深入了解虛擬技術 評估虛擬化安全方案適用性 智慧應用 影音
D Book
繁體版 简体版
評估申請
快捷顧問
登入
236
工研院
DForum0115
熱門關鍵字
#電動車
#面板
#記憶體
#伺服器
#NVIDIA
#半導體
#AI PC
#NB
#台積電
#AI

深入了解虛擬技術 評估虛擬化安全方案適用性

  • 企業IT編輯部

前言:
無論對駭客或安全廠商來說,在虛擬環境中有個兵家必爭的重要據點,那就是位居虛擬內核層的Hypervisor。只要誰先佔領了該核心據點,位於其上層的所有虛擬機器將完全俯首聽命、任其驅馳。不過,在談及Hypervisor之前,必須先對現有虛擬技術有基本的了解。

本文:
當前的虛擬化技術類型,大致可分為全虛擬化(Full Virtualization)、平行虛擬化(Paravirtualization)及硬體輔助式虛擬化(Hardware-assisted Virtualization) 3種。其中,全虛擬化可模擬出完整的底層虛擬硬體層,並藉由2進制譯碼(Binary Translation),將一些敏感性指令虛擬化,並置換模擬成可穿入虛擬機器中的軟體,以完成虛擬機器與實體硬體間的介接。不過,該作法會導致效能表現較差的問題出現。

當前全虛擬化的典型代表莫過於VMWare;再就平行虛擬化來說,其代表首推Xen,該技術必須對客端作業系統進行修改,以對Hypervisor發出系統呼叫,進而與硬體層相溝通,相對而言,其效能表現最佳。

至於硬體輔助式虛擬化技術,亦即在處理器中添加虛擬化技術,目前兩大處理器廠商皆有支援,英特爾(Intel)推出Intel VT,超微(AMD)則推出AMD-V。該類型技術對於Hypervisor-based的虛擬化軟體助益甚大,尤其該技術可簡化虛擬化程式碼,對全虛擬化來說,可大幅改善因採用2進制譯碼技術所導致的效能不彰問題。

對Xen來說,透過處理器虛擬化技術,在提供平行虛擬化的同時,也可運行全虛擬化環境。除了採全虛擬化的VMWare,以及平行虛擬化的Xen都支援該技術外,微軟(Microsoft) Hyper-V及Linux KVM也都支援,由此可見,硬體輔助式虛擬化技術,對於現有虛擬化軟體的助益有多大。不過,令人憂心的是,該技術對於有意攻擊虛擬內核Hypervisor的惡意程式來說,一樣提供不小的幫助。

Hypervisor為兵家必爭之地

前文提及Hypervisor可說是虛擬世界中,正邪兩方的兵家必爭之地,所謂Hypervisor,又稱為虛擬機器監控程式(Virtual Machine Monitor;VMM),從後者的稱呼可以清楚明白,它是專門對位在其上層之虛擬機器,進行監控管理的底層程式,同時也作為實體資源與虛擬機器間的控制介面。

目前市面上常見的Hypervisor,依照其運行位置大致可分成2種,一是Type 1 Hypervisor,又稱為裸機型(Bare-metal) Hypervisor,該程式直接運行在實體主機硬體之上,市面上常見的VMware ESX Server、Microsoft Hyper-V、Citrix XenServer皆屬之。另一種是Type 2 Hypervisor,也就是直接運行在傳統作業系統之上的主機型Hypervisor,一般X86 PC上常見的VMware Server/Workstation、Microsoft Virtual PC/Virtual Server皆屬之。

除此之外,還有另一種專門嵌入平台韌體中,或可直接以USB隨身碟或光碟片啟動的Hypervisor,像是VMware ESXi、Linux KVM(Kernel-based Virtual Machine),以及華碩筆記型電腦Express Gate快速開機功能所採用的Splashtop皆屬之。

主機型與裸機型Hypervisor之比較

由於身居內核層內的Hypervisor程式,具備監控管理上層虛擬機器的能力,使得駭客千方百計地將惡意程式偽裝成Hypervisor程式,藉此進駐內核層,如此一來,駭客將對上層虛擬機器中的任何使用者行為一覽無遺,即使虛擬機中安裝任何安全防護方案,也無法偵測到位於底層惡意程式的任何攻擊行為。

雖然目前已知的Hypervisor-based惡意程式,像是藍色藥丸(Blue Pill)、Vitriol,以及由微軟與密西根大學研究人員共同研究撰寫的SubVirt,皆屬概念驗證式Rootkit,但隨著虛擬化更加普及之後,駭客可能撰寫出更多基於Hypervisor技術的惡意程式,同時讓這方面的攻擊技術更加熟練精進。值得一提的,上述藍色藥丸與Vitriol Rootkit,分別採用了AMD-V及Intel VT硬體輔助式虛擬化技術,進而化身成真假難辨的惡意Hypervisor。總之,對駭客而言,這是個最有效的攻擊捷徑,未來這方面的攻擊只會多不會少。

VMware提出VMSafe架構 兼具內核安全與成本效益

位居內核層的Hypervisor,在虛擬環境中扮演了舉足輕重的重要角色,這一點,駭客及虛擬化方案商與安全廠商都心知肚明。為了防止駭客捷足先登,VMWare特別在2008年2月召開的VMworld Europe 2008大會上,正式對外開放VMSafe API技術。VMware大中華區技術總監張振倫指出,該公司藉由VMSafe API安全體系架構,提供安全廠商1個可開發出Hypervisor層級安全方案的開發介面,進而全面將安全方案延伸到虛擬環境之中。

透過VMSafe安全架構開發出的第3方安全方案,可以輕鬆對虛擬機器內部記憶體分頁與處理器使用狀況全盤掌握,同時任何進出虛擬機器,甚至Hyperviosr內的網路封包,皆可進行深層的安全檢測,所以即使是惡意虛擬機器或惡意Hypervisor的任何行為,皆無所遁逃,而能被安全地加以隔離。再者,藉由VMSafe,可對虛擬機器中的所有執行流程進行全面監控作業,並且可對虛擬機器磁碟檔案(VMDK)進行掛載、操作與修改等任何動作。

即使內核層遭到惡意Hypervisor進駐攻擊,支援VMSafe架構的Hypervisor-based安全方案,也可將這個傳統資安設備無從察覺的安全威脅糾舉出來。對於上層惡意或不安全虛擬機器,也可立即偵測並加以隔離,進而確保其他虛擬機器,乃至實體主機與網路的安全性。而且企業只要在內核層安裝1套Hypervisor-based安全方案即可,不必為每1台虛擬機器是否都要安裝安全方案而大傷腦筋,企業將因此節省可觀的授權費支出與管理成本。

張振倫生動地比喻道,傳統安全方案就如同採取傳統工具追逐歹徒的警察一般,面對駕駛汽車逃逸的歹徒,如果警察也一樣透過警車追緝,就只能實地比較,看誰的駕駛技術高超;而如今的VMSafe安全架構與Hypervisor-based安全方案,就如同警察登上直昇機從空中追擊,自空中鳥瞰,地面上四處遁逃的歹徒將一覽無遺,成功緝捕到案的機率自然大增。VMSafe API就是1個專門提供資安廠商開發出具備「空中偵測」能力的安全架構平台。

虛擬機器安全架構圖


應用軟體導向式安全政策示意圖

目前宣稱支援VMSafe安全架構的廠商不少,包括Altor、Bigfix、BlueLane、Catbird、Check Point、F5、Fortinet、HyTrust、IBM、卡巴斯基、McAfee、EMC RSA、Secure Computing、Sophos、SourceFire、賽門鐵克、趨勢科技、Tripwire及Webroot等,共計31家安全方案商,但目前已獲VMWare認證並正式上市的產品並不多。

其中,Check Point是少數推出實際方案的先行者之一,其產品稱為VPN-1 VE(Virtual Edition)虛擬防火牆,早在2008年8月間,即已正式推出。該產品可對內核層所有資源進行隔離控管,所有進出虛擬機器的連線狀態及流量,都必須經由該產品的安全過濾才能放行,該產品並提供對整體虛擬環境安全防護之整合式集中管理平台,進而提升安全管理效率。舉凡防火牆、VPN、IPS、防毒、反間諜軟體、反垃圾郵件、Web應用程式防火牆、VoIP安全防護、IM/P2P安全封鎖、Web安全過濾與遠端安全存取等機制盡皆支援。

名為虛擬防火牆的VPN-1 VE,是個可安裝在Hypervisor層的軟體,它被打包成1個內含預先安裝及預先組態好的虛擬防火牆,因此可快速而順暢地進行部署及轉移作業。該機並可確保在VMware VMotion的即時轉移作業下,所有虛擬機器安全政策的確實執行與一致性。在效能上,VPN-1 VE可提供高達2Gbps的傳輸速率,藉由ClusterXL高可用性叢集機制,一旦有任何虛擬防火牆發生故障,會立即將所有連線導到叢集上的其他防火牆上。

支援VMSafe之Check Point VPN-1 VE佈署架構圖

針對VMWare ESX/ESXi虛擬環境,趨勢科技已開始進行Core Protection for Virtual Machine產品的研發工作。趨勢科技資深技術顧問戴燊表示,該產品預計會在2009年第3季末、第4季初正式發表上市。該產品可說是專為虛擬環境安全量身打造的防毒軟體,面對眾多虛擬機器,不論是處於上線或「休眠」狀態,都可透過對所有虛擬機器的分散式掃描及病毒碼更新機制,提供更安全的防護。對於任何破壞性的攻擊行為,也可透過安全代理程式進行安全隔離作業,同時,該產品的掃描代理程式,並具備可防止惡意破壞行為的免疫能力。

在管理方面,該產品可與VMWare管理架構緊密結合,降低虛擬環境安全管理的負擔與複雜性,同時藉由與虛擬中心(vCenter)持續同步機制,可動態監控虛擬機器的一舉一動。在部署上,該產品提供簡單方便的部署機制,並可無縫融入趨勢科技OfficeScan的部署作業中,如此一來,即可採用與OfficeScan相同的中央控管主控台。

Trend Micro Core Protection for Virtual Machine產品架構圖

截至目前為止,似乎只有VMWare提出針對虛擬內核層的安全防護架構,換句話說,不論是微軟Hyper-V或Citrix XenServer,都沒有對資安廠商提供任何Hypervisor-based的程式開發介面方案。儘管兩者皆有不錯的虛擬環境管理部署機制,但面對今後可能發生的Hypervisor-based惡意攻擊,現有傳統安全方案並無能力加以偵測與防範,如此一來,很可能陷入極大的安全風險之中。

面對其他較傳統的惡意攻擊,或許在每台虛擬機器中都安裝安全防護方案,可以應付得過來,但如此又會在授權支出及管理成本上增加不小的負擔。無論如何,在可見的未來,面對可用以作為入侵其他虛擬機器最佳捷徑的Hypervisor,絕對會是駭客集中火力攻擊的主要目標,所以,在Hyper-V或XenServer虛擬環境中,必然可以見到Hypervisor-based的安全防護方案。

虛擬化安全方案採購要訣
面對虛擬安全防護方案的採購,必須注意以下要點:
1、產品能否提供虛擬機器的真實運作全貌?能否有效過濾進出虛擬機器的封包內容?
2、產品能否保護虛擬內核及Hypervisor的安全?能否偵測到進出虛擬機器與Hypervior內的流量狀況?能否偵測到Hypervisor-based惡意程式?
3、該方案能否對惡意虛擬機器或惡意Hypervisor進行安全隔離,以防止任何不軌的攻擊或惡意散播行徑?
4、產品能否同時對上線或離線狀態的虛擬機器,皆提供安全檢查等保護措施?
5、產品能否對虛擬機器共享資源,包括處理器、記憶體、網路及儲存提供完善的保護機制?
6、產品能否提供確保實體網路與虛擬網路安全政策一致性的方便快速機制?
7、產品是否具備自動化組態配置或安全政策自動分派機制,以降低沈重而無效率的手動配置作業?
8、產品是否支援VMotion等Live Migration機制下虛擬機器安全政策的一致性?
9、產品是否支援強大及機動調配的網路存取控制能力?
10、該產品本身的效能表現如何?對於虛擬環境乃至實體主機效能的影響如何?
11、產品是否能提供更精細的安全控制機制?是否支援集中式管理機制?
12、產品是否支援高可用性冗餘機制?

關鍵字
加入已選取到「關鍵字追蹤」 什麼是「關鍵字追蹤」