https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

虛擬化安全的三不二要

2009 / 06 / 24
THOMAS PTACEK 譯 : 夏客
虛擬化安全的三不二要
虛擬化改變了企業IT的遊戲規則,但不應當造成安全上的藩籬。

       5年內,絕少企業會再使用「真的」電腦。不論是資料庫也好,WEB應用程式或檔案共享也罷,它們所作的每一件事,都將會交由虛擬化軟體去解譯與模擬,就好比明明只有一台機架式伺服主機,卻假裝成有1 0台那樣。

       我們無法避開虛擬化浪潮,因為這是自IP網路發明以來,另一個最備受IT業界矚目的焦點。

      安全專家應該可以很容易地就感受到,隱含在這潮流背後呼之欲出的暗示。就內部網路而言,虛擬化所代表的意涵,就是重構企業的資訊版圖,並將以往因硬體和網路過濾所區分開來的伺服器和應用程式,整合至同一組刀鋒設備上。沒有重大變革,也就不會帶來任何嚴峻的安全挑戰,而我們現階段所使用的產品,在不出10年之內,就會讓這種變革情況浮出檯面。

       不過,就虛擬化對企業安全而言,好消息是它創造出多贏的局面:漏洞修補,實現規劃,軟體佈署和變革管理。長久以來困擾著IT安全的頭痛問題,所有事情在虛擬化資料中心下都將變得容易。但負面的消息是,在虛擬
化為我們解決這些問題前,仍然有部份挑戰尚需克服。以下針對虛擬化問題的建議不分次序,列出要與不要的5種情況。
      
1「不要」讓企業堆積虛擬化安全問題

  
       傳統上,企業均聘有Windows管理師負責管理Windows系統的安全,Unix管理師保全Unix系統的安全,以及儲存管理師掌管SA N儲存網路的安全。不過,如果企業也預備對VMware ESX叢集這麼做的話,那麼,這絕對是一個要命的錯誤!

       「虛擬化為組織所帶來的影響非常龐大。」Unisys首席安全架構師,同時也是虛擬化安全專家的Christofer Hoff接著說,「不少公司對虛擬化安全沒有一絲戒心!」並且,公司的網路小組還正推開那些佈署障礙。到最後,只會留下VMware管理人掌控虛擬化安全,其餘人等完全了無防備。而我們所剩的,會是一個四分五裂,只進行到一半的架構,對於安全?哼,再說吧!

      回溯到1990年代,當時那個企業交替和VLAN興起的年代,對於安全,我們缺乏團隊合作和良好規劃,以致於直至今日,它留下的是一個無法受到約束的開放性網路。它開放到,只要惡意人士能侵入資訊求助台的電腦系統,那麼,攻擊者就能威脅到內部的重要主機和儲存網路。真的,千萬別再讓這類事情重演了!

      虛擬化的出現,給予業界再一次編撰IT安全劇本的機會,伺服器管理師理應慎重地就虛擬機器的實現、佈署,以及漏洞修補有一個長遠的規劃才是。另外,網路管理師,則要在實體主機和寄宿主機間,擬定嚴格、持續不間斷的網路存取規則。最後,是安全管理師需制定用來稽核組態設定和機器佈署的安全政策。

2「要」對實體虛擬化宿主主機進行隔離演練

      部份的寄宿主機(guest)會被指派處理機敏性資料,諸如信用卡資料或者是受保護之醫療資料等,有些則不會。所以,千萬不要讓這2種不同形態的虛擬主機綁在同一台實體機器上。

       為了證實實體隔離對虛擬化是多麼地重要,Tavis Ormandy告知,在去年夏天,他披露了一份名為iofuzz,關於虛擬化安全的深入研究報告。iofuzz這項工具,其功能就是用來揭開他所實地測試過的每一台虛擬化宿主主機(virtual machine hypervisor)的弱點。「當提到虛擬化之事,x86機器的確較難被取得權限。」Ormandy說。對Ormandy而言,其想法是,開發者要實現安全的宿主主機(hypervisor),會較安全的作業系統核心來得更加容易?這簡直難以說服大家相信,難道君不見Windows作業系統也要發展超過10年,才至今日這般安全程度?

       不過,宿主主機(hypervisor)的弱點究竟所指為何?其實就是:惡意人士從虛擬機器中「脫逃」出去,並能抵達到宿主主機(hypervisor)上,接著,再將其餘虛擬機器一網打盡。所以,你瞧,把握有機敏性資料的虛擬機器和測試用虛擬機器作一個實體區隔,光這點不就具備了充份的隔離理由?

       不過,還沒完呢!解決掉脫逃的弱點並非是問題的結束。請特別注意所有用來監視資料中心的網路安全機制,是否會造成VM網路及效能上的問題,又或者無需管它?因為當流量是由相同硬體上的不同虛擬寄宿主機(guest)之間藉由虛擬交換器(virtual switch)所產生的話,安全並無所謂。Hoff又說,「嘗試要將高可用性的網路安全,導入到今日的virtual switching環境當中,結果必會引來極差的網路效能和可用性問題。」

      如果是這樣,那我們該怎麼辦?答案是,就技術層面而言,這容易解決,但在企業組織層面上來說,是困難的。企業必須要勾勒出其安全領域為何?了解什麼是該企業中最私密的資料?接下來,掌握這些資料的機器就得進行實體區隔,並測試這樣作是否有任何效用。

3「不要」輕忽因虛擬化附加服務所引發的風險問題

      除了與網路安全和虛擬主機相關的議題之外,企業還必須思考虛擬機器的遷徙問題。就像VMware所提供的VMotion功能,就能讓虛擬機器從這一端的硬體平台轉移到另一端的硬體平台,但卻可避掉服務停擺的痛楚,而這也是企業打從一開始就對虛擬化感興趣的原因之一。不過,這些因素都會對安全造成重大的影響!

      許多IT團隊會信任虛擬機器,是因為將它們視為「虛擬的安全設備」看待,凡由虛擬主機軟體進出經過的流量,都必須要先繞道而行。不過,Hoff說,這會形成一個問題,這些虛擬機器並沒有好好的受到「虛擬搬遷」(vmotioned),因為保護它們的這些機制,並未隨著虛擬機器一併被搬遷過去。

       情況更形複雜了。就在去年,密西根的一個大學研究團隊在USENIX上發表了一份報告,展示了針對在最熱門的2個平台─VMware和Xen,遷徙虛擬機器途中的攻擊方式。犯案手法是這樣的:當虛擬機器流經網路時,快速地去改寫它們;在其即將抵達目的端伺服主機的當下,也就是在被植入後門前,受保護之作業系統的安全,就只有那短暫的一會兒。

       再者,也不要輕忽掉備份這件事。像是虛擬化軟體當中具備查核點(checkpointing)和快照(snapshoting)功能,就在特定目的的軟體產品項目中紛紛地被加工出來,它們宣稱能讓VMware ESX這一類的系統,進行備份時更加流暢簡單。不過,在IT界中,再也沒有比備份和災難復原這兩者更教人敏感的功能了,正因為它們處理的是大量經保護的資料。所以,請確認你的備份廠商懂得這個。

      話說回來,企業要如何知道VMware的備份作業是安全無虞的?請敬告供應商,是否協力廠商已經測試過產品的安全性?若有,那麼檢測結果到底有何發現?供應商如果略掉這個步驟,最後一定會招致禍害。再者,網路備份產品都需要能夠登入企業所有虛擬主機的鑰匙,倘若這些產品有瑕疵,那麼,攻擊者便能偷取到這些錀匙,並進到企業當中的各台虛擬機器裡頭。所以,購買這些產品一定要小心謹慎!

4「要」接納虛擬化安全產品前,請考慮再三

      
雖然虛擬化安全產品市場目前還算新興產業,但仍受到相當多的關注。「這個安全領域著實令人眼睛為之一亮!」,網路安全廠商Sourcefire的CTO,同時也是Snort入侵偵測計畫創始人的Marty Roesch又說,「人們總是不斷地問說什麼事情是我們能作的?」但是,他首先質疑企業該不該打這場不知是否正確的仗。

       Roesch提出為何相同硬體上的寄宿系統(guest operation system)之間,所產生出來的虛擬機器流量(intra-VM traffic),其重要程度會較轉換流量和存取層流量為高?

       近年來,企業在內部網路方面努力耕耘,只為企求更切適的安全政策。或許,為每台虛擬交換器的安全所花下的工夫,其優先權不應當凌駕在解決真實網路的安全問題之上。

       「我必須要問:是否在200台刀鋒伺服器上佈署安全機制會較好?或者威脅是否由外而內進來?安全偵測裝置各別監控每台刀鋒設備,會不會好過只專注監控那一台上的Uplink(譯注1)?」,Roesch說。

       就因為廉價,虛擬網路安全公司Reflex Security的工程部副總Aaron Bawcom盤算著說,「我們見識過擁有成百個據點的用戶,各據點都配置多台的POS 系統,也就等同構成了該據點IT基礎架構下的少數伺服器。不過,你有算過光數千個站台上的防火牆,所要砸下的重金成本?」像這類的佈署成本高得可怕,他接著又說,企業寧付信用卡稽核不合格的罰鍰,也不願再重建整個網路架構。

       Bawcom不贊成在各據點都佈署硬體設備,反倒希望企業考慮多採用虛擬化技術以強化分部辦公室的伺服器群。一旦只需管理單一台實體伺服器,以及三台寄宿主機的話,那麼,我們很簡單地只要將網路安全機制整合到虛擬交換器上,便可以達到安全的目的。「全部採用硬體設備,我們很難跨越投資報VM快照備份(Snapshot) 酬率這道障礙高牆。不過,若是將安全虛擬化之後,我們便可佈建更多的安全機制,不僅省下成本,也提高了安全的價值!」,Bawcom說。
      
       然而,有一點卻是Roesch和Bawcom都認同的,就是安全監控(security monitoring)。「當網路是由在hypervisor層上的虛擬設備所構成,網路能見度會一下子變得明朗起來。」Roesch接著又說,「因為我們會透過一些工具幫忙萃取資料,所以,能得到愈多資訊愈好。」就Bawcom而言,虛擬化也開創了另一個管理上的良機,它使得企業以從上而下(topdown)的視野來看待整個系統,並能即時的回頭觀察整體架構到底有何變化。

      不過,這些好處並非憑空出現。「虛擬化不會減少任何在安全上所要付出的成本!」Hoff繼續論道,「我們仍舊要佈署相同的代理程式,相同的入侵防禦程式,以及相同的防毒軟體,一樣都不能少。」這暗指虛擬化環境所帶來的彈性,也可能會招致失敗結果。「虛擬化安全設備會隱蔽住每一條
網路流量,而就當你為此用罄了記憶體和CPU資源時,十多台的虛擬機器卻又要搬遷到這台伺服器上。此時,實在是很難去估算設備需多少的處理能力才夠使用。」他說。

       目前有頭大象正杵在這個虛擬安全的空間裡,而最火熱的企業級虛擬化供應商VMware,卻離它離得很遠,顯示VMware在安全領域之中,仍舊不是很在行。事實上,VMware將虛擬化安全定調為一個功能選項,而非產品;但是到了現在,VMware卻開始對此有所表示,像最近的VMS afe產品,其本意是讓第三方協力廠商對VMware的宿主主機(hypervisor)能夠擁有更多存取權。就在去年,VMware買下一家極具潛力的主機安全公司Determina,它自已找到可以組成頂尖安全研究團隊的研究人員Alex Sotirov和Oded Horovitz,這2位專家在弱點研究方面頗富盛名,而且絕對閒不下來,不會袖手旁觀。

       根本上,當提到虛擬化安全產品,企業就必須得用一種正向懷疑的態度來面對。簡言之,以一句Ormandy的話來講,「人們認為虛擬化,是一種仍舊無法反映當前現實的安全解藥!」不過,虛擬化安全產品還是為更廣泛的網路安全議題,提供了改變的良策,但是,這些機會在企業找上它們之前,應當要清楚、明確,並且立即。

5「不要」讓虛擬化惡意程式讓你在夜晚無法成眠

     
現在還有一些事物看來不清楚、不明確,甚至沒有立即性可言:受到虛擬化惡意程式的威脅。那究竟何謂虛擬化惡意程式(virtualized malware)?事實上,它就是木馬、rootkit之流的軟體,專門破壞hypervisor技術,並將自己藏身於受感染之作業系統之中。虛擬化惡意程式會讓人有這種不安的感覺,主要是因為rootkit和殭屍網路(botnets)無法被安全軟體所偵測到的緣故。再者,任何對安全稍微留心一點的人,應該都有聽過關於虛擬化rootkit的傳聞。如同新聞故事一般,會寫道:虛擬化技術炙手可熱,安全攻擊總是創造新話題!不過,這個問題是,到底有多少虛擬化rootkit存在於真實世界裡?恐怕不多,至少到現在還尚未發現它們的蹤跡。

       這麼說來,為何我們截至目前為止,都還沒有見過新一波利用虛擬化能力作怪的惡意程式?身處rootkit概念驗證(proof-of-concept)(譯注2)研究領域的研究者會爭辯說,因為我們找不到它們,或者就算利用現存工具,亦無法發現其蹤跡,但是,這應該不是實情。

       就在去年, 筆者會同R o o t 實驗室的N a t e Lawson,以及賽門鐵克的Peter Ferrie等人共同發展虛擬化rootkit的偵測技術。我們找到許多種不同的方法達成目的,其中我們曾懷疑追擊「無法偵測」的虛擬化rootkit是否正確。團隊的關鍵重要發現在於了解由於虛擬化做的太好,以致於應用程式也找不他。而這就足以讓系統燈號亮起,磁碟轉個不停。若是當你再看得更深入一點,就會發現這些有問題的宿主機器,總留下難以抹滅的訊息在那兒。

      不過,也不全然都是好消息。因為來自rootkit的威脅十分真實,它更有可能去咬住軟體應用層不放。目前,只有少數虛擬化平台可供rootkit藏匿,但我們都還能找得到它們。可是,現在面對的是有成千上百個軟體,各個都讓後門程式和rootkit有隱身之地。所以,毫無疑問地,企業在未來虛擬化的時代,仍是得處處留心。Thomas Ptacek為Matasano Security顧問公司創始人,身兼該公司總裁一職。

(譯注1) uplink:實體的乙太網路端口(就是乙太網路卡)會被當作連接虛擬和實體網路之間的橋樑,在VMware的架構下,這些端口就被稱作uplink。單一台主機最多可以有32個uplink,這些uplink能通通都連在同一台switch,或者是分散在不同的switch上。(譯注2) proof-of-concept:指的是用一種有用的方式去證實一些想法或理論是可行的。

虛擬化術語
以下表列有助於你了解虛擬化相關名詞

虛擬化(Virtualization)

可讓單台電腦主機同時間執行多重作業系統的一項技術,各個系統所表現出來的行為,就好似它可對下層硬體有獨立存取權一樣。

寄宿主機(Guest,等同VM的意思)

就是一台虛擬機器。如果你在VMWare下執行Windows Server 2003,這就表示你已經建立了一台Guest虛擬主機。

宿主主機(Host,等同Hypervisor的意思)

就是可供虛擬機器執行的軟體,或者,你可以把它想成某個作業系統實體是由一套軟體所產生的。VMware Server是一個能夠於Windows XP主機系統中執行的Hypervisor,而VMware ESX則是屬於具有獨立作業系統的Hypervisor。

VM遷徙(Migration)

虛擬化的功能之一,作用是允許執行中的寄宿主機(guest),在不停止系統運作的情況下,從一台實體主機上轉進到另一台目的端的實體主機上。

VM快照備份(Snapshot)

虛擬化的功能之一,作用是允許製作寄宿主機(guest),及其硬碟和所有其他一切的「版本備份」,目的是作為儲存,與後續系統復原之用。

虛擬交換器(Virtual Switch)

內建在宿主主機(hypervisor)裡用來模擬網路的一套軟體,它可讓寄宿主機(guest)之間相互溝通,並搭建與外界網路溝通的橋樑。

要保險也要安全

在Esurance一腳踏入虛擬化世界的同時,該公司所重視的優先要務就是安全!

文 ■ MA RCIA SA VAGE

  正當Esurance投向虛擬化懷抱的時候,它對待該案就如同其他案子一樣:一切安全至上。

  「在Esurance,安全就像DNA中的一部份。」三藩市一家線上保險公司的網路維運部主任MarjorieHutchings接著說,「無論我們要採取什麼樣的行動,安全永遠會預先擺在各專案的前頭把關。」

  留著一頭粉紅頭髮,專門打擊犯罪的虛擬卡通人物Erin,是Esurance在電視廣告中的特點,其實,該公司已經在其上線前(pre-production)環境中佈署了VMware產品,直到最近,Esurance更是將公司的企業目錄服務虛擬化。Hutchings說,在實行虛擬化的時候,公司亦採用了與實體資訊架構環境相同型態的安全措施。

  也就是說,這些措施包含了防毒軟體掃毒,嚴格的管控機制,甚至得監測任何組態設定檔的改變,以防止錯誤組態的情況發生。她也說了,虛擬化的確讓數百台伺服器的佈署作業變得容易許多。

  不過,該公司卻不忘把虛擬化資訊架構下的管理網路獨立出來,並且將存有機敏性資料的虛擬機器彼此作了隔離。

  「我們特別花心思在保護虛擬磁碟影像檔(virtual drive image)和虛擬機器樣版(virtual machine template)的安全。」Hutchings補充道。

  虛擬化允許成長快速的保險公司,可以很迅速地打造額外的開發環境。此外,還能省硬體成本,並可以相當容易地進行組態設定。再者,這項科技同時也協助企業作好綠色節能。Hutchings說,「虛擬化技術幫忙節省動力與能量,甚至還減少我們的碳足跡(carbon footprint)。」

  Esurance本身在28州就擁有超過50萬的保險會員,其目標鎖定或許在明年,在該公司上線環境中推展它在虛擬化上的使用。