虛擬化是一項能讓客戶端服務器應用軟件與多核大容量中央處理器完美融合的技術。也是能為當下的服務器和應用軟件提供豐富的處理能力和內存的理想解決方案,同時還能實現應用軟件與服務器之間完美的隔離。事實上,管理程序和虛擬機已經成為網絡應用軟件時代的大型機。就像大型機推動了由內部IT部門所有和掌控的私有系統向可供任何人使用的公共分時服務遷移那樣,虛擬機也跨越了私有和公有資源的鴻溝,以云為基礎的基礎架構即服務提供商可以根據使用時間計費來出租服務器。
裸機虛擬機監控器是針對完全孤立的多用戶客戶端操作系統所設計的系統。在企業數據中心可控的范圍內,每個虛擬機用戶的身份和責任都是已知的,虛擬機隔絕技術就足夠用了;但是,當應用環境向公共云遷移,這項技術的作用就顯示出了其局限性。來自其他云用戶的虛擬機安全風險涉及的范圍目前還處在在安全專家的研究過程中,但是安全風險已經超出了虛擬機監控器目前可以自我防御的范圍,因為在云環境中,網絡和存儲也都是共享的。盡管目前還沒有公開文獻記載了虛擬機之間的滲透,但是有專家警告稱這不是不可能發生的事情,狡猾的黑客入侵管理程序不過是時間的問題。在云環境中,要控制的不止是操作系統,最終用戶只是這個安全天平上的一個組成部分,他們必須信任服務提供商來為獲取服務提供支持。
潛在的風險
了解公共云風險的一個方法是將操作環境劃分為三個提取層,這種方法是由思科系統公司安全技術事業部云和虛擬化解決方案總監兼云安全聯盟技術顧問克里斯托弗.赫夫最先提出的。處于云托管環境核心中的基礎網絡,服務器硬件和存儲軟件的基礎架構安全屬于最低的級別。
第二級是基礎架構即服務層的安全,包括虛擬機監控器,配置,協調和支付軟件。最后一個安全級涵蓋在基礎架構即服務客戶端虛擬機上運行的操作系統和應用軟件。赫夫指出云用戶只能控制最后一個安全級,所以他們必須信任其服務提供商能完全保證所有其他層的安全可靠。
赫夫表示"令人困惑的是提供商的安全環境就是令人費解的,但是最終用戶只能掌控他們自己的那一塊"。反之,即使云用戶能保證他們的應用軟件和操作系統像軍事堡壘一樣安全可靠,但是如果提供商的基礎架構存在漏洞,依然給遭遇風險留下了可趁之機。
保護虛擬機環境也帶來了幾種新的挑戰。赫夫歸納了其中攻擊風險。在虛擬機層面上,這些風險是客戶端對客戶端,客戶端對主機服務器和客戶端自身的攻擊,同時也有來自云外部到主機和外部到客戶端的攻擊。最后是針對服務器或者管理程序本身的內部攻擊和需要訪問物理服務器的硬件漏洞。
根據赫夫的說法,對公有虛擬機的攻擊采取的是多管齊下的形式,包括以管理程序為目標的木馬,傳統的惡意軟件或者所謂的超級攻擊(一種完全控制服務器的流氓管理程序)。服務器外圍設備也是可能招致虛擬機木馬攻擊的漏洞,攻擊可能會針對網絡接口卡或者硬件BIOS漏洞,通過被木馬感染的USB記憶棒來傳播病毒。
雖然對虛擬機客戶端操作系統的攻擊從單獨的系統上是很難辨別的,但對基礎管理程序和服務器硬件的威脅在理論上依然是存在的。不過赫夫提醒大家說,盡管每個虛擬機的潛在風險已經被大家所認知,但是仍然有人會去攻破系統中的漏洞,如果系統存在被攻擊的薄弱環節,他們就存在風險。
技術和服務保護
在多數方面,維護基礎架構即服務云上虛擬系統的安全與保護企業數據中心里單獨的服務器是一樣的,應用的最佳實踐方法也是一樣的。
赫夫表示“你為維護一臺服務器所做的每件事,也應該用在虛擬機上”,他還警告說使用公有云需要提高警惕性。
或許最重要的是擁有詳細而強大的應用軟件和虛擬操作系統監控。對于云托管的應用軟件來說,赫夫建議建立自動監控記錄以便提前偵測到性能異動或者中斷。
由于安全性已經超出了云用戶的控制,赫夫就是主張提高提供商與用戶之前透明度的積極倡導者。當我們信任第三方的核心業務應用軟件時,用戶對他們的安全和數據保護協議,標準法規遵從和事故反應流程的了解和監控是非常重要的。事實上,對云提供商安全聲明查證流程的自動化是CloudAudit標準項目的初步目標。
軟件廠商也加強了虛擬機的安全性。雖然這些改進減少了黑客入侵管理程序或者攻擊同一個服務器上運行的其他虛擬機的可能性,但基礎架構即服務的用戶仍然要加強防范。
KnowThreat的創始人兼首席咨詢師泰勒.班克斯推薦用戶在云上進行存儲之前對所有數據都進行本地加密,同時將關鍵的數據管理本地化。班克斯還強調說必須構筑云托管應用軟件的安全屏障。赫夫也同意班克斯的觀點并補充說,云用戶必須重新配置應用軟件來保證系統能抵御安全缺口或者某個云提供商的服務中斷風險。
Solera Networks公司負責市場營銷和產品管理的副總裁Pete Schlampp認為,云用戶也應該要求提供商利用網絡論壇來抵御各種攻擊。他還補充說論壇充當的就是"網絡安全照相機"的角色,可以將任何安全事故重放出來。
