X0_0X
2
等保中級測評師
CICSA
X0_0X2
等保中級測評師
CICSA
虛擬化安全方面的辦法有以下這些:
主動漏洞研究:KVM(基于內核的虛擬機)內置了多層安全和隔離措施,并一直在努力加強這些措施。云安全人員包括在KVM安全領域最重要的一些專家,且多年來發現了KVM、Xen和VMware虛擬機管理程序中的多個漏洞。團隊通過代碼審計和Fuzz測試發現并修復了KVM中的9個漏洞,在這一時期,開源社區沒有發現KVM中影響云平臺(GCP)的其他漏洞。
減少攻擊面:通過刪除未使用的組件(例如,傳統鼠標驅動程序和中斷控制器)并限制模擬指令集來幫助提高KVM的安全性,這有效避免了潛在攻擊者的攻擊面,同時通過修改其余組件增強了安全性。
非QEMU實現:沒有使用QEMU的用戶空間虛擬機監控器和硬件仿真,而是編寫了自己的用戶空間虛擬機監控器。簡單的主機和客戶的架構支持型矩陣。因為只支持單一架構和相對較少的設備,所以其支持的仿真器更加簡單。目前不支持跨架構的主機/客戶組合,這有助于避免額外的復雜性和潛在的攻擊。的虛擬機監視器由多個強調簡單性和可測試性的組件組成,這種組件架構便于做單元測試,而單元測試可以減少復雜系統中的錯誤。相比之下,QEMU支持大量的主機和客戶機CPU指令架構矩陣,不同的模式和設備使復雜性顯著增加。QEMU代碼缺乏單元測試,并且存在許多依賴,這使得進行單元測試非常困難。的用戶空間虛擬機監控器在歷史上沒有出現過安全問題。相比之下,QEMU有很多安全漏洞記錄,比如VENOM,并且我們還不清楚其代碼中還存在哪些潛在漏洞。
引導和任務通信:實施代碼來源處理(這類的工具有Titan安全芯片)有助于確保計算機啟動到已知的良好狀態。每個KVM主機都會生成一個點對點的加密密鑰共享系統來共享該主機上運行的任務,有助于確保主機上運行的任務之間的所有通信都是經過明確的身份驗證和授權的。
代碼溯源:開發并運行一個自定義二進制和配置驗證系統,將該系統集成到開發流程中,來跟蹤KVM中運行的源代碼是如何構建、配置及部署的——這就是代碼溯源的過程。代碼溯源要求在每層啟動中驗證代碼完整性:從引導加載程序到KVM,再到客戶的虛擬機。
推薦文章
