趣能一姐
2
CISAW安全運維(專業級)
高級信息系統項目管理師
趣能一姐2
CISAW安全運維(專業級)
高級信息系統項目管理師
目前云計算的虛擬化安全問題主要集中在以下幾個方面:
虛擬機跳躍:虛擬機跳躍是指借助與目標虛擬機共享同一個物理硬件的其他虛擬服務器,對目標虛擬機實施攻擊。如果兩個虛擬機在同一臺宿主機上。一個在虛擬機A上的攻擊者通過獲取虛擬機B的IP地址或通過獲得宿主機本身的訪問權限接入虛擬機B。攻擊者可將虛擬機B由運行改為離線,造成通信中斷。
虛擬機逃逸:虛擬機逃逸是指虛擬機內的程序可能會逃出到虛擬機以外,危及主機的安全。
拒絕服務:在虛擬化環境下,系統資源由虛擬機和宿主機一起共享。因此,拒絕服務攻擊可能會被加載到虛擬機上從而獲取宿主機上所有的資源。當有用戶請求資源時,由于宿主機沒有可用資源,從而造成系統將會拒絕來自客戶的所有請求。可以通過正確的配置,防止虛擬機無節制地濫用資源,從而避免拒絕服務攻擊。
基于Rootkit的虛擬機:在云計算環境下,大多用戶都是通過公共服務程序對數據發起訪問,被共享訪問的載體成為權限的匯聚點,如果虛擬化技術被惡意代碼濫用,則虛擬化特權被攻擊者獲取,將危害使用云計算服務的所有用戶。基于虛擬化技術的Rootkit是這類攻擊的典型代表。
遷移攻擊:虛擬機遷移分為靜態遷移和動態遷移兩種方式。靜態遷移是指在遷出端將虛擬機域暫停,并轉化為虛擬機映像存放到文件系統,然后通過一定的方式(如借助可移動存儲)將該虛擬機映像復制到遷入端的物理計算機上,最后通過虛擬機恢復機制,在遷入端將虛擬機映像恢復成虛擬機域。
虛擬機之間的相互影響:虛擬機技術的主要特點是隔離,如果我們從一臺虛擬機去控制另一臺虛擬機,安全漏洞就會出現。CPU技術可以通過強制執行管理程序來保護內存,內存的管理程序應該是獨立的,在正確的規則里,應該禁止從正在使用的內存看到另外一個虛擬機。也就是說,即使一臺虛擬機上有內存沒有被使用,另一臺虛擬機也不能去使用這些閑置的內存。對于網絡流量來說,每個虛擬機的連接都應該有專用的通道,虛擬機之間不能嗅探對方的數據包。但是,如果虛擬機平臺使用了虛擬交換等技術來連接所有虛擬機,那么虛擬機就可以進行嗅探,或者使用ARP來重新定向數據包。
宿主機與虛擬機之間的相互影響:宿主機對于虛擬機來說,是一個控制者,宿主機負責對虛擬機的檢測、改變和通信,對宿主機的安全要更嚴格管理。
旁道攻擊:隨著多租戶、多個組織共享一個物理服務器,使云提供商能夠以極低的價格出售他們的服務。具有相同的物理服務器上擁有多個用戶的多個虛擬機實例意味著,除非一個組織特別要求物理隔離。否則,其虛擬機實例可能會同競爭對手或惡意用戶的虛擬機實例運行在同一臺物理服務器上。
推薦文章
