虚拟化令恶意软件垂涎

近几年虚拟化技术应用的兴起，企业在服务器、终端设备或网络存储方面的虚拟化应用已经有很多，但虚拟化技术带来的虚拟化安全风险却并没有得到更多的注意。

业界有专家指出，虚拟化技术本是为了促进硬件安全而采用的技术，结果却反而增加了安全风险，这是非常痛心的，并且目前虚拟机层已成为虚拟机恶意软件编写者眼中的美味大餐。

虚拟机打开风险通道

从目前的总体情况来看，虚拟机层出现安全问题主要是因为用户对虚拟机平台寄予了太高的期望。虽然目前鲜有安全人员证实已经发现针对这层平台的恶意攻击，但是实际上目前已经出现了虚拟机感知式恶意软件（如RedPill）以及rootkits软件（如BluePill），甚至黑客还可以利用虚拟化技术来隐藏病毒、特洛伊木马及其他各种恶意软件的踪迹。

因此，虚拟机层的安全问题已经得到了虚拟化厂商和安全厂商的关注。

由于虚拟化技术在物理硬件与运行IT服务的虚拟系统之间引入了一个抽象层，从而实现了一种节约成本的有效方式。但是，对于所运行的虚拟服务而言，当新应用引入虚拟化层时却成为了一个潜在的攻击入侵通道。

这是因为一个主机系统能够容纳多个虚拟机，因此，主机的安全性就变得尤为重要，系统上的任何安全漏洞对环境所造成的影响都会比以往更大。

VMware大中华区技术总监张振伦认为：“理解虚拟环境的安全要求，关键在于认识到虚拟机在大多数方面都等同于物理服务器。因此，运行在虚拟机中的客户操作系统也存在与物理系统相同的安全风险。任何一个虚拟机都无法回避这样的现实，但是对于单个虚拟机的攻击只会危及该虚拟机自身的安全，而不会危害到运行该虚拟机的虚拟化服务器。因此，关键在于对虚拟机采取与物理服务器相同的安全保护措施。”

思杰系统首席安全战略官Kurt Roemer建议，传统的安全工具和方法通常需要升级，才能够更好地利用虚拟化环境。同时，在添加新的工具和方法时，需要考虑与虚拟化技术的兼容性，不仅只是单个产品的与虚拟机之间的可操控性，更要求整个虚拟环境的可操控性。

迈克菲华北区安全顾问张宏明表示：“虚拟机的安全问题是比较复杂的问题，在部署位置方面，不仅仅要考虑到虚拟机本身系统的安全，还要考虑其宿主及网络环境的安全。”

虚拟化安全应从底层构建

虚拟化可能产生的安全威胁

虚拟环境下的安全问题超出了物理环境下的安全问题，虚拟化引发的新风险包括：

・ 离线、不符合安全要求、未实施足够安全防护的虚拟机试图访问网络资源。

・ 要保证虚拟机器始终安装最新的补丁 。

・ 数据保护不是单一的问题，因为大多数驻留在一个主机中的数据有多个虚拟映像。

・ 以虚拟机为目标的威胁会越过所部署的安全措施，访问所有的虚拟机。

・ Hyperjacking rootkit攻击，专门针对系统管理程序的攻击，能够同时访问多个虚拟机。

应用权限之争

在实体世界中，企业花费了庞大的时间与金钱，来防止他们的终端设备及网络遭到恶意程序以及其它Web威胁入侵。在虚拟世界中，信息安全厂商仍未能完全发挥虚拟化的优势，提供比在纯实体环境中更优异的信息安全方案。

张宏明认为，虚拟化平台拥有大量对主机操作系统和硬件的高级访问权限，这对于恶意软件编写者来说无疑是很有诱惑力的。从技术观点看，虚拟机层的运行必须可直接访问硬件，或是可直接访问到硬件抽象层。这意味着它运行时拥有对物理机器的高级访问权限，任何拥有这种访问权限的应用都免不了成为恶意软件编写者的目标。

“如果控制器得到适当配置，并通过一个综合性安全政策在主机上执行，所有的服务器都得到保护后，攻击也不一定成功。就像银行在一个控制严密的金库中保护它最敏感的资产那样，合理配置后的主机将保护它敏感的内容。”Kurt Roemer说。

张振伦解释说，VMware已经提供了与VMware hypervisor整合的VMsafe开放技术平台，可为趋势科技、赛门铁克和迈克菲这样的独立安全企业提供了比恶意程序更高的执行权限。利用VMware虚拟化软件所具备的内视能力（introspection）防止恶意程序与其它网页威胁入侵企业网络。能够对关机状态下的VMware虚拟机器进行扫描，待问题清除之后才启动机器。

张宏明说，VMsafe为虚拟机器提供的监控和保护功能，不仅覆盖虚拟机中的数据等资产，还覆盖虚拟机器外以及虚拟机之间的网络流量。通过网络入侵防护系统能发现和阻断进入虚拟机的非法流量，并且还可以通过网络准入控制产品进行联动，将虚拟主机进行隔离，进行安全修补后才恢复其网络访问能力。

与此同时，思杰则是通过Citrix Ready Program加强安全解决方案的互操作性，通过应用开放式的Xen hypervisor，提供与微软Microsoft Hyper-V的兼容性，并接纳如OVF这样的开放标准。

隔离虚拟网络

在虚拟环境中，系统的隔离和分区是十分重要的，不仅适用于备份，同时还适用于创建隔离区（DMZ）。张振伦认为，IT管理人员常常会忽略这种隔离工作。

尽管一个虚拟机的虚拟硬件与其他虚拟机的虚拟硬件是相互隔离的，但虚拟机通常会接入共享网络。

接入一个公共共享网络的任何虚拟机或虚拟机组都可以通过这些网络链路进行通信，因此，它们仍有可能成为网络中其他虚拟机的攻击目标。

鉴于此原因，张振伦提醒用户应当采取最佳网络做法来加强虚拟机网络接口的安全性。可以考虑将各组虚拟机隔离在它们各自的网络分段中，借以最大限度地降低数据通过网络从一个虚拟机分区泄漏到另一个虚拟机分区的风险。

实际上，对网络进行分段可以降低多种类型的网络攻击风险，其中包括地址解析协议（Address Resolution Protocol，ARP）欺骗。在实施该攻击时，攻击者通过操控APR表对MAC和IP地址进行重新映射，将发往或出自指定主机的网络通信重定向到计划外的其他目的地。攻击者利用ARP欺骗生成拒绝服务、劫持目标系统或破坏虚拟网络。

将网络分段还有另一个好处，即简化了进行合法性审计的过程。这是因为通过网络分段，用户能够清楚地了解网络中连接了哪些虚拟机。

虚拟化技术改变了传统的计算方式，隔离只是一种手段，要保障虚拟机的安全，对企业的虚拟环境进行定期的评估是必不可少的，这其中包括：对基础架构和设计进行检查、对虚拟环境的基础设施进行检查、对虚拟环境基础设施的安全性进行测试以及对安全策略与实际流程之间缺口进行分析。

这些评估通过对虚拟基础设施相关的人员、流程和技术进行全局性的检查，来识别和降低虚拟基础设施所面临的风险。