雲環境虛拟化(huà)安全之威脅篇
發布時(shí)間(jiān):2019-∞→ ∏12-17
随著(zhe)雲計(jì)算(suàn)技(jì≈©)術(shù)逐步成熟,越來(lái)越多(duō)的♦₩(de)企業(yè)和(hé)個(gè)β≠≠人(rén)通(tōng)過租用(yòng) IaaS 雲服務來(lái)©λ←降低(dī)IT資源的(de)管理(lǐ)和(hé)維護成'δ≈本。IaaS 雲服務通(tōng)常是(sβ☆hì)以提供獨立的(de)虛拟機(jī)方式為(wèi)★✔€>用(yòng)戶提供所需的(de)處理(lǐ)器(qì),'☆§內(nèi)存,磁盤,網絡等 IT 資源,用(yòng)戶隻需在↔↔虛拟機(jī)上(shàng)配置安裝操作(zuò)系統和(hé)上(shà"ng)層應用(yòng)程序。
目前,政府、大(dà)型企業(yè)的(de)信息中心已經初步建成了(le)δδ&IaaS雲,并逐步将非關鍵的(de)業(yè)務移植到(dào)雲平台≥÷上(shàng),而關鍵業(yè)務并未上(shàng)雲多(duōλ↑§)是(shì)因為(wèi)擔心數(shù)據中心和(hé)雲©←₹平台遭到(dào)數(shù)據洩漏或導緻關鍵業(yè)¥∞•↓務中斷。事(shì)實上(shàng),虛拟化(huà)技(jì)術(shù)★₽σ打破了(le)傳統的(de)網絡邊界的(de)劃分(fē>€n)方式,使得(de)傳統的(de)安全技(jì)術(shù)手段無法做(zu ¶Ω∑ò)到(dào)有(yǒu)效的(de)"¥≈¥安全防護。如(rú)果虛拟機(jī)管理(lǐ)程序被攻擊,安全漏洞會(huì© φ≠)導緻平台受到(dào)威脅,甚至安裝在基于主機(jī)操作(zu₩∏✘∏ò)系統分(fēn)區(qū)上(shàng₹©)或者虛拟機(jī)管理(lǐ)程序上(sh€₹δàng)的(de)傳統安全工(gōng)具無法及時(∏•shí)識别威脅,大(dà)規模的(de)虛拟化(huà)平台發生(shēnσ₩"g)威脅,後果可(kě)想而知(zhī)。
虛拟化(huà)安全威脅
目前主流的(de)主機(jī)虛拟化(huà)面臨±σ的(de)安全威脅,包括虛拟機(jī)逃逸、虛♠¥ ♠拟機(jī)信息竊取及篡改、Rootkit攻擊、拒絕服務↓>攻擊和(hé)側信道(dào)攻擊等。
01
虛拟機(jī)逃逸
利用(yòng)虛拟機(jī),用(yòng)戶能(néng)夠分(fē<™←n)享宿主機(jī)的(de)資源并實現(xiàn)相(xiàng≈"✘γ)互隔離(lí)。理(lǐ)想情況下(xià),一(yī)個(gè)程序運¥↕行(xíng)在虛拟機(jī)裡(lǐ),應該無法影(yǐng)響其他(tā♦♠♣)虛拟機(jī)。但(dàn)是(shì),由于技(jì)術(s>∞₹hù)的(de)限制(zhì)和(hé)虛拟化(huà)軟件(jià≥✘★n)的(de)一(yī)些(xiē)bug,在某些(xiē)情況 φ 下(xià),虛拟機(jī)裡(lǐ)運行(xíng)的(d¥↑$®e)程序會(huì)繞過隔離(lí)限制(z≠δhì),進而直接運行(xíng)在宿主機(jī)上(shàng₩γ),這(zhè)就(jiù)是(shì)虛拟機( ↔Ωλjī)逃逸。由于宿主機(jī)的(de)特權地(dì)位,出現("xiàn)虛拟機(jī)逃逸會(huì)使≥♦φ 整個(gè)安全模型完全崩潰。當虛拟機(×≈jī)逃逸攻擊成功之後,對(duì)于Hypervis↑or而言,攻擊者有(yǒu)可(kě)能(néng)獲得(de)所有(yǒu)≥•∞λ權限。截獲該宿主機(jī)上(shàng)其他(tā)虛拟機(jī)的®λ↓(de)I/O數(shù)據流,分(fēnε₹")析獲得(de)用(yòng)戶的(de)相(xiàng)關數↓'∏(shù)據,進行(xíng)更進一(yī)步的(d®₹ e)針對(duì)用(yòng)戶個(gè)人(rén)敏感信息的(d↓★£e)攻擊,更有(yǒu)甚者,倘若該宿主機(♠↕jī)上(shàng)的(de)某個(gè)虛拟機(jī)作(zuò)為(wè÷≥i)基本運行(xíng),攻擊者便可(kě)以通(×✘γtōng)過Hypervisor的(de)特權,對(Ω β₩duì)該虛拟機(jī)進行(xíng)強制(zhì)關機(jī)或删除,造÷∑β↔成基本服務的(de)中斷。對(duì)于宿主機(jλ$>ī)而言,攻擊者有(yǒu)可(kě)能(néng) ±≤φ獲得(de)宿主機(jī)操作(zuò)系統的(de)全₩π部權限。此時(shí),攻擊者可(kě)以₹∑™₽對(duì)宿主機(jī)的(de)共享資源進行(xíng)修改或替換,←₩≥δ使得(de)該宿主機(jī)上(shàng)的(d±↔↑ e)所有(yǒu)虛拟機(jī)訪問(wπ↔ èn)到(dào)虛假或篡改後的(de)資源,↕σ從(cóng)而對(duì)其他(tā)虛拟機(jī)進行(xíng)攻擊。§€←由于攻擊者獲得(de)了(le)最高(gāo)權限,則可(kě)以修改默認'&∏ 用(yòng)戶的(de)基本信息,并降低(dī)虛拟機 ★≤≥(jī)監視(shì)器(qì)的(de)穩健性,從(cóng)而對♦Ω(duì)整個(gè)虛拟化(huà)平台造成不"↕(bù)可(kě)恢複的(de)災難,使得(de)其上(shàng)的(de)α•₹所有(yǒu)虛拟機(jī)都(dōu)丢失重要(yào)信息。∞☆↓♦
02
虛拟機(jī)信息竊取和(hé)篡改
虛拟機(jī)信息主要(yào)通(tōng)過鏡像文(wén)件×←(jiàn)及快(kuài)照(zhào)來(lái)保存的(dλ™e)。虛拟機(jī)鏡像無論在靜(jìng)止還(hái)α↓是(shì)運行(xíng)狀态都(dōu)有(yǒu)被竊取或篡改的♥β(de)脆弱漏洞,包含重要(yào)敏感信息的↓←(de)虛拟機(jī)鏡像和(hé)快(kuài)照(z★→hào)以文(wén)件(jiàn)形式存在,能(néng)夠輕易通(tōn✔δ≥g)過網絡傳輸到(dào)其他(tā)位置。
一(yī)個(gè)鏡像文(wén)件(ji"§àn)越長(cháng)時(shí)間(jiān)沒運行(xí∏∏ng),就(jiù)會(huì)在它再一(yī)次Ω☆₹加載時(shí)出現(xiàn)越多(duō)的(de)脆✔$♠弱點。當用(yòng)戶和(hé)管理(lǐ)者可(kě)以創建自(zì)己λ>↓的(de)鏡像文(wén)件(jiàn)時(s&↕₽hí),如(rú)果這(zhè)些(xiē)鏡像沒有(₩∑∞βyǒu)做(zuò)到(dào)适當的(de)防護β§→σ,尤其在沒有(yǒu)可(kě)參照(zhào)的≤★±★(de)安全基線的(de)時(shí)候,→π這(zhè)會(huì)增加被攻陷的(de)風(fēng)險。
另一(yī)個(gè)潛在的(de)問(wè€&≠₩n)題是(shì)鏡像文(wén)件(jiàn)的(de)增殖★♦♦,也(yě)叫無序蔓延。創建一(yī)個(gè)鏡像隻需要♦★•§(yào)幾分(fēn)鐘(zhōng) λ•,如(rú)果沒有(yǒu)任何安全性的(de)考慮,就(§ jiù)會(huì)創建很(hěn)多(duō)沒←©必要(yào)的(de)鏡像文(wén)件(jiàn)。多(duō)餘€γ的(de)鏡像文(wén)件(jiàn)會(huπ¥¶∏ì)成為(wèi)攻擊者另一(yī)個(gè)潛在的(de)攻擊點。≥☆
此外(wài),被惡意軟件(jiàn)感染的(de)系統在後♠•®∏期恢複快(kuài)照(zhào)時(shí)有(yǒu)可(kě)能(¥λβ¥néng)重新加載惡意軟件(jiàn)。
03
Rootkit攻擊
Rootkit是(shì)一(yī)種特殊的(de ☆↓β)惡意軟件(jiàn),它的(de)功能(né± ¶"ng)是(shì)在安裝目标上(shàng)隐藏↓>自(zì)身(shēn)及指定的(de)文(wén)件(jiànγ£)、進程和(hé)網絡鏈接等信息,持久并毫無察覺地(dì)駐留在目↔♥≤$标計(jì)算(suàn)機(jī)中,對(duì)系&÷ 統進行(xíng)操縱,并通(tōng)過隐秘渠道(dào)收集數(shù₽♠)據。
Rootkit是(shì)攻擊者用(yòng)來(l ¥λ≤ái)隐藏自(zì)己的(de)蹤迹和(hé)保留root訪問(wèn)權限的≥→≠α(de)工(gōng)具。通(tōng)常,攻擊者通(tōnγσ∑©g)過遠(yuǎn)程攻擊獲得(de)root訪問(wèn)權限≤♣™₽,或者首先通(tōng)過密碼猜測或者密碼強制(zhì)破譯的(de)±γ♣技(jì)術(shù)獲得(de)系統的(de)"α訪問(wèn)權限。進入系統後,如(rú)果還β§₹∏(hái)未獲得(de)root權限,再通(tβ×★σōng)過某些(xiē)安全漏洞獲得(de)系統的(de)root€β₹權限。接著(zhe),攻擊者會(huì)♠∞₹γ在侵入的(de)主機(jī)中安裝Rootkit後門(mén),然後将' 通(tōng)過後門(mén)檢查系統中是(shì)否有(yǒu)其他(tā)≤±用(yòng)戶登錄,如(rú)果隻有(yǒu)自(zì)己,攻擊者便開(kā♥&↕i)始著(zhe)手清理(lǐ)日(rì)志(÷'λzhì)中的(de)有(yǒu)關信息,隐藏入侵蹤迹。通(t∏™ōng)過Rootkit的(de)嗅探器(qì)獲得(de)其他<∏(tā)系統的(de)用(yòng)戶和(hé)密碼之後,攻擊者就(jiù)ε會(huì)利用(yòng)這(zhè)些(xiē)信息侵入其他♥£(tā)系統。
04
分(fēn)布式拒絕服務攻擊
分(fēn)布式拒絕服務攻擊(DDoS)是(shì)目前黑(hēi™₹₩↔)客經常采用(yòng)而難以防範的(de)攻擊手段。
DoS(Denial of Service,拒絕服務攻↕©≈$擊)有(yǒu)很(hěn)多(duō)攻擊方式,最基本的(de)DoS攻✔≤ ±擊就(jiù)是(shì)利用(yòng)合理(lǐ)的(de)服 ₩₩±務請(qǐng)求來(lái)占用(yòng)α↓過多(duō)的(de)服務資源,從(c₹ óng)而使合法用(yòng)戶無法得(de)到(dà"₹Ωo)服務的(de)響應。
高(gāo)速廣泛連接的(de)網絡在給大(dà)家(jiδ$ā)帶來(lái)方便的(de)同時(shí),也(yě)為(wèi)DD∏♣★✔oS攻擊創造了(le)極為(wèi)有(yǒu)利的(d¶₹↓e)條件(jiàn)。在低(dī)速網絡時¥γ♠(shí)代時(shí),黑(hēi)客占領攻擊Ωα↕用(yòng)的(de)傀儡機(jī)時(shí),總★÷α是(shì)會(huì)優先考慮離(lí)目标網絡距離(lí&♦←)近(jìn)的(de)機(jī)器(qì),因≈∞Ω 為(wèi)經過路(lù)由器(qì)的(de)跳( ∞¶&tiào)數(shù)少(shǎo)、效果好(hǎo);而現(♠βxiàn)在電(diàn)信骨幹節點之間(jiān)的(de)連♥& >接都(dōu)是(shì)以G為(wèi)級别,這(zhè)使得§>(de)攻擊可(kě)以從(cóng)更遠(yuǎn)的♠σ(de)地(dì)方或者其他(tā)城(ché"✔∞ng)市(shì)發起,攻擊者的(de)傀儡機(jī)位置可(kě)以分©&(fēn)布在更大(dà)的(de)範圍,選≈™擇起來(lái)更加靈活。因此,現(xiàn)在γ←≥♥的(de)DDoS能(néng)夠利用(yòng)更多(duō)的(de)<♥₹•傀儡機(jī),以比從(cóng)前更大(dà)的₽∞•Ω(de)規模來(lái)攻擊受害者主機(jī)。
DDos攻擊的(de)後果有(yǒu)很(hěn♦→≈±)多(duō)。例如(rú),被攻擊主機(jī)上(s÷φ♣✔hàng)存在大(dà)量等待的(de)TCP≈€×連接;網絡中充斥著(zhe)大(dà)量無用(yòng)的(d☆ ©e)數(shù)據包,且源IP地(dì)址₽↔為(wèi)假;制(zhì)造高(gāo)流量無用(yòng)數(✔δshù)據,造成網絡擁塞,使受害主機(jī)無法正常和(hé₹₹)外(wài)界通(tōng)信;利用(yòng •)受害主機(jī)提供的(de)服務或傳輸協₹★議(yì)上(shàng)的(de)缺陷, ↑反複高(gāo)速地(dì)發出特定的(de)服務請(qǐng)求,使♥♥γ受害主機(jī)無法及時(shí)處理(lǐ)所有(yǒu)的(de)正常請¶↓✔(qǐng)求;嚴重時(shí)會(huì)造成γ§♦β系統死機(jī)等。
05
側信道(dào)攻擊
側信道(dào)攻擊是(shì)針對(duì)密碼算(suàn)法實現(®®xiàn)的(de)一(yī)種攻擊方式,當密碼算(sλ©uàn)法具體(tǐ)執行(xíng)時(shí),執行(xíng)"過程中可(kě)能(néng)洩露與內(nèi)部運算(s÷ uàn)緊密相(xiàng)關的(de)多(duō)種物(wù)理(l©€♠ǐ)狀态信息,比如(rú)聲光(guāng¥Ω₹±)信息、功耗、電(diàn)磁輻射以及運↔←行(xíng)時(shí)間(jiān)等。這(zhè)些(xiē)通(tō₩¥↔ng)過非直接傳輸途徑洩露出來(lái)的(de)物(wù)↑≠¶理(lǐ)狀态信息被研究人(rén)員(yuán)稱為÷π☆(wèi)側信道(dào)信息(Side-Channe↔δ♠γl Information,SCI)。攻✔ 擊者通(tōng)過測量采集密碼算(suàn)法執行(≥♣σλxíng)期間(jiān)産生(shēng)的(de)側信道(dào)信息,再∏™結合密碼算(suàn)法的(de)具體(tǐ)實現(xiàn),就(jβλiù)可(kě)以進行(xíng)密鑰的(de)分(fēn)析與破解☆→。而這(zhè)種利用(yòng)側信道(dà↑ ≥o)信息進行(xíng)密碼分(fēn)析的(de)攻擊方法則被稱為(wèiε€)側信道(dào)攻擊。
針對(duì)側信道(dào)攻擊,安全芯片可(kě)以提供大(dà★ ≤§)量的(de)解決方案。安全芯片可(kě)以采用("↕↓₹yòng)混淆時(shí)序、能(néng)耗随機(j✘↔™ī)等手段使黑(hēi)客無從(cóng)辨别,也(✘>δσyě)就(jiù)難以解密。
對(duì)采用(yòng)基于虛拟化(h∞§uà)的(de)雲平台架構搭建IT環境的(de)♠"×政府及企業(yè)用(yòng)戶來(lái)說(shuō),遠β (yuǎn)端數(shù)據的(de)安全性和(hé)保密性、∑≤♣訪問(wèn)權限的(de)風(fēng)險♥λ性、隐私和(hé)可(kě)靠性方面的(de)£✔安全隐患都(dōu)是(shì)用(yòng)戶使用(yòng)雲計(jσ×$♥ì)算(suàn)所存在的(de)考量問§ ←(wèn)題,用(yòng)戶需要(yào)×γ∏一(yī)套完整的(de)安全方案可(kě)以為(wèi)虛拟和(hé)物(®•±∑wù)理(lǐ)環境都(dōu)提供持續的(de)保護,并滿足其合規性£©→檢查的(de)需要(yào)。
雲計(jì)算(suàn)是(shì)分(fēn)布式網®€絡共享存儲和(hé)計(jì)算(suàn)資源池,其安全風(fēngλ )險突顯,傳統的(de)信息安全技(jì$↔)術(shù)已經難以保障雲上(shàng)的(de)網絡安全、數(€♥£shù)據安全及用(yòng)戶隐私。超越數(shù)控≈₹✔₩在應對(duì)網絡安全風(fēng)險方面× 一(yī)是(shì)通(tōng)過防火(huǒ)牆、堡壘機(jī)、VP' £N、網閘等網絡安全産品,同時(shí)在雲安全技(jì)Ω®術(shù)保障、虛拟化(huà)安全(KVM、D•↔≈ocker、Openstack和(hé)K8s)擁有(≈λ≈↕yǒu)成熟的(de)經驗,為(wèi)構建安₩&↔全的(de)雲計(jì)算(suàn)環境奠定基礎。
參考資料
[1] 安全隔離(lí)技(jì)術(shβ ←ù)确保雲環境虛拟資源安全隔離(lí)
[2] IaaS雲環境下(xià)面向內(nèi)部威脅的(dλ♠e)數(shù)據安全保護技(jì)術(s α∞ hù)研究
[3] 雲安全原理(lǐ)與實踐
網站(zhàn)首頁 > 新聞中心 > 行(xíng)業(yè)新聞
