虚拟化挑战深度剖析

# 虚拟化挑战深度剖析 ## 一、文件系统与磁盘整理 ### 1.1 Red Hat全局文件系统 Red Hat全局文件系统支持与Red Hat Enterprise Linux（RHEL）操作系统配合使用。它是一种开源的集群文件系统和卷管理器，适用于连接到SAN的RHEL服务器。当使用Oracle的Real Application Clusters（RACs）软件对Oracle数据库进行集群化时，该文件系统较为常用。 ### 1.2 集群文件系统分析 对集群文件系统进行分析颇具挑战性。传统的取证工具是为单台计算机分析设计的，难以应对大规模数据存储。这些工具可能无法理解用于提高效率的技术。虽然可以轻松获取驻留在集群文件系统上的虚拟机，但即使成功捕获文件系统数据，当前工具也可能无法分析底层块。例如，Hankeln（2008）发布了一个视频，展示了从格式化有VMFS的SCSI磁盘RAID的DELL服务器中提取如.iso、.vmdk和.vmem等文件的过程，视频可在网站http://sanbarrow.com/latest-video-esxi-exe.html 查看。调查人员在处理集群文件系统时需要明确“真正需要什么”。若需要底层文件系统，就必须深入研究这些系统，并学习获取镜像后如何读取。目前，对VMFS的取证分析仍在发展中。 ### 1.3 虚拟机磁盘整理 虚拟机的磁盘整理与普通操作系统类似。对有活动快照的虚拟机进行磁盘整理会修改磁盘块，导致快照文件迅速增大。由于VMFS的混合块结构特性，其数据存储碎片化程度与传统文件系统相近。 ## 二、安全考量与技术指导 ### 2.1 安全考量 虚拟环境面临着与物理环境相同的一些安全挑战，同时也有其独特的挑战，包括文件物理安全、恶意软件感染以及管理程序安全问题等。 ### 2.2 技术指导 政府机构、企业和学术机构都广泛采用了虚拟机基础设施，这使得对虚拟机安全配置基准和标准的需求日益增长。目前有两个与供应商无关的指南： - 互联网安全中心（CIS）开发的商业指南。 - 国防信息系统局（DISA）为美国政府实体创建的指南。 “CIS虚拟机一级基准（2007）”提供了一系列通过技术控制和配置设置强化虚拟机的最佳实践建议，确保推荐设置始终体现最低限度的应有关注。“安全技术实施指南（STIG，2001）”包含多个独立章节，涵盖广泛主题，其中有一些关于虚拟机和虚拟环境的内容。这两份文档都是动态更新的，例如2009年10月下旬，STIG针对Citrix XenApp进行了更新。这些文档可为审计人员和管理员提供指导和见解。 ## 三、虚拟机威胁 ### 3.1 常见威胁类型 CIS安全基准报告指出了一些潜在的虚拟化安全威胁，随着虚拟化的广泛应用，新的威胁也不断出现。由于一台机器上可能托管多个虚拟机，虚拟机的安全问题备受关注。虚拟环境面临的威胁包括： - 对物理机器的攻击 - 对虚拟机的攻击 - 对管理程序的攻击 - 拒绝服务（DoS）攻击 例如，如果包含敏感数据的虚拟机与用于通用或测试的虚拟机混合使用，且配置不当，可能会危及敏感数据虚拟机的安全。此外，虚拟机环境还存在一些独特的安全问题： - 虚拟网络适配器启用 - 不同安全上下文的机器连接到单个物理适配器 - 操作系统之间的补丁级别可能不同 - 虚拟机内的程序可能逃逸并影响主机 - 虚拟机可能因占用过多资源导致主机拒绝服务 - 共享剪贴板可能导致主机和其他虚拟机感染 - 虚拟机日志未受保护 - 虚拟机不受控制的外部修改 - 未受保护的虚拟机文件可能导致信息被盗 ### 3.2 实际案例 在DefCon 15会议上，Capelis（2007）介绍了虚拟机的安全问题和可能的攻击途径，如共享硬件攻击、隐蔽通道、共享网络和实时迁移等。2007年这些攻击还只是概念验证，但如今已成为现实。2009年12月，在公共云计算基础设施中发现了一个Zeus僵尸网络命令和控制中心。调查显示，一个虚拟机Web服务器被利用，成为僵尸网络的控制节点。 ## 四、管理程序与虚拟机逃逸 ### 4.1 管理程序感染威胁 除了虚拟机感染威胁外，管理程序也可能被感染。“蓝药丸”技术详细描述了一种夺取主机操作系统并控制其虚拟机的方法。该技术基于虚拟化设计本身存在的安全漏洞，可能危及管理程序和所有运行在该机器上的虚拟机。在半虚拟化中使用的超级调用可能未被管理程序检查来源，从而存在缓冲区溢出的风险。此外，根据Cargile（2009）的观点，管理程序可以绕过客户操作系统接口进行远程设置更改。例如，微软Xbox 360的特权提升漏洞曾被广泛报道，尽管Xbox不在企业环境中使用，且微软已发布了保护管理程序的文档，但未来管理程序攻击仍有可能成功。由于供应商的不断改进，管理程序漏洞通常更可能通过感染虚拟机的恶意软件被利用，而非直接攻击管理程序。 ### 4.2 虚拟机逃逸担忧 虚拟机逃逸是指虚拟机突破隔离并恶意与管理程序交互。2008年8月，VMware的Randell在亚利桑那州安全从业者论坛（AZSPF）上表示，目前尚无已知的管理程序攻击途径导致虚拟机逃逸。但随着对虚拟环境攻击的增加，调查因虚拟机漏洞或配置不当而被利用的环境的可能性也在上升。 ## 五、虚拟设备与虚拟机安全风险 ### 5.1 虚拟设备 虚拟设备方便且易于获取。从