虚拟管理的“命门”_中国投影网新闻

　　3月，高德纳公司(Gartner)一语点破了不争的事实：虚拟化为新攻击的产生创造了良机，而在博客圈内引发了热烈的讨论。现在，围绕着这个话题的，仍然是一团浓浓的烟雾，只有时间才能说明，在这厚重的浓烟的背后，到底有多大的火势，又是谁在那儿"煽风点火"。有一点可以明确的是，新虚拟化安全"设备"厂商对此尤为关注。尽管如此，许多企业已开始认识到，他们当初一头扎进虚拟化的旋涡中，而丝毫没有考虑到这种做法对其数据保护政策的影响，实乃轻率之举。因此，IT专业人士现已开始切实担心，对虚拟机管理程序的成功攻击，到底会在多大程度上消耗企业的"老本"。

　　如果你为此寝食难安，心中的最大疑问必定是：现在我们遭受攻击的风险到底有多大?高德纳在一同份报告中预测到，无论如何，厂商会在2008年底之前发现主流产品中需要打补丁的安全漏洞。这些潜在的安全漏洞又可分为两大类。首先，如果你能避开客户操作系统而潜入主操作系统，那你也就掌握了对那台服务器上所有其他客户端操作系统数据的访问权限。其次，攻击者也在开发全新的Rootkit，以充分利用虚拟化技术的弱点。

　　"一直以来，攻击者都在不遗余力地寻找打破VMware客户操作系统(Guest OS)的方法。"安全咨询机构Neohapsis公司首席技术官(CTO)格雷格•西普雷(Greg Shipley)指出，他同时也是《InformationWeek》的特约撰稿人。"对于任何组织而言，虚拟机管理程序中被安插了Rootkit，都可谓严重的威胁。但是，我不认为，Rootkit的开发会成为一大挑战。"

　　真正令西普雷感兴趣的，是部署这类Rootkit的过程。

　　"我们需要进一步搞清楚，攻击者到底采用的到底是哪一种手段：是对某个安全漏洞进行研究，利用此漏洞渗透到客户操作系统进而控制虚拟机管理程序层，还是追踪管理程序并劫取安装Rootkit所需的信用，就像安装任何其他应用软件一样?如果我去干这活儿，我知道该怎么干。"

　　至于如何攻破客户图像，咨询公司Intelguardians公司在前不久举行的SANSFire展上对这类侵入主操作系统的攻击进行了演示。但他们并未公布此类安全漏洞的细节，因此我们无法确切地得知此类攻击到底成功地攻破了哪部分系统。但毫无疑问，这些研究人员肯定不是在唱独角戏。

　　可以从中得到的启示是，组织现在需要做到：假定有虎视眈眈、全副武装的入侵者完全能实施此类攻击，并为此做好准备。其中的关键在于深度防御以及恰当的虚入主操作系统的攻击进行了演示。但他们并未公布此类安全漏洞的细节，因此我们无法确切地得知此类攻击到底成功地攻破了哪部分系统。但毫无疑问，这些研究人员肯定不是在唱独角戏。

　　可以从中得到的启示是，组织现在需要做到：假定有虎视眈眈、全副武装的入侵者完全能实施此类攻击，并为此做好准备。其中的关键在于深度防御以及恰当的虚拟机部署和设计，具体包括：在同一个主系统中，针对不同的虚拟机，采取不同的安全政策，制定不同的要求。

　　为了获取有关读者准备情况的信息，我们进行了一项调研，结果令人大跌眼镜。我们无法不得出这样的结论：43%的受访者认为虚拟机像传统环境一样安全，他们过于乐观了。事实上，在384位参与调查的IT运营和安全专业人士中，只有屈屈12%的公司正式部署了保护虚拟机安全的策略。

　　现在，有很多组织纷纷表示，他们依赖现有的IT政策和工具包来管理和保护虚拟机，从某种角度上说这不无道理。诚然，虚拟化环境面临着与传统服务器相同的运营威胁和风险，但除此之外，摆在它们面前的还有其他陷阱，从Intrahost攻击(参见图)，到对第三方虚拟机管理程序驱动程序插件进行评估，再到制定公司信息安全政策所需的各类信息，令其难以招架。

　　让我们看看：如果一台传统的1U服务器的安全遭到威胁，你可能会觉得面上无光，接着重新对之进行部署，对系统遭到的破坏进行分析，修复系统，然后一切恢复正常。多数组织的IT部门都建立了相应的策略，以防止内部灾难的扩大，他们也都部署有第二和第三防御阵营，以阻止系统安全接二连三地受到威胁。其中的问题在于，鲜有网络监测和管理工具有能力保护客户虚拟机。当传统服务器受到攻击，开始显示乱码或者出现可疑行为时，系统会发出警报。在"装在盒子中的数据中心"内，如果虚拟机之间全部采取机-机通信时，你那久经考验的网络监测工具的有效程度能有多高?在你发现大难临头之前，居心叵测的攻击者需要多长时间可完成对你系统内部弱点的探查和测试，并用之实施攻击?

　　在特定的虚拟机环境中，对于系统安全的深深的忧虑可谓无处不在，人们应该这样吗?这句话问到点上了，滚滚浓烟的含意再显而易见不过--它警告人们危险即将来临。

　　夯实地基

　　欲从理论上对风险进行评估，并确定在哪里运行带有旧攻击点的新应用软件而不致受到攻击，你都需要理解虚拟化主机的根本设计原理。

　　虚拟化软件可建立抽象层，从而将客户操作系统与其所依赖的硬件分离，使在一台服务器上运行多台虚拟机变为现实。虚拟机有赖于整齐化一的虚拟机管理程序，而后者以短小的特定代码库为基础，构成抽象层。这种做法的优点在于，托管应用软件的性能几乎可与独立软件比肩。目前，VMware ESX、英特尔公司(Intel)的博锐平台(VPro)、Virtual Iron、以及XenEnterprise等定位于企业级服务器市场的产品，均采用虚拟机系统管理程序技术。

　　与此相对，桌面虚拟机和微软公司(Microsoft)的虚拟服务器产品则采用传统的"胖操作系统"模式。在这些模式下，客户虚拟机运行于成熟完善的主操作系统之上。