| |
| 虛擬管理的“命門” |
更新時(shí)間:2007-11-9 14:23:17
(
編輯:映君
)
|
內(nèi)容導(dǎo)航:
虛擬管理的“命門”
3月�,高德納公司(Gartner)一語(yǔ)點(diǎn)破了不爭(zhēng)的事實(shí):虛擬化為新攻擊的產(chǎn)生創(chuàng)造了良機(jī),而在博客圈內(nèi)引發(fā)了熱烈的討論����,F(xiàn)在,圍繞著這個(gè)話題的���,仍然是一團(tuán)濃濃的煙霧�,只有時(shí)間才能說(shuō)明,在這厚重的濃煙的背后�,到底有多大的火勢(shì),又是誰(shuí)在那兒"煽風(fēng)點(diǎn)火"�。有一點(diǎn)可以明確的是,新虛擬化安全"設(shè)備"廠商對(duì)此尤為關(guān)注���。盡管如此���,許多企業(yè)已開始認(rèn)識(shí)到,他們當(dāng)初一頭扎進(jìn)虛擬化的旋渦中�,而絲毫沒(méi)有考慮到這種做法對(duì)其數(shù)據(jù)保護(hù)政策的影響,實(shí)乃輕率之舉�。因此,IT專業(yè)人士現(xiàn)已開始切實(shí)擔(dān)心���,對(duì)虛擬機(jī)管理程序的成功攻擊,到底會(huì)在多大程度上消耗企業(yè)的"老本"�。
如果你為此寢食難安,心中的最大疑問(wèn)必定是:現(xiàn)在我們?cè)馐芄舻娘L(fēng)險(xiǎn)到底有多大?高德納在一同份報(bào)告中預(yù)測(cè)到����,無(wú)論如何����,廠商會(huì)在2008年底之前發(fā)現(xiàn)主流產(chǎn)品中需要打補(bǔ)丁的安全漏洞��。這些潛在的安全漏洞又可分為兩大類���。首先�����,如果你能避開客戶操作系統(tǒng)而潛入主操作系統(tǒng)���,那你也就掌握了對(duì)那臺(tái)服務(wù)器上所有其他客戶端操作系統(tǒng)數(shù)據(jù)的訪問(wèn)權(quán)限。其次����,攻擊者也在開發(fā)全新的Rootkit,以充分利用虛擬化技術(shù)的弱點(diǎn)��。
"一直以來(lái)��,攻擊者都在不遺余力地尋找打破VMware客戶操作系統(tǒng)(Guest OS)的方法�����。"安全咨詢機(jī)構(gòu)Neohapsis公司首席技術(shù)官(CTO)格雷格•西普雷(Greg Shipley)指出,他同時(shí)也是《InformationWeek》的特約撰稿人���。"對(duì)于任何組織而言���,虛擬機(jī)管理程序中被安插了Rootkit,都可謂嚴(yán)重的威脅��。但是�,我不認(rèn)為,Rootkit的開發(fā)會(huì)成為一大挑戰(zhàn)��。"
真正令西普雷感興趣的�����,是部署這類Rootkit的過(guò)程���。
"我們需要進(jìn)一步搞清楚��,攻擊者到底采用的到底是哪一種手段:是對(duì)某個(gè)安全漏洞進(jìn)行研究�����,利用此漏洞滲透到客戶操作系統(tǒng)進(jìn)而控制虛擬機(jī)管理程序?qū)����,還是追蹤管理程序并劫取安裝Rootkit所需的信用�����,就像安裝任何其他應(yīng)用軟件一樣?如果我去干這活兒�,我知道該怎么干。"
至于如何攻破客戶圖像���,咨詢公司Intelguardians公司在前不久舉行的SANSFire展上對(duì)這類侵入主操作系統(tǒng)的攻擊進(jìn)行了演示�。但他們并未公布此類安全漏洞的細(xì)節(jié)�,因此我們無(wú)法確切地得知此類攻擊到底成功地攻破了哪部分系統(tǒng)。但毫無(wú)疑問(wèn)���,這些研究人員肯定不是在唱獨(dú)角戲��。
可以從中得到的啟示是���,組織現(xiàn)在需要做到:假定有虎視眈眈、全副武裝的入侵者完全能實(shí)施此類攻擊�,并為此做好準(zhǔn)備�����。其中的關(guān)鍵在于深度防御以及恰當(dāng)?shù)奶撊胫鞑僮飨到y(tǒng)的攻擊進(jìn)行了演示����。但他們并未公布此類安全漏洞的細(xì)節(jié)���,因此我們無(wú)法確切地得知此類攻擊到底成功地攻破了哪部分系統(tǒng)���。但毫無(wú)疑問(wèn),這些研究人員肯定不是在唱獨(dú)角戲�。
可以從中得到的啟示是,組織現(xiàn)在需要做到:假定有虎視眈眈���、全副武裝的入侵者完全能實(shí)施此類攻擊��,并為此做好準(zhǔn)備����。其中的關(guān)鍵在于深度防御以及恰當(dāng)?shù)奶摂M機(jī)部署和設(shè)計(jì)�,具體包括:在同一個(gè)主系統(tǒng)中,針對(duì)不同的虛擬機(jī)�����,采取不同的安全政策����,制定不同的要求。
為了獲取有關(guān)讀者準(zhǔn)備情況的信息�,我們進(jìn)行了一項(xiàng)調(diào)研,結(jié)果令人大跌眼鏡��。我們無(wú)法不得出這樣的結(jié)論:43%的受訪者認(rèn)為虛擬機(jī)像傳統(tǒng)環(huán)境一樣安全�����,他們過(guò)于樂(lè)觀了��。事實(shí)上�����,在384位參與調(diào)查的IT運(yùn)營(yíng)和安全專業(yè)人士中�,只有屈屈12%的公司正式部署了保護(hù)虛擬機(jī)安全的策略。
現(xiàn)在��,有很多組織紛紛表示��,他們依賴現(xiàn)有的IT政策和工具包來(lái)管理和保護(hù)虛擬機(jī),從某種角度上說(shuō)這不無(wú)道理����。誠(chéng)然,虛擬化環(huán)境面臨著與傳統(tǒng)服務(wù)器相同的運(yùn)營(yíng)威脅和風(fēng)險(xiǎn)���,但除此之外��,擺在它們面前的還有其他陷阱�,從Intrahost攻擊(參見圖)�����,到對(duì)第三方虛擬機(jī)管理程序驅(qū)動(dòng)程序插件進(jìn)行評(píng)估����,再到制定公司信息安全政策所需的各類信息,令其難以招架�。
讓我們看看:如果一臺(tái)傳統(tǒng)的1U服務(wù)器的安全遭到威脅,你可能會(huì)覺(jué)得面上無(wú)光�,接著重新對(duì)之進(jìn)行部署,對(duì)系統(tǒng)遭到的破壞進(jìn)行分析�����,修復(fù)系統(tǒng),然后一切恢復(fù)正常��。多數(shù)組織的IT部門都建立了相應(yīng)的策略��,以防止內(nèi)部災(zāi)難的擴(kuò)大���,他們也都部署有第二和第三防御陣營(yíng),以阻止系統(tǒng)安全接二連三地受到威脅��。其中的問(wèn)題在于�,鮮有網(wǎng)絡(luò)監(jiān)測(cè)和管理工具有能力保護(hù)客戶虛擬機(jī)。當(dāng)傳統(tǒng)服務(wù)器受到攻擊�,開始顯示亂碼或者出現(xiàn)可疑行為時(shí),系統(tǒng)會(huì)發(fā)出警報(bào)�。在"裝在盒子中的數(shù)據(jù)中心"內(nèi),如果虛擬機(jī)之間全部采取機(jī)-機(jī)通信時(shí)��,你那久經(jīng)考驗(yàn)的網(wǎng)絡(luò)監(jiān)測(cè)工具的有效程度能有多高?在你發(fā)現(xiàn)大難臨頭之前����,居心叵測(cè)的攻擊者需要多長(zhǎng)時(shí)間可完成對(duì)你系統(tǒng)內(nèi)部弱點(diǎn)的探查和測(cè)試,并用之實(shí)施攻擊?
在特定的虛擬機(jī)環(huán)境中�,對(duì)于系統(tǒng)安全的深深的憂慮可謂無(wú)處不在,人們應(yīng)該這樣嗎?這句話問(wèn)到點(diǎn)上了�,滾滾濃煙的含意再顯而易見不過(guò)--它警告人們危險(xiǎn)即將來(lái)臨��。
夯實(shí)地基
欲從理論上對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估��,并確定在哪里運(yùn)行帶有舊攻擊點(diǎn)的新應(yīng)用軟件而不致受到攻擊���,你都需要理解虛擬化主機(jī)的根本設(shè)計(jì)原理。
虛擬化軟件可建立抽象層�����,從而將客戶操作系統(tǒng)與其所依賴的硬件分離�����,使在一臺(tái)服務(wù)器上運(yùn)行多臺(tái)虛擬機(jī)變?yōu)楝F(xiàn)實(shí)���。虛擬機(jī)有賴于整齊化一的虛擬機(jī)管理程序����,而后者以短小的特定代碼庫(kù)為基礎(chǔ)���,構(gòu)成抽象層����。這種做法的優(yōu)點(diǎn)在于,托管應(yīng)用軟件的性能幾乎可與獨(dú)立軟件比肩�����。目前�,VMware ESX、英特爾公司(Intel)的博銳平臺(tái)(VPro)���、Virtual Iron���、以及XenEnterprise等定位于企業(yè)級(jí)服務(wù)器市場(chǎng)的產(chǎn)品�,均采用虛擬機(jī)系統(tǒng)管理程序技術(shù)。
與此相對(duì)�����,桌面虛擬機(jī)和微軟公司(Microsoft)的虛擬服務(wù)器產(chǎn)品則采用傳統(tǒng)的"胖操作系統(tǒng)"模式����。在這些模式下,客戶虛擬機(jī)運(yùn)行于成熟完善的主操作系統(tǒng)之上��。
更多相關(guān):
投影機(jī)
|
文章來(lái)源:中國(guó)投影網(wǎng)
|
|
|
|
|
|
| |
|
|
|
|
