虚拟化日渐威胁IT安全

层出不穷的高科技使虚拟化服务器更易遭受黑客的攻击。

虚拟化技术使得用户能够在单一物理设备（如在一台服务器或存储阵列）上运行多个虚拟机。该技术使公司能够统一单一服务器控制的多个系统上的应用程序，这简化了管理命令并使硬件资源得到了更好的应用。

然而，一些IT管理员和安全研究人员警告说，新兴技术的发展也使企业系统更易受到黑客攻击。某金融服务公司的信息安全工作人员Chad Lorenc透露，虚拟机上的IT安全和相关程序远比只运行单一操作系统和应用程序服务器上的复杂得多。“这是极为复杂的，很难为虚拟化环境中的安全问题找出一个解决方案。” Lorenc说。

他补充说，“万灵药是不存在的，你必须从使用人群、应用程序和技术等多种角度着手来解决安全问题。”

来自位于科罗拉多Springs市郊Configuresoft公司策略与执行中心的技术策略人员George Gerchow表示，在转向虚拟化工具之前，IT人员必须明确这一点，将多台服务器应用压缩到一台设备上会面临与之前一样的安全要求。

未雨绸缪

Gerchow认为每一台虚拟服务器都面临与传统服务器同样的威胁。“如果主服务器受到攻击，所有附属虚拟机以及上面运行的应用程序也将面临威胁。”因此，他解释说，一台运行多台虚拟机的服务器比单机系统面临更多的威胁。

另一方面，虚拟化软件使开发人员以及其他企业用户可以轻而易举地建立起虚拟机，但往往缺少IT监督。Gerchow 说，“IT部门对于掌握服务器上的哪些虚拟机活跃哪些不活跃这一复杂情况往往措手不及。”如果不能追踪虚拟机，公司就不能在必要的时候修补漏洞或更新系统。

Lorenc说，“当用户创建了虚拟化环境后，虚拟化服务器就可能形成堆积。”他解释说，结合起来的价值资产就会“迅速攀升”。Gerchow则说即使IT工作人员一直在追踪服务器上的所有虚拟机，他们仍然会遭遇诸如安装补丁或安全升级时网络断线之类的问题。

Gerchow认为，每增加一个新的虚拟机，修补漏洞和升级程序的风险也随之加大。Lorenc建议公司安装快速检测和发现是否在企业服务器上安装了虚拟机的工具。他还提议公司采取强制措施控制虚拟机的传播。

他还说，IT管理员掌握公司虚拟化环境中运行的每个应用程序上的信息入口，并且理解它们之间可能存在的相互依赖关系是十分重要的。

纽约BT Radianz公司的首席安全官Floyd Hession说，虚拟化也引发了大量潜在的网络访问通道控制的问题。他指出，现在的技术已经能达到使不同访问需求的多个应用服务器以一个IP地址在一台主机上运行。因此，IT管理员必须采取恰当的通道控制措施，以确保主机上的一个虚拟机不再应用于企业网络上的所有虚拟机这一网络访问控制策略。

Floyd认为现在大多数网络都没有意识到虚拟化，“许多只是做出‘可通过’或‘不可通过’决定的网络访问控制技术，忽略了服务器是否虚拟化这一情况。”

众多安全专家指出，来自主要供应商不断扩展的虚拟化工具的使用，给黑客和安全分析师带来大量未知代码，用以寻找安全漏洞和攻击手段。9月份，微软了一个虚拟化软件的补丁，该虚拟化软件能使用户在没有授权的情况下进入操作系统。微软将此漏洞定为“重要”而不是“紧急”级别。而随着虚拟化技术的不断传播，更多此类的漏洞将出现在套装软件中。

潜在危机

IBM安全系统部门X-Force团队的主管Kris Lamb提出，系统中管理虚拟化功能的监控工具，对于黑客在虚拟化计算机上发动攻击是一个潜在的强有力平台。

虚拟机监测器（VMM）使用控制台控制主导虚拟机的硬件资源，并担当硬件及由其主导的多个虚拟机之间的分界。监测软件通常只在硬件之上一层，而用户能对操作系统及其上的应用层发出虚拟机无法察觉的攻击。

事实上，安全研究人员曾说过，他们已经能提供概念验证代码，以演示虚拟机上的攻击是如何通过监测软件实现的。微软公司和密歇根大学的研究员们在今年的早些时候已经设计出SubVirt，它能用rootkit在操作系统下安装一个虚拟机监测器。这一努力使得研究员获得了对多个虚拟机的完全控制。

新加坡Coseinc IT安全公司的恶意软件研究员Joanne Rutkowska也研发出了一个类似的攻击手段，被称做Blue Pill，她还在8月拉斯维加斯的Black Hat安全大会上进行了演示。Rutkowska的rootkit建立在AMD的安全虚拟机上，代码为Pacifica。它使虚拟化系统在完全不被IT人员觉察的情况下受到类似SubVirt的攻击。

Lamb认为，对于许多公司来说，“用户拥有庞大的命令行和图形监控软件，它已成为基础组织的中心部分。它掌握着整个王国的关键。” 而对黑客而言，这样的软件提供了可以使其不断挑战的高难目标。（小雅编译）