云環(huán)境虛擬化安全之威脅篇
發(fā)布時間:2019-12-17
隨著云計算技術(shù)逐步成熟,越來越多的企業(yè)和個人通過租用 IaaS 云服務(wù)來降低IT資源的管理和維護成本。IaaS 云服務(wù)通常是以提供獨立的虛擬機方式為用戶提供所需的處理器,內(nèi)存,磁盤,網(wǎng)絡(luò)等 IT 資源,用戶只需在虛擬機上配置安裝操作系統(tǒng)和上層應(yīng)用程序。
目前,政府、大型企業(yè)的信息中心已經(jīng)初步建成了IaaS云,并逐步將非關(guān)鍵的業(yè)務(wù)移植到云平臺上,而關(guān)鍵業(yè)務(wù)并未上云多是因為擔(dān)心數(shù)據(jù)中心和云平臺遭到數(shù)據(jù)泄漏或?qū)е玛P(guān)鍵業(yè)務(wù)中斷。事實上,虛擬化技術(shù)打破了傳統(tǒng)的網(wǎng)絡(luò)邊界的劃分方式,使得傳統(tǒng)的安全技術(shù)手段無法做到有效的安全防護。如果虛擬機管理程序被攻擊,安全漏洞會導(dǎo)致平臺受到威脅,甚至安裝在基于主機操作系統(tǒng)分區(qū)上或者虛擬機管理程序上的傳統(tǒng)安全工具無法及時識別威脅,大規(guī)模的虛擬化平臺發(fā)生威脅,后果可想而知。
虛擬化安全威脅
目前主流的主機虛擬化面臨的安全威脅,包括虛擬機逃逸、虛擬機信息竊取及篡改、Rootkit攻擊、拒絕服務(wù)攻擊和側(cè)信道攻擊等。
01
虛擬機逃逸
利用虛擬機,用戶能夠分享宿主機的資源并實現(xiàn)相互隔離。理想情況下,一個程序運行在虛擬機里,應(yīng)該無法影響其他虛擬機。但是,由于技術(shù)的限制和虛擬化軟件的一些bug,在某些情況下,虛擬機里運行的程序會繞過隔離限制,進而直接運行在宿主機上,這就是虛擬機逃逸。由于宿主機的特權(quán)地位,出現(xiàn)虛擬機逃逸會使整個安全模型完全崩潰。當(dāng)虛擬機逃逸攻擊成功之后,對于Hypervisor而言,攻擊者有可能獲得所有權(quán)限。截獲該宿主機上其他虛擬機的I/O數(shù)據(jù)流,分析獲得用戶的相關(guān)數(shù)據(jù),進行更進一步的針對用戶個人敏感信息的攻擊,更有甚者,倘若該宿主機上的某個虛擬機作為基本運行,攻擊者便可以通過Hypervisor的特權(quán),對該虛擬機進行強制關(guān)機或刪除,造成基本服務(wù)的中斷。對于宿主機而言,攻擊者有可能獲得宿主機操作系統(tǒng)的全部權(quán)限。此時,攻擊者可以對宿主機的共享資源進行修改或替換,使得該宿主機上的所有虛擬機訪問到虛假或篡改后的資源,從而對其他虛擬機進行攻擊。由于攻擊者獲得了最高權(quán)限,則可以修改默認用戶的基本信息,并降低虛擬機監(jiān)視器的穩(wěn)健性,從而對整個虛擬化平臺造成不可恢復(fù)的災(zāi)難,使得其上的所有虛擬機都丟失重要信息。
02
虛擬機信息竊取和篡改
虛擬機信息主要通過鏡像文件及快照來保存的。虛擬機鏡像無論在靜止還是運行狀態(tài)都有被竊取或篡改的脆弱漏洞,包含重要敏感信息的虛擬機鏡像和快照以文件形式存在,能夠輕易通過網(wǎng)絡(luò)傳輸?shù)狡渌恢谩?/span>
一個鏡像文件越長時間沒運行,就會在它再一次加載時出現(xiàn)越多的脆弱點。當(dāng)用戶和管理者可以創(chuàng)建自己的鏡像文件時,如果這些鏡像沒有做到適當(dāng)?shù)姆雷o,尤其在沒有可參照的安全基線的時候,這會增加被攻陷的風(fēng)險。
另一個潛在的問題是鏡像文件的增殖,也叫無序蔓延。創(chuàng)建一個鏡像只需要幾分鐘,如果沒有任何安全性的考慮,就會創(chuàng)建很多沒必要的鏡像文件。多余的鏡像文件會成為攻擊者另一個潛在的攻擊點。
此外,被惡意軟件感染的系統(tǒng)在后期恢復(fù)快照時有可能重新加載惡意軟件。
03
Rootkit攻擊
Rootkit是一種特殊的惡意軟件,它的功能是在安裝目標上隱藏自身及指定的文件、進程和網(wǎng)絡(luò)鏈接等信息,持久并毫無察覺地駐留在目標計算機中,對系統(tǒng)進行操縱,并通過隱秘渠道收集數(shù)據(jù)。
Rootkit是攻擊者用來隱藏自己的蹤跡和保留root訪問權(quán)限的工具。通常,攻擊者通過遠程攻擊獲得root訪問權(quán)限,或者首先通過密碼猜測或者密碼強制破譯的技術(shù)獲得系統(tǒng)的訪問權(quán)限。進入系統(tǒng)后,如果還未獲得root權(quán)限,再通過某些安全漏洞獲得系統(tǒng)的root權(quán)限。接著,攻擊者會在侵入的主機中安裝Rootkit后門,然后將通過后門檢查系統(tǒng)中是否有其他用戶登錄,如果只有自己,攻擊者便開始著手清理日志中的有關(guān)信息,隱藏入侵蹤跡。通過Rootkit的嗅探器獲得其他系統(tǒng)的用戶和密碼之后,攻擊者就會利用這些信息侵入其他系統(tǒng)。
04
分布式拒絕服務(wù)攻擊
分布式拒絕服務(wù)攻擊(DDoS)是目前黑客經(jīng)常采用而難以防范的攻擊手段。
DoS(Denial of Service,拒絕服務(wù)攻擊)有很多攻擊方式,最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源,從而使合法用戶無法得到服務(wù)的響應(yīng)。
高速廣泛連接的網(wǎng)絡(luò)在給大家?guī)矸奖愕耐瑫r,也為DDoS攻擊創(chuàng)造了極為有利的條件。在低速網(wǎng)絡(luò)時代時,黑客占領(lǐng)攻擊用的傀儡機時,總是會優(yōu)先考慮離目標網(wǎng)絡(luò)距離近的機器,因為經(jīng)過路由器的跳數(shù)少、效果好;而現(xiàn)在電信骨干節(jié)點之間的連接都是以G為級別,這使得攻擊可以從更遠的地方或者其他城市發(fā)起,攻擊者的傀儡機位置可以分布在更大的范圍,選擇起來更加靈活。因此,現(xiàn)在的DDoS能夠利用更多的傀儡機,以比從前更大的規(guī)模來攻擊受害者主機。
DDos攻擊的后果有很多。例如,被攻擊主機上存在大量等待的TCP連接;網(wǎng)絡(luò)中充斥著大量無用的數(shù)據(jù)包,且源IP地址為假;制造高流量無用數(shù)據(jù),造成網(wǎng)絡(luò)擁塞,使受害主機無法正常和外界通信;利用受害主機提供的服務(wù)或傳輸協(xié)議上的缺陷,反復(fù)高速地發(fā)出特定的服務(wù)請求,使受害主機無法及時處理所有的正常請求;嚴重時會造成系統(tǒng)死機等。
05
側(cè)信道攻擊
側(cè)信道攻擊是針對密碼算法實現(xiàn)的一種攻擊方式,當(dāng)密碼算法具體執(zhí)行時,執(zhí)行過程中可能泄露與內(nèi)部運算緊密相關(guān)的多種物理狀態(tài)信息,比如聲光信息、功耗、電磁輻射以及運行時間等。這些通過非直接傳輸途徑泄露出來的物理狀態(tài)信息被研究人員稱為側(cè)信道信息(Side-Channel Information,SCI)。攻擊者通過測量采集密碼算法執(zhí)行期間產(chǎn)生的側(cè)信道信息,再結(jié)合密碼算法的具體實現(xiàn),就可以進行密鑰的分析與破解。而這種利用側(cè)信道信息進行密碼分析的攻擊方法則被稱為側(cè)信道攻擊。
針對側(cè)信道攻擊,安全芯片可以提供大量的解決方案。安全芯片可以采用混淆時序、能耗隨機等手段使黑客無從辨別,也就難以解密。
對采用基于虛擬化的云平臺架構(gòu)搭建IT環(huán)境的政府及企業(yè)用戶來說,遠端數(shù)據(jù)的安全性和保密性、訪問權(quán)限的風(fēng)險性、隱私和可靠性方面的安全隱患都是用戶使用云計算所存在的考量問題,用戶需要一套完整的安全方案可以為虛擬和物理環(huán)境都提供持續(xù)的保護,并滿足其合規(guī)性檢查的需要。
云計算是分布式網(wǎng)絡(luò)共享存儲和計算資源池,其安全風(fēng)險突顯,傳統(tǒng)的信息安全技術(shù)已經(jīng)難以保障云上的網(wǎng)絡(luò)安全、數(shù)據(jù)安全及用戶隱私。超越數(shù)控在應(yīng)對網(wǎng)絡(luò)安全風(fēng)險方面一是通過防火墻、堡壘機、VPN、網(wǎng)閘等網(wǎng)絡(luò)安全產(chǎn)品,同時在云安全技術(shù)保障、虛擬化安全(KVM、Docker、Openstack和K8s)擁有成熟的經(jīng)驗,為構(gòu)建安全的云計算環(huán)境奠定基礎(chǔ)。
參考資料
[1] 安全隔離技術(shù)確保云環(huán)境虛擬資源安全隔離
[2] IaaS云環(huán)境下面向內(nèi)部威脅的數(shù)據(jù)安全保護技術(shù)研究
[3] 云安全原理與實踐