別讓虛擬化成為「永恆之藍」的下一個攻擊目標

2017年5月12日起，「永恆之藍」勒索蠕蟲利用微軟系統漏洞橫掃全球，目標直指沒有及時更新系統補丁的Windows系統，被感染用戶必須繳納贖金才能恢復被不法分子加密的文檔被加密。作為雲安全的重要基礎設施，虛擬化系統有沒有在這場全球大勒索中倖免遇難？如何避免成為「永恆之藍」的下一個攻擊目標？

虛擬化環境並沒有被「永恆之藍」遺忘

「永恆之藍」主要針對沒有及時更新系統補丁的Windows XP、Vista、Windows7/8以及Windows Server2003/2008/2008 R2。從目前的統計數據來看，PC機的Windows系統感染數量更多，有部分虛擬桌面和虛擬伺服器甚至公有雲上的虛擬主機也出現了被感染的情況。

眾多周知，目前中國的伺服器虛擬化正處於一個快速成長的階段，虛擬伺服器的數量已經接近物理伺服器的數量，另外桌面系統也被越來越多的客戶所接受。為什麼這次它們也未能倖免呢？這要從國內使用虛擬化方案的客戶的安全狀況說起。

超過60%虛擬化環境不設防讓「永恆之藍」有機可乘

調查顯示，國內有超過60%的虛擬化環境並沒有部署安全防護軟體，究其原因，主要有以下幾點：

原因一：很多客戶認為自己的伺服器虛擬化系統中虛擬機大部分是Linux操作系統；少部分是Windows Server系統。一方面感染Linux系統惡意軟體數量較少，另一方面虛擬化環境多為內網不熟，被攻擊和感染的概率比較低。

原因二：有的客戶認為虛擬化環境的網路出口部署了防火牆，沒有必要在虛擬機上額外部署安全防護軟體浪費計算資源；

原因三：部分虛擬桌面的客戶之前層在系統部署過傳統桌面防護軟體，或多或少都經歷過防病毒風暴，導致虛擬桌面系統運行速度變慢，體驗感變差的情況。加上虛擬桌面具備快速恢復的能力，因此部分客戶為了保障使用體驗，放棄安全，讓虛擬桌面處於「裸奔」狀態。

這無疑讓「永恆之藍」們有機可乘：

機會一：如果客戶的虛擬伺服器系統未能及時更新MS17-010補丁，並且邊界防火牆對來自互聯網或內部用戶的訪問控制策略沒有收緊，那麼非常有可能遭到攻擊而被感染。另外，虛擬化環境中，虛擬機之間的東西向流量是無法監控的灰色地帶，這為監控和防範蠕蟲病毒的散播增加了難度。

機會二：如果虛擬桌面用戶未能及時更新黃金鏡像的補丁，虛擬桌面也存在很大的感染可能，一旦感染就會在虛擬桌面內部快速傳播。另外有一部分虛擬桌面用戶使用的個人專屬桌面，如果需要更新補丁就必須將鏡像進行重構，在重構結束後，專屬桌面的人性化數據全部被清除，會引發使用者的不滿，這為補丁管理工作增加了阻力，也為惡意軟體的入侵增加了機會。

機會三：有的客戶會認為部署的全部是Linux系統，不受「永恆之藍」影響。那麼需要提醒的是，這兩年互聯網已經多次出現了針對Linux系統的敲詐勒索軟體。目前全球黑色產業鏈發展異常迅速，現在攻擊者的目標雖然是桌面用戶，但不排除在未來會把主要目標指向Linux系統。從最近的報道來看，歐美的醫院和教育科研機構頻繁的遭到了勒索軟體侵襲，或許對於攻擊者而言，勒索企業的伺服器成功的概率要比普通家用電腦的用戶更容易成功。

虛擬化環境如何防範「永恆之藍」們？

對於虛擬化環境的客戶，該如何有效面對的「永恆之藍」們的攻擊呢？通常來說，虛擬化環境的風險點在於三個層面，第一是來自互聯網或內部網路邊界的威脅；第二是虛擬機之間的網路隔離控制；第三是虛擬主機自身的風險和脆弱性。所以，要想避免成為「永恆之藍」們的下一個攻擊目標，有必要從以下三方面入手：

首先，無論在公有雲還是客戶內部私有的虛擬化環境，客戶通常都會選擇部署傳統的硬體防火牆和入侵檢測設備。但是這些硬體設備的本身部署周期長、靈活性低，這對於虛擬化和雲計算的可伸縮性及即申請即部署的特質符合度較低，因此安全廠商紛紛推出了基於NFV技術的並集成IPS功能的下一代防火牆。利用NFV技術能夠為客戶建一個開放、彈性、可靠的雲邊界的基礎安全防禦架構平台，同時能夠為客戶統一管理，簡化運維難度，實現業務靈活擴展，降低運營和投資成本。

其次，在虛擬化環境，客戶應藉助於虛擬化廠商新近推出的網路虛擬化技術來加強虛擬機之間的隔離和控制，如vmware NSX、KVM廠商的SDN技術等。網路虛擬化技術首次使網路微分段變得切實可行。它可在不依賴網路拓撲的情況下，針對數據中心內的每個虛擬機執行精細的防火牆保護和安全策略實施，同時讓虛擬化機之間的東西向流量變得透明可視化。對於突發性的蠕蟲等惡意軟體入侵，也完全可以藉助網路虛擬化功能臨時下發管控策略來遊刃有餘的應對。

最後，對於虛擬機自身的安全也需要引起足夠的重視，本身虛擬機系統本身集成物理伺服器的風險和脆弱性，如面臨著黑客攻擊和惡意軟體的侵襲。同時由於多數虛擬機承載了很多企業的關鍵業務，所以即使廠家發布漏洞威脅公告，用戶為了保障業務的穩定性和連續性，無法立即在虛擬機中安裝補丁並重啟。在這種窗口期需要諸如主機入侵防護技術為客戶贏得安裝補丁的時間。目前針對於虛擬機主機防護的主流技術有兩類。一是在每個虛擬機中部署輕量級代理防護的產品，另一種是無代理的防護技術，即只需要在Hypervisor層部署一個代理就能夠保護上層所有虛擬機。

輕代理部署示意圖

無代理部署示意圖

綜上訴述，和早期虛擬化環境安全技術一片空白相比，虛擬化廠商和安全廠商都從技術角度給予用戶更多的選擇，已經能夠讓客戶構建起不亞於甚至超過傳統數據中心的安全防護能力。

隨著《網路安全法》和工信部對《雲計算髮展三年行動計劃》的出台，以及即將頒布的新版《等級保護》，國家從政策和法律層面都會提出對雲計算和虛擬化安全的具體要求和指導意見。相信隨著技術的發展和法規的遵從必將全面提高中國用戶虛擬化和雲的安全防護能力，即使未來「永恆之藍」們來的更加猛烈，中國用戶也能夠從容面對。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！