標籤: 虛擬機器

你的雲端和資料中心環境 – 它們彼此合作無間嗎?

趨勢科技 TrendMicro

作者:Jennifer Hanniman

我們知道,要架構你的虛擬化資料中心或雲端環境並不是件容易的事…當你在打造自己的環境時,你會尋找可以互相搭配的各種重要元件。安全性只是這些元件之一 – 當然它是關鍵的一塊! – 但它只是其中的一塊,它需要跟你的整體基礎設施相結合。要如何知道你的安全性是適合的?要從三個地方檢查起:

檢查一、適合你的虛擬環境,無論是虛擬桌面或虛擬機器

你的安全解決方案有多了解你的虛擬環境,並且能夠一起運作?如果沒有辦法完美地結合,最好的狀況是你會遇到效能問題。最壞的狀況是你環境內的漏洞會造成資安外洩事件。 做為我們雲端和資料中心解決方案的一部分,Deep Security 提供無代理的虛擬安全設備,可以直接在VMware環境內的實體主機上運作。這種創新做法可以提供虛擬資料中心和虛擬機器完整的安全性,而無需在每台機器上安裝軟體。使用趨勢科技和VMware共同開發的API,Deep Security對於虛擬機器管理程式和實體機器上虛擬機器間的流量都有完整的能見度。虛擬機器可以自動地擁有最新安全政策和正確作業系統層級修補程式的防護。

Cloud2

檢查二、適合你轉移到雲端的動作

隨著某些應用程式和環境轉移到雲端,我們了解你不希望在雲端環境裡維護一套獨立的政策,同時確保你有一致的安全性涵蓋率。

Deep Security 合vCloud Director提供跨資料中心和基於雲端虛擬機器的統一管理和共同安全政策。政策可以自動地應用到任何新的虛擬或雲端部署上,可以顯著地降低管理問題,只要一個主控台就能夠管理所有環境。

檢查三、適合你的應用程式環境。

我們已經聽到對於管理越來越多網頁應用程式漏洞問題的擔憂,想要保持更新和解決問題並不是件容易的事情。隨著越來越多網頁應用程式已經成為了業務關鍵,停機或應用程式被入侵意味著可能數百萬美元的損失或對品牌聲譽的嚴重損害。你需要確保你安全解決方案和你部署到雲端和虛擬環境的應用程式類型相配合。

做為我們雲端和資料中心解決方案的一部分,趨勢科技提供網頁應用程式和平台層級上的偵測和防護能力給你所有的業務關鍵應用程式。

那什麼是「安全性相適清單」?可以和你的虛擬環境深度整合,橫跨雲端和資料中心環境,保護你的應用程式,適用於你的日常運作。

 

@原文出處:Security, your cloud and data center environment – does it fit like a glove?

 

五個要問資安廠商關於AWS的問題

Trend Labs 趨勢科技全球技術支援與研發中心

作者:Justin Foster

過去幾週內,趨勢科技一直都在檢視如何防護運行在Amazon Web Services虛擬機器的十大建議。我們探討了AWS共享安全模型的關鍵控制。如同這些建議裡所提到的,基於主機的安全功能,像是入侵偵測和防禦、防毒、完整性監控等,對於保護你的應用程式和資料非常重要。

部分建議跟設定和調整AWS本身有關,有些需要使用第三方工具。所以在尋找防護你雲端計劃的候選時,有五個問題必須要問這些可能的廠商:

  1. 新建立的虛擬機器可以自動地被識別?雲端的好處之一,也是它最大的問題之一:彈性。通常虛擬機器會被自動建立,比方說為了回應增加的負載。如果這些自動產生的虛擬機器無法被自動保護,你就會產生漏洞。
  2. 你的政策(Policy)可以和AWS溝通嗎?所有的虛擬機器並不完全一樣,而安全政策可能會因為虛擬機器的類型和用途而非常不同(例如資料庫與網頁伺服器)。政策引擎需要了解AWS提供的資訊,並且依此採用適當的政策。
  3. 我需要改變我的部署程序嗎?今日有各種商業版和開源版部署工具用於管理AWS部署(RightScaleChefPuppetCloudFormation,這裡只提幾個)。需要改變這些流程以適應安全解決方案代表了時間、費用以及部署過程中出差錯的可能性增加。

繼續閱讀

虛擬化的無代理防護也適用於雲端嗎?

趨勢科技 TrendMicro

作者:趨勢科技Christine Drake

 

嗯,這要看狀況。讓我先退一步來簡單說明一下無代理防護,作為這談話的背景資料。

 在虛擬環境裡,許多公司都安裝了傳統基於代理(Agent-based)的實體端點防護到每台虛擬機器(VM)上。但是安裝完整的解決方案到每一台虛擬機器上會吃光系統資源並降低效能。另一種方法是將安全性整合到虛擬化平台。在每部主機上提供一個專用的安全虛擬設備,可以利用虛擬化平台的API和虛擬機器管理程式的內部互動來保護每台虛擬機器,而不需要在每個客戶端虛擬機器上安裝程式來作為保護。虛擬設備會確保每台虛擬機器都更新到最新防護而不會影響到任一虛擬機器的資源。這設備還會排序安全掃描和更新的時間來維護性能。

 

經由VMware vShield Endpoint和資安夥伴解決方案所整合的第一個無代理(Agentless)虛擬化安全防護是防毒功能。現在有越來越多安全廠商都提供無代理的防毒軟體。但無代理的作法還可以應用在更廣泛的檔案安全上,包括對檔案和虛擬機器管理程式的完整性監控,以及網路安全上,像是入侵防禦和防火牆等。

 

經由VMware的整合,無代理安全防護當然也適用於虛擬資料中心。但它可以被部署在雲端嗎?比方說,在vCloud環境?如果你有自己雲端環境VMware平台底層的虛擬機器管理程式的控制權,那麼答案是肯定的。比方說,佈署到你資料中心的私有雲,你可以控制底層的基礎架構,就可以部署無代理安全防護好帶來安全性和效能優勢。

 

但是公共雲就不同了。在多數情況下,服務供應商會控制底層的基礎架構,你不會有專用主機資源給你的雲端環境部署。在這情況下,你需要安裝基於代理的安全防護,來保護你在這種多租戶環境下的虛擬機器。不過,服務提供商也可以提供無代理安全防護作為服務的附加選項,讓你可以管理自己虛擬機器的無代理安全防護。

 

理想的虛擬化和雲端安全解決方案需要提供無代理和基於代理的部署選項。隨著公司向雲端邁進,大部分都會部署混合雲,包含了私有雲和公共雲的元件。安全解決方案必須要可以靈活地佈署無代理安全防護到私有雲,還有基於代理的安全防護到公共雲,而且可以統一管理,整合協調這兩種環境上的安全策略。不管你在哪裡佈署雲端環境,你會希望安全解決方案可以很容易地跟上雲端運算所需的發展和變化。

  繼續閱讀

會攻擊VMware虛擬機器的新病毒:Crisis(又稱為Morcut)

趨勢科技 TrendMicro

 替你的VMware環境解除「危機」

 在8月21日,有許多媒體報導一種會攻擊VMware虛擬機器的新病毒或惡意軟體。「Crisis」(又稱為Morcut)是在七月下旬就開始散播的新惡意軟體家族,曾經被許多防毒廠商所報導過,包括趨勢科技,主要是會感染Mac OSX機器。而安全研究人員最近發現,有些新的Crisis變種也會感染VMware虛擬機器和Windows Mobile系統。

 

下面是個實用的指南,能夠提供你在面對這類不明疑懼(FUD)事件時所該知道的資訊,以及在短期與長期階段所該做的事情。

 

先來複習一下,今日的虛擬化主要是透過兩種類型的虛擬主機管理程式(Hypervisor)佈署:

 

  • 第一類的虛擬主機管理程式部署 – 最明顯的例子是VMware ESX、Citrix XenSource等。可以將這類產品想成是替代一般主機作業系統(像Windows或Linux),直接在實體機器的硬體上執行。這種軟體就像是作業系統,可以直接控制硬體。管理程式再來同時執行多個虛擬機器。幾乎所有資料中心都是部署這類虛擬化產品。這類軟體並不會被這隻惡意軟體所攻擊。我也不知道實際上有那種在外流通的惡意軟體可以感染第一類虛擬主機管理程式。
  • 第二類的虛擬主機管理程式部署 – 例如VMware Workstation、VMware Player等,這類的虛擬主機管理程式是安裝在個標準的作業系統上(像Windows或Linux),再來執行多個虛擬機器。而這第二種類型是惡意軟體所會感染的。首先,主機作業系統先受到感染。可能是一次已知的Windows或Mac OS攻擊(所以要先偵測作業系統,然後安裝對應的可執行檔)。接著它會尋找VMDK檔案,並且利用虛擬主機工具(VMplayer)來感染虛擬機器。而這類型的感染是可以利用更新的防毒軟體來加以阻擋的。

 

即使這個受感染的虛擬機器被移動並執行在第一類虛擬主機管理程式(假設性的討論),它也會被限制在虛擬機器裡面,因為端點安全程式會防止虛擬機器間的網路流量以及I/O流量。

 

那麼,有什麼大不了的?

虛擬機器就跟實體機器一樣,沒有修補漏洞一樣會讓惡意軟體感染作業系統或是應用程式,或是會被針對使用者的社交工程攻擊成功。有兩件事讓「Crisis」顯得既新且獨特:

 

  • 首先,這惡意軟體會明確的尋找虛擬機器的存在,並試圖加以感染
  • 第二,它會透過底層基礎架構來感染虛擬機器,也就是透過修改vmdk檔案,而不是透過傳統手段,如遠端網路、網頁存取或檔案分享來進入虛擬機器。

 

除了這些有趣的特性之外,我們不認為這惡意軟體有立即性的威脅。在真實世界裡的發病率非常低(小於100個案例),所以它看來不會出現大規模的擴散,或有能力去迅速的散播。話雖如此,如果擔心的話,你還是應該採取一些預防措施:

 

  • 防護你的虛擬機器 – 你珍貴的應用程式和資料是所有攻擊的最終目標,「Crisis」只是讓目標更加明確。要確認在實體機器和虛擬主機上有防毒軟體或其他層次的保護以確保安全,例如趨勢科技Deep Security趨勢科技OfficeScan
  • 限制對VMDK檔案的存取 – 雖然「Crisis」只針對一般主機上的虛擬主機管理程式,而非資料中心。但根本的問題是,任何可存取vmdk檔案的人都可以對你的虛擬桌面或虛擬機器(包括vSphere或View)做出不好的事情。

 

 

@原文參考:Averting a ‘Crisis’ for your VMware environment作者:Warren Wu(資料中心事業群產品協理)

 

Morcut/Crisis(危機)病毒小檔案

Morcut/Crisis(危機)病毒會感染VMWare虛擬機器並且可以在多個系統平臺上運行傳播。Morcut/Crisis(危機)有以下兩點與普通病毒不同:

1、目標明確,它會搜索是否有虛擬機器存在並嘗試感染。

2、通過基礎架構對虛擬機器進行感染。例如通過修改.vmdk檔而不是通過傳統手段如遠端控制或檔共用的方法來入侵虛擬機器。

該病毒通過直接修改在HOST物理伺服器上的VMDK檔對虛擬機器進行感染。也就是說,如果某台HOST物理伺服器(Windows/MAC OS)感染了該病毒,且機器上安裝了VMWARE的工具(WORKSTATION、vSphere、View)等,則該機器有許可權訪問的虛擬機器,都有被感染的風險。感染病毒後,該虛擬機器會有資訊洩漏的風險同時被植入後門

該病毒對虛擬機器的傳播是依賴VMWARE提供的功能,不存在對漏洞的利用,所以一個被感染的VM並不會將病毒傳播到其他VM上。(但可能由於HOST物理伺服器感染,所以其他VM也會被感染)

該病毒的主要惡意行為為竊取資訊和後門,不管是在VM中還是在HOST物理伺服器中,病毒的行為都是一樣的。

 

惡意行為

最初,它是利用一個惡意的Java applet(被檢測為JAVA_MORCUT.A*)來抵達電腦。這個Java applet中包含的代碼會檢測目的電腦運行的是什麼作業系統。

在Mac系統上, Java applet會釋放並且運行OSX_MORCUT.A,該病毒的惡意行為與大多數Windows平臺上的後門程式類似。OSX_MORUCT.A具有最不尋常的行為是能夠打開系統麥克風,可能是為了進行資訊盜竊。

在Windows系統上,這個Java applet會釋放WORM_MORCUT.A。接著釋放其它若干檔,其中之一被檢測為WORM_MORCUT.A;另一些元件檔被檢測為RTKT_MORCUT.A**。它的主要功能是通過USB和虛擬機器進行傳播。它可以搜尋系統上的VMware虛擬磁片並且將自身的病毒副本釋放到虛擬機器中。Windows版本的MORCUT和Mac版本一樣,也能夠錄製音訊。

 

技術細節

被檢測為JAVA_MORCUT.A的JAVA applet會下載一個壓縮包,包含兩個檔:運行在MAC系統上的後門程式OSX_MORCUT.A和運行在Windows系統上的蠕蟲病毒(檢測為WORM_MORCUT.A)。接著,該檔會釋放以下組件檔:

 

Ÿ   IZsROY7X.-MP (32位DLL)定義為WORM_MORCUT.A

Ÿ   t2HBeaM5.OUk (64位DLL)定義為WORM_MORCUT.A

Ÿ   eiYNz1gd.Cfp

Ÿ   WeP1xpBU.wA (32位元驅動程式)檢測為RTKT_MORCUT.A

Ÿ   6EaqyFfo.zIK (64位元驅動程式)檢測為RTKT_MORCUT.A

Ÿ   lUnsA3Ci.Bz7 (32位DLL)非惡意文件

 

根據趨勢科技的初步分析,WORM_MORCUT.A具有透過USB設備和VMware虛擬磁片傳播的能力。它使用的驅動程式元件RTKT_MORCUT.A掛載到虛擬磁片上。雖然該病毒具有較強的傳播能力,但是我們沒有發現大量感染WORM_MORCUT.A和TROJ_MORCUT.A的情況。

 

注意

該病毒在感染過程中並不會利用漏洞。此外,只有VMWare的虛擬機器會受到該病毒的威脅,其他虛擬機器平臺不受影響。此外,幾乎所有的虛擬機器部署的資料中心不會受到影響。

 

解決方案

限制VMDK訪問 “危機”只針對主機的虛擬機器管理程式,而不是資料中心,它會使任何可以訪問.vmdk檔的程式在您的虛擬磁片或虛擬機器上執行惡意行為,其中包括vSphere或View。

保護您的虛擬機器 任何攻擊的最終目標是您有價值的應用程式和資料,“危機”的目標更為明確。確定是否安裝反病毒軟體和其他方面的安全產品來保護您伺服器和桌面的安全,如趨勢科技Deep Security趨勢科技OfficeScan

◎ 歡迎加入趨勢科技社群網站