《虛拟化安全解決方案》一1.3 安全必須适應虛拟化

本節書摘來自華章出版社《虛拟化安全解決方案》一書中的第1章，第1.3節，作者［美］戴夫·沙克爾福（dave shackleford），更多章節内容可以通路雲栖社群“華章計算機”公衆号檢視

攻擊幾乎不獨立發生。如果人們盡力保護系統，那麼一個成功的系統妥協包含對多個協同攻擊的權衡處理。把虛拟化特性加入基礎設施引入了一個完全新的各種可能混合的攻擊類型。

對攻擊者來說，妥協的系統管理工作站是夢寐以求的。系統管理者的工作站經常包含網絡和系統資訊，比如ip位址、密碼、網絡拓撲圖等。通過安裝機器人軟體或鍵盤記錄器，攻擊者可以通路敏感的憑據和其他密碼。這些工作站可能位于網絡中的敏感部分，能通路管理段或其他管理接口，這為攻擊者提供了較其他方式更多的利用價值。一個妥協的系統管理工作站可以用于任何的虛拟攻擊類型，可以在任何環境中造成無數的災難。

總體上來說，虛拟化環境的風險多少因基于硬體的環境不同而不同。在計算堆棧上有更多的層：硬體、作業系統、網絡、管理者程式、應用程式和虛拟化元件。總之，有很多安全漏洞和攻擊影響的“表面區域”，這可以導緻準确評估和保護環境的并發症。

虛拟化技術也極大地改變了資訊安全領域——例如網絡通路控制和防火牆。我們大多數人都熟悉的屏蔽子網或非軍事區（dmz）是防火牆和其他網絡通路控制裝置（路由器等）采用的基本架構。在所有傳統網絡架構模型中，敏感系統和網絡子網是與網絡的其他部分是分隔的，這允許細粒度控制的資料流進出定義好的特定區域。盡管這些通用的概念仍然适用于虛拟化環境，但是這些環境可能需要新的工具和技術來完成同樣的分隔和通路控制目标。

當你保護你的虛拟網絡的時候，有一件事你需要考慮，就是在你的虛拟基礎設施内是否使用實體或虛拟防火牆（或兩者都用）。實體防火牆與虛拟主機的實體網卡（network interface card，nic）相連，對使用這些接口的虛拟交換機進行通路控制。另一方面，虛拟防火牆在虛拟基礎設施内作為虛拟機或內建元件。對于這些技術有安全和運作的考慮，包括易管理，信任區隔離，單點失效問題，和虛拟防火牆虛拟機群組件相關的資源消耗。

正如本章之前“運作威脅”章節提到的，虛拟化安全裝置、虛拟機和虛拟交換機上監控資料流的設定系統的管理是很重要的。許多商用的解決方案可以使監控更穩健，包括ref?lex security和catbird。也有一些你可以使用卻不用購買的任何商用解決方案的方法。其中一些包含在第3章和第4章中。

漏洞評估滲透測試的執行在虛拟化環境中可能多少有些不同。最簡單的漏洞評估和滲透測試循環通常由偵查、掃描、利用、旋轉，然後重複這個循環組成，如圖1-4所示。

可以如下定義階段：

偵查　在這個階段，攻擊者使用公開的可用資源搜尋目标的資訊，比如網站，搜尋引擎查詢或社交媒體。而且，使用服務如域名系統（dns）和簡單郵件傳輸協定（smtp）之類的服務進行基礎設施查詢，也通常都是在這個階段進行。這個階段的目标是了解目标人，系統和應用程式。

掃描　網絡、漏洞和應用程式的掃描是掃描階段的所有變量，這個階段使用自動化或半自動化工具查找開放網絡端口和系統或應用程式的漏洞。之後，這些資訊被用來确定最佳攻擊方法。

利用　在這個階段，攻擊者利用上一階段收集到的資訊，積極嘗試挖掘系統和應用程式中的漏洞。

跳轉　跳轉是獲得系統和應用程式的通路，然後建立一個“據點”，從那個高點上再次開始循環的簡單行動。好的攻擊者可以以此為中心轉移到許多系統，得到他們尋找的資料。

1.?偵查挑戰

對于偵查，它通常從遠處完成，實際不需要與目标系統互動，虛拟化并不是真正的因素。dns查詢，whois記錄等都可能是相同的，無論目标系統是虛拟機的或是實體機。然而在這個階段，在vmware論壇和其他線上站點上查找管理者和其他it營運人員釋出的敏感資訊是很有趣的。

2.?掃描挑戰

掃描活動肯定會有點不同。如網絡映射器（nmap）和其他類似的工具可以進行端口掃描和遠端作業系統識别。它們能區分一個系統是實體的或虛拟的嗎？可能有一些線索，包括開放的端口，運作的服務，媒體通路控制（media access control，mac）位址（在本地子網中），甚至是分組字段和他們的值。chris brenton，一個著名的存儲區域網絡（sans）指導者，在一篇部落格文章标題為“被動識别vmware虛拟系統”中讨論了這其中的一些：

而且，我們需要考慮這些掃描将對虛拟機和底層主機産生影響的因素。進行掃描的新方式可能包括使用一個裝有掃描工具的虛拟機在虛拟基礎設施内部掃描。一些掃描器也可以登入本地系統，進行額外的評估。這些工具中的一些可以被擴充或腳本化，檢查虛拟物或其他辨別符。就實際的跳轉能力而言，有許多新工具，可以在虛拟化基礎設施上滲透測試期間，促進跳轉。虛拟評估工具箱（virtualization assessment toolkit，vasto）是一套claudio criscione和參與者在2010年釋出的metasploit子產品。這套子產品允許metasploit使用者完成滲透測試，掃描和識别虛拟資源，嘗試對他們的許多攻擊。若幹知名的跳轉被包含在這個工具箱，包括對vmware更新管理器和tomcat元件的攻擊、vilurker攻擊（vilurker欺騙vi用戶端使用者下載下傳一個運作它們的認證資訊的僞造“更新”）和許多其他攻擊。

3.?為主機和客戶提供合适的反惡意軟體工具

反惡意軟體工具也需要适應虛拟化基礎設施。反惡意軟體保護的兩個重要考慮包括主機掃描和客戶掃描。對于底層主機（例如vmware esxi和microsoft的hyper-v），主要問題是性能影響和完整性問題，它們是由掃描特定的虛拟化相關檔案結構造成的，例如vmware環境中虛拟機硬碟檔案（vmdk）。性能影響是一個重要問題——受影響的主機會很容易導緻多個虛拟機客戶性能變差，這在多數營運環境中是不能接受的。這裡，計劃掃描變得非常重要。而且，要排除在掃描之外的檔案和目錄需要仔細的規劃，確定虛拟化相關檔案不以任何方式受到掃描影響。例如，要注意掃描vmdk檔案産生的不利影響。

客戶可以直接安裝防毒軟體，就像任何正常的平台（windows、linux等）那樣，但資源消耗和可用性甚至比任何時候都更重要，特别是如果使用工具如動态資源排程器（drs）開啟了資源共享。它是在基于資源可用性的叢集主機間遷移虛拟機的一種vmware技術。虛拟機檔案結構可能在掃描的時候也表現的各不相同，導緻更多的誤報和漏報，這是任何安全管理者的痛苦之源。最後，離線客戶也需要被掃描，尤其是它們一段時間之後被帶回投入生産時（它們可能丢失更新檔或其他安全更新）。新産品如vmware vshield端點和mcafee move防毒軟體被設計授權多數防毒軟體掃描運作在管理器上的虛拟機，來最小化這些性能影響。

還有許多其他特定的虛拟化安全風險和控件，更深入的細節将包含在本書的後續章節。