如何明哲保身?淺談虛擬環境下的資安挑戰
如何明哲保身?談虛擬環境下的資安挑戰
虛擬化(Virtualization)已成為每家企業的必備 IT 基建,通過將傳統的一些 IT 方案虛擬化,的確可大大化解管理難度以及節省開支!儘管虛擬化與傳統的方案,在設定上都是大同小異,而針對虛擬化的資安問題,更是比起傳統系統來得複雜。接下來我們將會以短短千多字,與大家分享一下虛擬環境下需要思考的資安問題。
1. VLANs 的效能及安全問題
在虛擬環境之中,我們很多時都會安裝多於兩張網絡卡,其主要考量因素有很多,其中常見的原因是:擁有兩張網絡卡可作備援之用;而亦有管理員會通過多張網絡卡從而區分針對虛擬機運行及管理工作所使用,藉以達致更有效率及更安全。
然而由於資金所限,很多時公司並不會讓你購置大量的網絡卡,這時候大家會想到使用 VLANs 作區隔,這樣的話你便要多加留意了!當你在虛擬機器層面之中設定了多個 VLANs,首先便會影響到實體網絡卡的效能,同時亦會令網絡更複雜,管理上更麻煩;另外,假如你將很多虛擬機器放到相同的 VLANs 內時,萬一其中一個虛擬機器本身存在惡意軟件的話,這時候於相同 VLANs 之中所傳播的惡意軟件,是難以被控制及停止的。
2. 共享資料夾的安全風險
為了方便在實體主機及虛擬主機之間進行存取,很多時我們都會啟用虛擬主機之中的共享資料夾功能,這時候便要多加注意權限上的設定;其實虛擬主機的共享資料夾一向是攻擊的熱門切入點,早前 VMware 便曾經被發現能通過在受感染的虛擬機器之內,直接通過共享資料夾對實體主機進行入侵,最終成功感染主機。
當然,事後 VMware 已快速修正問題,不過共享資料夾始終會令管理員有一種不安的心情,所以還是盡量不要使用較好,否則一旦實體主機受感染,便真的會十分麻煩。
3. 針對 x86 處理器虛擬化的安全問題
現時虛擬化平台本身提供的安全防禦功能已十分強大,再加上針對網絡層面或系統層面的防禦方案,令駭客難以進行入侵。不過對比起軟件方面的安全問題,另一個很容易被忽略的就是現時的 x86 處理器虛擬化功能上的安全問題。
針對 X86 處理器虛擬化功能的攻擊需要依賴虛擬化架構進行,儘管針對 CPU 的攻擊不見得比傳統針對系統及軟件的攻擊簡單,但用户很多時幾乎都會忽略針對硬件上的防禦工作,因此對比起針對軟件及系統進行攻擊,針對虛理器的攻擊會較容易開始!
除了管理員忽略硬件上的資安防禦之外,另一個重要的原因是高效的 CPU 虛擬化運算涉及了繁複及敏感的指令,而高性能下進行重新編譯等程序亦相當複雜,這令到過程之中出現未被發現的漏洞機會十分之高。
舉個例子,在重新編譯的過程之中,假如重寫援衝區的過程失敗時,用户可通過將一些語句插入其中,從而觸發漏洞或一些於系統之中的指令,這樣便可直接入侵虛擬機器又或者可提升了一些執行上的權限,直接影響虛擬機器的安全性。
其實針對虛擬機器的安全問題有很多,而且攻擊方法亦十分之多,稍後我們將會與大家再分享一下其他針對虛擬化的攻擊以及防禦方法,萬勿錯過啦!
鳴謝:Lapcom