虛擬化技術(shù)雖然能為CSO帶來極大的安全助益，但也為黑客留下了新的安全隱患。

如今，虛擬化技術(shù)已經(jīng)是企業(yè)數(shù)據(jù)中心的熱門話題了。微軟、VMware和XenSource等公司的虛擬服務(wù)器可以讓多臺(tái)虛擬機(jī)在一臺(tái)實(shí)際的計(jì)算機(jī)系統(tǒng)上運(yùn)行。這意味著，用戶機(jī)房里的二三十臺(tái)虛擬服務(wù)器可以變成同等數(shù)量的虛擬機(jī)，它們運(yùn)行在配有兩路、四路或者八路處理器的同一個(gè)物理系統(tǒng)上。

把30臺(tái)計(jì)算機(jī)變成一臺(tái)計(jì)算機(jī)，這可以大幅減少供電、冷卻、布線及管理等方面的支出。典型虛擬服務(wù)器耗用的處理功能是物理計(jì)算機(jī)的5%~10%，且虛擬化技術(shù)通常能讓企業(yè)的應(yīng)用系統(tǒng)運(yùn)行得更快而不是更慢。但除了作為節(jié)省費(fèi)用的一種強(qiáng)大工具外，虛擬化技術(shù)現(xiàn)在還成了CSO及其他信息安全工作人員手中日趨重要的強(qiáng)大工具之一。

充當(dāng)測試機(jī)

早在幾年前，許多安全顧問就使用一臺(tái)或者多臺(tái)“測試機(jī)”（Crash-and-Burn Machine），對可能有危害的程序進(jìn)行試驗(yàn)，譬如間諜軟件、特洛伊木馬和計(jì)算機(jī)病毒。如今，這些剖析工作大部分已經(jīng)轉(zhuǎn)移到了虛擬機(jī)領(lǐng)域。這種轉(zhuǎn)移除了可以明顯節(jié)省磁盤空間和電源功耗外，還可以比較容易地弄清楚某個(gè)間諜軟件對虛擬機(jī)造成了什么破壞，比在物理機(jī)器上進(jìn)行分析來得更為容易。

使用充當(dāng)“測試機(jī)”的虛擬機(jī)分析起來也要比使用物理機(jī)器快得多。筆者原來用的“測試機(jī)”要處理絕對乏味的任務(wù)，其中一項(xiàng)任務(wù)就是需要把操作系統(tǒng)安裝到多個(gè)硬盤驅(qū)動(dòng)器上、為這些硬盤驅(qū)動(dòng)器制作鏡像、間諜軟件造成破壞后恢復(fù)鏡像等。筆者在一個(gè)9GB驅(qū)動(dòng)器中安裝上了Windows 2000，在另一個(gè)9GB驅(qū)動(dòng)器上安裝上了Linux，還有多個(gè)9GB驅(qū)動(dòng)器上裝有多個(gè)版本的這些系統(tǒng)，而這些系統(tǒng)處于不同的破壞和攻擊狀態(tài)。筆者完成了對一個(gè)新的間諜軟件進(jìn)行試驗(yàn)后，就會(huì)把參考硬盤逐個(gè)數(shù)據(jù)塊拷回到工作硬盤上。這樣可以確保安裝了干凈的操作系統(tǒng)，可以準(zhǔn)備另一次試驗(yàn)。

用虛擬機(jī)的磁盤鏡像來處理要快得多，因?yàn)槿缃竦奶摂M服務(wù)器比物理服務(wù)器更善于巧妙地管理硬盤。虛擬服務(wù)器不是對邏輯驅(qū)動(dòng)器進(jìn)行逐個(gè)數(shù)據(jù)塊的拷貝，而是采用各種壓縮和重新映射方法，那樣虛擬磁盤只含有虛擬機(jī)實(shí)際需要的磁盤扇區(qū)。有些虛擬服務(wù)器，如Microsoft Virtual PC甚至可以將虛擬磁盤保存到兩個(gè)文件上：一個(gè)是“基準(zhǔn)”或參考文件；另一個(gè)文件只是跟蹤變更內(nèi)容。如果使用這種配置方法，第二個(gè)文件準(zhǔn)確無誤地記錄下了間諜軟件造成的破壞。要恢復(fù)原始狀態(tài)的計(jì)算機(jī)，你只要丟棄這第二個(gè)文件就可以了。還有比這更簡單的嗎？

一次性使用的虛擬機(jī)其用途絕不僅僅限于測試間諜軟件。如今最安全的上網(wǎng)瀏覽方式就是下載一份VMware Player及VMware公司的“Browser Appliance”虛擬機(jī)。但如果某個(gè)黑客組織設(shè)法找到了漏洞，從而得以接管你的虛擬機(jī)，你要擔(dān)心什么呢？漏洞的最大危害就是破壞虛擬機(jī)——但黑客的惡意程序無法脫離VMware Player去感染你的桌面系統(tǒng)。同樣，跨站腳本攻擊同樣無法竊取你的家庭銀行驗(yàn)證信息，某個(gè)零日漏洞（Zero-day Exploit）也無法尋找你的機(jī)密文檔。

減少遠(yuǎn)程攻擊

企業(yè)用戶還可以使用VMware Player這種工具為員工提供一套穩(wěn)定的應(yīng)用系統(tǒng)，用于家庭計(jì)算機(jī)或者安全遠(yuǎn)程訪問。你可以建立一臺(tái)VMware虛擬機(jī)，預(yù)先配置這些東西：可信的操作系統(tǒng)、貴組織所有與業(yè)務(wù)有關(guān)的軟件以及虛擬專用網(wǎng)絡(luò)客戶軟件，不必使用資源密集型的遠(yuǎn)程訪問系統(tǒng)如Citrix或者微軟終端服務(wù)。員工可以運(yùn)行該虛擬機(jī)來訪問公司的軟件或者網(wǎng)絡(luò)資源，把各自的工作成果保存在不同的虛擬機(jī)、主機(jī)操作系統(tǒng)或者網(wǎng)絡(luò)共享區(qū)上。軟件更新版也可以通過全新的虛擬機(jī)來發(fā)布。

我們越來越多地看到這一幕：用戶使用屬于客戶的敏感網(wǎng)絡(luò)工作時(shí)，虛擬機(jī)成了保護(hù)自己的一種方法。我用不著在家用計(jì)算機(jī)上啟動(dòng)VPN客戶軟件，而是可以創(chuàng)建虛擬機(jī)，然后用它連接到客戶?，F(xiàn)在我可以確信，桌面上任何毫不相關(guān)的活動(dòng)不會(huì)無意中進(jìn)入客戶的網(wǎng)絡(luò)。同樣也可以確信，我下載的任何機(jī)密信息都只放在這個(gè)虛擬機(jī)上。

許多學(xué)術(shù)研究人員力圖將這個(gè)概念應(yīng)用到易于使用的桌面界面上，那樣可以把典型的家庭計(jì)算機(jī)分成多個(gè)不同的虛擬機(jī)，擔(dān)當(dāng)家庭用戶通常扮演的不同類別的“角色”。譬如說，用戶可能會(huì)有一個(gè)虛擬機(jī)用于文字處理；第二個(gè)虛擬機(jī)用于家庭銀行業(yè)務(wù)及其他高價(jià)值、高風(fēng)險(xiǎn)的活動(dòng)；第三個(gè)用于瀏覽互聯(lián)網(wǎng)、玩游戲；第四個(gè)用于高風(fēng)險(xiǎn)活動(dòng)，如運(yùn)行別人通過電子郵件發(fā)給我的程序。

難以避免的陰暗面

一些聰明的安全專家也認(rèn)識(shí)到，虛擬化技術(shù)同樣存在著陰暗面。

因?yàn)?/SPAN>Cookie和瀏覽器緩存文件連同其他各種內(nèi)容保存在虛擬機(jī)里面，所以使用VMware的Browser Appliance瀏覽互聯(lián)網(wǎng)的壞人不會(huì)在他的PC上留下任何這些可以作為證據(jù)的痕跡。這樣一來，要證明某個(gè)人使用計(jì)算機(jī)從事非法活動(dòng)（如下載兒童色情內(nèi)容），難度就會(huì)大大增加。筆者在近期出席的一次技術(shù)取證大會(huì)上，就聽說有些手段高明的攻擊者如今就在這么做，他們闖入其他機(jī)器后不會(huì)留下任何痕跡。

黑客還可以利用虛擬化技術(shù)來隱藏病毒、特洛伊木馬及其他各種惡意軟件的蹤跡，不過目前這種攻擊主要局限于概念證明階段。理論上，惡意軟件可以成為虛擬服務(wù)器本身，受害的操作系統(tǒng)會(huì)作為客戶機(jī)運(yùn)行。迄今為止，能夠做到這點(diǎn)的惟一一個(gè)人就是Joanna Rutkowska，她是總部設(shè)在新加坡的IT安全咨詢公司Coseinc的研究人員。Rutkowska編制的惡意代碼名為“藍(lán)色藥丸”（“Blue Pill”）。這種方法基于AMD公司的SVM/Pacifica 虛擬化技術(shù)，據(jù)說甚至可以繞過Windows Vista x64的安全機(jī)制。

對于計(jì)算機(jī)安全而言，虛擬化技術(shù)并不是萬靈藥。不過，世上本來就沒有萬靈藥。