实施虚拟化：管理员应避免五大安全错误

[[177637]]

虚拟化技术及其应用一直在稳健发展，在很多领域都有涉及。虽然虚拟化的概念可以回溯到五十年前，但这种技术仍在不断增长，并且不断推动在当今和未来的应用。

如今，有约50%的服务器负载在虚拟机上运行，并且在未来的几年还要增加。据Gartner估计，2009年部署的虚拟服务器有四百万台，而虚拟化PC的数量将从2007年的五百万增加到2016年的六亿。虚拟化技术的使用带来很多利益，如灵活性、敏捷性以及成本效益等。同时，虚拟化还带来一些新挑战：

• 物理安全设备往往对新的虚拟网络结构“视而不见”;
• 系统管理程序(虚拟机管理程序)带来新的威胁面;
• 虚拟管理员带来角色的新威胁;
• 机器成为文件，导致移动性、快速变更及失窃机会;

虚拟化带来很多好处，也不可避免地带来许多由其自身产生的威胁。由于缺乏使用虚拟化和虚拟机的知识和正确指导，雇员会犯一些敏感的错误并给企业和虚拟化的安全带来危害。

安全专家需要认识到哪些是新东西，并且调整其安全实践进行适应。否则，虚拟化将带来巨大的安全威胁。随着虚拟机进入产生环境，企业必须关注正成为一种攻击媒介的虚拟机技术。

虽然企业可以实施多种安全方案来保证其安全，但是，雇员意识、虚拟服务器和虚拟主机使用的安全实践扮演着重要的角色。除了新出现的问题外，虚拟化最重要的问题是，用户和管理员在使用和配置虚拟机时会犯错误，这可能会影响到虚拟化的安全性。

错误一：错误配置虚拟主机的管理平台、临时用户和网络

为虚拟机创建的默认安全配置在很大程度上与物理主机的默认配置一样。对于虚拟服务器来说，这也是虚拟机的管理员可能犯的最大错误。如果虚拟机使用默认配置(其中包括不必要的端口和服务，还有其它的一些项目)，其中的漏洞就会扩展到由此虚拟机构建和复制的每一个实例中。

虚拟网络配置是企业可能犯错的另一个领域。在虚拟网络上，有些企业没有正确分离就建立Web服务器和数据库服务器。这些常见的愚蠢错误可能使企业的虚拟服务器容易遭到漏洞利用，并且容易成为恶意黑客破坏服务器和其它服务的目标。

为避免这种错误，所有的监视系统都应当是能够感知和探测虚拟机并根据检测结果采取行动的虚拟机。对于支持在客户机和主机操作系统之间进行通信的虚拟化平台的功能，管理员应密切地检查。例如，设备驱动程序、复制和粘贴功能等等。只要有可能，管理员就应确认和禁用这些方面。

错误二：没有正确分离责任和部署最少特权控制

在任何企业中，特权控制都扮演着一个重要角色。攻击者总在寻找访问特权账户的机会，以利用服务器的漏洞。在虚拟化中，也会出现同样的常见错误：未处理特权账户，也没有将特权账户与其它账户分离。

在用户执行其经授权的任务时，实现责任分离并且提供必要的最少权限，无论对于物理资源还是虚拟资源都是至关重要的。有些虚拟化平台压缩了系统和网络管理功能，因而分离这些责任很困难。这就给了虚拟管理员太多的特权和功能。

此外，高特权的访问还提升了有特权的内部人员的滥用风险，而且，虚拟管理员登录凭据的泄露还会造成外部攻击者可以利用一些强大功能。

为避免这种严重错误，企业应使用防火墙过滤器的规则，将虚拟化的管理控制台的访问限制为预定义的经授权的内部网络地址，以防御外部攻击者对虚拟化管理控制台的访问。此外，企业还应考虑使用可信任的安全机制，例如，要求对管理控制台的访问使用SSH。

错误三：未能教育其它组的成员，尤其是管理和合规人员

在动态创建新虚拟机、清除虚拟机时，风险评估、合规甚至是软件的许可协议都会受到影响。如果企业没有维护虚拟系统、虚拟服务器、虚拟网络以及所有虚拟机机制的安全性，这个问题就很普遍。

在一个虚拟的环境中，风险评估和分析(发放评估调查问卷并分析问卷)的传统方法是不够的。由于许多企业看不到其中的风险，也就无法分析存在的差距。

通过对风险管理和合规人员进行虚拟化功能和局限性的教育，我们就可以防止这种错误。此外，在制定虚拟基础架构的关键安全策略时，还要加入合规人员，并且还要对新的虚拟化项目的风险进行评估和分析，要将风险管理人员加入到讨论中。

错误四：在企业中缺乏虚拟机的可见性

企业虚拟系统的不可控增长是一个主要错误，它会影响到多数虚拟系统和虚拟化机制。 “虚拟机蔓延”用于定义这种不可控制的增长，这会造成虚拟机耗用资源和带宽，并且带来新的没有打补丁的和不受监视的漏洞。

正如发现物理IT资产是非常必要的一样，发现虚拟系统及其上运行的应用程序也同样重要，当然其中也有不少困难。这就是虚拟环境的可见性非常重要的原因。在取证时会发现，在任何事件中，这种错误会造成虚拟环境的不可见，并且会由于不安全的和未知的虚拟源而造成信息泄露。

实施虚拟化感知技术发现虚拟机和网络设备的端口映射和应用程序清单，是避免这种错误的一个好主意。将虚拟机集成到现有系统的生命周期过程中是一个不错的主意。这也要求新的虚拟机感知工具与VMM(虚拟机监控器)中的管理功能进行协作。

错误五：不能协调虚拟机和网络连接之间的策略

对于物理的系统和网络连接，我们可以确保建立策略并连接服务器、路由器、交换机和网络安全设备，并且变更控制策略可以监控策略和网络配置的改变。

但是，在虚拟化中，问题正相反，因为虚拟机是动态创建的。虚拟机的动态属性是虚拟化的美妙之处。然而，在涉及强化虚拟机的安全策略时，这就会带来问题，因为虚拟机可以到处迁移。

由防火墙、路由器、交换机、IPS及其它设备的使用而构建的隔离和安全区域也可以在虚拟化的环境中创建生成。问题在于在虚拟机迁移时，如何在虚拟机环境中遵循相关规则。

为克服这种错误，管理员要确保物理基础架构(如路由器和交换机)或者虚拟环境的对等设备都与虚拟机绑定在一起。此外，要寻找能够感知虚拟化的有助于管理网络和安全策略的解决方案，还要与VMM(虚拟机监控器)或虚拟系统管理程序协作，以实现更高的可见性和控制。

从长远来看，企业要寻求集成化的和可感知虚拟化的解决方案，从而更可靠地将安全功能加入到虚拟机中，并且使用安全策略管理工具，还要结合监控虚拟机管理的过程，以确保虚拟机位置的改变能将必要的安全功能复制到新位置。

为解决由运行虚拟机带来的安全问题，安全技术正在快速发展。很多技术并不能向虚拟环境提供足够的安全特性和可靠性。进一步讲，感知虚拟化的技术在虚拟化的实施中扮演着一个重要角色，并且提供可见性、控制以及与安全和可管理的虚拟系统的集成水平。但是，企业应当避免在实施虚拟环境时的常见错误，目的是避免安全缺陷和为攻击者打开后门进而破坏企业的虚拟环境。