101
VMware JRE中的漏洞是否會妨礙虛擬化的實施
VMware公司最近發現了一些有關Java運行環境(JRE)的安全漏洞。難道這些漏洞暗示著還會出現更多的漏洞?這些漏洞會成為人們不實施虛擬化的一個理由嗎?
答:VMware公司已報告了一些有關Java運行環境問題的漏洞,其中幾個漏洞可被黑客用來攻擊係統。在最近幾個月裏,其他主要的虛擬化廠商也已經發布了一些補丁。雖然虛擬化不是一項新技術,但直到最近它才得到廣泛的采用。由於它在越來越多的配置中使用,各種安全漏洞現在也陸續被發現,這並不奇怪。此外,每當一項技術開始流行起來,它就會引起黑客們的興趣,黑客會開始積極尋找那些可以被利用的漏洞。
一個被破壞的管理程序使得攻擊者可以訪問一個虛擬服務器上數以千計的台式機,這是一件非常可怕的事情。目前還出現了一些令人吃驚的攻擊展示,教人如何逃出一個虛擬機操作係統,侵入本地機,從而“對本地機的操作係統大肆攻擊”。Joanna Rutkowska的Blue Pill虛擬rootkit是“無法察覺的”,因為它安裝在管理程序上,但這些虛擬機逃逸技術仍停留在實驗室階段,目前還沒有看到嚴重虛擬機安全攻擊的報道。在這一點上,這些攻擊都是理論上的,如果風險評估認可了實施虛擬化的決定,那麼即使未來可能會麵臨一些安全威脅,也不能阻止公司去實施虛擬化。
我可以肯定的是,我們將看到更多的虛擬化漏洞被發現,這就要求我們采用一種有著標準安全強化機製的技術。如果你決定繼續實施虛擬化,請確保您的IT團隊接受了足夠的培訓,以便能應對物理和虛擬環境的不同。僅僅使用現有的、保護物理服務器的安全政策和措施去保護虛擬服務器是不夠的。例如,當IP地址的改變比虛擬機的創建、棄用或遷移更為頻繁時,安全設備和政策需要消除對IP地址的依賴性。
在虛擬化的主機內還將有一些網絡可見性的損失。傳統的網絡安全工具不一定能觀測到一個單主機中多個虛擬機彼此之間的通信流量,這使得對不良信息流量的監測更加困難。改變管理程序也需要進行一次全麵回顧,從而防止“虛擬機散亂現象”(VM sprawl),如果真的發生這種現象,虛擬化實例會突然彈出但沒有人能夠對它們進行持續跟蹤。我強烈推薦你們去實施分割(以避免多個虛擬機產生混亂,這些虛擬機運行在一個主機的多個不同安全態勢和要求的區域上),並把高級權限的虛擬機隔離在它們自己的網段上。同時,你還需要監測對虛擬化資源的訪問和所有的管理活動,這樣在遇到任何重大的事件時就能夠發出警報信息。
毫無疑問,虛擬化有許多好處,它可降低因購買軟件所有權而產生的總成本,但是你必須跟蹤虛擬化威脅的最新發展,並了解為了保護虛擬化技術而進行的研究和創新。 VMware公司的技術資源中心是一個學習虛擬化知識的好地方,因為它有很多關於如何保護虛擬基礎設施的指導。
最後更新:2017-04-02 16:48:14