云環(huán)境虛擬化安全之威脅篇
發(fā)布時(shí)間:2019-12-17
隨著云計(jì)算技術(shù)逐步成熟,越來越多的企業(yè)和個(gè)人通過租用 IaaS 云服務(wù)來降低IT資源的管理和維護(hù)成本����。IaaS 云服務(wù)通常是以提供獨(dú)立的虛擬機(jī)方式為用戶提供所需的處理器,內(nèi)存�����,磁盤�,網(wǎng)絡(luò)等 IT 資源,用戶只需在虛擬機(jī)上配置安裝操作系統(tǒng)和上層應(yīng)用程序��。
目前����,政府、大型企業(yè)的信息中心已經(jīng)初步建成了IaaS云��,并逐步將非關(guān)鍵的業(yè)務(wù)移植到云平臺(tái)上�,而關(guān)鍵業(yè)務(wù)并未上云多是因?yàn)閾?dān)心數(shù)據(jù)中心和云平臺(tái)遭到數(shù)據(jù)泄漏或?qū)е玛P(guān)鍵業(yè)務(wù)中斷。事實(shí)上�,虛擬化技術(shù)打破了傳統(tǒng)的網(wǎng)絡(luò)邊界的劃分方式,使得傳統(tǒng)的安全技術(shù)手段無法做到有效的安全防護(hù)���。如果虛擬機(jī)管理程序被攻擊���,安全漏洞會(huì)導(dǎo)致平臺(tái)受到威脅���,甚至安裝在基于主機(jī)操作系統(tǒng)分區(qū)上或者虛擬機(jī)管理程序上的傳統(tǒng)安全工具無法及時(shí)識(shí)別威脅,大規(guī)模的虛擬化平臺(tái)發(fā)生威脅�,后果可想而知。
虛擬化安全威脅
目前主流的主機(jī)虛擬化面臨的安全威脅�,包括虛擬機(jī)逃逸、虛擬機(jī)信息竊取及篡改�����、Rootkit攻擊����、拒絕服務(wù)攻擊和側(cè)信道攻擊等。
01
虛擬機(jī)逃逸
利用虛擬機(jī)���,用戶能夠分享宿主機(jī)的資源并實(shí)現(xiàn)相互隔離�����。理想情況下,一個(gè)程序運(yùn)行在虛擬機(jī)里,應(yīng)該無法影響其他虛擬機(jī)�����。但是�,由于技術(shù)的限制和虛擬化軟件的一些bug,在某些情況下�����,虛擬機(jī)里運(yùn)行的程序會(huì)繞過隔離限制���,進(jìn)而直接運(yùn)行在宿主機(jī)上�,這就是虛擬機(jī)逃逸���。由于宿主機(jī)的特權(quán)地位��,出現(xiàn)虛擬機(jī)逃逸會(huì)使整個(gè)安全模型完全崩潰�����。當(dāng)虛擬機(jī)逃逸攻擊成功之后��,對(duì)于Hypervisor而言���,攻擊者有可能獲得所有權(quán)限���。截獲該宿主機(jī)上其他虛擬機(jī)的I/O數(shù)據(jù)流,分析獲得用戶的相關(guān)數(shù)據(jù)�,進(jìn)行更進(jìn)一步的針對(duì)用戶個(gè)人敏感信息的攻擊,更有甚者��,倘若該宿主機(jī)上的某個(gè)虛擬機(jī)作為基本運(yùn)行����,攻擊者便可以通過Hypervisor的特權(quán),對(duì)該虛擬機(jī)進(jìn)行強(qiáng)制關(guān)機(jī)或刪除�����,造成基本服務(wù)的中斷�。對(duì)于宿主機(jī)而言,攻擊者有可能獲得宿主機(jī)操作系統(tǒng)的全部權(quán)限��。此時(shí)����,攻擊者可以對(duì)宿主機(jī)的共享資源進(jìn)行修改或替換,使得該宿主機(jī)上的所有虛擬機(jī)訪問到虛假或篡改后的資源��,從而對(duì)其他虛擬機(jī)進(jìn)行攻擊。由于攻擊者獲得了最高權(quán)限���,則可以修改默認(rèn)用戶的基本信息,并降低虛擬機(jī)監(jiān)視器的穩(wěn)健性�,從而對(duì)整個(gè)虛擬化平臺(tái)造成不可恢復(fù)的災(zāi)難,使得其上的所有虛擬機(jī)都丟失重要信息��。
02
虛擬機(jī)信息竊取和篡改
虛擬機(jī)信息主要通過鏡像文件及快照來保存的��。虛擬機(jī)鏡像無論在靜止還是運(yùn)行狀態(tài)都有被竊取或篡改的脆弱漏洞�����,包含重要敏感信息的虛擬機(jī)鏡像和快照以文件形式存在����,能夠輕易通過網(wǎng)絡(luò)傳輸?shù)狡渌恢谩?/span>
一個(gè)鏡像文件越長(zhǎng)時(shí)間沒運(yùn)行,就會(huì)在它再一次加載時(shí)出現(xiàn)越多的脆弱點(diǎn)���。當(dāng)用戶和管理者可以創(chuàng)建自己的鏡像文件時(shí)�,如果這些鏡像沒有做到適當(dāng)?shù)姆雷o(hù)���,尤其在沒有可參照的安全基線的時(shí)候���,這會(huì)增加被攻陷的風(fēng)險(xiǎn)��。
另一個(gè)潛在的問題是鏡像文件的增殖��,也叫無序蔓延�����。創(chuàng)建一個(gè)鏡像只需要幾分鐘��,如果沒有任何安全性的考慮�,就會(huì)創(chuàng)建很多沒必要的鏡像文件�。多余的鏡像文件會(huì)成為攻擊者另一個(gè)潛在的攻擊點(diǎn)。
此外�,被惡意軟件感染的系統(tǒng)在后期恢復(fù)快照時(shí)有可能重新加載惡意軟件。
03
Rootkit攻擊
Rootkit是一種特殊的惡意軟件�,它的功能是在安裝目標(biāo)上隱藏自身及指定的文件、進(jìn)程和網(wǎng)絡(luò)鏈接等信息�����,持久并毫無察覺地駐留在目標(biāo)計(jì)算機(jī)中���,對(duì)系統(tǒng)進(jìn)行操縱�,并通過隱秘渠道收集數(shù)據(jù)。
Rootkit是攻擊者用來隱藏自己的蹤跡和保留root訪問權(quán)限的工具���。通常�����,攻擊者通過遠(yuǎn)程攻擊獲得root訪問權(quán)限,或者首先通過密碼猜測(cè)或者密碼強(qiáng)制破譯的技術(shù)獲得系統(tǒng)的訪問權(quán)限�����。進(jìn)入系統(tǒng)后�,如果還未獲得root權(quán)限,再通過某些安全漏洞獲得系統(tǒng)的root權(quán)限��。接著��,攻擊者會(huì)在侵入的主機(jī)中安裝Rootkit后門�����,然后將通過后門檢查系統(tǒng)中是否有其他用戶登錄�����,如果只有自己,攻擊者便開始著手清理日志中的有關(guān)信息�����,隱藏入侵蹤跡��。通過Rootkit的嗅探器獲得其他系統(tǒng)的用戶和密碼之后����,攻擊者就會(huì)利用這些信息侵入其他系統(tǒng)。
04
分布式拒絕服務(wù)攻擊
分布式拒絕服務(wù)攻擊(DDoS)是目前黑客經(jīng)常采用而難以防范的攻擊手段��。
DoS(Denial of Service���,拒絕服務(wù)攻擊)有很多攻擊方式���,最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來占用過多的服務(wù)資源,從而使合法用戶無法得到服務(wù)的響應(yīng)���。
高速?gòu)V泛連接的網(wǎng)絡(luò)在給大家?guī)矸奖愕耐瑫r(shí)����,也為DDoS攻擊創(chuàng)造了極為有利的條件。在低速網(wǎng)絡(luò)時(shí)代時(shí)��,黑客占領(lǐng)攻擊用的傀儡機(jī)時(shí)�����,總是會(huì)優(yōu)先考慮離目標(biāo)網(wǎng)絡(luò)距離近的機(jī)器��,因?yàn)榻?jīng)過路由器的跳數(shù)少�����、效果好��;而現(xiàn)在電信骨干節(jié)點(diǎn)之間的連接都是以G為級(jí)別�����,這使得攻擊可以從更遠(yuǎn)的地方或者其他城市發(fā)起��,攻擊者的傀儡機(jī)位置可以分布在更大的范圍���,選擇起來更加靈活。因此�,現(xiàn)在的DDoS能夠利用更多的傀儡機(jī),以比從前更大的規(guī)模來攻擊受害者主機(jī)。
DDos攻擊的后果有很多����。例如,被攻擊主機(jī)上存在大量等待的TCP連接����;網(wǎng)絡(luò)中充斥著大量無用的數(shù)據(jù)包,且源IP地址為假��;制造高流量無用數(shù)據(jù)�����,造成網(wǎng)絡(luò)擁塞����,使受害主機(jī)無法正常和外界通信;利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷�,反復(fù)高速地發(fā)出特定的服務(wù)請(qǐng)求,使受害主機(jī)無法及時(shí)處理所有的正常請(qǐng)求�����;嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)等��。
05
側(cè)信道攻擊
側(cè)信道攻擊是針對(duì)密碼算法實(shí)現(xiàn)的一種攻擊方式,當(dāng)密碼算法具體執(zhí)行時(shí)�,執(zhí)行過程中可能泄露與內(nèi)部運(yùn)算緊密相關(guān)的多種物理狀態(tài)信息,比如聲光信息���、功耗��、電磁輻射以及運(yùn)行時(shí)間等����。這些通過非直接傳輸途徑泄露出來的物理狀態(tài)信息被研究人員稱為側(cè)信道信息(Side-Channel Information�,SCI)。攻擊者通過測(cè)量采集密碼算法執(zhí)行期間產(chǎn)生的側(cè)信道信息�,再結(jié)合密碼算法的具體實(shí)現(xiàn),就可以進(jìn)行密鑰的分析與破解��。而這種利用側(cè)信道信息進(jìn)行密碼分析的攻擊方法則被稱為側(cè)信道攻擊���。
針對(duì)側(cè)信道攻擊,安全芯片可以提供大量的解決方案���。安全芯片可以采用混淆時(shí)序�、能耗隨機(jī)等手段使黑客無從辨別����,也就難以解密���。
對(duì)采用基于虛擬化的云平臺(tái)架構(gòu)搭建IT環(huán)境的政府及企業(yè)用戶來說,遠(yuǎn)端數(shù)據(jù)的安全性和保密性�����、訪問權(quán)限的風(fēng)險(xiǎn)性���、隱私和可靠性方面的安全隱患都是用戶使用云計(jì)算所存在的考量問題��,用戶需要一套完整的安全方案可以為虛擬和物理環(huán)境都提供持續(xù)的保護(hù)�����,并滿足其合規(guī)性檢查的需要��。
云計(jì)算是分布式網(wǎng)絡(luò)共享存儲(chǔ)和計(jì)算資源池,其安全風(fēng)險(xiǎn)突顯���,傳統(tǒng)的信息安全技術(shù)已經(jīng)難以保障云上的網(wǎng)絡(luò)安全、數(shù)據(jù)安全及用戶隱私���。超越數(shù)控在應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)方面一是通過防火墻�、堡壘機(jī)、VPN����、網(wǎng)閘等網(wǎng)絡(luò)安全產(chǎn)品,同時(shí)在云安全技術(shù)保障����、虛擬化安全(KVM、Docker���、Openstack和K8s)擁有成熟的經(jīng)驗(yàn)��,為構(gòu)建安全的云計(jì)算環(huán)境奠定基礎(chǔ)�。
參考資料
[1] 安全隔離技術(shù)確保云環(huán)境虛擬資源安全隔離
[2] IaaS云環(huán)境下面向內(nèi)部威脅的數(shù)據(jù)安全保護(hù)技術(shù)研究
[3] 云安全原理與實(shí)踐
網(wǎng)站首頁 > 新聞中心 > 行業(yè)新聞
