2009年走过了将近一半,我们看到虚拟服务器正在按部就班的发展。所有之前的疯狂预测,包括第三方虚拟化API、虚拟NIC驱动、大规模客户升级,还有对hypervisor的入侵,暂时还没有大规模爆发的迹象,但关于虚拟化未来美好的前景而言,是毋庸置疑的。关于虚拟化的安全性,在真实世界中唯一出现的主要供应商的脆弱性报告是微软的升级漏洞,而这是有关Xbox 360中运行的嵌入hypervisor,在Hyper-V或Virtual PC中没有发现漏洞。
无论如何,虚拟化已经成为主流,在过去几年中虚拟机大量占据了数据中心,IT安全专家们在不断重复着hypervisor如果受侵会带来的可怕后果。黑帽大会在继续讨论潜在的风险和漏洞。Gartner预计去年年底hypervisor就会出现需要修补的大漏洞,很高兴他们没有预测对。而VMware在2008年也发布了19个小型的安全补丁,甚至有人提出安全仍是服务器虚拟化发展的最大阻力。
但现实情况是,虚拟化是简单的软件问题。它本质上还是软件,无论怎样严格书写,效率有多高,在代码和设计上总会出现缺陷,并且会越来越多,这和任何复杂的,广泛流行的应用程序都是一样的,避免一部分虚拟化安全陷阱。
因此,什么才是最可能出现的威胁?虚拟服务器只是服务器。虚拟化的硬件抽象和灵活性让你能够更容易地进行创建、部署和安排,同时也更容易出现问题甚至丢失。在虚拟世界,你的最大威胁不是挥舞着BIOS病毒或者想方设法控制主机的坏人。相反,最薄弱的环节可能是你自己,如果你缺乏规划,不知道怎样照顾、维护和管理狂野的虚拟农场。
搭建常规防御
无论是小型还是大型的虚拟商店都有一个长长的安全问题清单。你应该关注潜在的漏洞,避免客户虚拟机威胁到主机或hypervisor,信息安全咨询公司Neohapsis的CTO Greg Shipley说,但你应该更关心没打补丁的客户虚拟机,防止它们遗忘在测试主机,或者由于不完善的现场迁移规则在主机间穿梭。
每个人都可以从基本的风险管理思想中受益,Shipley说。大多数企业都有基本的安全设计和底层架构,用来搭建物理和虚拟环境。虽然是老生常谈,但从总体上解决安全问题比任何单一用途的虚拟机工具都更有效。也可以说,先把你的物理环境搭建好,然后才能谈到虚拟机的安全问题。
任何没打补丁的服务器都会带来安全风险,更不用说那些管理权下放给业务部门或开发团队的测试或生产虚拟机,这是严重的风险所在。即使你拥有自动化的补丁管理系统或正式的内部补丁管理策略,你仍不能百分百的确信所有的虚拟机操作系统和应用实例都是最新的。攻击者将会搜寻你的网络,从普遍的漏洞开始,比如没打补丁的Win2K3服务器上的漏洞。坏人不会在乎服务器是物理的还是虚拟的,他们只是寻找可以攻破的目标。
传统的自动修补策略不考虑离线服务器。在物理世界中,一个断了电的服务器是无法工作的。但在虚拟世界,暂停或存档的服务器可以通过虚拟化补丁管理工具进行更新。虚拟机模板和基准镜像必须保证维护和修补,当然我们也不妨从原始的物理机安全防御体系中吸取营养。
将单点故障降到最低
假设所有的服务器都在你控制之下,那就来解决其他的共同风险。如果你想进一步巩固服务器,请留意单点故障。在供应商免费提供的入门级平台上运行多个生产虚拟机不会让你省钱。它们性能受限,或这没有现场迁移能力,这还意味着你的虚拟机都被困在同一台物理服务器上。如果有一天这台物理服务器出了问题,你所有的虚拟机都会掉线,多个系统都会中断。
在过去,你可以靠传统的一台服务器一个盒子的模型合理的避开风险和硬件故障。但在虚拟世界里,随着每台主机上的客户机越来越多,风险也越来越大。因此,在试图通过整合来节省资金的同时,也必须准备好以防万一的计划。
基本的设计方案应该包括至少三台主机,提供现场迁移选择,增强高峰性能,以及保证硬件升级、维护和打补丁的灵活性,确保不出现生产中断。几乎所有的虚拟化供应商都已经增加了入门级的功能,但获得真正高可用性的唯一方法也只有支付更高的许可费,你需要从虚拟化节约的成本中划出这部分费用。
在软件支持上,Citrix的XenServer提供免费的XenMotion,具有高可用性功能。微软承诺Hyper-V今年晚些时候也会具有现场迁移能力。VMware的vSphere Essentials Plus针对小企业提供三台服务器的集中管理,具有高可用性,而更进一步的vSphere Advanced拥有普遍用途的vMotion,性能更加出众。
检查物理主机内部
当被入侵的客户服务器开始传染其他服务器时,就会发生“混合威胁”。传统的安全工具可以在物理堆栈检测到异常行为,并发出警报。但是,由于虚拟化网络的通信方式设计在一台单一的物理主机里,黑客可能利用被入侵的虚拟机攻击同一台主机上的其他虚拟机。这样传统的通过网线的监测系统是不能发出警报的。
一些供应商开发了虚拟安全设备来对付这种阴暗的行为,寻找不经过物理网线的虚拟网络流量,并提供虚拟防火墙和入侵检测和预防。VMware在其VMsafe旗下有很多合作伙伴,提供特有的安全API,目的是使虚拟机的可见度能够类似于我们已经习惯的传统物理IP安全方式。
加强控制
所有的主要供应商和少数第三方供应商提供了集中式的虚拟农场管理工具。管理员可以从单独的控制台控制和查看每一个虚拟机,这些工具是跨平台的,从而能够控制不同结构的环境。但是,这些控制台也存在着管理权限和角色的冲突。在过去,大企业可以依靠物理手段来进行访问限制,控制谁可以碰到某一台特定的服务器。而虚拟化移除了那些墙壁,基于网络的控制台可以让任何人坐在办公桌前操纵虚拟农场。
虚拟机的管理和服务器管理员的职责应当明确界定。处理敏感的医疗、金融或其他重要隐秘数据的服务器必须明确区别开。对所有虚拟设备、控制台和CLI管理应进行周密的考虑,IP接入规则和网络管理条例也必须明确界定。
避免交叉对话
除了对主机网络的管理,对虚拟机迁移渠道的控制也应成为你主要考虑的问题,这关系到网络的性能和安全性。无论是vMotion还是XenMotion都拥有在两台主机之间现场迁移虚拟机的良好能力。数据传输应该发生在类似于iSCSI SAN的私有安全网络结构上。为现场迁移而设置专门的网络分段在所有虚拟主机平台上都应该是理所当然的工作。
关于虚拟化安全市场上的众多新产品,Neohapsis公司的Shipley说,他没有看到任何值得花钱的东西。大多数企业“应该把建立虚拟环境下的标准操作流程放在第一位,”他说,“太多的企业缺乏基本的管理、漏洞和补丁管理工具。”
把基本的东西做到位之后,在虚拟机防火墙或主机内部的虚拟安全设备上继续投资才会变得有意义。(
