虚拟化：最大的风险是心怀不满的内部人员

译文
作者：布加迪编译 2011-09-13 09:44:59

云计算

虚拟化 环境更安全——可以防御的逻辑边界比物理边界更多。任由虚拟化环境暴露在攻击者面前，这个过错不在于我们的运气，甚至也不在于我们的虚拟机管理程序，而在于我们自己。

　　【51CTO 9月13号外电】环境更安全——可以防御的逻辑边界比物理边界更多。任由虚拟化环境暴露在攻击者面前，这个过错不在于我们的运气，甚至也不在于我们的虚拟机管理程序，而在于我们自己。

　　现在很清楚的是，虚拟化环境不仅提供了更灵活地管理数据中心的机会，也为离经叛道的管理员提供了一种更有效的攻击途径。在虚拟化环境中，我们可以建立深层防御机制，远远胜过在物理环境下所能实现的防御机制。但是我们刚刚习惯于这种灵活应变、千变万化的虚拟机环境;而在茜些情况下，我们带来了更大的风险，而不是互相加强深层保护机制。

　　以日本制药公司的北美子公司盐野义制药(Shionogi)为例。2010年7月，盐野义在亚特兰大办事处的IT员工Jason Cornish与他经理发生争执后愤然辞职。据新泽西泽纽瓦克的美国地方检察官Paul Fishman提交的案卷显示，在同一家公司共事15年的一位朋友主张，既然熟悉网络，他应该继续以合同工的身份为盐野义制药工作。2010年9月，提供给Cornish的工作被终止了;当月晚些时候，盐野义制药宣布裁员，Cornish的朋友也在裁员名单之列。10月1日，这位朋友拒不将网络密码告诉给盐野义制药留下来的管理员，结果导致他被公司直接炒鱿鱼。

　　2月3日，Cornish使用盐野义制药的一个用户帐户CVAULT和系统认可的密码，访问了一台服务器，而他在几周前，将VMware vSphere客户软件偷偷安装在了该服务器上。盐野义运行一套高度虚拟化的基础架构，Cornish将一台笔记本电脑带到配备了无线网络的麦当劳餐厅，进而删掉了盐野义的电子邮件、黑莓、订单跟踪和财务管理等服务器。

　　总的来说，Cornish只用vSphere客户软件就能访问vSphere的虚拟化管理控制台，只轻松点击一下，就彻底删除了盐野义的15个虚拟主机上的每个虚拟服务器。Cornish边嚼着巨无霸汉堡和薯条，边删掉了88个虚拟服务器，而盐野义的日常业务依赖这些虚拟服务器。

　　他最后被逮捕了，你不由得会想盐野义的防御机制最后还是胜出了，其实表明其防御机制根本不行。

　　他后来之所以被逮捕，主要是联邦调查局的网络犯罪打击小组快速介入有关。在这起攻击的发生地纽瓦克和亚特兰大都有联邦调查局的小组成员。犯罪现场在附近的麦当劳餐厅;特工跟踪查明了攻击者的IP地址后，查到了这起攻击来自那家麦当劳餐厅。就在攻击前几分钟，Cornish曾出现在现场，他用信用卡购买了4.96美元的食品。他肯定缺钱花。要不然，他的计划原本会得逞——那样他可能仍逍遥法外，没人知晓他与盐野义蒙受的80万美元损失有直接关系。

　　盐野义发现，从9月被解雇到次年2月3日发动攻击，Cornish前后访问系统达20次，这对破案也有所帮助。他们发现了为非作歹的vSphere客户软件，进而提出了诉讼，最终促使Cornish在8月16日低头认罪。11月10日，他将面临量刑法官，可能面临长达10年的监禁和25万美元的罚款。

　　但在此案中，正义得到伸张并没有给人多少安慰。盐野义的安全程序似乎很松懈;不过我知道有几回，妥善管理的公司也不了解为本公司工作的合同工。即使在前员工迅速被开除、合同工受到严格监控的情况下，每家公司要保护自己远离内贼作案还是有很大的难度。Cornish案并没有弄清楚他在何处获得了有效密码。在这种情况下，盐野义有可能采取了正确的措施，保护自己远离某位心怀不满的员工，随后却沦为无法证明其有罪的另一位员工的受害者。

　　在IT员工被裁减的那一刻，公司就特别容易受到内部人员的攻击。

　　不过，盐野义本该遵守最佳实践：比如对IT管理员的权限进行限制，限制每个管理员只能访问一组规定的服务器。但是并非只有盐野义这一家公司才将一般的权限分配给公司信任的IT工作人员;不然，有时意味着拥有相应技能的人无法访问相应的故障处。盐野义本该设置一个软件看门狗系统，从而监控谁登录到了哪些服务器、谁删除了服务器，但是许多公司没有落实能够从软件事件查到某个人的此类保护机制。

　　盐野义案真正让人关注的地方并不在于，多快地伸张了正义，而是多快地造成了严重破坏——这归因于虚拟化环境的管理界面。盐野义的业务被迫中断了好几天，直到后来虚拟服务器被重新构建，已知、有效的数据被重新创建。

　　我常常得到积极正面的反馈，说在这些新兴的虚拟化数据中心，IT经理具有怎样惊人的能力。但是有必要记住的一点是，如果使用虚拟化，不是只有好人才得到“上帝般”的权力。

　　译文来源： http://www.informationweek.com/news/security/vulnerabilities/231600871

       【51CTO.com独家译稿，非经授权谢绝转载！合作媒体转载请注明原文出处及出处！】