您現(xiàn)在的位置:首頁 >關(guān)于我們 >行業(yè)新聞 >淺析:如何增強云的虛擬服務(wù)器的安全性?

淺析:如何增強云的虛擬服務(wù)器的安全性?

時間:2011年1月9日
潛在的威脅

  要了解公共云威脅狀況,一個辦法是將操作環(huán)境劃分為三個抽象層,最早提出這種方法的是思科公司安全技術(shù)事業(yè)部的云和虛擬化解決方案主管Christofer Hoff,他還是云安全聯(lián)盟(Cloud Security Alliance)的創(chuàng)始成員兼技術(shù)顧問。處于最低層的是基礎(chǔ)設(shè)施安全,涵蓋云托管環(huán)境的核心部分:底層的網(wǎng)絡(luò)、服務(wù)器硬件和存儲陣列。

  第二層是IaaS服務(wù)層的安全,包括虛擬機監(jiān)控器、部署、協(xié)調(diào)和計費軟件。最后一個安全層涵蓋在IaaS訪客虛擬機上運行的操作系統(tǒng)和應(yīng)用程序。Hoff指出,云用戶控制的只是這最后一個安全層,只好信任其服務(wù)提供商在全面確保各方面的安全。   (服務(wù)器托管)

  Hoff說:“令人驚訝的是,提供商可能擁有異常安全的環(huán)境,但最終用戶把自己一頭的安全工作搞砸了!狈催^來,云用戶可能采用軍事級安全措施來牢牢保護其應(yīng)用程序和操作系統(tǒng),但如果提供商的基礎(chǔ)設(shè)施中存在敞開的漏洞,云用戶仍容易受到攻擊。

  保護虛擬機環(huán)境帶來了幾個新的挑戰(zhàn)。Hoff指出了七種攻擊途徑。在虛擬機這一層,這些攻擊途徑包括:訪客對訪客的攻擊、訪客對主機(服務(wù)器)的攻擊以及訪客對自身的攻擊,而來自云外面的攻擊途徑有外部對主機的攻擊和外部對訪客的攻擊。最后,企業(yè)內(nèi)部人員攻擊針對服務(wù)器或虛擬機管理程序本身;而想鉆硬件漏洞的空子,就需要擁有訪問物理服務(wù)器的權(quán)限。

  據(jù)Hoff聲稱,針對公共虛擬機的攻擊可能采取多種多樣的形式,包括針對虛擬機管理程序的惡意軟件、傳統(tǒng)的根工具包(rootkit),或者是所謂的虛擬機管理程序劫持(未授權(quán)的虛擬機管理程序完全控制了服務(wù)器)。服務(wù)器外設(shè)也很容易中虛擬機惡意軟件的招;有些攻擊利用被惡意軟件感染的U盤,攻擊網(wǎng)卡或硬件BIOS存在的漏洞,Stuxnet蠕蟲就采用了這種手法。

  雖然針對虛擬機訪客操作系統(tǒng)的攻擊與針對獨立系統(tǒng)的攻擊很難辨別開來,但是針對底層虛擬機管理程序和服務(wù)器硬件的威脅仍然基本上只是理論上有這種可能。不過Hoff提醒,盡管研究人員已經(jīng)研究了虛擬機方面的每條威脅渠道,但是將來總有人會竭力尋找系統(tǒng)中的漏洞;如果真的有安全漏洞,就會被人鉆空子。

技術(shù)和服務(wù)保護

  從大多數(shù)方面來看,保護IaaS云中虛擬系統(tǒng)的安全與保護企業(yè)數(shù)據(jù)中心中獨立服務(wù)器的安全沒有什么不同同樣的最佳安全實踐依然適用。

  Hoff說:“你平時怎樣保護服務(wù)器安全,現(xiàn)在就要以同樣的方法來保護虛擬機安全!彼嬲f,公共云需要用戶提高警惕性。

  可能最重要的是,針對應(yīng)用程序和(虛擬)操作系統(tǒng)要有一套詳細而可靠的監(jiān)控機制。對于云托管的應(yīng)用程序來說,Hoff建議內(nèi)置遙測功能,那樣連極小的性能異常或干擾也能主動檢測出來。

  由于實施的安全機制大多不在云用戶的控制范圍之內(nèi),Hoff竭力主張?zhí)峁┥膛c用戶之間加大透明度。他表示,當用戶把核心的業(yè)務(wù)應(yīng)用程序托付給第三方時,用戶了解和監(jiān)控第三方的安全和數(shù)據(jù)保護政策、標準遵守情況以及事件響應(yīng)流程顯得很重要。實際上,簡化證實云提供商聲稱的安全措施是否可靠,并且使之自動化,正是CloudAudit標準項目組織的首要目標。   (電信服務(wù)器租用)

  KnowThreat安全公司的創(chuàng)始人兼首席顧問L. Taylor Banks建議,用戶將所有數(shù)據(jù)存儲到云中之前,先在本地加密數(shù)據(jù),密鑰管理要放在本地進行。Banks強調(diào)必須把安全性融入到云托管的應(yīng)用程序中。Hoff同意這個觀點;他補充說,云用戶必須重新設(shè)計應(yīng)用程序的架構(gòu),成為“具有存活能力的系統(tǒng)”:那樣某個云提供商出現(xiàn)了安全泄密或系統(tǒng)停運事件,也能存活下來。

  Solera Networks公司的市場營銷和產(chǎn)品管理副總裁Pete Schlampp表示,云用戶還應(yīng)該要求提供商采用網(wǎng)絡(luò)取證技術(shù),對任何攻擊采用逆向工程處理。他補充說,取證技術(shù)充當了“網(wǎng)絡(luò)上的安全攝像頭”,可以回放任何事件。

Copyright© 2004-2020 河南海騰電子技術(shù)有限公司 版權(quán)所有   經(jīng)營性ICP/ISP證 備案號:B1-20180452   豫公網(wǎng)安備 41019702002018號    電子營業(yè)執(zhí)照