|
環(huán)境更安全——可以防御的邏輯邊界比物理邊界更多��。任由虛擬化環(huán)境暴露在攻擊者面前�����,這個(gè)過錯(cuò)不在于我們的運(yùn)氣�,甚至也不在于我們的虛擬機(jī)管理程序,而在于我們自己��。
現(xiàn)在很清楚的是���,虛擬化環(huán)境不僅提供了更靈活地管理數(shù)據(jù)中心的機(jī)會(huì)�����,也為離經(jīng)叛道的管理員提供了一種更有效的攻擊途徑���。在虛擬化環(huán)境中�,我們可以建立深層防御機(jī)制�,遠(yuǎn)遠(yuǎn)勝過在物理環(huán)境下所能實(shí)現(xiàn)的防御機(jī)制。但是我們剛剛習(xí)慣于這種靈活應(yīng)變���、千變?nèi)f化的虛擬機(jī)環(huán)境;而在茜些情況下���,我們帶來了更大的風(fēng)險(xiǎn),而不是互相加強(qiáng)深層保護(hù)機(jī)制�����。
以日本制藥公司的北美子公司鹽野義制藥(Shionogi)為例�。2010年7月,鹽野義在亞特蘭大辦事處的IT員工Jason Cornish與他經(jīng)理發(fā)生爭(zhēng)執(zhí)后憤然辭職��。據(jù)新澤西澤紐瓦克的美國地方檢察官Paul Fishman提交的案卷顯示���,在同一家公司共事15年的一位朋友主張����,既然熟悉網(wǎng)絡(luò)���,他應(yīng)該繼續(xù)以合同工的身份為鹽野義制藥工作�����。2010年9月�,提供給Cornish的工作被終止了;當(dāng)月晚些時(shí)候�����,鹽野義制藥宣布裁員����,Cornish的朋友也在裁員名單之列。10月1日����,這位朋友拒不將網(wǎng)絡(luò)密碼告訴給鹽野義制藥留下來的管理員,結(jié)果導(dǎo)致他被公司直接炒魷魚���。
2月3日�,Cornish使用鹽野義制藥的一個(gè)用戶帳戶CVAULT和系統(tǒng)認(rèn)可的密碼��,訪問了一臺(tái)服務(wù)器��,而他在幾周前�,將VMware vSphere客戶軟件偷偷安裝在了該服務(wù)器上�����。鹽野義運(yùn)行一套高度虛擬化的基礎(chǔ)架構(gòu)��,Cornish將一臺(tái)筆記本電腦帶到配備了無線網(wǎng)絡(luò)的麥當(dāng)勞餐廳����,進(jìn)而刪掉了鹽野義的電子郵件����、黑莓、訂單跟蹤和財(cái)務(wù)管理等服務(wù)器���。
總的來說��,Cornish只用vSphere客戶軟件就能訪問vSphere的虛擬化管理控制臺(tái)�����,只輕松點(diǎn)擊一下����,就徹底刪除了鹽野義的15個(gè)虛擬主機(jī)上的每個(gè)虛擬服務(wù)器。Cornish邊嚼著巨無霸漢堡和薯?xiàng)l��,邊刪掉了88個(gè)虛擬服務(wù)器�����,而鹽野義的日常業(yè)務(wù)依賴這些虛擬服務(wù)器��。
他最后被逮捕了���,你不由得會(huì)想鹽野義的防御機(jī)制最后還是勝出了,其實(shí)表明其防御機(jī)制根本不行���。
他后來之所以被逮捕�,主要是聯(lián)邦調(diào)查局的網(wǎng)絡(luò)犯罪打擊小組快速介入有關(guān)�。在這起攻擊的發(fā)生地紐瓦克和亞特蘭大都有聯(lián)邦調(diào)查局的小組成員。犯罪現(xiàn)場(chǎng)在附近的麥當(dāng)勞餐廳;特工跟蹤查明了攻擊者的IP地址后�,查到了這起攻擊來自那家麥當(dāng)勞餐廳。就在攻擊前幾分鐘�����,Cornish曾出現(xiàn)在現(xiàn)場(chǎng)���,他用信用卡購買了4.96美元的食品���。他肯定缺錢花��。要不然���,他的計(jì)劃原本會(huì)得逞——那樣他可能仍逍遙法外,沒人知曉他與鹽野義蒙受的80萬美元損失有直接關(guān)系�。
鹽野義發(fā)現(xiàn),從9月被解雇到次年2月3日發(fā)動(dòng)攻擊����,Cornish前后訪問系統(tǒng)達(dá)20次,這對(duì)破案也有所幫助��。他們發(fā)現(xiàn)了為非作歹的vSphere客戶軟件�����,進(jìn)而提出了訴訟���,最終促使Cornish在8月16日低頭認(rèn)罪��。11月10日�����,他將面臨量刑法官��,可能面臨長(zhǎng)達(dá)10年的監(jiān)禁和25萬美元的罰款���。
但在此案中����,正義得到伸張并沒有給人多少安慰��。鹽野義的安全程序似乎很松懈;不過我知道有幾回��,妥善管理的公司也不了解為本公司工作的合同工�。即使在前員工迅速被開除�����、合同工受到嚴(yán)格監(jiān)控的情況下����,每家公司要保護(hù)自己遠(yuǎn)離內(nèi)賊作案還是有很大的難度。Cornish案并沒有弄清楚他在何處獲得了有效密碼��。在這種情況下,鹽野義有可能采取了正確的措施�����,保護(hù)自己遠(yuǎn)離某位心懷不滿的員工�����,隨后卻淪為無法證明其有罪的另一位員工的受害者�。
在IT員工被裁減的那一刻,公司就特別容易受到內(nèi)部人員的攻擊��。
不過�,鹽野義本該遵守最佳實(shí)踐:比如對(duì)IT管理員的權(quán)限進(jìn)行限制,限制每個(gè)管理員只能訪問一組規(guī)定的服務(wù)器���。但是并非只有鹽野義這一家公司才將一般的權(quán)限分配給公司信任的IT工作人員;不然�,有時(shí)意味著擁有相應(yīng)技能的人無法訪問相應(yīng)的故障處�����。鹽野義本該設(shè)置一個(gè)軟件看門狗系統(tǒng)���,從而監(jiān)控誰登錄到了哪些服務(wù)器��、誰刪除了服務(wù)器�,但是許多公司沒有落實(shí)能夠從軟件事件查到某個(gè)人的此類保護(hù)機(jī)制。
鹽野義案真正讓人關(guān)注的地方并不在于����,多快地伸張了正義,而是多快地造成了嚴(yán)重破壞——這歸因于虛擬化環(huán)境的管理界面�。鹽野義的業(yè)務(wù)被迫中斷了好幾天,直到后來虛擬服務(wù)器被重新構(gòu)建����,已知、有效的數(shù)據(jù)被重新創(chuàng)建��。
我常常得到積極正面的反饋��,說在這些新興的虛擬化數(shù)據(jù)中心�,IT經(jīng)理具有怎樣驚人的能力��。但是有必要記住的一點(diǎn)是�,如果使用虛擬化,不是只有好人才得到“上帝般”的權(quán)力����。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商�!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
