虚拟机易受攻击 业界尚无有效解决方法

核心提示：在数据中心里，虚拟服务器越来越普遍，虚拟机易受攻击 业界尚无有效解决方法，随之而来的安全问题也越来越引起人们的担忧，美国密歇根州立大学的Jon Oberheide表示，这也意味着如果应用软件需要比它的硬件组所能提供的更多的处理能力时，它将无法求助于其他的服务器，虚拟化最引人注目的特性之一就是虚拟机在闲置状态下的复制能力

在数据中心里，虚拟服务器越来越普遍，随之而来的安全问题也越来越引起人们的担忧。美国密歇根州立大学的Jon Oberheide表示，虚拟化最引人注目的特性之一就是虚拟机在闲置状态下的复制能力能满足用户的需求，这也为服务器受到外界的攻击提供了可乘之机。

当虚拟机在物理服务器之间进行迁移时，这个过程就容易受到一系列的攻击，因为虚拟服务器之间的安全验证是十分薄弱的，同时在物理机之间的虚拟机流量也没有相应的加密措施，Oberheide表示。就眼前来说，解决的办法是在所有可能接收虚拟机的物理服务器上安装硬件版本的加密技术，Oberheide介绍说，但就长期而言，虚拟机软件则应该加强安全验证功能，使风险降低到最小化。

销售Xen商用版本的思杰系统公司表示随着管理服务器充当安全验证的发源地和目标服务器的角色，问题也随着而来。思杰虚拟化和管理部门首席技术官Simon Crosby介绍说"我们通过扮演中间人的角色来防范中间人攻击"。

对于这个问题，VMware建议对"VMotion"虚拟机迁移管理工具采用加密技术。"VMotion是没有加密保护的，在虚拟局域网上虚拟机的动态迁移经常发生，随着虚拟机的内存运行状态贯穿VMotion，还可能包含有价值的信息。"VMware表示。"基于SSL加密技术的硬件对于采用高度安全防护配置的VMotion是很好的选择"。

Oberheide表示他不会对攻击本身进行论述，但是他计划对攻击如何发生的过程以及他的工具如何激活攻击进行展示。

"只要攻击者和服务器在同一个网络上并存，这就并非难事。"Oberheide解释说。"先决条件是中间人通过不同方法获取的能力，诸如窃取IP地址或者ARP协议等，攻击者会通过这些窃取的信息将迁移流量首先发送到中间人，然后再转发到目的地。"

Oberheide表示，这种行为会使得攻击者有权使用任何虚拟机迁移发生中的网络，但所需的技术也是人所共知的，而它根本无需任何特别的方法。但对于虚拟服务器成倍增长的迁移流量，攻击者的接收服务器硬件也面临超负荷重负。

一位分析师也表示，虚拟服务器面临着越来越多的安全挑战。"我们完整的安全体系架构都是围绕静态模型创建的，随着我们将一切事物虚拟化，安全防护的虚拟化进程就远远落后了。"，Nemertes研究机构的分析师安德里亚.安东认为。"这也导致了目前体系架构中的现实问题，也是迫使各大企业公司对他们忽略的方面做出决断的时候了。"

安德里亚还以他的一位企业用户为例，这家企业就是被迫采取将其应用软件隔离在单独的物理服务器上的方法来使他们免受虚拟机迁移可能受到的攻击。这也意味着如果应用软件需要比它的硬件组所能提供的更多的处理能力时，它将无法求助于其他的服务器。这也使得虚拟化的优势化为乌有。