雲環境虛拟化(huà)安全之威脅篇
發布時(shí)間:2019-12-17
随著(zhe)雲計算(suàn)技術逐步成熟,越來(lái)越多(duō)的(de)企業和(hé)個(gè)人(rén)通(tōng)過租用(yòng) IaaS 雲服務來(lái)降低IT資源的(de)管理(lǐ)和(hé)維護成本。IaaS 雲服務通(tōng)常是以提供獨立的(de)虛拟機方式爲用(yòng)戶提供所需的(de)處理(lǐ)器,内存,磁盤,網絡等 IT 資源,用(yòng)戶隻需在虛拟機上配置安裝操作系統和(hé)上層應用(yòng)程序。
目前,政府、大(dà)型企業的(de)信息中心已經初步建成了(le)IaaS雲,并逐步将非關鍵的(de)業務移植到雲平台上,而關鍵業務并未上雲多(duō)是因爲擔心數據中心和(hé)雲平台遭到數據洩漏或導緻關鍵業務中斷。事實上,虛拟化(huà)技術打破了(le)傳統的(de)網絡邊界的(de)劃分(fēn)方式,使得(de)傳統的(de)安全技術手段無法做(zuò)到有效的(de)安全防護。如果虛拟機管理(lǐ)程序被攻擊,安全漏洞會導緻平台受到威脅,甚至安裝在基于主機操作系統分(fēn)區(qū)上或者虛拟機管理(lǐ)程序上的(de)傳統安全工具無法及時(shí)識别威脅,大(dà)規模的(de)虛拟化(huà)平台發生威脅,後果可(kě)想而知。
虛拟化(huà)安全威脅
目前主流的(de)主機虛拟化(huà)面臨的(de)安全威脅,包括虛拟機逃逸、虛拟機信息竊取及篡改、Rootkit攻擊、拒絕服務攻擊和(hé)側信道攻擊等。
01
虛拟機逃逸
利用(yòng)虛拟機,用(yòng)戶能夠分(fēn)享宿主機的(de)資源并實現相互隔離。理(lǐ)想情況下(xià),一個(gè)程序運行在虛拟機裏,應該無法影(yǐng)響其他(tā)虛拟機。但是,由于技術的(de)限制和(hé)虛拟化(huà)軟件的(de)一些bug,在某些情況下(xià),虛拟機裏運行的(de)程序會繞過隔離限制,進而直接運行在宿主機上,這(zhè)就是虛拟機逃逸。由于宿主機的(de)特權地位,出現虛拟機逃逸會使整個(gè)安全模型完全崩潰。當虛拟機逃逸攻擊成功之後,對(duì)于Hypervisor而言,攻擊者有可(kě)能獲得(de)所有權限。截獲該宿主機上其他(tā)虛拟機的(de)I/O數據流,分(fēn)析獲得(de)用(yòng)戶的(de)相關數據,進行更進一步的(de)針對(duì)用(yòng)戶個(gè)人(rén)敏感信息的(de)攻擊,更有甚者,倘若該宿主機上的(de)某個(gè)虛拟機作爲基本運行,攻擊者便可(kě)以通(tōng)過Hypervisor的(de)特權,對(duì)該虛拟機進行強制關機或删除,造成基本服務的(de)中斷。對(duì)于宿主機而言,攻擊者有可(kě)能獲得(de)宿主機操作系統的(de)全部權限。此時(shí),攻擊者可(kě)以對(duì)宿主機的(de)共享資源進行修改或替換,使得(de)該宿主機上的(de)所有虛拟機訪問到虛假或篡改後的(de)資源,從而對(duì)其他(tā)虛拟機進行攻擊。由于攻擊者獲得(de)了(le)最高(gāo)權限,則可(kě)以修改默認用(yòng)戶的(de)基本信息,并降低虛拟機監視器的(de)穩健性,從而對(duì)整個(gè)虛拟化(huà)平台造成不可(kě)恢複的(de)災難,使得(de)其上的(de)所有虛拟機都丢失重要信息。
02
虛拟機信息竊取和(hé)篡改
虛拟機信息主要通(tōng)過鏡像文件及快(kuài)照(zhào)來(lái)保存的(de)。虛拟機鏡像無論在靜止還(hái)是運行狀态都有被竊取或篡改的(de)脆弱漏洞,包含重要敏感信息的(de)虛拟機鏡像和(hé)快(kuài)照(zhào)以文件形式存在,能夠輕易通(tōng)過網絡傳輸到其他(tā)位置。
一個(gè)鏡像文件越長(cháng)時(shí)間沒運行,就會在它再一次加載時(shí)出現越多(duō)的(de)脆弱點。當用(yòng)戶和(hé)管理(lǐ)者可(kě)以創建自己的(de)鏡像文件時(shí),如果這(zhè)些鏡像沒有做(zuò)到适當的(de)防護,尤其在沒有可(kě)參照(zhào)的(de)安全基線的(de)時(shí)候,這(zhè)會增加被攻陷的(de)風險。
另一個(gè)潛在的(de)問題是鏡像文件的(de)增殖,也(yě)叫無序蔓延。創建一個(gè)鏡像隻需要幾分(fēn)鐘(zhōng),如果沒有任何安全性的(de)考慮,就會創建很多(duō)沒必要的(de)鏡像文件。多(duō)餘的(de)鏡像文件會成爲攻擊者另一個(gè)潛在的(de)攻擊點。
此外,被惡意軟件感染的(de)系統在後期恢複快(kuài)照(zhào)時(shí)有可(kě)能重新加載惡意軟件。
03
Rootkit攻擊
Rootkit是一種特殊的(de)惡意軟件,它的(de)功能是在安裝目标上隐藏自身及指定的(de)文件、進程和(hé)網絡鏈接等信息,持久并毫無察覺地駐留在目标計算(suàn)機中,對(duì)系統進行操縱,并通(tōng)過隐秘渠道收集數據。
Rootkit是攻擊者用(yòng)來(lái)隐藏自己的(de)蹤迹和(hé)保留root訪問權限的(de)工具。通(tōng)常,攻擊者通(tōng)過遠(yuǎn)程攻擊獲得(de)root訪問權限,或者首先通(tōng)過密碼猜測或者密碼強制破譯的(de)技術獲得(de)系統的(de)訪問權限。進入系統後,如果還(hái)未獲得(de)root權限,再通(tōng)過某些安全漏洞獲得(de)系統的(de)root權限。接著(zhe),攻擊者會在侵入的(de)主機中安裝Rootkit後門,然後将通(tōng)過後門檢查系統中是否有其他(tā)用(yòng)戶登錄,如果隻有自己,攻擊者便開始著(zhe)手清理(lǐ)日志中的(de)有關信息,隐藏入侵蹤迹。通(tōng)過Rootkit的(de)嗅探器獲得(de)其他(tā)系統的(de)用(yòng)戶和(hé)密碼之後,攻擊者就會利用(yòng)這(zhè)些信息侵入其他(tā)系統。
04
分(fēn)布式拒絕服務攻擊
分(fēn)布式拒絕服務攻擊(DDoS)是目前黑(hēi)客經常采用(yòng)而難以防範的(de)攻擊手段。
DoS(Denial of Service,拒絕服務攻擊)有很多(duō)攻擊方式,最基本的(de)DoS攻擊就是利用(yòng)合理(lǐ)的(de)服務請求來(lái)占用(yòng)過多(duō)的(de)服務資源,從而使合法用(yòng)戶無法得(de)到服務的(de)響應。
高(gāo)速廣泛連接的(de)網絡在給大(dà)家帶來(lái)方便的(de)同時(shí),也(yě)爲DDoS攻擊創造了(le)極爲有利的(de)條件。在低速網絡時(shí)代時(shí),黑(hēi)客占領攻擊用(yòng)的(de)傀儡機時(shí),總是會優先考慮離目标網絡距離近的(de)機器,因爲經過路由器的(de)跳數少、效果好;而現在電信骨幹節點之間的(de)連接都是以G爲級别,這(zhè)使得(de)攻擊可(kě)以從更遠(yuǎn)的(de)地方或者其他(tā)城(chéng)市發起,攻擊者的(de)傀儡機位置可(kě)以分(fēn)布在更大(dà)的(de)範圍,選擇起來(lái)更加靈活。因此,現在的(de)DDoS能夠利用(yòng)更多(duō)的(de)傀儡機,以比從前更大(dà)的(de)規模來(lái)攻擊受害者主機。
DDos攻擊的(de)後果有很多(duō)。例如,被攻擊主機上存在大(dà)量等待的(de)TCP連接;網絡中充斥著(zhe)大(dà)量無用(yòng)的(de)數據包,且源IP地址爲假;制造高(gāo)流量無用(yòng)數據,造成網絡擁塞,使受害主機無法正常和(hé)外界通(tōng)信;利用(yòng)受害主機提供的(de)服務或傳輸協議(yì)上的(de)缺陷,反複高(gāo)速地發出特定的(de)服務請求,使受害主機無法及時(shí)處理(lǐ)所有的(de)正常請求;嚴重時(shí)會造成系統死機等。
05
側信道攻擊
側信道攻擊是針對(duì)密碼算(suàn)法實現的(de)一種攻擊方式,當密碼算(suàn)法具體執行時(shí),執行過程中可(kě)能洩露與内部運算(suàn)緊密相關的(de)多(duō)種物(wù)理(lǐ)狀态信息,比如聲光(guāng)信息、功耗、電磁輻射以及運行時(shí)間等。這(zhè)些通(tōng)過非直接傳輸途徑洩露出來(lái)的(de)物(wù)理(lǐ)狀态信息被研究人(rén)員(yuán)稱爲側信道信息(Side-Channel Information,SCI)。攻擊者通(tōng)過測量采集密碼算(suàn)法執行期間産生的(de)側信道信息,再結合密碼算(suàn)法的(de)具體實現,就可(kě)以進行密鑰的(de)分(fēn)析與破解。而這(zhè)種利用(yòng)側信道信息進行密碼分(fēn)析的(de)攻擊方法則被稱爲側信道攻擊。
針對(duì)側信道攻擊,安全芯片可(kě)以提供大(dà)量的(de)解決方案。安全芯片可(kě)以采用(yòng)混淆時(shí)序、能耗随機等手段使黑(hēi)客無從辨别,也(yě)就難以解密。
對(duì)采用(yòng)基于虛拟化(huà)的(de)雲平台架構搭建IT環境的(de)政府及企業用(yòng)戶來(lái)說,遠(yuǎn)端數據的(de)安全性和(hé)保密性、訪問權限的(de)風險性、隐私和(hé)可(kě)靠性方面的(de)安全隐患都是用(yòng)戶使用(yòng)雲計算(suàn)所存在的(de)考量問題,用(yòng)戶需要一套完整的(de)安全方案可(kě)以爲虛拟和(hé)物(wù)理(lǐ)環境都提供持續的(de)保護,并滿足其合規性檢查的(de)需要。
雲計算(suàn)是分(fēn)布式網絡共享存儲和(hé)計算(suàn)資源池,其安全風險突顯,傳統的(de)信息安全技術已經難以保障雲上的(de)網絡安全、數據安全及用(yòng)戶隐私。超越數控在應對(duì)網絡安全風險方面一是通(tōng)過防火牆、堡壘機、VPN、網閘等網絡安全産品,同時(shí)在雲安全技術保障、虛拟化(huà)安全(KVM、Docker、Openstack和(hé)K8s)擁有成熟的(de)經驗,爲構建安全的(de)雲計算(suàn)環境奠定基礎。
參考資料
[1] 安全隔離技術确保雲環境虛拟資源安全隔離
[2] IaaS雲環境下(xià)面向内部威脅的(de)數據安全保護技術研究
[3] 雲安全原理(lǐ)與實踐