【TechTarget中国原创】正如我在以前的文章中提到:我个人认为所有虚拟机都有可能给虚拟工作环境带来负面影响。虚拟机可能给存储网络、管理设备、hypervisor带来安全威胁。如果虚拟化主机使用如下的存储功能,如使用网络文件系统(NFS:Network File System)而不是传输控制协议(TCP:Transmission Control Protocol),使用iSCSI和光纤通道而不是以太网或者一个支持N_Port ID虚拟化的光纤通道主机总线适配器,这台虚拟化主机和虚拟机同时访问同一个存储设备时,就可能带来安全风险。
在hypervisor的存储设备和其他设备(有时可能是恶意的)共享的情况下,存储网络也有可能成为攻击跳板。在本文中,TechTarget中国的特约作者Edward L. Haletky将主要介绍这种可以给外部攻击者通过存储网络攻破用户工作环境的配置,并阐述要把hypervisor与虚拟机存储隔离的原因。
同hypervisor共享存储设备的虚拟机
如果用户有虚拟机和管理程序共享存储设备,那么这些虚拟机就很可能成为攻击点,取得对只有虚拟主机才可以访问的数据的访问权限,如虚拟磁盘文件。在某些情况下,通过这些虚拟机甚至可以看到其它所有虚拟机以及主机对一个特定存储设备的通信量。
大多存储安全都依赖于IP地址(其实IP欺骗很容易实现)或者挑战握手认证协议(通常情况下这个机制不能使用)。例如,假设有5台使用NFS的虚拟机和一台使用同样NFS的服务器通信,其中这台服务器是作为虚拟化服务器的,这样情况下可用攻击点就是平时的5倍。NFS是一种最不安全的文件共享协议,因为NFS本身对几种攻击就不能阻止。那么如果攻击者通过对虚拟机的控制从而控制了VMDK文件,这会给你的组织带来什么样的风险呢?
中转攻击
你可能认为并没有遭受我上述提到的攻击,你的防火墙和DMZ保护系统免受类似情况,对吧?非常遗憾的是,这些方法只在一些特定点上保护你的系统。专业渗透测试可以探测出系统中需要解决的脆弱点。对主机来讲,如果存在外部脆弱点,这个主机就有可能受到攻击,攻击者可以上传他们自己的工具包,使用这个主机作为一个中转点进一步攻击你的网络。攻击者可以使用很多必要的中转点达到他们的目的,除非这台机子不连网,否则就可以通过中转点达到这台机子。
连接存储设备的多个管理设备
另外一个潜在脆弱点是使用多管理设备端口:任意管理设备都可以使用一个端口(希望是只用一个管理网络),另外一个端口在存储网络上。这个第二个管理网络连接通过网络进入到你的管理设备中,创建出另外一个攻击点。拥有对管理设备控制权就等于是拥有对一切对象的访问控制权限。一台虚拟机不仅可以用来攻击IP存储设备,也可以用来攻击存储网络上的任何对象,如管理设备节点。为了缓解这个问题,我建议为管理设备网络重新配置防火墙,与存储网络隔离。
攻击管理程序
同攻击管理设备一样,存储网络可以直接用来攻击管理程序。和其它由于几个特定原因混合在一起的安全威胁相比,很明显这是一个更严重的安全威胁。总之一句话,我推荐你把存储管理程序的区域和虚拟机可以直接访问的存储区域离开。这样你可以减少虚拟化主机内的攻击点,更好地保护你的工作环境。