近日，開(kāi)源軟件Xen發(fā)出高危漏洞，稱由于Xen存在部分漏洞，有可能會(huì)造成數(shù)據(jù)泄露的潛在風(fēng)險(xiǎn)，建議所有相關(guān)的服務(wù)器進(jìn)行重啟來(lái)修復(fù)這些漏洞。采用Xen作為虛擬化軟件的云計(jì)算服務(wù)商，大多都通過(guò)服務(wù)器重啟的方式來(lái)解決，而阿里云則采用了全部熱升級(jí)的方式，在用戶沒(méi)有感知的情況下，解決了此次高危漏洞問(wèn)題。

Xen是由劍橋大學(xué)發(fā)起的開(kāi)源Hypervisor軟件，是實(shí)現(xiàn)云計(jì)算虛擬化的基礎(chǔ)，因此被亞馬遜、阿里云、Rackspace等公司作為公有云的基礎(chǔ)系統(tǒng)軟件。Xen安全漏洞是指Hypervisor自身出現(xiàn)安全問(wèn)題，可能會(huì)造成數(shù)據(jù)泄漏風(fēng)險(xiǎn)，漏洞披露由Xen安全團(tuán)隊(duì)會(huì)負(fù)責(zé)。

修復(fù)Xen漏洞一般有兩種方法，即冷啟動(dòng)修復(fù)和熱修復(fù)。冷啟動(dòng)修復(fù)就是通過(guò)打補(bǔ)丁的方式，然后重啟機(jī)器讓補(bǔ)丁生效，從而修復(fù)漏洞，冷啟動(dòng)方法相對(duì)簡(jiǎn)單，沒(méi)有任何技術(shù)挑戰(zhàn)，但是對(duì)用戶的業(yè)務(wù)會(huì)造成數(shù)分鐘的服務(wù)不可用。而熱修復(fù)可以讓用戶對(duì)修復(fù)過(guò)程無(wú)感知，但是這一修復(fù)方案也是有一定的門檻。

通常，若想修復(fù)系統(tǒng)軟件漏洞，必須能夠訪問(wèn)系統(tǒng)軟件所用到的內(nèi)存。而Xen作為底層的Hypervisor軟件，被設(shè)計(jì)成一個(gè)安全域，它的內(nèi)存是Xen的控制域Dom0無(wú)法訪問(wèn)的，并且不允許任何用戶甚至是云計(jì)算服務(wù)商管理員訪問(wèn)機(jī)器內(nèi)存。因此采用熱修復(fù)的最大難度就在于此。而阿里云在虛擬化方面有著比較深厚的技術(shù)積累，實(shí)現(xiàn)了熱修復(fù)，并且在修復(fù)過(guò)程中采用了極其精細(xì)化的設(shè)計(jì)，讓客戶在無(wú)感知的情況下進(jìn)行修復(fù)。

阿里云資深專家張獻(xiàn)濤博士表示，首先，阿里云突破了從控制域Dom0不能訪問(wèn)Xen Hypervisor內(nèi)存的限制，在CPU不能訪問(wèn)內(nèi)存的情況下，利用設(shè)備DMA（Direct Memory Access，直接內(nèi)存訪問(wèn)）來(lái)讀寫內(nèi)存。這個(gè)方法需要精準(zhǔn)的操作，因?yàn)橐粋€(gè)異常的DMA請(qǐng)求會(huì)導(dǎo)致Hypervisor內(nèi)存污染或者設(shè)備異常，最終導(dǎo)致物理機(jī)宕機(jī)。然后，在確保上層用戶業(yè)務(wù)不受影響的前提下，動(dòng)態(tài)替換Xen Hypervisor中有問(wèn)題的指令，而這個(gè)替換過(guò)程要控制在毫秒級(jí)完成。

此次阿里云的熱升級(jí)方法采用了全自動(dòng)、逐臺(tái)機(jī)器修復(fù)的策略，一旦出現(xiàn)意外，只會(huì)影響一臺(tái)機(jī)器，并且修復(fù)會(huì)馬上停止，然后技術(shù)人員會(huì)分析問(wèn)題進(jìn)行解決。此外，為了應(yīng)對(duì)此次Xen高危漏洞，阿里云組成了故障應(yīng)急團(tuán)隊(duì)，修復(fù)過(guò)程中一旦出現(xiàn)問(wèn)題，會(huì)馬上和客戶溝通，降低業(yè)務(wù)受影響的程度。

眾所周知，一般云服務(wù)商提供服務(wù)時(shí)，都會(huì)與用戶簽訂服務(wù)協(xié)議，并且承諾一定百分比的可用性，因此，云服務(wù)是允許每年發(fā)生一些停機(jī)或宕機(jī)時(shí)間。因此，在此次Xen高危漏洞被披露后，大多云服務(wù)商都是采用冷啟動(dòng)修復(fù)方法。

值得注意的是，早先亞馬遜公告通知客戶，表示有大約10%的服務(wù)器受影響需要重啟，隨后該公司技術(shù)團(tuán)隊(duì)找到熱升級(jí)的方式，但仍有0.1%的服務(wù)器需要重啟。

張獻(xiàn)濤告訴記者，“熱修復(fù)Hypervisor技術(shù)門檻很高，各種各樣的軟硬件組合都需要考慮，問(wèn)題比較復(fù)雜，不是所有的公司都能解決所有問(wèn)題。阿里云第一版修復(fù)方案也只能解決了99.97%左右的客戶，但我們沒(méi)有滿足于這個(gè)成績(jī)，而是連夜分析方案的缺陷，分析問(wèn)題所在，最終達(dá)到了100%用戶不用重啟的目標(biāo)。”

一般情況下，Xen安全團(tuán)隊(duì)會(huì)在公布漏洞前，會(huì)提前10-14天發(fā)給全球的關(guān)鍵公司做預(yù)披露相關(guān)的動(dòng)作，這些公司都簽訂了嚴(yán)格的NDA（Non Disclosure Agreement，保密協(xié)議）協(xié)議，以留出時(shí)間給這些公司做線上系統(tǒng)安全漏洞的修復(fù)，阿里巴巴是國(guó)內(nèi)唯一一家進(jìn)入Xen安全漏洞預(yù)披露列表的公司，因此阿里云可以提前得之漏洞的相關(guān)信息，然后做相應(yīng)的安全防范動(dòng)作。

張獻(xiàn)濤強(qiáng)調(diào)，“復(fù)雜的系統(tǒng)都會(huì)有安全漏洞，就像我們用的Windows隔三差五就會(huì)要求安全更新一樣，關(guān)鍵是對(duì)于漏洞否能提前發(fā)現(xiàn)，提前知道，提前修復(fù)。如果能做到，這就是核心競(jìng)爭(zhēng)力。”

龐大的軟件系統(tǒng)會(huì)出現(xiàn)安全漏洞是必然的事情，關(guān)鍵在于能否在漏洞被公開(kāi)前快速修復(fù)。云計(jì)算業(yè)務(wù)數(shù)據(jù)安全和可靠性絕對(duì)是最重要的事情，張獻(xiàn)濤呼吁國(guó)內(nèi)同行一起合作，重視客戶利益，將客戶數(shù)據(jù)安全放在首要的位置。