服务器虚拟化使得在更少的硬件资源上运行多个应用程序和操作系统成为可能,并允许根据需求快速提供新资源。然而,IT经理们担心虚拟环境中无形的边界可能无法阻止那些企图利用虚拟机逃脱的坏人。
虚拟服务器容易受到与物理服务器相同的攻击服务器专家警告说,虚拟机监控程序技术的弱点可能会导致新的威胁。
服务器虚拟化使多次运行成为可能应用和操作系统上的硬件资源更少,并且它允许客户根据需求快速提供新的资源。但使这种灵活计算成为可能的特性是网络和安全管理人员想知道虚拟化环境中的安全威胁是否会扩散到整个网络。
“我推迟了服务器虚拟化,因为我已经听说了管理程序的安全问题,”克雷格·布什说,他是佛罗里达州盖恩斯维尔市Exactech的网络管理员。“一台服务器被攻破并不会破坏我们的整个网络,但如果虚拟机监控程序有可能这样做,我就会等到安全问题得到解决后再开始虚拟化。”
在这里,我们解决了关于保护虚拟环境的四个首要问题,并试图区分炒作和现实。
1.虚拟机转义可能传播安全问题
IT管理人员担心,旨在利用虚拟机监控程序的安全攻击可能会感染驻留在同一物理主机上的虚拟机,即所谓的“虚拟机逃脱”。
如果虚拟机能够“逃离”它所处的隔离环境,并与父虚拟机监控程序交互,业内专家说,攻击者可能会访问控制其他虚拟机的虚拟机监控程序,并避免旨在保护虚拟机的安全控制。
“虚拟世界中安全的圣杯是跳出(虚拟机)并控制它,”伯顿集团的高级分析师Pete Lindstrom在最近一次关于虚拟化安全的网络直播中说。
但是,尽管有记录显示尝试执行虚拟机转义,但一些人指出,与此类事件相关的安全灾难尚未得到证实。
“据我所知,从来没有出现过这已经允许安全问题通过管理程序技术的方式从一个虚拟主机传播到另一个黑客攻击,”史蒂夫·罗斯,用弹射器系统,这有助于物流提供商Transplace公司的顾问说:得克萨斯州普莱诺,部署和维护其VMware虚拟环境。
缅因州不伦瑞克Bowdoin学院的系统工程师Tim Antonowicz说:“这是有可能发生的,攻击者或漏洞可以从[虚拟机]跳到[虚拟机],但我目前还没有看到这是一种功能性的攻击。”
Antonowicz使用VMware ESX来虚拟化服务器,他说他试图通过将虚拟机隔离在资源集群中来阻止这些问题,这取决于虚拟机所承载的应用程序或数据的敏感性水平。“你必须以这种方式隔离机器,以提高安全性,”他说。
芝加哥Cars.com的技术运营总监爱德华·克里斯坦森(Edward Christensen)也在采取措施,将公司的虚拟环境隔离开来。
“保护环境的老派方法包括推杆防火墙数据库和应用层之间,例如,但是当你有一个虚拟化环境中,这些线路得到交叉,”克里斯滕森说。网上汽车公司使用VMware虚拟化服务器上惠普克里斯坦森说,能够在网络之外存储虚拟环境有助于缓解安全担忧。“这是虚拟环境的优点之一,”他说。
2.虚拟机增加了补丁的负担
虚拟服务器蔓延的威胁——在这种情况下,由于部署虚拟机的方便性,导致了比计划中更多的实例——使得在虚拟环境中保持操作系统的补丁和更新至关重要。
伯顿集团的Lindstrom说:“打补丁变得更有挑战性,因为这些(虚拟机)到处移动,它们成倍增加。”在虚拟世界中,验证单个机器上补丁状态的能力变得更加重要。
IT经理们一致认为,在虚拟环境中打补丁至关重要,但虚拟服务器和物理服务器打补丁之间的真正区别不是安全问题,而是数量问题。
Catapult的Ross说:“我们需要记住,我们虚拟化的服务器需要和物理服务器一样的补丁管理和维护。”Transplace有三个虚拟环境——两个在网络中,一个在DMZ中——其中包括大约150个虚拟机。“hypervisor增加了另一层来关注补丁,但是补丁本身在物理和虚拟机上同样重要,”Ross说。
对于鲍登的Antonowicz来说,站在虚拟服务器扩张的前沿是当务之急,因为当服务器数量激增,超出了他的直接控制范围时,给机器打补丁所需要的时间就会增加。过去他经常给40台服务器打补丁,但现在他负责保护80多台服务器。他希望有一天能找到工具来更好地自动化这个过程。
“虚拟环境在没有物理限制的情况下会发展得太快,”Antonowicz说。“在我们推出更多(虚拟机)之前,我想研究一下补丁的自动化程度。”
3.在DMZ中运行虚拟机
通常,许多IT经理会避免在DMZ中放置虚拟服务器,而其他IT经理不会在DMZ中的虚拟机上运行关键任务应用程序,甚至不会在那些受公司防火墙保护的机器上运行。不过,根据伯顿集团的林德斯特伦的说法,只要采取适当的安全措施,就可以做到这一点。只要防火墙或隔离设备是物理的,就可以在DMZ内运行虚拟化。在大多数情况下,只要你把资源分开,就很好。”
Bowdoin的Antonowicz说,不管DMZ是不是DMZ,他都用利用现有资源的思维方式来设置虚拟环境,并努力限制虚拟资源集群之间的访问。“每个集群都有自己的一套资源和访问权限,所以你不能从一个集群跳转到另一个,也没有办法在每个集群中跳转,”他解释道。
许多IT管理人员工作以分割虚拟服务器并将其保持在公司的防火墙内,但有些人将虚拟机放在DMZ中—但仅在其上运行非关键服务。Transplace的IT基础设施主管Scott Engle说,一切有价值的东西都在防火墙之后,那些运行在DMZ虚拟机上的应用程序包括DNS这样的服务。
“我们在可信主机上的可信段中运行虚拟机。在我们的DMZ中,我们将运行带有几个VMware实例的物理机器,但我们不会在受信任和不受信任的网络之间架起桥梁。
4.虚拟机监控程序技术的新特性可能是对黑客的邀请
任何新的操作系统都充斥着缺陷。那么,这是否意味着黑客们正在急不可耐地寻找虚拟操作系统的漏洞并发起安全攻击呢?
行业观察人士建议安全管理人员对虚拟操作系统及其可能带来的漏洞和漏洞保持怀疑态度,这些漏洞和漏洞可能比他们手工修补的还要多。
Ptak, Noel and Associates的创始人和首席分析师Rich Ptak说:“虚拟化本质上是一种新的操作系统,这是一种很长时间没有出现过的东西,它使底层硬件和环境之间能够进行密切的交互。”“把事情搞砸的可能性很大。”
然而,虚拟管理程序本身并不像人们想象的那样构成很大的安全威胁。有从微软VMware等公司可能已经在努力限制虚拟机监控程序技术中潜在的安全漏洞。
互联网研究集团(Internet Research Group)负责人彼得•克里斯蒂(Peter Christy)表示:“与微软相比,VMware做得很好,而这家供应商似乎在这类问题上走在了前面。”“但是hypervisor只是一小段代码,它代表了一个小而有限的表面积,比起8000万行代码,它更容易实现更安全的功能。”