https://newera17031.activehosted.com/index.php?action=social&chash=01e9565cecc4e989123f9620c1d09c09.2117&nosocial=1

觀點

安全是唯一的路 虛擬化 停 看 聽

2009 / 06 / 24
吳依恂
安全是唯一的路 虛擬化 停 看 聽

      預計到了西元2011年,在大型企業中,將會有20%的桌面使用以及80%的伺服器將被裝置在虛擬的安全分割區裡。 ~ Gartner Report

         虛擬化替企業帶來不少好處:效能最佳化、節省成本、集中化管理、營運不斷等等。正是現在的熱門議題,虛擬化廠商也莫不摩拳擦掌準備在市場上大展拳腳。儲存設備供應商NetApp全球總裁暨營運長Tom Georgens,於今年7月底首次訪台時曾提到,據他所知,全美國500大企業,不是已經完成虛擬化的佈署就是正在進行中,近年來企業所選購的伺服器幾乎也都是具有虛擬化功能,但相當遺憾的是,Georgens說,即使是在美國懂得虛擬化的人也不多。改變,帶來進步,但同時也是安全上的嶄新挑戰。

虛擬化繁為簡 安全依然不能少

         根據2007年12月底的1份Gartner Report建議,如果你的內部虛擬網路架設在虛擬伺服器上,可別認為虛擬網路防火牆或虛擬化的IPS是不需要的。VM上除了要考慮自身的弱點問題,佈署於其上的系統個別問題,還有網路環境架構問題。當然,也不應該因噎費食,因此而停止佈建擁有如此多好處的虛擬化技術,只是,當企業決定要佈署虛擬化之前,應該好好評估在實體與虛擬的轉換之間,存在著什麼樣的風險,再來進行整體策略性的規劃,而不是一昧的往前衝。

         對於VMware今年甫推出的VMSafe,VMware某資深技術經理表示,VMSafe的計畫正是展現了VMware的策略是會往更安全的方向走去,其目的便是透過與第三方機構的合作會像是與趨勢科技或賽門鐵克這類防毒防駭的安全公司,將安全機制寫在整個虛擬的Hypervisor上,所有的聯絡都需要通過Hypervisor,因此就可以透過Hypervisor對CPU、Memory和網路來做檢測,達到防護的效果,又例如在Virtual Switch之間的安全防護,在VMSafe的計畫裡也擬與Cisco合作,可提出一些新的driver與新的防火牆的區隔,把功能寫在hypervisor裡面,預期可在未來幾個版本作加強。而如果VMware所提供的Application(應用程式)能夠通過CC EAL V4+( Common Criteria Evaluation AssuranceLevel 4)的檢測,則rootkit便會很難在AP裡面感染,這也是VMware一直努力的目標。

        本期譯稿「虛擬化安全的三不二要」主要談的是在於加強VM軟體的安全程度,從實體架構到虛擬環境,並不是真的一模一樣,因為虛擬化的環境並不是僅僅將多台伺服器整合到一台而已,在Hypervisor(供虛擬機器執行的軟體)上具有分配、
存取硬體的權限,其上曾更握有數個系統運作的支配權,這使得虛擬化產品的安全影響層面被擴大。

        需要被提醒的部份還有可能是,關於加密、備份、權限控管等問題,而這些虛擬化的安全技術目前都可以說是尚不成熟的發展階段,因此更需要被關注。若VM沒有定時上patch、不符合安全政策或根本沒有被徹底的保護,只要其中的一個VM被惡意程式感染,便有可能造成其他VM也被入侵。動力安全資訊技術總監盧亞德也提到,每一台VM也都需要去關注自己的安全問題,無關乎hypervisor安全與否。

無人防守的虛擬交換器
       
        去除掉VM軟體本身以及應用程式上的漏洞,從網路安全架構來看,在實體網路架構裡面,企業除了架設防火牆以外,通常會在網路節點處佈署網路型的入侵防禦系統(NIPS, Network I n t r u s i o n P r e v e n t i o n S y s t em)來進行流量監控,以求徹底阻絕掉惡意的攻擊封包,再搭配安裝在使用者電腦作業系統內的主機型入侵防禦系統(HIPS, Host Intrusion Prevention System),達到控制使用者電腦的行為。

        而當企業將實體架構搬到虛擬化的架構上,安全的架構則需要被重新考量。顯而易見的,HIPS架構依然可存在,但虛擬化的NIPS目前卻成了一個漏洞。Reflex Security亞太市場暨銷售總監黃彥鈞認為,虛擬機器(VM, Virtual Machine,以下簡稱VM)上的Virtual Switch之間是一個基本性的漏洞。

       當多個系統被放置在同一張網卡上時,可以虛擬出多個Virtual Switch以連結多個不同的系統,但當其中一個不被重視的系統被攻破之後,在此張網卡上的其他系統便也隨之成為攻擊者的囊中之物,攻擊者只需知道實體網卡的IP,在虛擬化架構下,系統的牽連程度就更被擴大了。「今年,台灣的一些IC設計大廠遭到許多來自對岸準確性的攻擊,主要瞄準的便是虛擬化的這塊漏洞。」黃彥鈞言之鑿鑿的說著。「過去這塊市場還不算成熟,不過今年倒是很好賣。」目前已踏入亞洲市場的Reflex Security,是早期便踏入虛擬化網路型入侵防禦系統市場的廠商,黃彥鈞認為這塊市場將會比實體IPS來得大,「1家客戶只會裝1台IPS,至多3台吧!但是
VM上卻可以達到數百個授權數。」

        安全無絕對,由於VM上面可能會有本身架構上的缺失或產品上的漏洞,實體的NIPS佈署並沒有辦法保護到每個虛擬設備,不僅僅是著重於節點的佈署,也需要從應用程式的層面來看。因此這也會是未來虛擬化更為普及後,需要被關注的重點,然而要進入虛擬化的安全領域似乎不太容易,不僅由於虛擬化是一個新興議題,更由於其進入的技術門檻高。黃彥鈞說到,「我們在開發支援微軟Hyper-V架構時花了1年的時間。」以現況看來,虛擬化對大多數人都還是相當不熟悉的領域,遑論要進入建構虛擬化的安全領域。從美國市場來看,目前正在進行虛擬化安全研發的公司,已將這類研究放入2008年的藍圖中,也有些才剛剛釋出測試版,有待市場考
驗與改進。

實體隔離的必要性
        
        在虛擬化的結構下,系統之間的隔離便更顯得重要,否則一旦惡意程式攻陷中一個系統,其它便也淪陷。那麼把每張網卡都實體隔離呢?從實作面上看來,完全的網路實體隔離幾乎是不可能做到的,資料要完全不連網路,便無法流通,據了解,在國內也僅有一家IC設計大廠能確實做到部份實體隔離。然而,暫且虛擬化的隔離未確實做到,有可能是由於IT人員的疏忽,實體隔離更也會讓人大呼:「那這還叫虛擬化嗎?」

        其改善方法除了可以在每個VM裡面的Virtual Switch間做過濾,也可以將VM各自隔離在自己的網段內。而當然,技術可以解決的事,都是比較簡單的事。人才是最難以解決的問題,在管理上,更要定期審視整個虛擬環境,對整個流程做分析、檢討,隨時更新、修補,如此才能全面性的來降低所有可能的安全風險。

        即使在VM裡面,還是會有各自的虛擬IP,因此可以透過虛擬IP得知哪個系統用掉多少流量,如果漏掉任何一個流量,那就沒辦法保護虛擬設備,因此各家廠商也都在這一點上面做努力,同時這也是在Gartner Report裡被強調的其中一點。只是,哪一個程式做了什麼事,則需要更加細節的監控,在VM上的流量監控也是虛擬化安全裡面重要的一環。

        目前VMware與眾家安全廠商如趨勢科技、賽門鐵克、邁克菲等合作,提出的VMSafe計畫可以為VM提供監控的功能,甚至是對關機狀態下的VM進行掃描,待威脅解決後再重啟機器,VMSafe的提出正驗證了VMware方面開始重視到安全問題的嚴重性。
 
        台灣Cisco業務開發經理張志淵認為,在很多時候,資訊外洩是來自於人為因素,虛擬化的資訊安全應該可以在設計的階段,透過策略性的建置規劃,在操作端就可以避免許許多多的資安問題,這也是為什麼思科會加強顧問諮詢的服務,利用建議與規劃協助企業建置一個安全的網路架構環境。此外,他認為,存放機密資料的系統若與較不重要的系統放在同張網卡的時候,也可以透過虛擬機器上的IPS設定來達到如同實體隔離的效果,如一旦連結A系統,則B系統便關閉連結,類似企業裡一旦外部NB連上3G網卡,與公司內部網路連結便會被阻斷。

把惡意程式也搬進來?

        除此之外,攻擊者也極有可能在資料遷移當中,改寫其資料,因而造成漏洞的產生。VMware的VMotion主要負責VM機器上資料的遷移,在前一版也曾出現過上述之漏洞,不過該漏洞已在VMware最新的版本3.5版被修正。VMotion的功能主要是為了協助客戶快速移轉軟體進入VMware裡面所開發出來的機制,目前微軟的Hyper-V是可以搬運資料的,但是沒辦法像VMware在運作當中可以「即時」調整 ,將系統(如系統需求較大時,可以自行調整ERP到其他的ESX機器),其中會有10多秒的downtime。其中是否可能會造成風險存在?這也是企業在導入的時候必須要去考量的。不過,微軟在2008 Server Service Pack 1改版便會補全此項功能,只是,台灣微軟伺服器平台事業部產品行銷經理朱庭輝說,「這是『如果有的話更好』的一項功能,企業可以思考是否真的需要這項功能?」

        微軟甫於2008年6月正式釋出的Hyper-V,其架構特殊之處在於hypervisor之精簡,朱庭輝表示,過去微軟的虛擬機器需建構於作業系統之上,然後才能與硬體做溝通,現在Hyper-V全新的架構,是僅將Hypervisor放在最高權限層級Ring-1(註),而Ring 0的Kernel Mode裡則內含作業系統核心以及驅動程式,應用程式則是Ring1的User Mode,朱庭輝認為,將此權限劃分後,如此一來便更有助於安全等級提升。

        賽門鐵克資深技術顧問莊添發以他的服務經驗看來,許多客戶都將測試系統放到虛擬機器上,連最基礎的防毒軟體也不裝,然而,他認為這些被視為「不重要所以不需要保護」的VM,很有可能因為和正式運作的系統被串在同一個網段,而被攻擊者當做跳板。

虛擬化安全未臻成熟
       
        Juniper先進技術資深經理林佶駿提醒,考量建置虛擬化安全機制的時候,同時也應該考量在虛擬機器內作用時,是否也會受到VM效能的影響(或受到VM本身的漏洞影響)而有所限制,造成作用有限。黃彥鈞表示,由於每一種VM的支援版本所需求的硬碟驅動空間、記憶體大小都不同,虛擬化安全廠商應該要有最低的標準設定,並且告知客戶系統的最低要求,按照此標準來建置系統,這樣才能確效能不會降低。

         目前雖然並沒有全套的VM安全機制可提供,但依然有些部分功能性的選擇,可依不同的個案需求可提供,或多或少提供不同層級的虛擬化安全防護。對於這類產品有興趣的讀者,可密切關注已有相關產品或正在朝此領域開發的幾家公司:
Altor Networks、Astaro Security Gateway、Blue Lane Technologies、Catbird、Enterasys、Stonesoft(為CheckPoint轉投資公司,該公司所用之FireWall以及IPS皆來自CheckPoint)、StillSecure、Reflex Security與開放原始碼的SmoothWall、Cobia。

結語
        儘管有許多企業關注著虛擬化的應用市場,但大多仍將此新技術用作測試用途,在這個專業分工精細的年代,面臨到的問題可能是了解虛擬化的專家,對於安全不甚了解,懂安全方面的專家又不太了解虛擬化,既懂虛擬化又了解其安全疑慮之處的市場又尚未成熟。在這樣的情況下,是否還能跟著潮流一窩蜂的對虛擬化躁進呢?

註:R i n g 0通常在系統中擁有最高的權限,其次為R i n g 1、Ring2、Ring3,這裡的Ring-1是為比Ring0更高的特級權限。