1
F5白皮书
虚拟化数据中心的安全问题
Hypervisor实际上是另一个操作系统,它管理主机OC和客户端OS之间的通信.管理员不用担心单个设备上的单个BSD,而是必须 关注三个操作系统的安全.例如,如果您保证虚拟BSD客户端安装的安全,但未考虑主机和VMM的安全,则会忽略关键的组件.如 果主机受到安全威胁,客户端设备上的安全则与此无关. 尽管Hypervisor是虚拟化的" 主控制器程序" ,但它不是具有安全风险的唯一虚拟化抽象层.对于任何虚拟化系统,另一个关键 方面是网络层.对于不同的虚拟化软件平台,构建和处理客户端与主机间的联网的方法也不同,包括从Qemu4最基本的通用网络仿 真到VMware极为复杂的专用软件交换平台.虚拟化联网一般被认为" 仅能运行" ,应考虑虚拟机和环境安全研究的一个最重要方 面.与硬件网络设备不同,基于软件的网络带来了在硬件中一般看不到的安全问题.例如,最近,VMware的客户端联网子系统在 " 仅集线器" 模式下运行,即在同一个软件网络域内,同一个物理主机上的多个客户端实例可以公开地自由访问该域内共享的所有 网络数据.它是通过软件实施的标准集线器.如果两台客户端都是同一个仅主机网络中的成员,并共享同一个虚拟接口,两台机器 可以看到主机和客户端之间的所有流量.对于VMware的桥接模式配置,目前仍是这种情况,即所有客户端映射到同一个物理网络 设备.尽管在更健壮的配置中设置了屏障,例如采用多个VMware软件联网设备(即vmnet0,vmnet1,vmnet2等),但整个网络 管理子系统仍存在于软件中.采用多个虚拟网络接口分割流量相当于将两台机器插入同一个客交换机中,分别具有唯一的子网,但都 没有被VLAN分割. VMware也是软件网络安全迅速发展的例子.VWware在最新的企业版本中创建了极为健壮的软件交换网络,正在向虚拟交换(从2 层VLAN到3层路由)的仅软件分区模式发展.图1表示具有多个虚拟VLAN分区的VMware ESX虚拟交换机 (vSwitch0).如图所示, 'vm_oracle' 和 'vm_sharepoint' 在不同的VLAN上,但两个网络都是同一个虚拟交换机的一部分,而且其流量要通过同一个物理网 卡.但即使这些进步都考虑了安全性,软件交换仍然比硬件的风险大.在真正的网络环境中,相邻距离通常是攻击的一个重要屏障, 与此不同的是,对于一台主机上的所有客户端,其它所有客户端和主机之间共享同一个软件堆栈.网络堆栈共享是虚拟化安全的一 个主要问题;如果所有客户端和主机共享同一个网络堆栈,则攻击者只需攻击一台机器即可接入整个堆栈.例如,在VMware网络子 系统中的一个简单攻击方法是: 在主机软件交换网络驱动器处理VLAN标签和2层帧大小的过程中有一个漏洞—可允许客户端上的攻 击者看到所有网络数据从客户端->客户端,客户端->主机传送.即使在主机和物理网络之间交换的数据也可能暴露于风险中,无论在 多个客户端之间是否有软件分区.
Figure 1: VMware ESX Virtual Switch with multiple segmented VLANs
F5白皮书
–
ALAN MURPHY - F5 Networks
虚拟化数据中心的安全问题
最重要的是,平台虚拟化的范例需要将我们引导到新类型的管理员:系统,网络和安全管理员应进一步扩展他们所掌握的知识,了解 虚拟化带来的新概念.网络管理员花费多年时间积累知识,但这些知识都是针对现实世界,即固态的交换机,电缆,CAM表以及受 邻近性限制的VLAN.在虚拟世界中,不仅所有这些概念从硬件转向软件(许多情况下是从软件内核领域向用户领域转移),而且这 些概念一直处于混乱和" 封闭状态" ,不适用于传统接入方法.管理虚拟交换网络的系统管理员再也不能使用简单的工具进行监控和 故障排除.管理员不能走近虚拟交换机,插入笔记本电脑,添加一个网络分路器,可靠地对一个端口进行映射,或者查看虚拟设备 的统计信息.所有这些能力和知识已经超出专业管理员的能力范围,而且对软件控制器,管理GUI,专用内核模块和二进制系统隐 藏,最重要的是,已经进入了只有设计人员和开发人员知道如何真正管理设备的时代.设想一下如果一个人需要对10位架构师和设 计人员构建的CheckPoint 防火墙或Cisco 交换机进行故障排除.这是一种可怕的情况. 新的安全法令 我们已经知道,在安全方面,我们不能对虚拟化想当然,而且应该比物理和专用操作系统及设备的日常威胁更加警惕.但是," 实 现绿色化" 有哪些需要特别关注的方面 下面通过几个实例说明虚拟安全的现实影响: 攻击管理接口:主机 所有虚拟操作系统环境都有某种形式的软件管理控制接口负责管理客户端和主机间的IPC(进程间通信)呼叫.这一般通过主机操作 系统上的本地进程管理,由Hypervisor控制.这些管理应用允许主机上的进程监控客户端,并与客户端直接交互;否则,主机将无法 管理(或控制)客户端.这种架构的最佳例子是VMware的vmware-tools和Xen的客户端内核模块,两者都允许各自的主机应用通过 Hypervisor控制客户端和环境. 曾运行VMware的任何人都使用过并了解vmware-tools.这 个应用使VMware能够直接从主机通过内核级IPC应用和服 务接入客户端.一般情况下,vmware-tools用于从主机到客 户端的非仿真硬件接入, 例如从主机向客户端装载CD-ROM (或ISO文件) 并为USB设备和鼠标等外设提供更快的硬件 , 接入. VMM/hypervisor也采用同样的通信模式管理主机和客 户端之间的用户交互,例如控制鼠标在管理GUI中的虚拟事 例上的移动. 我们看一下使用vmware-tools从主机向客户端上的虚拟CD 加载ISO文件的情况. 首先, 主机上的VMware进程必须能够 接入ISO文件.这一般不是问题,因为VMware进程作为一个 高级用户运行,具有较高的权限(Linux机器中的" 根用户" , 或者Windows机器上的" 系统用户" ).接下来,客户端上 必须有一个进程知道如何与主机上的进程通信. 这要求在客 户端上安装软件,通过Hypervisor进行命令调用而与主机 VMM通信.客户端管理子系统向主机发起呼叫,一般通过 指定的管道发起, 要求主机代替客户端启动硬件调用, 欺 " 骗" 客户端认为它正在通过物理驱动器接入物理CD.这是 VMware通过实施vmware-tools从主机向客户端加载CD的基 本例子.这个过程很简单,但对安全性极为重要,因为我们 创建了一个在主机和客户端上作为超级用户运行的未检查 的系统,可以被恶意攻击者操纵和利用. 再看一下现实世界的例子:运行10个Windows 2003虚拟事例的Linux VMM主机.每个虚拟主机都是运行财务部会计Web应用的冗余 HTTP服务器组的一分子.每个虚拟客户端上的内容和数据在虚拟驱动器之间复制,而且始终保持完全一样.无论最终用户接入哪个 HTTP服务器,后端数据始终保持一样.用户不知道自己在任何特定时间接入多个服务器,也不知道这些Web服务器都是虚拟服务器. 例子中的这家公司没有为这些数据构建一个完全冗余的后端数据块,而是构建了一个极为低价的虚拟基础设施来管理这些财务数据的分 发.

上一页下一页