云计算中使用虚拟化面临的安全问题

在云计算中,有三种基本服务模式:软件即服务(SaaS)、平台即服务(PaaS)和基础架构即服务(IaaS)。此外,还有三种基本部署模式:公共、混合和私有云计算。虚拟化通常用于所有这些云计算模式和部署中,因为它提供了很多好处,包括成本效益、增加正常运行时间、改善灾难恢复和应用程序隔离等。

当面对云部署中的虚拟化时,供应商或企业客户谁来管理安全并不重要,因为我们需要解决相同的安全问题。正如前面关于云计算取证的文章中所讨论的,当选择服务和部署模式时,要知道,SaaS提供对环境的最少控制,而IaaS提供最多的控制。同样地,在公共云中,企业有必要遵守云服务提供商(CSP)的规则,而在私有云中,企业则掌握对环境的完全控制。安全同样是如此,用户可以控制一小部分云计算部署,而其余部分则由CSP控制。如果无法访问部署模式的某些部分,CSP将需要部署适当的安全措施。

在云计算中使用虚拟化面临的安全问题 尽管虚拟化带来了很多好处,它同样也带来了很多安全问题:

· 虚拟机管理程序:在相同物理机器运行多个虚拟机的程序。如果管理程序中存在漏洞,攻击者将可以利用该漏洞来获取对整个主机的访问,从而他/她可以访问主机上运行的每个访客虚拟机。由于管理程序很少更新,现有漏洞可能会危及整个系统的安全性。如果发现一个漏洞,企业应该尽快修复漏洞以防止潜在的安全泄露事故。在2006年,开发人员开发了两个rootkit(被称为Blue Pill)来证明它们可以用来掌控虚拟主机。

· 资源分配:当物理内存数据存储被一台虚拟机使用,并重新分配给另一台虚拟机时,可能会发生数据泄露;当不再需要的虚拟机被删除,释放的资源被分配给其他虚拟机时,同样可能发生数据泄露。当新的虚拟机获得更多的资源,它可以使用取证调查技术来获取整个物理内存以及数据存储的镜像。该而镜像随后可用于分析,并获取从前一台虚拟机遗留下的重要信息。

· 虚拟机攻击:如果攻击者成功地攻击一台虚拟机,他或她在很长一段时间内可以攻击网络上相同主机的其他虚拟机。这种跨虚拟机攻击的方法越来越流行,因为虚拟机之间的流量无法被标准IDS/IPS软件程序所检测。

· 迁移攻击:在必要时,在大多数虚拟化界面,迁移虚拟机都可以轻松地完成。虚拟机通过网络被发送到另一台虚拟化服务器,并在其中设置一个相同的虚拟机。但是,如果这个过程没有得到管理,虚拟机可能被发送到未加密的通道,这可能被执行中间人攻击的攻击者嗅探到。为了做到这一点,攻击者必须已经获得受感染网络上另一台虚拟机的访问权。 控制安全风险的方法 下面这些方法可以缓解上述的安全问题:

· 管理程序:定期检查是否有管理程序的新的更新,并相应地更新系统。通过保持管理程序的更新,企业可以阻止攻击者利用已知漏洞以及控制整个主机系统,包括在其上运行的所有虚拟机。

· 资源分配:当从一台虚拟机分配资源到另一台时,企业应该对它们进行保护。物理内存以及数据存储中的旧数据应该使用0进行覆盖,使其被清除。这可以防止从虚拟机的内存或数据存储提取出数据,以及获得仍然保持在内的重要信息。

· 虚拟机攻击:企业有必要区分相同物理主机上从虚拟机出来以及进入虚拟机的流量。这将使我们部署入侵检测和防御算法来尽快捕捉来自攻击者的威胁。例如我们可以通过端口镜像来发现威胁,其中复制交换机上一个端口的数据流到另一个端口,而交换机中IDS/IPS则在监听和分析信息。

· 迁移攻击:为了防止迁移攻击,企业必须部署适当的安全措施来保护网络抵御中间人渗透威胁。这样一来,即使攻击者能够攻击一台虚拟机,他/她将无法成功地执行中间人攻击。此外,还可以通过安全通道(例如TLS)发送数据。虽然有人称在迁移时有必要破坏并重建虚拟机镜像,但企业也可以谨慎地通过安全通道以及不可能执行中间人的网络来迁移虚拟机。

结论

针对虚拟化云计算环境有各种各样的攻击,但如果在部署和管理云模式时,企业部署了适当的安全控制和程序,这些攻击都可以得以缓解。

在试图保护云计算环境之前,对于企业来说,重要的是要了解这些恶意攻击是如何执行的。这将有助于确保企业的防御措施能够抵御环境最有可能会遇到的威胁。在保护环境安全后,企业可以通过尝试执行攻击来检查安全措施是否得到很好的部署。这可以在内部进行或者聘请渗透测试公司。企业应该在现在就投入资金来建设更安全的系统,而不是等着以后后悔。

原文发布于微信公众号 - 云计算D1net(D1Net02)

原文发表时间:2014-07-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

我是如何黑掉英国间谍软件公司Gamma的

前几天,有黑客《入侵了英国间谍软件公司Gamma》。本文翻译自黑客自己公布的入侵指南。详细的介绍了从信息收集,到发现目标站点,以及进行源码审计,绕过waf注入,...

629100
来自专栏做全栈攻城狮

安卓入门实战项目-身份证信息查看器,精确解读身份证信息

因为知识的连贯性,推荐按照瞬息进行学习。目录链接:http://www.chengxiaoxiao.com/bozhu/1336.html

14430
来自专栏FreeBuf

钓鱼骗局:通过伪造App Store支付链接误导用户

网络犯罪目前又将目标指向苹果用户,他们通过更加成熟的钓鱼手法,引导用户点击一个支付退款链接,由此获取用户个人敏感数据。 钓鱼的前期-引导用户进入“陷阱” 这种新...

23280
来自专栏FreeBuf

如何有效收集公开来源的威胁情报

一、前言 威胁情报作为信息安全领域一个正在茁壮成长的分支,在当下依旧处于混浊状态。即网络中存在着大量的所谓“情报”,它们的结构不同、关注方向不同、可信度不同、情...

62660
来自专栏字根中文校对软件

Apache CloudStack 4.5.2 新特性一览

     Apache CloudStack 4.5.2 新特性一览 ? CloudStack 4.5.2 相比前一个版本修复了大约 200 个Bug。   ...

32160
来自专栏FreeBuf

一步一步教你如何解锁被盗的iPhone 6S

即使你的iPhone6S设置了六位数的密码,甚至还设置了touch ID,但我要告诉你的是:你的手机仍然能被犯罪分子解锁。 ? 事件背景 三天前,一位苹果用户的...

309100
来自专栏FreeBuf

从安全漏洞看印度国家银行APP为何“技术落后10年”

2007年的时候,我在印度最大的国有银行中的一家注册了一个账号,这个国家的银行(政府或者民营)普遍所使用的技术与当前水平相比至少落后了10年。 2015年末,我...

22070
来自专栏SAP梦心的SAP分享

【SAP业务模式】之ICS(四):组织单元的配置

      SAP的ICS业务后台配置主要有以下几个配置点:       1、组织单元的配置(公司代码、销售组织、工厂、采购组织等);       2、主数据的...

310100
来自专栏FreeBuf

安卓手机搭建渗透环境(无需Root)

大家熟知的渗透测试是笔记本上神秘滚动的linux命令!一台kali笔记本走天下,是渗透测试的基本素养。但笔记本还是太大,很多地方你用笔记本做渗透测试还是太招摇,...

1.7K30
来自专栏企鹅号快讯

微软发布12月安全更新,修复34项安全问题

微软2017年12月发布的补丁星期二(2017年12月12日)更新解决了30多个安全漏洞,其中包括19个影响Internet Explorer和Edge网页浏览...

36280

扫码关注云+社区

领取腾讯云代金券