虚拟化安全问题剖析
2013-9-14 08:26
2073
虚拟化安全问题剖析
2013-9-14 08:26
2073
虚拟化安全问题剖析
原文链接:http://netsecurity.51cto.com/art/201309/409783.htm
2013-09-05
虚拟化的优点已是众所周知,包括多租户、更佳的服务器利用率和数据中心整合等。云服务提供商可(用虚拟化)实现更高的密度,由此转化更好的利润;企业可用虚拟化来压缩在服务器硬件上的资本支出,同时提升营运效率。
虚拟化带来所有以客居方式运行操作系统的安全问题,以及虚拟化特有的安全威胁。虚拟化是基础设施即服务(IaaS)云和私有云中的关键因素之一,而且越来越多地被应用在平台即服务(PaaS)和软件即服务(SaaS)提供商的后台中。虚拟化也是由公有云或私有云交付的虚拟桌面的一项关键技术。
这些安全问题可能包括:Hypervisor层引入的新安全考虑以及新的虚拟化特有的安全威胁,例如,虚拟机间的攻击和盲点,安全功能消耗CPU和内存导致的性能问题,虚拟机蔓延(VM Sprawl)导致的运作复杂度。新的问题如防护间隙(Instant-On Gap)、数据混杂、加密虚拟机镜像的难度以及残余数据清除等正成为焦点。
Hypervisor安全
Hypervisor需参照最佳实践进行加固。使用虚拟化的企业和用户主要关心的是Hypervisor所运行物理主机是否有恰当的配置管理、操作和物理安全。
虚拟机间攻击和盲点
虚拟化对网络安全带来巨大的威胁,虚拟机间可能通过硬件背板而不是网络进行通讯,因此这些通讯流量对标准的网络安全控制来说是不可见的,无法对它们进行监控或内嵌封堵。内嵌虚拟设备可以解决这个问题;另一个解决途径是硬件辅助虚拟化(Hardware Assisted Virtualization),它需要与Hypervisor和虚拟化管理框架进行API级别的整合。虚拟机的迁移也是令人担心的地方。一个可能的攻击场景是一个可疑的虚拟机迁移进信任区域,在传统以网络为基础的安全控制措施下,将无法检测到它的不当行为。在每个虚拟机上安装全套的安全工具,是加添保护层的另一途径。
性能问题
将为物理服务器设计的安全软件安装在虚拟服务器上会导致严重的性能下降,因为一些安全任务,比如病毒扫描非常占用CPU资源。虚拟化服务器上的共享环境导致了资源竞争。特别是在虚拟桌面或高密度环境中,安全软件需具备虚拟环境识别能力,或者它需要能够在一台虚拟机上执行安全功能来支持其他虚拟机。
虚拟机蔓延(VM Sprawl)导致的运作复杂度
在典型的企业中,虚拟机可提供的便捷性导致虚拟机需求的增加。这产生了更大的攻击面,错误配置或操作失误导致安全漏洞的几率也随之上升。实施基于策略的管理和虚拟化管理架构的使用是必需的。
防护间隙(Instant-On Gap)
虚拟机关闭/启动便捷,再结合威胁变化的速度,产生了一种情况:当虚拟机被关闭时配置是安全的;但是当它被再次启动时,威胁已经演化了,结果该虚拟机就可能存在漏洞风险了。最佳实践包括基于网络的安全控制和“虚拟补丁”,他们在网络流量到达新部署或新启动的虚拟机前,对已知攻击行为进行检查。也可能采取类似网络访问控制(NAC)的措施,以隔离尚未更新的虚拟机,直至规则和模式库更新到最新并执行完成扫描任务。
虚拟机加密导致的性能问题
虚拟机镜像无论在静止还是运行状态都有被窃取或篡改脆弱漏洞。对应的解决方案是在任何时候对虚拟机镜像进行加密,但这又会导致性能问题。在安全性要求高或有法规要求的环境下,(加密的)性能成本是值得的。加密必须与管理性措施、数据泄露保护(DLP)和审计踪迹配合以防止运行中虚拟机的快照(Snapshot)泄露,从而给攻击者获取快照中数据的机会。
数据混杂
另一个问题是不同等级的数据(或虚拟机储存着不同等级的数据)可能交错混杂在同一台物理机器中。在PCI(这里指PCI-DSS,支付卡行业数据安全标准)条款中,我们称之为混合实施模式。我建议组合使用虚拟局域网、防火墙、入侵检测/入侵防护系统(IDS/IPS)来保证虚拟机隔离以支持混合实施模式。我还推荐使用数据分类和基于策略的管理(例如,DLP数据泄露保护)来预防数据混杂。在云计算环境中,某一最低安全保护的租户,其安全性可能成为多租户虚拟环境中所有租户共有的安全性。
虚拟机数据清除
当虚拟机从一个物理服务器间迁移至另一物理服务器时,企业需要确保没有任何一个比特数据遗留在磁盘上,有关数据可能被其他用户恢复或当磁盘被回收时恢复。对内存/存储清零或者对全部数据加密是此问题的解决方案。加密密钥应当存储在虚拟环境以外的一个基于策略的密钥服务器上。此外,如果没有使用加密或恰当的数据擦洗,虚拟机在运行的状态下迁移,自身可能面临风险。
虚拟机镜像篡改
预先配置的虚拟设备和镜像,在你启动之前可能配置不当或被篡改过。
可随意迁移的虚拟机
虚拟机可以从一个物理服务器迁移到另外一个物理服务器的独特能力为审计和安全监测增加了复杂度。在很多情況下,虚拟机可以在不产生告警或者审计跟踪的情况下被重新安置于另一个物理服务器(与地理位置无关)。