虛擬化：最大的風(fēng)險(xiǎn)是心懷不滿的內(nèi)部人員

現(xiàn)在很清楚的是，虛擬化環(huán)境不僅提供了更靈活地管理數(shù)據(jù)中心的機(jī)會(huì)，也為離經(jīng)叛道的管理員提供了一種更有效的攻擊途徑。在虛擬化環(huán)境中，我們可以建立深層防御機(jī)制，遠(yuǎn)遠(yuǎn)勝過(guò)在物理環(huán)境下所能實(shí)現(xiàn)的防御機(jī)制。但是我們剛剛習(xí)慣于這種靈活應(yīng)變、千變?nèi)f化的虛擬機(jī)環(huán)境;而在茜些情況下，我們帶來(lái)了更大的風(fēng)險(xiǎn)，而不是互相加強(qiáng)深層保護(hù)機(jī)制。

以日本制藥公司的北美子公司鹽野義制藥(Shionogi)為例。2010年7月，鹽野義在亞特蘭大辦事處的IT員工Jason Cornish與他經(jīng)理發(fā)生爭(zhēng)執(zhí)后憤然辭職。據(jù)新澤西澤紐瓦克的美國(guó)地方檢察官Paul Fishman提交的案卷顯示，在同一家公司共事15年的一位朋友主張，既然熟悉網(wǎng)絡(luò)，他應(yīng)該繼續(xù)以合同工的身份為鹽野義制藥工作。2010年9月，提供給Cornish的工作被終止了;當(dāng)月晚些時(shí)候，鹽野義制藥宣布裁員，Cornish的朋友也在裁員名單之列。10月1日，這位朋友拒不將網(wǎng)絡(luò)密碼告訴給鹽野義制藥留下來(lái)的管理員，結(jié)果導(dǎo)致他被公司直接炒魷魚。

2月3日，Cornish使用鹽野義制藥的一個(gè)用戶帳戶CVAULT和系統(tǒng)認(rèn)可的密碼，訪問(wèn)了一臺(tái)服務(wù)器，而他在幾周前，將VMware vSphere客戶軟件偷偷安裝在了該服務(wù)器上。鹽野義運(yùn)行一套高度虛擬化的基礎(chǔ)架構(gòu)，Cornish將一臺(tái)筆記本電腦帶到配備了無(wú)線網(wǎng)絡(luò)的麥當(dāng)勞餐廳，進(jìn)而刪掉了鹽野義的電子郵件、黑莓、訂單跟蹤和財(cái)務(wù)管理等服務(wù)器。

總的來(lái)說(shuō)，Cornish只用vSphere客戶軟件就能訪問(wèn)vSphere的虛擬化管理控制臺(tái)，只輕松點(diǎn)擊一下，就徹底刪除了鹽野義的15個(gè)虛擬主機(jī)上的每個(gè)虛擬服務(wù)器。Cornish邊嚼著巨無(wú)霸漢堡和薯?xiàng)l，邊刪掉了88個(gè)虛擬服務(wù)器，而鹽野義的日常業(yè)務(wù)依賴這些虛擬服務(wù)器。

他最后被逮捕了，你不由得會(huì)想鹽野義的防御機(jī)制最后還是勝出了，其實(shí)表明其防御機(jī)制根本不行。

他后來(lái)之所以被逮捕，主要是聯(lián)邦調(diào)查局的網(wǎng)絡(luò)犯罪打擊小組快速介入有關(guān)。在這起攻擊的發(fā)生地紐瓦克和亞特蘭大都有聯(lián)邦調(diào)查局的小組成員。犯罪現(xiàn)場(chǎng)在附近的麥當(dāng)勞餐廳;特工跟蹤查明了攻擊者的IP地址后，查到了這起攻擊來(lái)自那家麥當(dāng)勞餐廳。就在攻擊前幾分鐘，Cornish曾出現(xiàn)在現(xiàn)場(chǎng)，他用信用卡購(gòu)買了4.96美元的食品。他肯定缺錢花。要不然，他的計(jì)劃原本會(huì)得逞——那樣他可能仍逍遙法外，沒(méi)人知曉他與鹽野義蒙受的80萬(wàn)美元損失有直接關(guān)系。

鹽野義發(fā)現(xiàn)，從9月被解雇到次年2月3日發(fā)動(dòng)攻擊，Cornish前后訪問(wèn)系統(tǒng)達(dá)20次，這對(duì)破案也有所幫助。他們發(fā)現(xiàn)了為非作歹的vSphere客戶軟件，進(jìn)而提出了訴訟，最終促使Cornish在8月16日低頭認(rèn)罪。11月10日，他將面臨量刑法官，可能面臨長(zhǎng)達(dá)10年的監(jiān)禁和25萬(wàn)美元的罰款。

但在此案中，正義得到伸張并沒(méi)有給人多少安慰。鹽野義的安全程序似乎很松懈;不過(guò)我知道有幾回，妥善管理的公司也不了解為本公司工作的合同工。即使在前員工迅速被開(kāi)除、合同工受到嚴(yán)格監(jiān)控的情況下，每家公司要保護(hù)自己遠(yuǎn)離內(nèi)賊作案還是有很大的難度。Cornish案并沒(méi)有弄清楚他在何處獲得了有效密碼。在這種情況下，鹽野義有可能采取了正確的措施，保護(hù)自己遠(yuǎn)離某位心懷不滿的員工，隨后卻淪為無(wú)法證明其有罪的另一位員工的受害者。

在IT員工被裁減的那一刻，公司就特別容易受到內(nèi)部人員的攻擊。

不過(guò)，鹽野義本該遵守最佳實(shí)踐：比如對(duì)IT管理員的權(quán)限進(jìn)行限制，限制每個(gè)管理員只能訪問(wèn)一組規(guī)定的服務(wù)器。但是并非只有鹽野義這一家公司才將一般的權(quán)限分配給公司信任的IT工作人員;不然，有時(shí)意味著擁有相應(yīng)技能的人無(wú)法訪問(wèn)相應(yīng)的故障處。鹽野義本該設(shè)置一個(gè)軟件看門狗系統(tǒng)，從而監(jiān)控誰(shuí)登錄到了哪些服務(wù)器、誰(shuí)刪除了服務(wù)器，但是許多公司沒(méi)有落實(shí)能夠從軟件事件查到某個(gè)人的此類保護(hù)機(jī)制。

鹽野義案真正讓人關(guān)注的地方并不在于，多快地伸張了正義，而是多快地造成了嚴(yán)重破壞——這歸因于虛擬化環(huán)境的管理界面。鹽野義的業(yè)務(wù)被迫中斷了好幾天，直到后來(lái)虛擬服務(wù)器被重新構(gòu)建，已知、有效的數(shù)據(jù)被重新創(chuàng)建。

我常常得到積極正面的反饋，說(shuō)在這些新興的虛擬化數(shù)據(jù)中心，IT經(jīng)理具有怎樣驚人的能力。但是有必要記住的一點(diǎn)是，如果使用虛擬化，不是只有好人才得到“上帝般”的權(quán)力。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]