摘要：应用和操作系统虚拟化所包含的概念并非新概念，它们在服务器设备和桌面PC得到广泛普及的很长一段时间之前就已经出现。然而在过去几年内，虚拟化普及的速度（尤其是软件操作系统虚拟化）迅速提高。据EMC®公司CEOJoeTucci称，大部分VMware®客户已经计划在未来三年内实现其50%的IT基础设施的虚拟化2。虚拟机最终盛行起来，并且正迅速进入企业数据中心，成为各个地方的IT部门内所有人员和小组的通用工具。

第1页:虚拟化数据中心的安全问题（1） 第2页:虚拟化数据中心的安全问题（2） 第3页:虚拟化数据中心的安全问题（3） 第4页:虚拟化数据中心的安全问题（4） 第5页:虚拟化数据中心的安全问题（5） 第6页:虚拟化数据中心的安全问题（6）

　　
现实世界攻击举例

尽管所有这些情况可能听起来有些极端、复杂，而且太过于理论化，但任何虚拟化系统所具备的最基本的安全威胁是大数法则。在典型的攻击场景中，攻击者必须一次针对一台机器进行攻击，而无论其意图是什么。当然，攻击者可以利用僵尸网络或机器人网络同时攻击多台机器，但这些攻击仍是一对一的关系。攻击一台机器对该机器进行破坏。虚拟化环境消除了这种限制，并且产生了一对多的攻击情况：通过攻击主机拥有客户端的权限。

    从追攻击虚拟磁盘

甚至是攻击一台客户端，然后可能拥有全部客户端的权限。从追攻击虚拟磁盘我们使用前面的例子：攻击者Alice破坏了一台拥有10个Windows2003虚拟客户端并运行VMware的Linux主机。Alice的最终目标是单个Linux主机系统中所有虚拟Web服务器上存储的破坏财务数据。Alice知道，她需要破坏每个虚拟机中的这些数据，原因是：正如前面的例子提到的那样，每个虚拟客户端写入自己的本地存储器，然后将数据分发给每个冗余的虚拟存储设备。Alice需要移除客户端中的共享存储器和本地虚拟存储器设备，以清除关键财务数据的所有痕迹。在典型的单设备环境中，Alice必须分别接入每台设备，以通过电子化方式破坏每个本地数据分区，这意味着发起繁杂的1:1设备攻击。由于Alice此次攻击的所有目标是一个物理主机上的虚拟机和主机，她可以利用这个虚拟基础设施。所有客户端都使用虚拟硬盘：从每台客户端和主机中访问到的文件相同。

 

此刻，您可能会想到“当然！在Linux主机上，Alice有权接入vmnet*，它包含管理接口和用于HTTP服务器的VLAN，这样，她能够从虚拟主机网络攻击客户端，或者更简单的方法是在SMB管理员密码从主机上的eth1向客户端上的vmnet3传送时对密码进行拦截！”，可能您是正确的。但是，Alice的意图只是破坏数据，因此，她会选择阻力最小的途径。她已经拥有了Linux主机的根用户访问权限，因此可以简单地指定cron工作在下个工作日的2:57a.m.运行，命令是：[root@vmhost:/]#forvmdiskin"find.-name"*.vmdk"~;doddbs=1024count=10if=/dev/zeroof=$vmdisk;done

一切就是这么简单。在几秒之内，Alice将改写每个VMDK文件（与VMware在虚拟物理硬盘上使用的文件相同）中的前10k，使其变为乱码。在物理磁盘中，磁盘的各部分被分配给引导区和主引导记录，仅删除这些内容一般不会造成磁盘其它部分中的数据无法访问，而VMware一般没有这样的弹性。如果不能理解文件虚拟驱动器的开头，则文件的其余部分就会只是随机数据，而且会永远丢失。Alice能够通过对Linux主机发起一次攻击而破坏10台关键WindowsWeb服务器中的物理数据。她不必花时间分别攻击每台机器，而且不必知道如何攻击Windows系统。例子中的这家公司自己的虚拟基础设施环境允许Alice通过一次攻击完成她的破坏目的。种下攻击的种子：虚拟库查验恶意数据存储器攻击是虚拟化本身为聪明攻击者引入的新攻击类型的一个例子，但标准的病毒爆发是什么样，病毒被无意引入到虚拟网络中会发生什么情况？这种匿名工具更为常见，而且是企业网络每天都要面对的。虚拟网络容易给人一种安全风险较低的错误理解，因为大多数管理员认为这些环境被锁定和隔离。我们讨论这样一种情况：不会再伤害某公司，但也不会有帮助。在这个例子中，整个网络在虚拟环境中定义和创建，目的是帮助阻止这些攻击。某公司正在为未来的CRM系统构建概念证明(PoC)数据库环境。一旦完成以后，生产环境将包含多个数据库平台、允许访问数据的Web应用前端以及在全球各地部署的孤立的客户端系统，所有这些都实现虚拟化。在公司花费数千万美元构建整个全球系统之前，公司希望看到一个正在运行的小型虚拟系统。为了模拟这个生产网络，需要在分阶段开发网络中创建10个虚拟系统。公司雇用了一家咨询公司来到现场，建立了虚拟化的数据库PoC实验室。