服务器虚拟化的优势已经从多方面论述过了,但对hypervisor安全缺陷的关注还不够。如果您由于不小心或缺少经验,就会很容易遇到安全问题。
更多企业转向虚拟化来降低成本和增加灵活性,同时又带来了虚拟化和hypervisor安全方面的花费。Gartner预测60%以上计划在2012年用虚拟服务器代理物理服务器的环境,安全性降低了。主要原因之一在于物理服务器环境的安全工具和相关最佳实践无法在虚拟环境中继续采用。
Hypervisor,无论VMware ESXi、微软Hyper-V、Xen还是KVM,增加的代码都意味着更多受攻击点的出现。而分发攻击可能会导致各种不愉快的结果,例如黑客可以通过攻击一台或多台虚拟机、甚至宿主机和底层硬件设备。而入侵者可以找到多种虚拟化和hypervisor安全漏洞展开攻击:一些是跟虚拟化本身相关的,其他的可能是由于IT人员不小心导致。
迁移过程把不同安全级别的宿主机联系到一起
在任何时候您都可以通过虚拟化迁移软件,如VMware vMotion,在一台或多台安全级别不同的宿主机之间迁移工作负载。在迁移虚拟机时,目标虚拟服务器应该具备兼容的安全级别和政策。
IT管理员在对具备了混合的庞大而复杂的多安全等级操作系统之间进行操作的时候,需要特别小心,除非部署了相应的管理机制。当使用迁移工具时,您需要在源宿主机和目标主机之间部署安全兼容性审查机制(当工作负载迁移是发生在云环境中时该过程引发的问题甚至更多)。
不可见的虚拟机流量
很多传统物理架构的网络安全工具在虚拟环境中不再可用。它们可能是通过检查物理网络连接上服务器之间的流量来实现的,而对于虚拟机流量是不可见的,这会导致虚拟化的受攻击问题蔓延。
毕竟,在宿主机内部的虚拟机流量不会离开主机到物理网络中运行,对于不习惯虚拟化和hypervisor安全问题的IT部门可能会有问题。例如,网络管理员不能监控到位于单个宿主机上多台虚拟服务器上的多种应用。结果导致受到攻击的某个虚拟机可能会影响同一宿主机上的其它虚拟机。
为解决该问题,IT组织开始关注新的网络管理和安全产品,例如Catbird Network Inc.’s vSecurity, Reflex System LLC’s Virtual Management Centre 和 Altor Network’s Virtual Firewall。
超越虚拟机范围的攻击
一些专家认为,攻击者可能会受益于这种基于底层hypervisor上运行的虚拟机内部子操作系统的模式。例如,虚拟服务器的子操作系统可能会通过底层命令调用hypervisor,我们称之为hypercall。而hypervisor通常不会检查hypercall到底来自于子操作系统还是某个虚拟机上运行的应用。
这样的话,如果攻击进入到某个子操作系统内,它就有可能蔓延到虚拟服务器和其它的组件,包括虚拟主机、hypervisor、其它虚拟机或其它宿主机。
IBM 2010年11月的安全报告分析显示虚拟化和hypervisor安全问题在过去的十年里在Citrix Systems, IBM, Microsoft, Oracle, Red Hat 和 VMware的系统中都曾发生过。数据显示其中35%的安全问题从子虚拟机蔓延到其它的虚拟机和hypervisor,而只有15%的安全攻击影响限制在子系统内,没有对hypervisor和宿主机系统带来影响。
IT人员需要关注的另一方面问题是未经授权的虚拟机复制。由于hypervisor以文件的形式保存虚拟机,所以很可能会拷贝并在其它主机上运行虚拟机。入侵者可以通过网络把虚拟机拷贝到可移动存储介质上,并在自己的服务器上访问虚拟机的内容。由于入侵者获得了虚拟机的副本,所以可能虚拟机不会感觉到入侵过程发生了。
这仅仅是部分非法访问虚拟环境的方式。在关于虚拟化和hypervisor安全问题的第二部分内容中,我们将涉及防护方法。