)文件,然后查看服務(wù)器的內(nèi)容。 “這里有許多不同的攻擊途徑,”Haletky說(shuō),“管理程序可以以某種方式自我保護(hù),但是企業(yè)需要對(duì)它進(jìn)行加強(qiáng),并且應(yīng)該像他們會(huì)在物理環(huán)境中做的那樣,添加安全層。” 不過(guò),Haletky認(rèn)為攻擊者很可能選擇快速的效果。“當(dāng)攻擊者可以突破管理網(wǎng)絡(luò)并得到所有東西時(shí),為什么還費(fèi)心的去竊取虛擬機(jī)并做困難的事情呢?”他說(shuō),“由于虛擬機(jī)和管理環(huán)境很容易被突破,所以當(dāng)前的管理網(wǎng)絡(luò)規(guī)則要將它從其余所有部分分隔出來(lái)。” 現(xiàn)有的工具可以幫助企業(yè)獲得對(duì)虛擬網(wǎng)絡(luò)和文件子系統(tǒng)的可視性,但是沒(méi)有一個(gè)單一的工具可以做所有的事情,Haletky說(shuō)。虛擬環(huán)境的審核也是一個(gè)需要改進(jìn)的領(lǐng)域。傳統(tǒng)的日志分析工具不能得到完整的情況。“你需要將誰(shuí)做了什么事情,在哪里,是何時(shí)以及如何做的相聯(lián)系起來(lái),但在虛擬環(huán)境中這一點(diǎn)仍然是很難做到的。”他說(shuō)道。 本文出自:億恩科技【1tcdy.com】 服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |