虛擬化是黑客美味嗎

虛擬化技術實現了多個操作系統在同一臺計算機上運行應用軟件，由于這可更好地管理和利用IT資源，因此引起了IT管理者的關注。

然而，一些IT經理和安全研究人員警告企業，采用虛擬化后呈現出的技術問題將使公司系統更容易受到黑客的攻擊。

一家金融服務公司的技術安全官員Chad Lorenc說，虛擬機的IT安全與合規性項目遠比運行單一操作系統和應用軟件的服務器更為復雜。

“目前，無法找出單一的方案來解決虛擬環境的安全問題。而要從客戶、流程以及技術等多個角度來考慮。”

虛擬化技術使得企業可以整合運行在單一服務器多個系統上的應用軟件，這就簡化了管理需求，并使得IT硬件資源更好地被利用。然而，盡管這一技術已經存在了很多年，IT企業直到近期才對這一技術有了濃厚的興趣。同時，英特爾、AMD、VMware、微軟和IBM等公司也研發了很多產品。

一家安全公司的技術分析師George Gerchow說，在IT架構轉而采用虛擬化工具之前，他們必須明白將多個服務器合并為一個并不會改變其安全需求。

事實上，他注意到，每個虛擬服務器分別面臨著與傳統服務器同樣的威脅。George說：“如果一臺主機容易受到攻擊，那么所有的虛擬客戶機以及這些虛擬機上的企業應用軟件也同樣處于危險中。”

因此，一臺運行虛擬機的服務器面臨著比一臺物理服務器更多的危險。

他注意到，虛擬化軟件使開發者、質量保證小組以及其他企業用戶建立虛擬機的程序變得更加容易，且不易出現技術漏洞。如果IT管理人員不著手對之進行控制，這樣的虛擬機就可能會突然出現、在系統間進行轉移或者完全消失。

“IT部門經常未做好應對這一復雜系統的準備，因為他們不了解虛擬機存在于哪臺服務器上，也不明白哪臺是運行的、哪臺處于未運行狀態。”由于不了解虛擬機的運行情況，公司通常不能在必要時給系統打補丁或者進行升級。

給系統打補丁的復雜性

即使IT員工的確了解了虛擬機的運行情況，他們仍面臨著安裝補丁或者使系統脫機以執行常規安全升級的問題。隨著虛擬機數目的增多，系統補丁以及應用軟件升級隨之而來的風險也會逐臺增加。

Lorenc建議企業在創建虛擬服務器時安裝可快速檢查和發現虛擬機的工具。他還建議企業出臺嚴格的政策以控制虛擬機的數量的擴充。同時，對于IT經理很重要的一點是對企業每個應用軟件在虛擬環境的運行有清醒的認識。企業應該為虛擬機建立單獨的補丁流程，并創建嚴格的改進管理政策，同時限制對虛擬環境的訪問。

我們還處在這樣的階段：必須通過改進管理和技術而自己使這一領域的一些操作流程成熟起來。

BT Radianzd的首席安全官員Lloyd Hession說，虛擬化也揭示了一個潛在的網絡訪問路徑控制問題。他注意到這一技術使得有多種訪問需求的不同應用軟件服務器運行在只有單一IP地址的一臺主機上。因此，IT管理人員應該采用適當的訪問路徑控制方式來確保一個網絡許可對應一臺主機上的虛擬服務器。

當前，大多數網絡不是虛擬化的。很多網絡許可控制技術使得“進入”和“不得進入”的決定是未知的，無論某臺服務器是不是虛擬機。

安全專家也注意到來自主要供應商虛擬化工具的擴展功能給黑客和安全研究人員提供一堆未經研究的代碼，從中可發現安全漏洞和系統的攻擊方式。

這個月，微軟發布了一個補丁以處理其虛擬化軟件的一個漏洞——用戶可在未經控制的情況下進入操作系統和應用軟件，微軟將這一缺陷評價為重要的而非關鍵的。

安全專家說，隨著虛擬化技術的普及，軟件包中將出現更多這樣的漏洞。

可能的缺陷

IBM網絡系統部X-Force小組的主管Kris Lamb采用了虛擬機控制工具——管理系統的虛擬化功能，作為黑客對虛擬機攻擊的一個強大的潛在平臺。

作為硬件和主機不同虛擬機之間的分界，虛擬機管理器采用了控制臺來管理主機資源。

據安全專家說，控制軟件通常僅位于某一硬件水平上，用于發布無法察覺的對操作系統和應用軟件的攻擊。事實上，安全研究人員說他們已經證明了控制軟件如何開展虛擬機攻擊。比如，微軟和密歇根大學的研究人員今年年初發現了SubVirt——可采用“根文件”以在一個操作系統下安裝虛擬機控制器，這一行為使得研究人員實現了對虛擬機的完全控制。

一個相似的攻擊方法被稱為Blue Pill，是由Joanne Rutkowska開發的。Rutkowska的“根文件”攻擊方法是基于AMD的安全虛擬機，代碼名稱為Pacifica。其采用與SubVirt攻擊方式類似的方法攻擊虛擬系統，然而卻仍未被IT人員發現。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]