1.摘要

在IT和網(wǎng)絡(luò)世界，虛擬化已在短時間內(nèi)產(chǎn)生了巨大的影響，并已經(jīng)提供了巨大的成本節(jié)省和高投資回報率的數(shù)據(jù)中心、企業(yè)和云計算。從安全角度，對于虛擬化和虛擬化環(huán)境似乎是缺乏實質(zhì)性和滯后的理解。一些人認為虛擬化比傳統(tǒng)環(huán)境更加安全，因為他們聽說過虛擬機之間的隔離，卻沒有聽說過任何關(guān)于虛擬機管理程序的成功攻擊。另外一些人認為，新的虛擬化環(huán)境需要像傳統(tǒng)的物理環(huán)境一樣需要安全，因此需要在適當(dāng)?shù)奈恢脩?yīng)用持續(xù)有效的安全加固方法。但是新的環(huán)境更加復(fù)雜，并且虛擬環(huán)境加入到現(xiàn)網(wǎng)環(huán)境創(chuàng)建一個新的網(wǎng)絡(luò)時，需要一種新的安全的方法。這就包括傳統(tǒng)的安全以及虛擬化方面的安全。本文簡述了識別由虛擬化引起的差異、問題、挑戰(zhàn)、風(fēng)險等等。并期待為客戶提供良好的建議和最佳實踐以保證當(dāng)虛擬環(huán)境加入到現(xiàn)網(wǎng)環(huán)境時與原來一樣安全。

2.介紹

盡管這是一個可以追溯到五十多年前的概念，但是在目前及未來，該項技術(shù)在應(yīng)用程序方面仍將成長與發(fā)展。實際上，當(dāng)今一半的服務(wù)器運行在虛擬機上。1、到2014年，70%的工作負載運行在虛擬機上。2、我們需要跟上技術(shù)的進步，并且需要廣泛部署安全的虛擬化組件和虛擬化環(huán)境。讓我們看看那些目前由虛擬化帶來的效益。

3.虛擬化帶來的安全好處

以下是引入虛擬化環(huán)境的一些好處：

在虛擬化環(huán)境中，采用集中存儲來防止數(shù)據(jù)丟失，如設(shè)備丟失、竊取及重要數(shù)據(jù)被破壞。

當(dāng)虛擬機和應(yīng)用程序被正確隔離時，在一個操作系統(tǒng)只有一個應(yīng)用程序會受到攻擊的影響。

當(dāng)配置正確時，虛擬環(huán)境提供了靈活性，它允許系統(tǒng)不必分享那些至關(guān)重要的信息。

如果一個虛擬機被感染，它可以回滾到被攻擊前的一個安全狀態(tài)。

因為硬件設(shè)備及數(shù)據(jù)中心的減少，使虛擬化提高了物理安全性。

桌面虛擬化的部署可以更好的控制用戶環(huán)境。一個管理員可以創(chuàng)建并控制一個“鏡像”，并向下發(fā)送到用戶的計算機。該技術(shù)提供了更好的系統(tǒng)給控制，以保證滿足組織的安全策略需求。

服務(wù)器虛擬化可以帶來更好的事故處理，因為服務(wù)器可以恢復(fù)到以前的狀態(tài)，以便審查之前和攻擊期間發(fā)生了什么。

系統(tǒng)和網(wǎng)絡(luò)管理的訪問控制以及職責(zé)分離可以被改善，通過只分配給特定個人控制虛擬環(huán)境內(nèi)部網(wǎng)絡(luò)，而其他人處理在DMZ區(qū)的虛擬機。例如你能有特定的管理員處理Windows服務(wù)器，而另一些人處理Linux服務(wù)器。

虛擬機管理軟件比較小并且不復(fù)雜。它提供了很小的攻擊面，程序以很小的攻擊面運行，減少了潛在的脆弱性。

請注意，我們已經(jīng)描述了上述的一些好處，如“如果配置或設(shè)置不當(dāng)”。虛擬化是非常復(fù)雜的，所

以它必須是正確的，以保證獲得上述優(yōu)勢。

4.虛擬化面臨的安全挑戰(zhàn)、風(fēng)險和問題

現(xiàn)在我們已經(jīng)看到了虛擬化的一些優(yōu)勢，下面讓我們一起來看看一些挑戰(zhàn)、風(fēng)險和問題。

4.1主客之間的文件共享

當(dāng)使用文件共享時，一個有問題的客體可以訪問主機的文件系統(tǒng)，并修改用于共享的目錄。

當(dāng)剪貼板共享和拖拽被用于主客機時，或者當(dāng)應(yīng)用程序編程接口被用于編程，在這些領(lǐng)域的穩(wěn)定性漏洞可以最終影響整個基礎(chǔ)設(shè)施。

4.2快照

當(dāng)快照被恢復(fù)時，你所做的任何對配置的更改將丟失。如果你改變了安全策略，一些東西是可以當(dāng)下訪問的。審計日志也可能消失，這可能消除你在服務(wù)器上進行更改的任何記錄。這些不幸的結(jié)果很難滿足合規(guī)性的要求的。

圖像和快照包含的專有數(shù)據(jù)像個人身份信息和密碼，更像一個物理硬盤驅(qū)動器。任何不必要的或者更多的圖像真的是引起關(guān)注令人擔(dān)憂的，因為任何快照的存儲可能含有未被發(fā)現(xiàn)的惡意軟件在重新加載的時候會造嚴重的破壞。

4.3網(wǎng)絡(luò)存儲

光纖通道和iSCSI是明文協(xié)議，并可能會受到這方面的中間人攻擊。嗅探工具可用于讀出或記錄存儲流量，并可以被攻擊者重現(xiàn)。

這往往是一個光纖通道的性能和安全之間的權(quán)衡，加密可以在主機總線適配器用于光纖通道實現(xiàn)，但由于可能會發(fā)生的負面問題而不能多次被使用。

4.4虛擬機管理程序(Hypervisor)

如果Hypervisor被攻破，所有連接的虛擬機也將受到影響，并且默認的Hypervisor配置中并不總是最安全的。

Hypervisor控制一切，并提供在虛擬環(huán)境中的單點故障。一個單一的缺口可以把整個環(huán)境處于危險之中。

在Hypervisor的一個管理員可以做任何事(“所有王國的鑰匙”)。在Hypervisor通常有密碼設(shè)置，但這些很容易被管理員之間共享，這樣你就不會真正知道誰做了什么。

Hypervisor可以允許虛擬機彼此之間溝通，這種溝通甚至不會加入物理網(wǎng)絡(luò)，這最終表現(xiàn)得像一個私有網(wǎng)絡(luò)的虛擬機。這個流量并不能總是被看到，因為由虛擬機管理程序進行，并且你不能保證這是否安全。