|
虛擬化技術實現(xiàn)了多個操作系統(tǒng)在同一臺計算機上運行應用軟件,由于這可更好地管理和利用IT資源���,因此引起了IT管理者的關注��。
然而���,一些IT經(jīng)理和安全研究人員警告企業(yè),采用虛擬化后呈現(xiàn)出的技術問題將使公司系統(tǒng)更容易受到黑客的攻擊����。
一家金融服務公司的技術安全官員Chad Lorenc說,虛擬機的IT安全與合規(guī)性項目遠比運行單一操作系統(tǒng)和應用軟件的服務器更為復雜�����。
“目前,無法找出單一的方案來解決虛擬環(huán)境的安全問題���。而要從客戶��、流程以及技術等多個角度來考慮���。”
虛擬化技術使得企業(yè)可以整合運行在單一服務器多個系統(tǒng)上的應用軟件,這就簡化了管理需求��,并使得IT硬件資源更好地被利用����。然而,盡管這一技術已經(jīng)存在了很多年���,IT企業(yè)直到近期才對這一技術有了濃厚的興趣。同時�,英特爾、AMD��、VMware���、微軟和IBM等公司也研發(fā)了很多產(chǎn)品��。
一家安全公司的技術分析師George Gerchow說����,在IT架構轉而采用虛擬化工具之前,他們必須明白將多個服務器合并為一個并不會改變其安全需求��。
事實上��,他注意到���,每個虛擬服務器分別面臨著與傳統(tǒng)服務器同樣的威脅��。George說:“如果一臺主機容易受到攻擊���,那么所有的虛擬客戶機以及這些虛擬機上的企業(yè)應用軟件也同樣處于危險中。”
因此�,一臺運行虛擬機的服務器面臨著比一臺物理服務器更多的危險。
他注意到����,虛擬化軟件使開發(fā)者、質量保證小組以及其他企業(yè)用戶建立虛擬機的程序變得更加容易��,且不易出現(xiàn)技術漏洞�。如果IT管理人員不著手對之進行控制�,這樣的虛擬機就可能會突然出現(xiàn)���、在系統(tǒng)間進行轉移或者完全消失�。
“IT部門經(jīng)常未做好應對這一復雜系統(tǒng)的準備��,因為他們不了解虛擬機存在于哪臺服務器上��,也不明白哪臺是運行的����、哪臺處于未運行狀態(tài)。”由于不了解虛擬機的運行情況��,公司通常不能在必要時給系統(tǒng)打補丁或者進行升級�����。
給系統(tǒng)打補丁的復雜性
即使IT員工的確了解了虛擬機的運行情況�����,他們仍面臨著安裝補丁或者使系統(tǒng)脫機以執(zhí)行常規(guī)安全升級的問題��。隨著虛擬機數(shù)目的增多�����,系統(tǒng)補丁以及應用軟件升級隨之而來的風險也會逐臺增加�����。
Lorenc建議企業(yè)在創(chuàng)建虛擬服務器時安裝可快速檢查和發(fā)現(xiàn)虛擬機的工具�����。他還建議企業(yè)出臺嚴格的政策以控制虛擬機的數(shù)量的擴充�。同時,對于IT經(jīng)理很重要的一點是對企業(yè)每個應用軟件在虛擬環(huán)境的運行有清醒的認識����。企業(yè)應該為虛擬機建立單獨的補丁流程,并創(chuàng)建嚴格的改進管理政策���,同時限制對虛擬環(huán)境的訪問��。
我們還處在這樣的階段:必須通過改進管理和技術而自己使這一領域的一些操作流程成熟起來�����。
BT Radianzd的首席安全官員Lloyd Hession說����,虛擬化也揭示了一個潛在的網(wǎng)絡訪問路徑控制問題。他注意到這一技術使得有多種訪問需求的不同應用軟件服務器運行在只有單一IP地址的一臺主機上�。因此,IT管理人員應該采用適當?shù)脑L問路徑控制方式來確保一個網(wǎng)絡許可對應一臺主機上的虛擬服務器��。
當前�����,大多數(shù)網(wǎng)絡不是虛擬化的��。很多網(wǎng)絡許可控制技術使得“進入”和“不得進入”的決定是未知的���,無論某臺服務器是不是虛擬機��。
安全專家也注意到來自主要供應商虛擬化工具的擴展功能給黑客和安全研究人員提供一堆未經(jīng)研究的代碼�����,從中可發(fā)現(xiàn)安全漏洞和系統(tǒng)的攻擊方式���。
這個月,微軟發(fā)布了一個補丁以處理其虛擬化軟件的一個漏洞——用戶可在未經(jīng)控制的情況下進入操作系統(tǒng)和應用軟件�,微軟將這一缺陷評價為重要的而非關鍵的。
安全專家說����,隨著虛擬化技術的普及,軟件包中將出現(xiàn)更多這樣的漏洞�。
可能的缺陷
IBM網(wǎng)絡系統(tǒng)部X-Force小組的主管Kris Lamb采用了虛擬機控制工具——管理系統(tǒng)的虛擬化功能,作為黑客對虛擬機攻擊的一個強大的潛在平臺��。
作為硬件和主機不同虛擬機之間的分界���,虛擬機管理器采用了控制臺來管理主機資源��。
據(jù)安全專家說�����,控制軟件通常僅位于某一硬件水平上���,用于發(fā)布無法察覺的對操作系統(tǒng)和應用軟件的攻擊。事實上�,安全研究人員說他們已經(jīng)證明了控制軟件如何開展虛擬機攻擊。比如��,微軟和密歇根大學的研究人員今年年初發(fā)現(xiàn)了SubVirt——可采用“根文件”以在一個操作系統(tǒng)下安裝虛擬機控制器�,這一行為使得研究人員實現(xiàn)了對虛擬機的完全控制���。
一個相似的攻擊方法被稱為Blue Pill,是由Joanne Rutkowska開發(fā)的����。Rutkowska的“根文件”攻擊方法是基于AMD的安全虛擬機,代碼名稱為Pacifica�。其采用與SubVirt攻擊方式類似的方法攻擊虛擬系統(tǒng),然而卻仍未被IT人員發(fā)現(xiàn)�。
本文出自:億恩科技【mszdt.com】
服務器租用/服務器托管中國五強�����!虛擬主機域名注冊頂級提供商��!15年品質保障����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
