如今,客戶機/服務(wù)器應(yīng)用程序與多核千兆級處理器日趨融合,虛擬化正是一項應(yīng)運而生的技術(shù)。它是一種理想的解決方案,可以將如今服務(wù)器中大量可用的處理能力和內(nèi)存資源分配給諸多應(yīng)用程序,又能為諸應(yīng)用程序提供近乎完美的隔離機制。實際上,虛擬機管理程序和虛擬機已成為了互聯(lián)網(wǎng)應(yīng)用時代的大型機。就像大型機便于企業(yè)內(nèi)部IT部門擁有和運營的私有系統(tǒng)遷移到可供任何人使用的公共分時服務(wù)那樣,虛擬機也跨越了私有環(huán)境與公共環(huán)境之間的鴻溝,基于云的基礎(chǔ)設(shè)施即服務(wù)(IaaS)提供商則按小時數(shù)對外出租機器時間。
裸機虛擬機監(jiān)控器(VMM)是經(jīng)過高度完善和調(diào)整的系統(tǒng),旨在把多個訪客操作系統(tǒng)彼此完全隔離開來。在嚴格控制的企業(yè)數(shù)據(jù)中心中,每個虛擬機用戶的身份和職責是已知的,所以虛擬機隔離技術(shù)綽綽有余;然而隨著企業(yè)環(huán)境轉(zhuǎn)向公共云,這項隔離技術(shù)也許不堪重任。安全研究人員目前仍在研究其他云用戶引起的全面的虛擬機安全風險,但安全風險不僅僅局限于VMM本身的薄弱之處,那是因為在云中,網(wǎng)絡(luò)和存儲也是共享的。盡管目前還沒有發(fā)生跨虛擬機攻擊的風險,但專家們警告這一幕并非沒有可能;狡猾的黑客破解虛擬機管理程序可能只是個時間問題。不過在云中,由于控制機制只針對操作系統(tǒng),所以最終用戶只是安全環(huán)節(jié)上的一部分,他們只好信任服務(wù)提供商履行其所承諾的相應(yīng)條款。
潛在的威脅
要了解公共云威脅狀況,一個辦法是將操作環(huán)境劃分為三個抽象層,最早提出這種方法的是思科公司安全技術(shù)事業(yè)部的云和虛擬化解決方案主管Christofer Hoff,他還是云安全聯(lián)盟(Cloud Security Alliance)的創(chuàng)始成員兼技術(shù)顧問。處于最低層的是基礎(chǔ)設(shè)施安全,涵蓋云托管環(huán)境的核心部分:底層的網(wǎng)絡(luò)、服務(wù)器硬件和存儲陣列。
第二層是IaaS服務(wù)層的安全,包括虛擬機監(jiān)控器、部署、協(xié)調(diào)和計費軟件。最后一個安全層涵蓋在IaaS訪客虛擬機上運行的操作系統(tǒng)和應(yīng)用程序。Hoff指出,云用戶控制的只是這最后一個安全層,只好信任其服務(wù)提供商在全面確保各方面的安全。
Hoff說:“令人驚訝的是,提供商可能擁有異常安全的環(huán)境,但最終用戶把自己一頭的安全工作搞砸了。”反過來,云用戶可能采用軍事級安全措施來牢牢保護其應(yīng)用程序和操作系統(tǒng),但如果提供商的基礎(chǔ)設(shè)施中存在敞開的漏洞,云用戶仍容易受到攻擊。
保護虛擬機環(huán)境帶來了幾個新的挑戰(zhàn)。Hoff指出了七種攻擊途徑。在虛擬機這一層,這些攻擊途徑包括:訪客對訪客的攻擊、訪客對主機(服務(wù)器)的攻擊以及訪客對自身的攻擊,而來自云外面的攻擊途徑有外部對主機的攻擊和外部對訪客的攻擊。最后,企業(yè)內(nèi)部人員攻擊針對服務(wù)器或虛擬機管理程序本身;而想鉆硬件漏洞的空子,就需要擁有訪問物理服務(wù)器的權(quán)限。
據(jù)Hoff聲稱,針對公共虛擬機的攻擊可能采取多種多樣的形式,包括針對虛擬機管理程序的惡意軟件、傳統(tǒng)的根工具包(rootkit),或者是所謂的虛擬機管理程序劫持(未授權(quán)的虛擬機管理程序完全控制了服務(wù)器)。服務(wù)器外設(shè)也很容易中虛擬機惡意軟件的招;有些攻擊利用被惡意軟件感染的U盤,攻擊網(wǎng)卡或硬件BIOS存在的漏洞,Stuxnet蠕蟲就采用了這種手法。
雖然針對虛擬機訪客操作系統(tǒng)的攻擊與針對獨立系統(tǒng)的攻擊很難辨別開來,但是針對底層虛擬機管理程序和服務(wù)器硬件的威脅仍然基本上只是理論上有這種可能。不過Hoff提醒,盡管研究人員已經(jīng)研究了虛擬機方面的每條威脅渠道,但是將來總有人會竭力尋找系統(tǒng)中的漏洞;如果真的有安全漏洞,就會被人鉆空子。
技術(shù)和服務(wù)保護
從大多數(shù)方面來看,保護IaaS云中虛擬系統(tǒng)的安全與保護企業(yè)數(shù)據(jù)中心中獨立服務(wù)器的安全沒有什么不同——同樣的最佳安全實踐依然適用。
Hoff說:“你平時怎樣保護服務(wù)器安全,現(xiàn)在就要以同樣的方法來保護虛擬機安全。”他警告說,公共云需要用戶提高警惕性。
可能最重要的是,針對應(yīng)用程序和(虛擬)操作系統(tǒng)要有一套詳細而可靠的監(jiān)控機制。對于云托管的應(yīng)用程序來說,Hoff建議內(nèi)置遙測功能,那樣連極小的性能異常或干擾也能主動檢測出來。
由于實施的安全機制大多不在云用戶的控制范圍之內(nèi),Hoff竭力主張?zhí)峁┥膛c用戶之間加大透明度。他表示,當用戶把核心的業(yè)務(wù)應(yīng)用程序托付給第三方時,用戶了解和監(jiān)控第三方的安全和數(shù)據(jù)保護政策、標準遵守情況以及事件響應(yīng)流程顯得很重要。實際上,簡化證實云提供商聲稱的安全措施是否可靠,并且使之自動化,正是CloudAudit標準項目組織的首要目標。
軟件開發(fā)商也正在加強虛擬機的安全。雖然這些改進減小了黑客破解虛擬機管理程序,從而攻擊同一臺服務(wù)器上其他虛擬機的可能性,但是IaaS用戶應(yīng)該采取另外的防范措施。
KnowThreat安全公司的創(chuàng)始人兼首席顧問L. Taylor Banks建議,用戶將所有數(shù)據(jù)存儲到云中之前,先在本地加密數(shù)據(jù),密鑰管理要放在本地進行。Banks強調(diào)必須把安全性融入到云托管的應(yīng)用程序中。Hoff同意這個觀點;他補充說,云用戶必須重新設(shè)計應(yīng)用程序的架構(gòu),成為“具有存活能力的系統(tǒng)”:那樣某個云提供商出現(xiàn)了安全泄密或系統(tǒng)停運事件,也能存活下來。
Solera Networks公司的市場營銷和產(chǎn)品管理副總裁Pete Schlampp表示,云用戶還應(yīng)該要求提供商采用網(wǎng)絡(luò)取證技術(shù),對任何攻擊采用逆向工程處理。他補充說,取證技術(shù)充當了“網(wǎng)絡(luò)上的安全攝像頭”,可以回放任何事件。
附文:來自云安全聯(lián)盟的建議
云安全聯(lián)盟制定的指導準則強調(diào)了下面這兩項工作的重要性:采用第三方的入侵檢測系統(tǒng)(IDS)和反惡意軟件掃描來加強云提供商安全控制機制,同時驗證虛擬機映像系統(tǒng)的安全“譜系”。由于服務(wù)器內(nèi)部的虛擬機流量通過虛擬交換機來傳送,因而對外部網(wǎng)絡(luò)安全控制機制來說是看不見的,于是云安全聯(lián)盟建議用戶:應(yīng)根據(jù)應(yīng)用程序類型和數(shù)據(jù)敏感程度,把云虛擬機隔離到“安全區(qū)”。
文章要點
托管在云中的虛擬機的許多安全要素不在用戶的控制范圍之內(nèi)。用戶必須要求IaaS提供商的安全政策、合規(guī)和日常事件響應(yīng)機制具有透明度,要求對方提供在線儀表板或標準的應(yīng)用編程接口(API)。
針對主機托管虛擬機的安全實踐類似針對企業(yè)內(nèi)部服務(wù)器的安全實踐,但是要更全面。用戶必須保持警惕性,確保基于主機/操作系統(tǒng)的標準安全控制得到了采用和監(jiān)控。
從一個虛擬機到另一個虛擬機的安全攻擊,或針對虛擬機管理程序的安全攻擊,其可能性仍限于理論上的,但是很可能不可避免,所以用戶將敏感數(shù)據(jù)發(fā)送到云之前應(yīng)該先加以保護,并讓云托管的應(yīng)用程序具有靈活的適應(yīng)力。
京公網(wǎng)安備 11010502049343號