在第一部分中,TechTarget中国的特约虚拟化专家Alessandro Perilli会涵盖沙箱(sandbox)、灾难恢复、高可用性以及取证分析等方面的虚拟化应用。在第二部分中,我们将进一步探讨一种叫做蜜罐(honey potting)的技术,以及虚拟化的未来。 蜜罐 目前,安全领域的研究人员投入了大量的时间对蜜罐(honey potting)技术进行研究。 蜜罐是一个系统,其行为看起来很像一个生产环境。
这个系统部署在公司网的特殊位置,包含很多有吸引力的数据,用于引诱黑客。然而,系统内布满了日志探测器,其任务是尽可能多地发现新型黑客工具和黑客技术,尽量欺骗攻击者,以便安全管理……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
在第一部分中,TechTarget中国的特约虚拟化专家Alessandro Perilli会涵盖沙箱(sandbox)、灾难恢复、高可用性以及取证分析等方面的虚拟化应用。在第二部分中,我们将进一步探讨一种叫做蜜罐(honey potting)的技术,以及虚拟化的未来。
蜜罐
目前,安全领域的研究人员投入了大量的时间对蜜罐(honey potting)技术进行研究。
蜜罐是一个系统,其行为看起来很像一个生产环境。这个系统部署在公司网的特殊位置,包含很多有吸引力的数据,用于引诱黑客。然而,系统内布满了日志探测器,其任务是尽可能多地发现新型黑客工具和黑客技术,尽量欺骗攻击者,以便安全管理员有足够的时间修补真正的系统,从而有效防止新型攻击。
在虚拟化技术成为主流之前,仅仅为了安全性研究而设立一台机器或整个网络(密网)几乎是不可能的,因为其高成本和管理都难以负担。而现在,我们可以借助免费的虚拟化平台,免费的流量发生器(traffic-generator)工具和虚拟实验室自动化解决方案(如Akimbi Systems公司或Dunes Technology提供的解决方案)。建虚拟密网最终成为可能,而且负担得起。企业应该评估这些系统的部署,模拟生产服务器,把密网看作强大的监测传感器(monitoring sensor)。
虚拟蜜罐对桌面模拟、防毒软件无法处理的内部威胁,以及端点安全解决方案仍需解决的内部威胁也都有很好的效果。在微软的Honeymonkey项目和IBM的Billy Goat中都有类似的应用。这两款产品会让虚拟桌面自动浏览网页,然后受感染,从而发现新病毒类型。
蜜罐的虚拟化应用有一个很大的缺点,就是攻击者获得访问权限后,在网络级或系统级运行的单裂(simple check)立刻可以识别虚拟机。检测到虚拟机后,攻击者会立刻离开。如果已经进入虚拟机,便会把这个环境看作一个陷阱。
我们可以从两个方面为这个缺点辩护。首先,许多攻击是自动化的,如网络蠕虫,而且恶意代码还没有如此先进到可以避免虚拟机。第二,从大型企业到中小型企业,越来越多的公司都将生产服务器转为虚拟架构。对黑客攻击者来说,虚拟机不再如以前那样可疑了,他们可能把虚拟蜜罐误看作真实目标,然后留下来开始活动。
未来
现在,虚拟化技术仍然处于早期阶段。各种虚拟化技术都在飞速发展,虚拟化应用也同样日新月异。它们将会更充分地利用计算能力和灵巧的可编程界面。
在不久的将来,从安全性角度来看,虚拟化将带来另一个好处,就是能够回收利用目前安全性软件所浪费的资源。事实上,VMware和微软允许开放它们的虚拟硬盘格式访问之后,Symantec和Trend Micro等厂商立即申请了访问权限,然后整个安全性领域都一拥而上。
知道虚拟磁盘结构就意味着公司可以从主机级操作虚拟文件系统的文件。换句话说,防毒、补丁和备份软件将不再需要从虚拟操作系统内访问数据,而可以从底层直接访问数据,从而更直接地完成安全任务。此外,要想损害安全代理将不再可能,安全系统在最前沿保护着系统。
沙箱虚拟化应用的概念不久将会更加普及。英特尔发布了新vPro技术,使得虚拟化的潜能更加强大。英特尔的处理器将提供两个完全隔离的箱外环境。一个寄宿传统的操作系统,负责通常的计算;另一个寄宿独立安全的环境,负责从救援到入侵检测的一切工作。
Symantec发布了一款直接利用vPro中第二个独立环境的产品。公司可以用它寄宿一个监控器,当标准操作系统被攻陷后可以执行检测,并做出相应的反应,阻止访问网络资源。随着时间的推移,这将成为一个潮流。多家硬件厂商,包括网络接口和内存支持生产商,将在今后的服务器和桌面中提供这种分区功能。
然而,虚拟化辅助的安全性的未来远远不止防毒和修补能力或硬件分区。
今天的虚拟化技术可以应用到很多安全任务中,但是它仍然需要很多定制和手动操作。在今后的几年中,它会更加反应灵敏、自动化,实现真正的自我防卫数据中心。
VMware是第一个提出将入侵检测系统(IDS)融入主机操作系统层的,这样可以更清楚地分析通信和拦截威胁。
但是,一旦安全检测器被放在主机层并能够与虚拟架构进行编程式交互,它除了会做一些本职工作以外,如像IDS那样警告攻击或像IPS那样结束恶意会话外,还会做更多其它的事。
例如,入侵检测传感器可能会在端口扫描被识别后立即要求运行虚拟机快照。根据快照时间,入侵检测传感器可能为妥协(compromised)虚拟机或受攻击内存的冻结提供安全的恢复点,然后将妥协虚拟机或受攻击内存冻结发送到安全部门做取证分析。而且,为了避免相同攻击,传感器可以从主机级开始执行透明虚拟机的补丁。
在另一种情况下,入侵检测传感器识别攻击后,可以将攻击的通信连接转向另一个虚拟网络,而这另一个虚拟网络就是设计好的专用虚拟机或蜜罐,随时准备接受攻击,并记录下任何零日工具和攻击者使用的黑客技术。
尽管大家对虚拟化技术的期望很高,但是前进的道路也不并是那么容易。其整个前景取决于两个因素:整个数据中心不得不转向虚拟化架构;虚拟机操作所需时间必须更短。
概要
服务器虚拟化不仅仅是服务器整合迫在眉睫的需要,而且将是安全管理员最重要的同盟。它将协助安全管理员简化从灾难恢复到取证分析到入侵检测和防护等大量的工作任务。
在过去大多数复杂情况下,服务器虚拟化可能需要自动化工具。但是今天,利用虚拟化的公司会收到显著的效果。明天,虚拟架构将实现自我防卫,数据中心将实行自我修复。
