許多公司都已經(jīng)配置了虛擬化架構(gòu)來降低成本，提高效率，但是虛擬化方面的安全專家表示，這些公司應(yīng)該再次評(píng)估他們的安全措施，從而解決這一技術(shù)所造成的缺陷。

像過去一樣，當(dāng)采用物理架構(gòu)和系統(tǒng)來滿足商業(yè)需求時(shí)，在許多早期虛擬化配置中安全需求一般被放在次要位置，DaveShackleford說道（Shackleford是VoodooSecurity公司的創(chuàng)始人兼首席顧問，該公司的總部位于亞特蘭大）。但好的消息是，用于防御物理系統(tǒng)免受攻擊的策略可以用于解決虛擬化安全風(fēng)險(xiǎn)，Shackleford表示。

“你仍然需要監(jiān)測(cè)網(wǎng)絡(luò)流量，同時(shí)還需要解決一些配置和補(bǔ)丁管理方面的問題。”Shackleford說，“從網(wǎng)絡(luò)的角度來看，真正的改變僅僅是你現(xiàn)在可以通過同一個(gè)通道傳輸更多的流量。”

虛擬化打破了物理系統(tǒng)的界限，將網(wǎng)絡(luò)轉(zhuǎn)化成了各種配置和內(nèi)存中的快照文件。該技術(shù)使用一個(gè)管理程序，使得硬件可以支持多個(gè)系統(tǒng)在一個(gè)物理平臺(tái)上同時(shí)運(yùn)行。Shackleford稱虛擬化平臺(tái)具有“令人難以置信的適應(yīng)性”。推出這些平臺(tái)的公司有VMware、CitrixSystems和Microsoft等廠商，并不斷的對(duì)其漏洞進(jìn)行修補(bǔ)。

這些對(duì)虛擬系統(tǒng)的威脅，比如：利用管理程序和其他組件發(fā)起的攻擊，目前已得到了相關(guān)的概念驗(yàn)證，Shackleford說道。研究人員已經(jīng)記錄了侵入一個(gè)虛擬服務(wù)器并擁有一個(gè)虛擬機(jī)的復(fù)雜方法，不過至今利用虛擬機(jī)來攻擊的風(fēng)險(xiǎn)還是很低的。事實(shí)上，最新的Verizon數(shù)據(jù)泄漏調(diào)查報(bào)告顯示：所有這些被調(diào)查的泄漏案件中——超過了923個(gè)獨(dú)立案件——沒有一個(gè)是涉及利用管理程序來允許攻擊者越過虛擬機(jī)的。

除了被記錄的所有復(fù)雜的攻擊外，Shackleford相信攻擊者更有可能選擇破壞用于支持虛擬機(jī)的管理基礎(chǔ)設(shè)施。他說，許多公司都不能將管理基礎(chǔ)設(shè)施從虛擬網(wǎng)絡(luò)的其余部分中完全分隔出來。這個(gè)漏洞可以是網(wǎng)絡(luò)犯罪分子用來獲得敏感數(shù)據(jù)的攻擊向量。

“你必須確保管理基礎(chǔ)設(shè)施不僅僅集中在你的生產(chǎn)流量的其余部分，”他說，“這需要額外的工作，但在大多數(shù)情況下，人們不愿再這上面花時(shí)間。”

Shackleford是一位經(jīng)認(rèn)證的SANS研究所講師，他正在改進(jìn)由該組織舉辦的虛擬化培訓(xùn)，該培訓(xùn)的目的是圍繞具體的最佳策略拓展其范圍。他說，各組織應(yīng)該評(píng)估他們的物理安全設(shè)備和系統(tǒng)，看其是否能夠在虛擬基礎(chǔ)架構(gòu)上工作。一些傳統(tǒng)的方法，比如：隔離包含敏感數(shù)據(jù)的系統(tǒng)，確保管理團(tuán)隊(duì)職責(zé)分離，保護(hù)管理層不受內(nèi)部和外部的攻擊等等，都應(yīng)該被采用。另外，安全廠商正在針對(duì)虛擬化環(huán)境優(yōu)化它們的產(chǎn)品。

AndyEllis是AkamaiTechnologies公司的信息安全高級(jí)主管和首席安全架構(gòu)師，他說他的公司在虛擬服務(wù)器上運(yùn)行基于Java的計(jì)算環(huán)境。Akamai的客戶端在這個(gè)環(huán)境下運(yùn)行面向用戶的網(wǎng)絡(luò)應(yīng)用程序，比如：一個(gè)網(wǎng)站組件可以用來尋找一個(gè)零售地點(diǎn)或者尋找讓網(wǎng)站訪問者可以按需求定制產(chǎn)品的配置工具。Ellis說，這個(gè)環(huán)境建立起來后，Akamai可以在需要的時(shí)候向基于Java的網(wǎng)絡(luò)應(yīng)用程序傳送計(jì)算能力。

為了提供安全性，Ellis的團(tuán)隊(duì)將應(yīng)用程序以及每個(gè)單獨(dú)的虛擬機(jī)限定在了運(yùn)算系統(tǒng)的核心層。這兩個(gè)限定層隔離了進(jìn)程，并提供了對(duì)環(huán)境的嚴(yán)密監(jiān)測(cè)，他解釋到。

“這里有許多針對(duì)應(yīng)用程序的監(jiān)測(cè)以確保它在期望的參數(shù)內(nèi)運(yùn)行。”Ellis說。

虛擬機(jī)逃逸和虛擬機(jī)失竊

EdwardL.Haletky是AstroArch咨詢公司總裁和首席顧問，他贊同保護(hù)虛擬系統(tǒng)應(yīng)從傳統(tǒng)方法開始。將虛擬網(wǎng)絡(luò)分隔成不同的部分并通過入侵防御和入侵預(yù)防系統(tǒng)來運(yùn)行敏感虛擬機(jī)流量。他說，應(yīng)用程序和底層運(yùn)算系統(tǒng)應(yīng)該被修補(bǔ)和更新。

虛擬機(jī)自身也是一個(gè)威脅面，Haletky說道。傳統(tǒng)的反惡意軟件能夠掃描內(nèi)存，但是它通常是基于特征的并可以被攻擊者繞過。攻擊者可以利用零日漏洞或者新的惡意軟件變種來繞過反惡意軟件技術(shù)，他補(bǔ)充道。

“從本質(zhì)上講，這是一個(gè)與總是名列前茅的黑客的軍備競(jìng)賽”Haletky說。

研究人員繼續(xù)研究虛擬機(jī)逃逸，這種逃逸指一個(gè)精明的攻擊者能夠突破虛擬機(jī)，獲得管理程序并控制在主機(jī)上運(yùn)行的其他虛擬機(jī)。“目前所有公開的逃逸對(duì)用于服務(wù)器虛擬化的主要管理程序都是無效的，比如vSphere，XenServer和Hyper-V，”Haletky說道。另一種技術(shù)叫做虛擬機(jī)失竊，通過這種技術(shù)，攻擊者可以竊取一個(gè)虛擬機(jī)文件，然后查看服務(wù)器的內(nèi)容。

“這里有許多不同的攻擊途徑，”Haletky說，“管理程序可以以某種方式自我保護(hù)，但是企業(yè)需要對(duì)它進(jìn)行加強(qiáng)，并且應(yīng)該像他們會(huì)在物理環(huán)境中做的那樣，添加安全層。”

不過，Haletky認(rèn)為攻擊者很可能選擇快速的效果。“當(dāng)攻擊者可以突破管理網(wǎng)絡(luò)并得到所有東西時(shí)，為什么還費(fèi)心的去竊取虛擬機(jī)并做困難的事情呢？”他說，“由于虛擬機(jī)和管理環(huán)境很容易被突破，所以當(dāng)前的管理網(wǎng)絡(luò)規(guī)則要將它從其余所有部分分隔出來。”

現(xiàn)有的工具可以幫助企業(yè)獲得對(duì)虛擬網(wǎng)絡(luò)和文件子系統(tǒng)的可視性，但是沒有一個(gè)單一的工具可以做所有的事情，Haletky說。虛擬環(huán)境的審核也是一個(gè)需要改進(jìn)的領(lǐng)域。傳統(tǒng)的日志分析工具不能得到完整的情況。“你需要將誰做了什么事情，在哪里，是何時(shí)以及如何做的相聯(lián)系起來，但在虛擬環(huán)境中這一點(diǎn)仍然是很難做到的。”他說道。