在2006年的黑帽大会上,安全研究人员Joanna Rutkowska演示了著名的蓝色药丸hypervisor恶意rootkit,这之后,人们对于可能危及hypervisor的攻击的担忧就一直没有断过。
不过从那时以来,安全行业已经向前发展了一大步,开发了一些硬件技术来保障hypervisor的完整性,例如英特尔的VT-d(Virtualization Technology for Directed I/O)技术。“今天,绝大多数的英特尔Core i5和i7处理器都拥有这些技术”,而虚拟化软件厂商也开始支持这样的功能,如今已成为IT安全研究公司Invisible Things的创始人兼CEO的Rutkowska说。
但是,即便是VT-d技术也不能真正保障hypervisor的完整性,“不过英特尔的TXT扩展却可以提供可信任动态测量根(dynamic root of trust measurement,DRTM)技术,这种技术将在新一代英特尔处理器中出现,”Gartner分析师Neil MacDonald说。
Rutkowska本人对于是否有人会利用蓝色药丸类rootkit攻击虚拟机也表示怀疑。“没有任何理由会让坏分子们去使用如此复杂的rootkit工具,”她说,尤其从上世纪90年代以来,人们对于攻击传统操作系统的rootkit技术有了更深入的了解。
可以这么说,如果对虚拟基础设施来说,没有遵循和采纳最佳实践的话,那么虚拟化就会出现危险。Hypervisor必须像任何其他操作系统一样,定期修补安全漏洞,Rent-a-Center租赁公司的高级信息安全经理KC Condit说。“VMware今年以来已发布了9个重要安全公告,而XenServer也已发布了6个安全修复办法。”
“我们看到过大量配置不当的hypervisors,”RSA Security的高级安全咨询师Andrew Mulé说。他说,在他拜访客户的办公室时,经常会看到对虚拟机的补丁管理很不到位,而且虚拟机管理程序所使用的都是一些很容易猜到或者缺省的用户名和密码,这会让他人很容易进入并控制整个hypervisor。除此之外,他说,“我们还能偶然看到虚拟机管理工具放在了防火墙的错误一侧。”
相关阅读