【51CTO 9月13號外電】環(huán)境更安全——可以防御的邏輯邊界比物理邊界更多。任由虛擬化環(huán)境暴露在攻擊者面前，這個過錯不在于我們的運(yùn)氣，甚至也不在于我們的虛擬機(jī)管理程序，而在于我們自己。

　　現(xiàn)在很清楚的是，虛擬化環(huán)境不僅提供了更靈活地管理數(shù)據(jù)中心的機(jī)會，也為離經(jīng)叛道的管理員提供了一種更有效的攻擊途徑。在虛擬化環(huán)境中，我們可以建立深層防御機(jī)制，遠(yuǎn)遠(yuǎn)勝過在物理環(huán)境下所能實(shí)現(xiàn)的防御機(jī)制。但是我們剛剛習(xí)慣于這種靈活應(yīng)變、千變?nèi)f化的虛擬機(jī)環(huán)境;而在茜些情況下，我們帶來了更大的風(fēng)險，而不是互相加強(qiáng)深層保護(hù)機(jī)制。

　　以日本制藥公司的北美子公司鹽野義制藥(Shionogi)為例。2010年7月，鹽野義在亞特蘭大辦事處的IT員工Jason Cornish與他經(jīng)理發(fā)生爭執(zhí)后憤然辭職。據(jù)新澤西澤紐瓦克的美國地方檢察官Paul Fishman提交的案卷顯示，在同一家公司共事15年的一位朋友主張，既然熟悉網(wǎng)絡(luò)，他應(yīng)該繼續(xù)以合同工的身份為鹽野義制藥工作。2010年9月，提供給Cornish的工作被終止了;當(dāng)月晚些時候，鹽野義制藥宣布裁員，Cornish的朋友也在裁員名單之列。10月1日，這位朋友拒不將網(wǎng)絡(luò)密碼告訴給鹽野義制藥留下來的管理員，結(jié)果導(dǎo)致他被公司直接炒魷魚。

　　2月3日，Cornish使用鹽野義制藥的一個用戶帳戶CVAULT和系統(tǒng)認(rèn)可的密碼，訪問了一臺服務(wù)器，而他在幾周前，將VMware vSphere客戶軟件偷偷安裝在了該服務(wù)器上。鹽野義運(yùn)行一套高度虛擬化的基礎(chǔ)架構(gòu)，Cornish將一臺筆記本電腦帶到配備了無線網(wǎng)絡(luò)的麥當(dāng)勞餐廳，進(jìn)而刪掉了鹽野義的電子郵件、黑莓、訂單跟蹤和財(cái)務(wù)管理等服務(wù)器。

　　總的來說，Cornish只用vSphere客戶軟件就能訪問vSphere的虛擬化管理控制臺，只輕松點(diǎn)擊一下，就徹底刪除了鹽野義的15個虛擬主機(jī)上的每個虛擬服務(wù)器。Cornish邊嚼著巨無霸漢堡和薯?xiàng)l，邊刪掉了88個虛擬服務(wù)器，而鹽野義的日常業(yè)務(wù)依賴這些虛擬服務(wù)器。

　　他最后被逮捕了，你不由得會想鹽野義的防御機(jī)制最后還是勝出了，其實(shí)表明其防御機(jī)制根本不行。

　　他后來之所以被逮捕，主要是聯(lián)邦調(diào)查局的網(wǎng)絡(luò)犯罪打擊小組快速介入有關(guān)。在這起攻擊的發(fā)生地紐瓦克和亞特蘭大都有聯(lián)邦調(diào)查局的小組成員。犯罪現(xiàn)場在附近的麥當(dāng)勞餐廳;特工跟蹤查明了攻擊者的IP地址后，查到了這起攻擊來自那家麥當(dāng)勞餐廳。就在攻擊前幾分鐘，Cornish曾出現(xiàn)在現(xiàn)場，他用信用卡購買了4.96美元的食品。他肯定缺錢花。要不然，他的計(jì)劃原本會得逞——那樣他可能仍逍遙法外，沒人知曉他與鹽野義蒙受的80萬美元損失有直接關(guān)系。

　　鹽野義發(fā)現(xiàn)，從9月被解雇到次年2月3日發(fā)動攻擊，Cornish前后訪問系統(tǒng)達(dá)20次，這對破案也有所幫助。他們發(fā)現(xiàn)了為非作歹的vSphere客戶軟件，進(jìn)而提出了訴訟，最終促使Cornish在8月16日低頭認(rèn)罪。11月10日，他將面臨量刑法官，可能面臨長達(dá)10年的監(jiān)禁和25萬美元的罰款。

　　但在此案中，正義得到伸張并沒有給人多少安慰。鹽野義的安全程序似乎很松懈;不過我知道有幾回，妥善管理的公司也不了解為本公司工作的合同工。即使在前員工迅速被開除、合同工受到嚴(yán)格監(jiān)控的情況下，每家公司要保護(hù)自己遠(yuǎn)離內(nèi)賊作案還是有很大的難度。Cornish案并沒有弄清楚他在何處獲得了有效密碼。在這種情況下，鹽野義有可能采取了正確的措施，保護(hù)自己遠(yuǎn)離某位心懷不滿的員工，隨后卻淪為無法證明其有罪的另一位員工的受害者。

　　在IT員工被裁減的那一刻，公司就特別容易受到內(nèi)部人員的攻擊。

　　不過，鹽野義本該遵守最佳實(shí)踐：比如對IT管理員的權(quán)限進(jìn)行限制，限制每個管理員只能訪問一組規(guī)定的服務(wù)器。但是并非只有鹽野義這一家公司才將一般的權(quán)限分配給公司信任的IT工作人員;不然，有時意味著擁有相應(yīng)技能的人無法訪問相應(yīng)的故障處。鹽野義本該設(shè)置一個軟件看門狗系統(tǒng)，從而監(jiān)控誰登錄到了哪些服務(wù)器、誰刪除了服務(wù)器，但是許多公司沒有落實(shí)能夠從軟件事件查到某個人的此類保護(hù)機(jī)制。

　　鹽野義案真正讓人關(guān)注的地方并不在于，多快地伸張了正義，而是多快地造成了嚴(yán)重破壞——這歸因于虛擬化環(huán)境的管理界面。鹽野義的業(yè)務(wù)被迫中斷了好幾天，直到后來虛擬服務(wù)器被重新構(gòu)建，已知、有效的數(shù)據(jù)被重新創(chuàng)建。

　　我常常得到積極正面的反饋，說在這些新興的虛擬化數(shù)據(jù)中心，IT經(jīng)理具有怎樣驚人的能力。但是有必要記住的一點(diǎn)是，如果使用虛擬化，不是只有好人才得到“上帝般”的權(quán)力。

　　譯文來源： http://www.informationweek.com/news/security/vulnerabilities/231600871

       【51CTO.com獨(dú)家譯稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請注明原文出處及出處！】