虛擬化安全的三不二要

2009 / 06 / 24

THOMAS PTACEK 譯 : 夏客

虛擬化改變了企業IT的遊戲規則，但不應當造成安全上的藩籬。

      5年內，絕少企業會再使用「真的」電腦。不論是資料庫也好，WEB應用程式或檔案共享也罷，它們所作的每一件事，都將會交由虛擬化軟體去解譯與模擬，就好比明明只有一台機架式伺服主機，卻假裝成有1 0台那樣。

       我們無法避開虛擬化浪潮，因為這是自IP網路發明以來，另一個最備受IT業界矚目的焦點。

      安全專家應該可以很容易地就感受到，隱含在這潮流背後呼之欲出的暗示。就內部網路而言，虛擬化所代表的意涵，就是重構企業的資訊版圖，並將以往因硬體和網路過濾所區分開來的伺服器和應用程式，整合至同一組刀鋒設備上。沒有重大變革，也就不會帶來任何嚴峻的安全挑戰，而我們現階段所使用的產品，在不出10年之內，就會讓這種變革情況浮出檯面。

       不過，就虛擬化對企業安全而言，好消息是它創造出多贏的局面：漏洞修補，實現規劃，軟體佈署和變革管理。長久以來困擾著IT安全的頭痛問題，所有事情在虛擬化資料中心下都將變得容易。但負面的消息是，在虛擬
化為我們解決這些問題前，仍然有部份挑戰尚需克服。以下針對虛擬化問題的建議不分次序，列出要與不要的5種情況。

1「不要」讓企業堆積虛擬化安全問題

     傳統上，企業均聘有Windows管理師負責管理Windows系統的安全，Unix管理師保全Unix系統的安全，以及儲存管理師掌管SA N儲存網路的安全。不過，如果企業也預備對VMware ESX叢集這麼做的話，那麼，這絕對是一個要命的錯誤！

       「虛擬化為組織所帶來的影響非常龐大。」Unisys首席安全架構師，同時也是虛擬化安全專家的Christofer Hoff接著說，「不少公司對虛擬化安全沒有一絲戒心！」並且，公司的網路小組還正推開那些佈署障礙。到最後，只會留下VMware管理人掌控虛擬化安全，其餘人等完全了無防備。而我們所剩的，會是一個四分五裂，只進行到一半的架構，對於安全？哼，再說吧！

      回溯到1990年代，當時那個企業交替和VLAN興起的年代，對於安全，我們缺乏團隊合作和良好規劃，以致於直至今日，它留下的是一個無法受到約束的開放性網路。它開放到，只要惡意人士能侵入資訊求助台的電腦系統，那麼，攻擊者就能威脅到內部的重要主機和儲存網路。真的，千萬別再讓這類事情重演了！

      虛擬化的出現，給予業界再一次編撰IT安全劇本的機會，伺服器管理師理應慎重地就虛擬機器的實現、佈署，以及漏洞修補有一個長遠的規劃才是。另外，網路管理師，則要在實體主機和寄宿主機間，擬定嚴格、持續不間斷的網路存取規則。最後，是安全管理師需制定用來稽核組態設定和機器佈署的安全政策。

2「要」對實體虛擬化宿主主機進行隔離演練

      部份的寄宿主機(guest)會被指派處理機敏性資料，諸如信用卡資料或者是受保護之醫療資料等，有些則不會。所以，千萬不要讓這2種不同形態的虛擬主機綁在同一台實體機器上。

       為了證實實體隔離對虛擬化是多麼地重要，Tavis Ormandy告知，在去年夏天，他披露了一份名為iofuzz，關於虛擬化安全的深入研究報告。iofuzz這項工具，其功能就是用來揭開他所實地測試過的每一台虛擬化宿主主機(virtual machine hypervisor)的弱點。「當提到虛擬化之事，x86機器的確較難被取得權限。」Ormandy說。對Ormandy而言，其想法是，開發者要實現安全的宿主主機(hypervisor)，會較安全的作業系統核心來得更加容易？這簡直難以說服大家相信，難道君不見Windows作業系統也要發展超過10年，才至今日這般安全程度？

       不過，宿主主機(hypervisor)的弱點究竟所指為何？其實就是：惡意人士從虛擬機器中「脫逃」出去，並能抵達到宿主主機(hypervisor)上，接著，再將其餘虛擬機器一網打盡。所以，你瞧，把握有機敏性資料的虛擬機器和測試用虛擬機器作一個實體區隔，光這點不就具備了充份的隔離理由？

       不過，還沒完呢！解決掉脫逃的弱點並非是問題的結束。請特別注意所有用來監視資料中心的網路安全機制，是否會造成VM網路及效能上的問題，又或者無需管它？因為當流量是由相同硬體上的不同虛擬寄宿主機(guest)之間藉由虛擬交換器(virtual switch)所產生的話，安全並無所謂。Hoff又說，「嘗試要將高可用性的網路安全，導入到今日的virtual switching環境當中，結果必會引來極差的網路效能和可用性問題。」

      如果是這樣，那我們該怎麼辦？答案是，就技術層面而言，這容易解決，但在企業組織層面上來說，是困難的。企業必須要勾勒出其安全領域為何？了解什麼是該企業中最私密的資料？接下來，掌握這些資料的機器就得進行實體區隔，並測試這樣作是否有任何效用。

3「不要」輕忽因虛擬化附加服務所引發的風險問題

      除了與網路安全和虛擬主機相關的議題之外，企業還必須思考虛擬機器的遷徙問題。就像VMware所提供的VMotion功能，就能讓虛擬機器從這一端的硬體平台轉移到另一端的硬體平台，但卻可避掉服務停擺的痛楚，而這也是企業打從一開始就對虛擬化感興趣的原因之一。不過，這些因素都會對安全造成重大的影響！

      許多IT團隊會信任虛擬機器，是因為將它們視為「虛擬的安全設備」看待，凡由虛擬主機軟體進出經過的流量，都必須要先繞道而行。不過，Hoff說，這會形成一個問題，這些虛擬機器並沒有好好的受到「虛擬搬遷」(vmotioned)，因為保護它們的這些機制，並未隨著虛擬機器一併被搬遷過去。

       情況更形複雜了。就在去年，密西根的一個大學研究團隊在USENIX上發表了一份報告，展示了針對在最熱門的2個平台─VMware和Xen，遷徙虛擬機器途中的攻擊方式。犯案手法是這樣的：當虛擬機器流經網路時，快速地去改寫它們；在其即將抵達目的端伺服主機的當下，也就是在被植入後門前，受保護之作業系統的安全，就只有那短暫的一會兒。

       再者，也不要輕忽掉備份這件事。像是虛擬化軟體當中具備查核點(checkpointing)和快照(snapshoting)功能，就在特定目的的軟體產品項目中紛紛地被加工出來，它們宣稱能讓VMware ESX這一類的系統，進行備份時更加流暢簡單。不過，在IT界中，再也沒有比備份和災難復原這兩者更教人敏感的功能了，正因為它們處理的是大量經保護的資料。所以，請確認你的備份廠商懂得這個。

      話說回來，企業要如何知道VMware的備份作業是安全無虞的？請敬告供應商，是否協力廠商已經測試過產品的安全性？若有，那麼檢測結果到底有何發現？供應商如果略掉這個步驟，最後一定會招致禍害。再者，網路備份產品都需要能夠登入企業所有虛擬主機的鑰匙，倘若這些產品有瑕疵，那麼，攻擊者便能偷取到這些錀匙，並進到企業當中的各台虛擬機器裡頭。所以，購買這些產品一定要小心謹慎！

4「要」接納虛擬化安全產品前，請考慮再三

       雖然虛擬化安全產品市場目前還算新興產業，但仍受到相當多的關注。「這個安全領域著實令人眼睛為之一亮！」，網路安全廠商Sourcefire的CTO，同時也是Snort入侵偵測計畫創始人的Marty Roesch又說，「人們總是不斷地問說什麼事情是我們能作的？」但是，他首先質疑企業該不該打這場不知是否正確的仗。

       Roesch提出為何相同硬體上的寄宿系統(guest operation system)之間，所產生出來的虛擬機器流量(intra-VM traffic)，其重要程度會較轉換流量和存取層流量為高？

       近年來，企業在內部網路方面努力耕耘，只為企求更切適的安全政策。或許，為每台虛擬交換器的安全所花下的工夫，其優先權不應當凌駕在解決真實網路的安全問題之上。

       「我必須要問：是否在200台刀鋒伺服器上佈署安全機制會較好？或者威脅是否由外而內進來？安全偵測裝置各別監控每台刀鋒設備，會不會好過只專注監控那一台上的Uplink(譯注1)？」，Roesch說。

       就因為廉價，虛擬網路安全公司Reflex Security的工程部副總Aaron　Bawcom盤算著說，「我們見識過擁有成百個據點的用戶，各據點都配置多台的POS 系統，也就等同構成了該據點IT基礎架構下的少數伺服器。不過，你有算過光數千個站台上的防火牆，所要砸下的重金成本？」像這類的佈署成本高得可怕，他接著又說，企業寧付信用卡稽核不合格的罰鍰，也不願再重建整個網路架構。

       Bawcom不贊成在各據點都佈署硬體設備，反倒希望企業考慮多採用虛擬化技術以強化分部辦公室的伺服器群。一旦只需管理單一台實體伺服器，以及三台寄宿主機的話，那麼，我們很簡單地只要將網路安全機制整合到虛擬交換器上，便可以達到安全的目的。「全部採用硬體設備，我們很難跨越投資報VM快照備份(Snapshot) 酬率這道障礙高牆。不過，若是將安全虛擬化之後，我們便可佈建更多的安全機制，不僅省下成本，也提高了安全的價值！」，Bawcom說。

       然而，有一點卻是Roesch和Bawcom都認同的，就是安全監控(security monitoring)。「當網路是由在hypervisor層上的虛擬設備所構成，網路能見度會一下子變得明朗起來。」Roesch接著又說，「因為我們會透過一些工具幫忙萃取資料，所以，能得到愈多資訊愈好。」就Bawcom而言，虛擬化也開創了另一個管理上的良機，它使得企業以從上而下(topdown)的視野來看待整個系統，並能即時的回頭觀察整體架構到底有何變化。

      不過，這些好處並非憑空出現。「虛擬化不會減少任何在安全上所要付出的成本！」Hoff繼續論道，「我們仍舊要佈署相同的代理程式，相同的入侵防禦程式，以及相同的防毒軟體，一樣都不能少。」這暗指虛擬化環境所帶來的彈性，也可能會招致失敗結果。「虛擬化安全設備會隱蔽住每一條
網路流量，而就當你為此用罄了記憶體和CPU資源時，十多台的虛擬機器卻又要搬遷到這台伺服器上。此時，實在是很難去估算設備需多少的處理能力才夠使用。」他說。

       目前有頭大象正杵在這個虛擬安全的空間裡，而最火熱的企業級虛擬化供應商VMware，卻離它離得很遠，顯示VMware在安全領域之中，仍舊不是很在行。事實上，VMware將虛擬化安全定調為一個功能選項，而非產品；但是到了現在，VMware卻開始對此有所表示，像最近的VMS afe產品，其本意是讓第三方協力廠商對VMware的宿主主機(hypervisor)能夠擁有更多存取權。就在去年，VMware買下一家極具潛力的主機安全公司Determina，它自已找到可以組成頂尖安全研究團隊的研究人員Alex Sotirov和Oded Horovitz，這2位專家在弱點研究方面頗富盛名，而且絕對閒不下來，不會袖手旁觀。

       根本上，當提到虛擬化安全產品，企業就必須得用一種正向懷疑的態度來面對。簡言之，以一句Ormandy的話來講，「人們認為虛擬化，是一種仍舊無法反映當前現實的安全解藥！」不過，虛擬化安全產品還是為更廣泛的網路安全議題，提供了改變的良策，但是，這些機會在企業找上它們之前，應當要清楚、明確，並且立即。

5「不要」讓虛擬化惡意程式讓你在夜晚無法成眠

      現在還有一些事物看來不清楚、不明確，甚至沒有立即性可言：受到虛擬化惡意程式的威脅。那究竟何謂虛擬化惡意程式(virtualized malware)？事實上，它就是木馬、rootkit之流的軟體，專門破壞hypervisor技術，並將自己藏身於受感染之作業系統之中。虛擬化惡意程式會讓人有這種不安的感覺，主要是因為rootkit和殭屍網路(botnets)無法被安全軟體所偵測到的緣故。再者，任何對安全稍微留心一點的人，應該都有聽過關於虛擬化rootkit的傳聞。如同新聞故事一般，會寫道：虛擬化技術炙手可熱，安全攻擊總是創造新話題！不過，這個問題是，到底有多少虛擬化rootkit存在於真實世界裡？恐怕不多，至少到現在還尚未發現它們的蹤跡。

       這麼說來，為何我們截至目前為止，都還沒有見過新一波利用虛擬化能力作怪的惡意程式？身處rootkit概念驗證(proof-of-concept)（譯注2）研究領域的研究者會爭辯說，因為我們找不到它們，或者就算利用現存工具，亦無法發現其蹤跡，但是，這應該不是實情。

       就在去年，筆者會同R o o t 實驗室的N a t e Lawson，以及賽門鐵克的Peter Ferrie等人共同發展虛擬化rootkit的偵測技術。我們找到許多種不同的方法達成目的，其中我們曾懷疑追擊「無法偵測」的虛擬化rootkit是否正確。團隊的關鍵重要發現在於了解由於虛擬化做的太好，以致於應用程式也找不他。而這就足以讓系統燈號亮起，磁碟轉個不停。若是當你再看得更深入一點，就會發現這些有問題的宿主機器，總留下難以抹滅的訊息在那兒。

      不過，也不全然都是好消息。因為來自rootkit的威脅十分真實，它更有可能去咬住軟體應用層不放。目前，只有少數虛擬化平台可供rootkit藏匿，但我們都還能找得到它們。可是，現在面對的是有成千上百個軟體，各個都讓後門程式和rootkit有隱身之地。所以，毫無疑問地，企業在未來虛擬化的時代，仍是得處處留心。Thomas Ptacek為Matasano Security顧問公司創始人，身兼該公司總裁一職。

（譯注1） uplink：實體的乙太網路端口(就是乙太網路卡)會被當作連接虛擬和實體網路之間的橋樑，在VMware的架構下，這些端口就被稱作uplink。單一台主機最多可以有32個uplink，這些uplink能通通都連在同一台switch，或者是分散在不同的switch上。（譯注2） proof-of-concept：指的是用一種有用的方式去證實一些想法或理論是可行的。

虛擬化術語
以下表列有助於你了解虛擬化相關名詞

虛擬化(Virtualization)

可讓單台電腦主機同時間執行多重作業系統的一項技術，各個系統所表現出來的行為，就好似它可對下層硬體有獨立存取權一樣。

寄宿主機(Guest，等同VM的意思)

就是一台虛擬機器。如果你在VMWare下執行Windows Server 2003，這就表示你已經建立了一台Guest虛擬主機。

宿主主機(Host，等同Hypervisor的意思)

就是可供虛擬機器執行的軟體，或者，你可以把它想成某個作業系統實體是由一套軟體所產生的。VMware Server是一個能夠於Windows XP主機系統中執行的Hypervisor，而VMware ESX則是屬於具有獨立作業系統的Hypervisor。

VM遷徙(Migration)

虛擬化的功能之一，作用是允許執行中的寄宿主機(guest)，在不停止系統運作的情況下，從一台實體主機上轉進到另一台目的端的實體主機上。

VM快照備份(Snapshot)

虛擬化的功能之一，作用是允許製作寄宿主機(guest)，及其硬碟和所有其他一切的「版本備份」，目的是作為儲存，與後續系統復原之用。

虛擬交換器(Virtual Switch)

內建在宿主主機(hypervisor)裡用來模擬網路的一套軟體，它可讓寄宿主機(guest)之間相互溝通，並搭建與外界網路溝通的橋樑。

要保險也要安全

在Esurance一腳踏入虛擬化世界的同時，該公司所重視的優先要務就是安全！

文 ■ MA RCIA SA VAGE

　　正當Esurance投向虛擬化懷抱的時候，它對待該案就如同其他案子一樣：一切安全至上。

　　「在Esurance，安全就像DNA中的一部份。」三藩市一家線上保險公司的網路維運部主任MarjorieHutchings接著說，「無論我們要採取什麼樣的行動，安全永遠會預先擺在各專案的前頭把關。」

　　留著一頭粉紅頭髮，專門打擊犯罪的虛擬卡通人物Erin，是Esurance在電視廣告中的特點，其實，該公司已經在其上線前(pre-production)環境中佈署了VMware產品，直到最近，Esurance更是將公司的企業目錄服務虛擬化。Hutchings說，在實行虛擬化的時候，公司亦採用了與實體資訊架構環境相同型態的安全措施。

　　也就是說，這些措施包含了防毒軟體掃毒，嚴格的管控機制，甚至得監測任何組態設定檔的改變，以防止錯誤組態的情況發生。她也說了，虛擬化的確讓數百台伺服器的佈署作業變得容易許多。

　　不過，該公司卻不忘把虛擬化資訊架構下的管理網路獨立出來，並且將存有機敏性資料的虛擬機器彼此作了隔離。

　　「我們特別花心思在保護虛擬磁碟影像檔(virtual drive image)和虛擬機器樣版(virtual machine template)的安全。」Hutchings補充道。

　　虛擬化允許成長快速的保險公司，可以很迅速地打造額外的開發環境。此外，還能省硬體成本，並可以相當容易地進行組態設定。再者，這項科技同時也協助企業作好綠色節能。Hutchings說，「虛擬化技術幫忙節省動力與能量，甚至還減少我們的碳足跡(carbon footprint)。」

　　Esurance本身在28州就擁有超過50萬的保險會員，其目標鎖定或許在明年，在該公司上線環境中推展它在虛擬化上的使用。

虛擬化 IT安全寄宿主機宿主主機 VM遷徙 VM快照備份虛擬交換器