許多公司都已經(jīng)配置了虛擬化架構(gòu)來降低成本，提高效率，但是虛擬化方面的安全專家表示，這些公司應(yīng)該再次評估他們的安全措施，從而解決這一技術(shù)所造成的缺陷。

像過去一樣，當(dāng)采用物理架構(gòu)和系統(tǒng)來滿足商業(yè)需求時，在許多早期虛擬化配置中安全需求一般被放在次要位置，DaveShackleford說道（Shackleford是VoodooSecurity公司的創(chuàng)始人兼首席顧問，該公司的總部位于亞特蘭大）。但好的消息是，用于防御物理系統(tǒng)免受攻擊的策略可以用于解決虛擬化安全風(fēng)險，Shackleford表示。

“你仍然需要監(jiān)測網(wǎng)絡(luò)流量，同時還需要解決一些配置和補丁管理方面的問題。”Shackleford說，“從網(wǎng)絡(luò)的角度來看，真正的改變僅僅是你現(xiàn)在可以通過同一個通道傳輸更多的流量。”

虛擬化打破了物理系統(tǒng)的界限，將網(wǎng)絡(luò)轉(zhuǎn)化成了各種配置和內(nèi)存中的快照文件。該技術(shù)使用一個管理程序，使得硬件可以支持多個系統(tǒng)在一個物理平臺上同時運行。Shackleford稱虛擬化平臺具有“令人難以置信的適應(yīng)性”。推出這些平臺的公司有VMware、CitrixSystems和Microsoft等廠商，并不斷的對其漏洞進行修補。

這些對虛擬系統(tǒng)的威脅，比如：利用管理程序和其他組件發(fā)起的攻擊，目前已得到了相關(guān)的概念驗證，Shackleford說道。研究人員已經(jīng)記錄了侵入一個虛擬服務(wù)器并擁有一個虛擬機的復(fù)雜方法，不過至今利用虛擬機來攻擊的風(fēng)險還是很低的。事實上，最新的Verizon數(shù)據(jù)泄漏調(diào)查報告顯示：所有這些被調(diào)查的泄漏案件中——超過了923個獨立案件——沒有一個是涉及利用管理程序來允許攻擊者越過虛擬機的。

除了被記錄的所有復(fù)雜的攻擊外，Shackleford相信攻擊者更有可能選擇破壞用于支持虛擬機的管理基礎(chǔ)設(shè)施。他說，許多公司都不能將管理基礎(chǔ)設(shè)施從虛擬網(wǎng)絡(luò)的其余部分中完全分隔出來。這個漏洞可以是網(wǎng)絡(luò)犯罪分子用來獲得敏感數(shù)據(jù)的攻擊向量。

“你必須確保管理基礎(chǔ)設(shè)施不僅僅集中在你的生產(chǎn)流量的其余部分，”他說，“這需要額外的工作，但在大多數(shù)情況下，人們不愿再這上面花時間。”

Shackleford是一位經(jīng)認證的SANS研究所講師，他正在改進由該組織舉辦的虛擬化培訓(xùn)，該培訓(xùn)的目的是圍繞具體的最佳策略拓展其范圍。他說，各組織應(yīng)該評估他們的物理安全設(shè)備和系統(tǒng)，看其是否能夠在虛擬基礎(chǔ)架構(gòu)上工作。一些傳統(tǒng)的方法，比如：隔離包含敏感數(shù)據(jù)的系統(tǒng)，確保管理團隊職責(zé)分離，保護管理層不受內(nèi)部和外部的攻擊等等，都應(yīng)該被采用。另外，安全廠商正在針對虛擬化環(huán)境優(yōu)化它們的產(chǎn)品。

AndyEllis是AkamaiTechnologies公司的信息安全高級主管和首席安全架構(gòu)師，他說他的公司在虛擬服務(wù)器上運行基于Java的計算環(huán)境。Akamai的客戶端在這個環(huán)境下運行面向用戶的網(wǎng)絡(luò)應(yīng)用程序，比如：一個網(wǎng)站組件可以用來尋找一個零售地點或者尋找讓網(wǎng)站訪問者可以按需求定制產(chǎn)品的配置工具。Ellis說，這個環(huán)境建立起來后，Akamai可以在需要的時候向基于Java的網(wǎng)絡(luò)應(yīng)用程序傳送計算能力。

為了提供安全性，Ellis的團隊將應(yīng)用程序以及每個單獨的虛擬機限定在了運算系統(tǒng)的核心層。這兩個限定層隔離了進程，并提供了對環(huán)境的嚴密監(jiān)測，他解釋到。

“這里有許多針對應(yīng)用程序的監(jiān)測以確保它在期望的參數(shù)內(nèi)運行。”Ellis說。

虛擬機逃逸和虛擬機失竊

EdwardL.Haletky是AstroArch咨詢公司總裁和首席顧問，他贊同保護虛擬系統(tǒng)應(yīng)從傳統(tǒng)方法開始。將虛擬網(wǎng)絡(luò)分隔成不同的部分并通過入侵防御和入侵預(yù)防系統(tǒng)來運行敏感虛擬機流量。他說，應(yīng)用程序和底層運算系統(tǒng)應(yīng)該被修補和更新。

虛擬機自身也是一個威脅面，Haletky說道。傳統(tǒng)的反惡意軟件能夠掃描內(nèi)存，但是它通常是基于特征的并可以被攻擊者繞過。攻擊者可以利用零日漏洞或者新的惡意軟件變種來繞過反惡意軟件技術(shù)，他補充道。

“從本質(zhì)上講，這是一個與總是名列前茅的黑客的軍備競賽”Haletky說。

研究人員繼續(xù)研究虛擬機逃逸，這種逃逸指一個精明的攻擊者能夠突破虛擬機，獲得管理程序并控制在主機上運行的其他虛擬機。“目前所有公開的逃逸對用于服務(wù)器虛擬化的主要管理程序都是無效的，比如vSphere，XenServer和Hyper-V，”Haletky說道。另一種技術(shù)叫做虛擬機失竊，通過這種技術(shù)，攻擊者可以竊取一個虛擬機文件，然后查看服務(wù)器的內(nèi)容。

“這里有許多不同的攻擊途徑，”Haletky說，“管理程序可以以某種方式自我保護，但是企業(yè)需要對它進行加強，并且應(yīng)該像他們會在物理環(huán)境中做的那樣，添加安全層。”

不過，Haletky認為攻擊者很可能選擇快速的效果。“當(dāng)攻擊者可以突破管理網(wǎng)絡(luò)并得到所有東西時，為什么還費心的去竊取虛擬機并做困難的事情呢？”他說，“由于虛擬機和管理環(huán)境很容易被突破，所以當(dāng)前的管理網(wǎng)絡(luò)規(guī)則要將它從其余所有部分分隔出來。”

現(xiàn)有的工具可以幫助企業(yè)獲得對虛擬網(wǎng)絡(luò)和文件子系統(tǒng)的可視性，但是沒有一個單一的工具可以做所有的事情，Haletky說。虛擬環(huán)境的審核也是一個需要改進的領(lǐng)域。傳統(tǒng)的日志分析工具不能得到完整的情況。“你需要將誰做了什么事情，在哪里，是何時以及如何做的相聯(lián)系起來，但在虛擬環(huán)境中這一點仍然是很難做到的。”他說道。