您現(xiàn)在的位置:首頁 >關(guān)于我們 >行業(yè)新聞 >淺析:如何增強(qiáng)云的虛擬服務(wù)器的安全性?

淺析:如何增強(qiáng)云的虛擬服務(wù)器的安全性?

時(shí)間:2011年1月9日
潛在的威脅

  要了解公共云威脅狀況,一個(gè)辦法是將操作環(huán)境劃分為三個(gè)抽象層,最早提出這種方法的是思科公司安全技術(shù)事業(yè)部的云和虛擬化解決方案主管Christofer Hoff,他還是云安全聯(lián)盟(Cloud Security Alliance)的創(chuàng)始成員兼技術(shù)顧問。處于最低層的是基礎(chǔ)設(shè)施安全,涵蓋云托管環(huán)境的核心部分:底層的網(wǎng)絡(luò)、服務(wù)器硬件和存儲(chǔ)陣列。

  第二層是IaaS服務(wù)層的安全,包括虛擬機(jī)監(jiān)控器、部署、協(xié)調(diào)和計(jì)費(fèi)軟件。最后一個(gè)安全層涵蓋在IaaS訪客虛擬機(jī)上運(yùn)行的操作系統(tǒng)和應(yīng)用程序。Hoff指出,云用戶控制的只是這最后一個(gè)安全層,只好信任其服務(wù)提供商在全面確保各方面的安全。   (服務(wù)器托管)

  Hoff說:“令人驚訝的是,提供商可能擁有異常安全的環(huán)境,但最終用戶把自己一頭的安全工作搞砸了!狈催^來,云用戶可能采用軍事級(jí)安全措施來牢牢保護(hù)其應(yīng)用程序和操作系統(tǒng),但如果提供商的基礎(chǔ)設(shè)施中存在敞開的漏洞,云用戶仍容易受到攻擊。

  保護(hù)虛擬機(jī)環(huán)境帶來了幾個(gè)新的挑戰(zhàn)。Hoff指出了七種攻擊途徑。在虛擬機(jī)這一層,這些攻擊途徑包括:訪客對(duì)訪客的攻擊、訪客對(duì)主機(jī)(服務(wù)器)的攻擊以及訪客對(duì)自身的攻擊,而來自云外面的攻擊途徑有外部對(duì)主機(jī)的攻擊和外部對(duì)訪客的攻擊。最后,企業(yè)內(nèi)部人員攻擊針對(duì)服務(wù)器或虛擬機(jī)管理程序本身;而想鉆硬件漏洞的空子,就需要擁有訪問物理服務(wù)器的權(quán)限。

  據(jù)Hoff聲稱,針對(duì)公共虛擬機(jī)的攻擊可能采取多種多樣的形式,包括針對(duì)虛擬機(jī)管理程序的惡意軟件、傳統(tǒng)的根工具包(rootkit),或者是所謂的虛擬機(jī)管理程序劫持(未授權(quán)的虛擬機(jī)管理程序完全控制了服務(wù)器)。服務(wù)器外設(shè)也很容易中虛擬機(jī)惡意軟件的招;有些攻擊利用被惡意軟件感染的U盤,攻擊網(wǎng)卡或硬件BIOS存在的漏洞,Stuxnet蠕蟲就采用了這種手法。

  雖然針對(duì)虛擬機(jī)訪客操作系統(tǒng)的攻擊與針對(duì)獨(dú)立系統(tǒng)的攻擊很難辨別開來,但是針對(duì)底層虛擬機(jī)管理程序和服務(wù)器硬件的威脅仍然基本上只是理論上有這種可能。不過Hoff提醒,盡管研究人員已經(jīng)研究了虛擬機(jī)方面的每條威脅渠道,但是將來總有人會(huì)竭力尋找系統(tǒng)中的漏洞;如果真的有安全漏洞,就會(huì)被人鉆空子。

技術(shù)和服務(wù)保護(hù)

  從大多數(shù)方面來看,保護(hù)IaaS云中虛擬系統(tǒng)的安全與保護(hù)企業(yè)數(shù)據(jù)中心中獨(dú)立服務(wù)器的安全沒有什么不同同樣的最佳安全實(shí)踐依然適用。

  Hoff說:“你平時(shí)怎樣保護(hù)服務(wù)器安全,現(xiàn)在就要以同樣的方法來保護(hù)虛擬機(jī)安全。”他警告說,公共云需要用戶提高警惕性。

  可能最重要的是,針對(duì)應(yīng)用程序和(虛擬)操作系統(tǒng)要有一套詳細(xì)而可靠的監(jiān)控機(jī)制。對(duì)于云托管的應(yīng)用程序來說,Hoff建議內(nèi)置遙測(cè)功能,那樣連極小的性能異常或干擾也能主動(dòng)檢測(cè)出來。

  由于實(shí)施的安全機(jī)制大多不在云用戶的控制范圍之內(nèi),Hoff竭力主張?zhí)峁┥膛c用戶之間加大透明度。他表示,當(dāng)用戶把核心的業(yè)務(wù)應(yīng)用程序托付給第三方時(shí),用戶了解和監(jiān)控第三方的安全和數(shù)據(jù)保護(hù)政策、標(biāo)準(zhǔn)遵守情況以及事件響應(yīng)流程顯得很重要。實(shí)際上,簡化證實(shí)云提供商聲稱的安全措施是否可靠,并且使之自動(dòng)化,正是CloudAudit標(biāo)準(zhǔn)項(xiàng)目組織的首要目標(biāo)。   (電信服務(wù)器租用)

  KnowThreat安全公司的創(chuàng)始人兼首席顧問L. Taylor Banks建議,用戶將所有數(shù)據(jù)存儲(chǔ)到云中之前,先在本地加密數(shù)據(jù),密鑰管理要放在本地進(jìn)行。Banks強(qiáng)調(diào)必須把安全性融入到云托管的應(yīng)用程序中。Hoff同意這個(gè)觀點(diǎn);他補(bǔ)充說,云用戶必須重新設(shè)計(jì)應(yīng)用程序的架構(gòu),成為“具有存活能力的系統(tǒng)”:那樣某個(gè)云提供商出現(xiàn)了安全泄密或系統(tǒng)停運(yùn)事件,也能存活下來。

  Solera Networks公司的市場(chǎng)營銷和產(chǎn)品管理副總裁Pete Schlampp表示,云用戶還應(yīng)該要求提供商采用網(wǎng)絡(luò)取證技術(shù),對(duì)任何攻擊采用逆向工程處理。他補(bǔ)充說,取證技術(shù)充當(dāng)了“網(wǎng)絡(luò)上的安全攝像頭”,可以回放任何事件。

Copyright© 2004-2020 河南海騰電子技術(shù)有限公司 版權(quán)所有   經(jīng)營性ICP/ISP證 備案號(hào):B1-20180452   豫公網(wǎng)安備 41019702002018號(hào)    電子營業(yè)執(zhí)照