編輯部組織面對網路安全與服務管理的挑戰性愈來愈高。為滿足市場需求,往往需要更多的網頁應用程式、電子商務、全球 Web 服務,與 24 X 7 線上營運機制。在此趨勢的帶動下,使得 Server Farms 與資料中心的快速成長變得不易控制,如:需要愈來愈多的硬體、擺設空間、線路佈建、網路設備、管理人員等。此時,虛擬化的出現成為最佳的解決方案。
虛擬化技術使人們得以在同一臺主機上裝設多的虛擬伺服器、運行不同的作業系統、不同的應用程式,這讓硬體的使用效率提高、能源損秏減少與成本降低,同時虛擬化也讓組織的網路基礎設施、災害復原機制、營運持續機制更彈性與簡單。但是,虛擬化也讓駭客存取有價值資料的流程,縮短到只需在同一臺主機上作業。本文將針對虛擬化弱點問題與解決方法進行探討。
虛擬化環境
虛擬化本身的安全問題,我們可以透過網路架構的組成來了解。通常應用程式的架構組成包含了下列 3 個階層:
1. 後端資料庫 (Back-End Database):存放組織與客戶的重要資料,也是駭客的最終目標。
2. 中繼應用程式 (Application Middleware):接受使用者需要的動作並與後端資料庫溝通,與使用者溝通的靈魂。
3. 前端 Web 服務 (Front-End Web Servers):提供外部用戶存取上面兩層架構的服務介面。
通常在非虛擬化的基礎架構下,上述每一個階層都處於自有系統與所屬的網路區段,也為各別區段與系統提供安全保護,如透過防火牆 (Firewall) 與入侵防禦系統 (IPS) 在系統前方防護。防火牆所保護的是 Web Server 層次,且一定允許 Web 流量通過防火牆;IPS 設備所做的是流量深層檢測,通常置於中繼應用程式前方,同時保護中繼應用程式與後端資料庫。
在虛擬環境的應用上,3 層應用程式架構將被安裝於同一臺實體主機,這是虛擬機器 ( V i r t u a lMachines) 所提供的好處,可以讓多個虛擬系統、多個 IT 環境在單一臺實體伺服器上運行。
在了解虛擬系統應用的方便下,一個研究數據提供給讀者參考,根據 Nemertes 研究指出,現有環境下針對虛擬化系統進行安全防護的組織不到 10%,這代表虛擬化技術的快速發展,其實很少人意識到虛擬化必須考慮它的安全問題,大部份的人認為只需保持系統更新就能安全。
安全挑戰
硬體式安全解決方案上的作業系統,通常需要安裝於某種 ASIC 晶片才能維持運作速度的需求,這讓軟體與作業系統都必須在特定規格的硬體上才能運行,也因此無法將傳統防火牆虛擬化,這導致 VM 之間的威脅流量是不受管控的。
透過硬體式安全解決方案在實體伺服器之外監看與阻擋安全威脅,以防止威脅流量接觸實體伺服器。但這也僅限於伺服器外部流量保護,在各別 VM 之間的流量是無法保護的,特別在同一個 process 要跨不同 VM 情況下。例如我們會用硬體防火牆來保護邊界網路安全,但這是不夠的,因為並不是所有流量都來自網際網路,當某個 VM 與其它 VM 進行流量溝通時就不受控制。通常外部防火牆會允許某個 HTTP 的連線到某個虛擬機器,但這臺虛擬機器卻可以自由的連向其它虛擬伺服器的所有 Protocol 。
試想一個情況,當我們將多層的應用程式服務建構在同一臺虛擬主機上對外提供服務,並以硬體式安全解決方案在伺服器前方進行防護,的確可以簡化系統與管理,但它所面臨的安全威脅一定比傳統各應用層分別在各實體主機上時來的高,因為所有虛擬伺服器間的流量是完全自由不受限制的。根據 Nemertes 研究報告指出,有 78% 的虛擬化設計,將 3 層應用程服務裝設在同一臺虛擬主機,且直接對客戶提供服務。
現今網頁應用程式的架構愈變愈複雜, 所面對的弱點威脅成長到需警愓的地步, 更糟的是, 當一個弱點被發現到成為 E x p l o i t 的時間不斷的縮短,我們可以想像得到,原本駭客用於實體環境的 E x p l o i t 也會運用到虛擬環境上。舉個例子來說,駭客的攻擊會先針對前端應用程式進行不易發覺的情報收集 (Information Gathering),再利用 Zero-day Exploit 進行攻擊,攻擊後駭客就能從前端應用平臺利用傳統的攻擊方式去試著攻擊其它應用平臺,如利用 Port Scans 或 Exploits 。這代表的是駭客可以在許多平臺上取得存取權限,特別是虛擬化環境可能會一次拿下所有虛擬系統、應用程式、後端資料庫,因為虛擬化讓駭客在不同虛擬主機之間的存取更為方便與自由。
虛擬主機與虛擬主機之間的溝通是不會離開虛擬環境的, 所以在主機前方進行防護的防火牆或 IPS 是不能看到虛擬主機間溝通的流量,這也限制了組織對抗網路威脅的能力。因為沒有東西能夠監看到虛擬主機之間的流量,組織就無法對什麼人、在什麼時間、做了什麼事, 進行稽核,這也是為何許多稽核人員在進行虛擬環境稽核後,都會提出「Material Weaknesses」的稽核報告。
(作/蔡和燁)
(…未完,更多精采內容請參閱網路資訊雜誌 223 期 6 月號)