https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

當端點安全遇上桌面虛擬化

2009 / 11 / 17
曹乙帆
當端點安全遇上桌面虛擬化

近年來,虛擬化(Virtualization)已然成為當前IT界最熱門當紅的話題之一。透過虛擬化,不但可以在單一主機上同時運行多套作業系統及應用服務,還可有效簡化伺服器與桌面之系統佈署、備份還原、移轉與組態設定等管理作業,進而達到硬體資源分配最佳化、管理成本降低、新舊系統及應用並存,以及營運不中斷等種種過去所難以兼顧的優點。但對於安全來說,尤其是長久以來企業最疏忽且頭痛不已的端點安全,一旦遇到虛擬化時,到底會更安全,還是更難以控制?相信會是今後企業難以避免,且需認真思考對應之策的重大課題之一。

對企業來說,雖然端點電腦的軟硬架構,比起伺服器來說遠較單純得多。但數量上,為數龐大的端點電腦,與少量伺服器間根本不成比例。同時在類型上,除了固定的桌機外,還有居無定所的筆電,以及在家工作的遠端電腦,亦使得端點電腦的管理複雜度及難度,完全不下於伺服器。更頭痛的是,端點使用者多半不具IT或安全技術與觀念,所以難免不時會給IT人員添上「驚喜」的麻煩。也因為如此,若在端點電腦上,再加入虛擬化技術與額外的虛擬環境的話,即使有再好的集中管理工具與機制,但管理人員實質上所面對的端點環境,在數量上無異至少是原來的兩倍之多。再加上令人捉摸不定的端點使用者行為,各種有如不定時炸彈般的狀況,定然會讓管理人員的壓力及負擔倍增。

Win 7挾虛擬平台進軍企業市場 安全防護不能少

或許讀者會問,端點電腦上幹嘛要安裝什麼虛擬環境?過去,只有技術人員基於開發測試等需求,而會在自己的端點電腦上建立虛擬環境,但畢竟是少數,而虛擬環境對一般使用者來說實用性並不大,所以何需擔心呢?或許過去是如此,但隨著微軟Windows 7作業系統的即將上市(10月22日),屆時企業內每台端點電腦上都將
可能會有另外的虛擬環境。這是因為微軟為了解決企業「古早」應用軟體,可能在全新Windows 7上會有相容性問題,而另外提供可以協助企業從舊系統與應用,安然過渡到新系統的XP Mode虛擬化解決方案。

透過,XP Mode內建功能,企業可以在Windows 7作業環境之上,另建Windows XP虛www.informationsecurity.com.tw 65擬作業環境。如此一來,企業舊有的應用與服務,就可以順利而間接地在Windows 7中繼續運行。可以想見的,隨著indows 7的全面上市,企業想買到不是內建Windows 7的桌機或筆電都很難。對於管理人員來說,每一台新進的全新端點電腦,就等於有兩個系統環境要管,而且還是兩個截然不同的作業環境。其中,一個是全新不甚熟悉的Windows 7系統及應用,而另一個雖然是比較熟悉的Windows XP環境及應用,但虛擬機器有時開、有時關,所以管理上必然會比較困難麻煩一些。對於原本就熟稔虛擬化技術的管理人員來說,或許稍稍適應一下馬上就可應付自如;但對於不甚了解的IT人員來講,難免會耗費一定程度的學習及時間成本。

再就安全性來說,過去常常聽到許多使用虛擬機器軟體的人會說,透過虛擬機器即使瀏覽風險再大的網站、下載執行再毒的檔案也不怕。也因為如此,很多人會認為虛擬環境很安全。事實上,這種想法會有很大問題。因為如果使用者拿虛擬機器來從事程式或下載軟體的測試的話,並非沒有安全問題,因為虛擬環境也會因而遭到感染,只不過這個環境若隔離得當,是不會影響到實體系統的安全性。而且在此虛擬環境中,也沒有什麼機密資料可言,所以即時遭駭或被植入木馬也無所謂。

但對於未來Windows7系統上的虛擬Windows XP環境來說,這裡頭運行的可都是企業舊有的應用與服務,其中難免會有許多較敏感的資訊存在。所以該虛擬環境可說與實體環境一樣重要,若遭到任何惡意攻擊,進而造成應用服務停擺還算事小,若機密資料因而外洩,那事情可就大條了。所以面對運行任何企業新舊應用服務的虛擬環境來說,安全防護一樣也不能少、一刻也不能懈怠。

虛擬環境安全問題多 Hypervisor-based惡意程式最難防

趨勢科技技術顧問戴燊表示,基本上,虛擬環境所面臨的安全威脅,與我們所熟悉的實體環境並沒有什麼不同。換句話說,實體系統及網路環境中,常遇見的蠕蟲、木馬、後門、殭屍程式(Bots)、間諜軟體、Web攻擊,抑或針對弱點的零時差攻擊
等安全威脅,一樣會對虛擬環境造成威脅。針對上述安全風險,虛擬與實體的安全防護做法或採用的方案並沒有太大的差異。

不過在Botnets of Taiwan 2009偵測與防治技術研討會上,阿碼科技首席資安研究員Birdman驚人地指出,當前日新月異的Bots已然進一步具備可怕的反分析技術,除了會針對防毒軟體及HIPS的行為監控機制提供反制能力外,同時並具備偵測分析環境的能力,也就是該惡意程式一旦偵測到虛擬機器Sandbox,就不會有任何動作,以反制安全人員想透過Sandbox來對botnet行為加以監控的意圖。

除此之外,虛擬環境還有一些實體環境所沒有的特有風險與問題,例如實體資源耗用、離線虛擬機器、模糊不清的權責劃分,以及最頭痛的Hypervisor-based攻擊(見圖1)。就實體資源耗用來說,僅管當前硬體效能強大,但在既有實體上安裝虛擬系統,而且又在虛擬環境中安裝許多應用軟體,當然免不了會耗用較多的系統資源,若同一實體上安裝愈多虛擬機器,耗用程度也愈大。也因為系統資源已占有一定比例,這使得其在對抗DoS等惡意攻擊時的先天體質會比較弱得多。

再來,由於虛擬機器除非有需要,否則處於離線的狀態會比較多些。但對於企業既有自動化更新修補機制而言,若出現新的系統或程式更新時,剛好又碰上某虛擬機器處於「休眠」離線狀態時,那麼該虛擬機器在錯過即時修補的機會下,一旦啟動,就會有招致零時差攻擊的可能性,甚至進而會對其他正常虛擬機器、乃至實體環境造成危險。

Check Point技術總監陳建宏指出,虛擬化也讓過去權責分明的管理分工造成破壞。過去企業IT管理團隊,對於系統、網路或安全等議題,都會有極其分明的權責劃分。但在虛擬化世界裡,上述各議題的邊界愈來愈模糊,益使得權責劃分變得更加困難。若劃分不良,難免會引發潛在安全及穩定風險。

對於虛擬桌面來說,當前影響最大的安全威脅莫過於Hypervisor-based惡意程式,這類將hypervisor技術運用的爐火純青的惡意程式,會將自己偽裝成一個安裝於客端虛擬機器系統(Guest OS)之下的hypervisor管理程式。如此一來,不但傳統安全防護軟體難以偵測,而且該惡意程式還可藉此攔截任何作業系統的操作行為,例如從中截獲使用者輸入的密碼,進而取得整台電腦的控制權。當前已見最知名的Hypervisor-based惡意程式,包括SubVirt、藍色藥丸Blue Pill與Vitriol。

其中,SubVirt是由微軟與密西根大學研究人員基於研究所共同撰寫的概念驗證ootkit。該Rootkit會對已知漏洞發動攻擊,並會在系統底層植入一個VMM虛擬機器監控程式,其上層的所有系統會神不知鬼不覺地遭到控管。至於藍色藥丸是一個專門以微軟Windows Vista作業系統為攻擊目標的Rootkit,它先後採用了AMD-V及Intel VT等硬體虛擬化技術,一樣會偽裝成一個hypervisor程式,透過對執行中虛
擬實例之劫持,進而取得整台電腦的控制權。至於Vitriol一樣屬於硬體虛擬化ootkit,是一個使用IntelVT-x技術,並專門攻擊MacOS X系統的Hypervisorbased
惡意程式。總之,面對這類型惡意程式,若採用實體環境下的傳統安全防護方案是絕對行不通的,企業唯有透過Hypervisor-based的安全方案才能加以反制,對此,會在文後做進一步介紹。

每台電腦都得裝兩套安全方案?現有方案無法偵測虛擬網路流量

撇開Hypervisor-based惡意攻擊不談,就算是傳統安全威脅,管理人員也必須在虛擬機器中另外安裝安全防護方案才能加以因應。換句話說,面對每一台內建虛擬Windows XP的全新Windows 7端點電腦,企業都必須同時安裝兩套安全方案不可:一個給實體,一個給虛擬。對於企業來說,這絕對是個負擔不小的額外採購成本。對管理人員,即使可透過方便的集中化控管機制,但仍然免不了會有額外的管理負擔(請見「兩套防毒軟體在端點」)。而且如同前文所述,虛擬機器有時開、有時關,管理上的相對麻煩也實在難以避免。企業可能在導入Windows 7之前,務必先行檢視一下既有IT管理團隊的人力,是否能因應導入後的管理工作量才行。否
則管理品質在沈重的負擔下,將會面臨品質下降的風險。總而言之,由此看來,額外採購及管理成本的增加,勢不可免。

不僅如此,相信大家都知道防毒軟體之類的安全軟體對於系統資源的可怕程度,絕非其他應用軟體所能望其項背。所以同時在一台主機上,分別在實體及虛擬系統之中,共安裝兩套安全軟體,對資源的耗用程度絕對極其可觀之至,更別說虛、實系
統中還分別各有其他應用軟體要跑呢!雖然當前支援Intel VT或AMD-V硬體虛擬化技術的主機規格都不會太差,但企業還是要視實際運作狀況,看看是否要選用更高檔(也更貴)一點的端點電腦,才比較保險些。若如此的話,一定支出額度的硬體採購成本也免不了。

不過,若再將Hypervisor-based惡意程式此一棘手議題也納入討論的話,將會發現上述種種安全防護舉動如同做白工一般。因為Hypervisor-based惡意程式是個相對底層的安全威脅,試問安裝於上層客端作業系統上的傳統安全軟體,要如何偵測得到底層的惡意程式呢?所以這些方案,應付傳統安全威脅或許沒問題,但對ypervisor-based惡意程式來說可能全然無效。而且虛擬機器之間的溝通,也就是
整個虛擬網路是透過虛擬交換器(Virtual Switch)進行交流,傳統實體裝置根本無法察覺。再加上,即時虛擬轉移(VMotion)機制,讓虛擬機器可以動態地在不同實體主機間移轉,傳統安全方案恐怕無法趕上它多變的腳步。難道沒有專門對付ypervisor-based惡意程式的安全方案嗎?難道非要每台電腦都得安裝至少兩套防毒方案嗎?傳統安全方案可以偵測到虛擬機器之間的網路流量嗎?可以將某些有安全疑慮的虛擬機器加以隔離嗎?

VMSafe內核層安全架構 支援集中式內核層安全管控機制

對此,VMware大中華區技術總監張振倫表示,資安廠商可藉由VMWare提供的VMSafe API,開發出可安裝在VMWare ESX/ESXi Server等hypervisor層中的安全防護方案(見圖3)。如此一來,藉由在Hypervisor層中安裝一套安全方案,即可對上層所有客端系統流量進行集中化安全過濾作業,而不需在每個客端系統中都安裝安全防護,企業可藉此省下大筆費用,而位於Hypervisor內核層的安全防護機制,將可有效杜絕對任何Hypervisor-based惡意攻擊行為。

進一步而言,透過VMSafe架構,安全廠商可收集虛擬機器的記憶體分頁與CPU狀態等底層資訊、進行Hypervisor內核之封包過濾作業、分析虛擬機器中正在執行哪個處理程序,甚至可進一步掌控磁碟檔案,進而掌握虛擬機器的真實狀態。這將有助於開發出更精準、快速的安全控管機制。再者,VMWare另外提供虛擬管理API技術,安全廠商可讓所開發的虛擬感知方案藉由虛擬架構管理中心(Virtual Infrastructure ManagementCenter)對新產生的虛擬機器加以監控,也就是說,一旦有任何虛擬機器出現在線上,虛擬感知方案會自動將正確的預設安全政策套用在該虛擬機器上,並自我完成佈署。

透過VMSafe技術,即使面對虛擬轉移中的虛擬機器,也能將安全政策與網路連線狀態表一併跟著移轉過去。同時在虛擬環境中,也可透過IP及VMID/UUID對特定IT資源的綁定,來進行安全比對。除此之外,雖然當前許多虛擬方案內建的網路監控工
具,並無法看到橫跨所有Hypervisor主機之間的協定與True IP Flow。但透過對虛擬機器的直接操控,即可解決此一問題,安全廠商並可藉此開發出將封包流量另外加以鏡射監控的安全裝置。目前市面上最主要的x-86虛擬化方案中,目前只有VMWare提供Hypervisor內核層的安全開發架構。換句話說,Windows 7 XP Mode並無法支援Hypervisor-based安全防護方案的安裝。也因為如此,企業免不了非得在每個Windows XP虛擬機器中都安裝安全方案,如此才能確保基本的安全,但是
否能夠抵擋Hypervisor-based惡意程式就很難說了。

雖然當前Hypervisor-based惡意攻擊不多,但隨著Windows 7與XP Mode的普及,必然引起駭客的注意及興趣,到時候Windows 7上層虛擬環境的安全風險必然大增。張振倫建議,使用者可以選擇VMWare的Hypervisor管理程式來集中管理Windows 7 XP Mode,而且該管理程式並支援單一Hypervisor-based安全方
案的安裝,如此便可確保XP Mode的安全性。不過這個提議在成本上是否划算,企業實在有仔細加以評估的必要。

降低成本強大虛擬化中央管理機制 虛擬映像檔安全性至關重要

針對虛擬桌面的管理問題,各家虛擬化方案都提供不錯的集中管理工具與機制。其中,VMWare並在今年2月之際,在原先的VMWare View桌面管理套件中,新增了VMWare Client VirtualizationPlatform(CVP)管理工具。該工具是一個裸機型用戶端
Hypervisor程式,能對支援Intel vPro技術的主機提供最佳化管理機制。結合vPro技術,CVP能對線上或離線桌機、筆電上的虛擬桌面環境,進行虛擬桌面與應用之派送、管理與更新等各種集中管理作業。總之,透過上述工具,可以藉由單一管理工具進行各種資源分配、管理政策參數設定、自主映像檔快速建立虛擬桌面、更新修補強制實施、整合式存取控制等工作(見圖3)。

面對X P M o d e的管理,微軟另外提供M E D -V(Microsoft Enterprise Desktop Virtualization) v2.0集中管理工具,該工具是Microsoft Desktop Optimization
Pack(MDOP)管理套件之中的元件之一,其beta版會在Windows 7正式上市後三個月內釋出。MED-V提供許多不錯的集中化佈署管理機制,包括藉助端點代理程式的政策分派、使者與群組導向的虛擬WindowsXP映像檔派送、定義可出現在開始功能表上的應用程式、第一次虛擬桌面自動化組態設定、虛擬桌面記憶體配置、虛擬桌面網路設定與身分認證之存取控制配置、虛擬映像檔更新派送、遠端排錯,以及
管理診斷模式等。

強大的管理機制,的確可以節省不少虛擬桌面建立、配置、更新與管理等作業的負
擔,同時對部分安全性的提升也有極大幫助。但值得一提的是,各家桌面虛擬
化方案雖然都提供強大虛擬桌面映像檔之新增、派送、移轉及更新等功能,但
如果原本的範本映像檔有安全疑慮的話,將可能製造出更多有安全潛在風險
的虛擬機器,甚至有進而造成整個實體環境危險的可能性,所以企業必須慎選
可確保整個虛擬桌面與環境皆安全無虞的方案,才是最基本的上上之策。