虚拟化安全（一）

huizhe2015

虚拟化安全（一）

1. 摘要

在 IT 和网络世界，虚拟化已在短时间内产生了巨大的影响，并已经提供了巨大的成本节省和高投资回报率的数据中心、企业和云计算。从安全角度，对于虚拟化和虚拟化环境似乎是缺乏实质性和滞后的理解。 一些人认为虚拟化比传统环境更加安全，因为他们听说过虚拟机之间的隔离，却没有听说过任何关于虚拟 机管理程序的成功攻击。另外一些人认为，新的虚拟化环境需要像传统的物理环境一样需要安全，因此需 要在适当的位置应用持续有效的安全加固方法。但是新的环境更加复杂，并且虚拟环境加入到现网环境创 建一个新的网络时，需要一种新的安全的方法。这就包括传统的安全以及虚拟化方面的安全。本文简述了 识别由虚拟化引起的差异、问题、挑战、风险等等。并期待为客户提供良好的建议和最佳实践以保证当虚拟环境加入到现网环境时与原来一样安全。

2.  介绍

尽管这是一个可以追溯到五十多年前的概念，但是在目前及未来，该项技术在应用程序方面仍将成长与发展。实际上，当今一半的服务器运行在虚拟机上。1、到 2014 年，70%的工作负载运行在虚拟机上。2、 我们需要跟上技术的进步，并且需要广泛部署安全的虚拟化组件和虚拟化环境。让我们看看那些目前由虚 拟化带来的效益。

3.  虚拟化带来的安全好处

以下是引入虚拟化环境的一些好处：

u   在虚拟化环境中，采用集中存储来防止数据丢失，如设备丢失、窃取及重要数据被破坏。

u   当虚拟机和应用程序被正确隔离时，在一个操作系统只有一个应用程序会受到攻击的影响。

u   当配置正确时，虚拟环境提供了灵活性，它允许系统不必分享那些至关重要的信息。

u   如果一个虚拟机被感染，它可以回滚到被攻击前的一个安全状态。

u   因为硬件设备及数据中心的减少，使虚拟化提高了物理安全性。

u   桌面虚拟化的部署可以更好的控制用户环境。一个管理员可以创建并控制一个“镜像”，并向下发 送到用户的计算机。该技术提供了更好的系统给控制，以保证满足组织的安全策略需求。

u   服务器虚拟化可以带来更好的事故处理，因为服务器可以恢复到以前的状态，以便审查之前和攻击期间发生了什么。

u   系统和网络管理的访问控制以及职责分离可以被改善，通过只分配给特定个人控制虚拟环境内部网络，而其他人处理在DMZ 区的虚拟机。例如你能有特定的管理员处理 Windows 服务器，而另 一些人处理 Linux 服务器。

u   虚拟机管理软件比较小并且不复杂。它提供了很小的攻击面，程序以很小的攻击面运行，减少了 潜在的脆弱性。

请注意，我们已经描述了上述的一些好处，如“如果配置或设置不当”。虚拟化是非常复杂的，所以它必须是正确的，以保证获得上述优势。

4.  虚拟化面临的安全挑战、风险和问题

现在我们已经看到了虚拟化的一些优势，下面让我们一起来看看一些挑战、风险和问题。

4.1 主客之间的文件共享

当使用文件共享时，一个有问题的客体可以访问主机的文件系统，并修改用于共享的目录。当剪贴板共享和拖拽被用于主客机时，或者当应用程序编程接口被用于编程，在这些领域的稳定性漏

洞可以最终影响整个基础设施。

4.2 快照

当快照被恢复时，你所做的任何对配置的更改将丢失。如果你改变了安全策略，一些东西是可以当下 访问的。审计日志也可能消失，这可能消除你在服务器上进行更改的任何记录。这些不幸的结果很难满足合规性的要求的。

图像和快照包含的专有数据像个人身份信息和密码，更像一个物理硬盘驱动器。任何不必要的或者更多的图像真的是引起关注令人担忧的，因为任何快照的存储可能含有未被发现的恶意软件在重新加载的时候会造严重的破坏。

4.3 网络存储

光纤通道和 iSCSI 是明文协议，并可能会受到这方面的中间人攻击。嗅探工具可用于读出或记录存储流量，并可以被攻击者重现。

这往往是一个光纤通道的性能和安全之间的权衡，加密可以在主机总线适配器用于光纤通道实现，但 由于可能会发生的负面问题而不能多次被使用。

4.4 虚拟机管理程序（Hypervisor）

如果 Hypervisor 被攻破，所有连接的虚拟机也将受到影响，并且默认的 Hypervisor 配置中并不总是最 安全的。

Hypervisor 控制一切，并提供在虚拟环境中的单点故障。一个单一的缺口可以把整个环境处于危险之 中。

在 Hypervisor 的一个管理员可以做任何事(“所有王国的钥匙”)。在 Hypervisor 通常有密码设置，但这些 很容易被管理员之间共享，这样你就不会真正知道谁做了什么。

Hypervisor 可以允许虚拟机彼此之间沟通，这种沟通甚至不会加入物理网络，这最终表现得像一个私 有网络的虚拟机。这个流量并不能总是被看到，因为由虚拟机管理程序进行，并且你不能保证这是否安全。

待续。。。

汇哲科技近期课程时间安排：

【CISA认证培训】上海8月19-23日 北京8月26-30日  上海10月21-25日

【CISSP认证培训】 北京8月19-23日 上海8月26-30日  北京9月16-20日

【CISP认证培训】北京8月21-29日(最后一天考试） 上海9月11-19日(最后一天考试）

【CISM认证培训】 北京10月31日-11月3日  

【COBIT 5.0 Foundation 认证培训】上海8月08-09日

【ITIL V3 Foundation  认证培训】北京8月29-30日

如需了解课程详情，请联系汇哲小宝

联系方式：手机：18516268011 微信：spisecxiaobao

QQ:2660618168