云環境虛擬化安全之威脅篇
發布時間:2019-12-17
隨著云計算技術逐步成熟,越來越多的企業和個人通過租用 IaaS 云服務來降低IT資源的管理和維護成本。IaaS 云服務通常是以提供獨立的虛擬機方式為用戶提供所需的處理器,內存,磁盤,網絡等 IT 資源,用戶只需在虛擬機上配置安裝操作系統和上層應用程序。
目前,政府、大型企業的信息中心已經初步建成了IaaS云,并逐步將非關鍵的業務移植到云平臺上,而關鍵業務并未上云多是因為擔心數據中心和云平臺遭到數據泄漏或導致關鍵業務中斷。事實上,虛擬化技術打破了傳統的網絡邊界的劃分方式,使得傳統的安全技術手段無法做到有效的安全防護。如果虛擬機管理程序被攻擊,安全漏洞會導致平臺受到威脅,甚至安裝在基于主機操作系統分區上或者虛擬機管理程序上的傳統安全工具無法及時識別威脅,大規模的虛擬化平臺發生威脅,后果可想而知。
虛擬化安全威脅
目前主流的主機虛擬化面臨的安全威脅,包括虛擬機逃逸、虛擬機信息竊取及篡改、Rootkit攻擊、拒絕服務攻擊和側信道攻擊等。
01
虛擬機逃逸
利用虛擬機,用戶能夠分享宿主機的資源并實現相互隔離。理想情況下,一個程序運行在虛擬機里,應該無法影響其他虛擬機。但是,由于技術的限制和虛擬化軟件的一些bug,在某些情況下,虛擬機里運行的程序會繞過隔離限制,進而直接運行在宿主機上,這就是虛擬機逃逸。由于宿主機的特權地位,出現虛擬機逃逸會使整個安全模型完全崩潰。當虛擬機逃逸攻擊成功之后,對于Hypervisor而言,攻擊者有可能獲得所有權限。截獲該宿主機上其他虛擬機的I/O數據流,分析獲得用戶的相關數據,進行更進一步的針對用戶個人敏感信息的攻擊,更有甚者,倘若該宿主機上的某個虛擬機作為基本運行,攻擊者便可以通過Hypervisor的特權,對該虛擬機進行強制關機或刪除,造成基本服務的中斷。對于宿主機而言,攻擊者有可能獲得宿主機操作系統的全部權限。此時,攻擊者可以對宿主機的共享資源進行修改或替換,使得該宿主機上的所有虛擬機訪問到虛假或篡改后的資源,從而對其他虛擬機進行攻擊。由于攻擊者獲得了最高權限,則可以修改默認用戶的基本信息,并降低虛擬機監視器的穩健性,從而對整個虛擬化平臺造成不可恢復的災難,使得其上的所有虛擬機都丟失重要信息。
02
虛擬機信息竊取和篡改
虛擬機信息主要通過鏡像文件及快照來保存的。虛擬機鏡像無論在靜止還是運行狀態都有被竊取或篡改的脆弱漏洞,包含重要敏感信息的虛擬機鏡像和快照以文件形式存在,能夠輕易通過網絡傳輸到其他位置。
一個鏡像文件越長時間沒運行,就會在它再一次加載時出現越多的脆弱點。當用戶和管理者可以創建自己的鏡像文件時,如果這些鏡像沒有做到適當的防護,尤其在沒有可參照的安全基線的時候,這會增加被攻陷的風險。
另一個潛在的問題是鏡像文件的增殖,也叫無序蔓延。創建一個鏡像只需要幾分鐘,如果沒有任何安全性的考慮,就會創建很多沒必要的鏡像文件。多余的鏡像文件會成為攻擊者另一個潛在的攻擊點。
此外,被惡意軟件感染的系統在后期恢復快照時有可能重新加載惡意軟件。
03
Rootkit攻擊
Rootkit是一種特殊的惡意軟件,它的功能是在安裝目標上隱藏自身及指定的文件、進程和網絡鏈接等信息,持久并毫無察覺地駐留在目標計算機中,對系統進行操縱,并通過隱秘渠道收集數據。
Rootkit是攻擊者用來隱藏自己的蹤跡和保留root訪問權限的工具。通常,攻擊者通過遠程攻擊獲得root訪問權限,或者首先通過密碼猜測或者密碼強制破譯的技術獲得系統的訪問權限。進入系統后,如果還未獲得root權限,再通過某些安全漏洞獲得系統的root權限。接著,攻擊者會在侵入的主機中安裝Rootkit后門,然后將通過后門檢查系統中是否有其他用戶登錄,如果只有自己,攻擊者便開始著手清理日志中的有關信息,隱藏入侵蹤跡。通過Rootkit的嗅探器獲得其他系統的用戶和密碼之后,攻擊者就會利用這些信息侵入其他系統。
04
分布式拒絕服務攻擊
分布式拒絕服務攻擊(DDoS)是目前黑客經常采用而難以防范的攻擊手段。
DoS(Denial of Service,拒絕服務攻擊)有很多攻擊方式,最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源,從而使合法用戶無法得到服務的響應。
高速廣泛連接的網絡在給大家帶來方便的同時,也為DDoS攻擊創造了極為有利的條件。在低速網絡時代時,黑客占領攻擊用的傀儡機時,總是會優先考慮離目標網絡距離近的機器,因為經過路由器的跳數少、效果好;而現在電信骨干節點之間的連接都是以G為級別,這使得攻擊可以從更遠的地方或者其他城市發起,攻擊者的傀儡機位置可以分布在更大的范圍,選擇起來更加靈活。因此,現在的DDoS能夠利用更多的傀儡機,以比從前更大的規模來攻擊受害者主機。
DDos攻擊的后果有很多。例如,被攻擊主機上存在大量等待的TCP連接;網絡中充斥著大量無用的數據包,且源IP地址為假;制造高流量無用數據,造成網絡擁塞,使受害主機無法正常和外界通信;利用受害主機提供的服務或傳輸協議上的缺陷,反復高速地發出特定的服務請求,使受害主機無法及時處理所有的正常請求;嚴重時會造成系統死機等。
05
側信道攻擊
側信道攻擊是針對密碼算法實現的一種攻擊方式,當密碼算法具體執行時,執行過程中可能泄露與內部運算緊密相關的多種物理狀態信息,比如聲光信息、功耗、電磁輻射以及運行時間等。這些通過非直接傳輸途徑泄露出來的物理狀態信息被研究人員稱為側信道信息(Side-Channel Information,SCI)。攻擊者通過測量采集密碼算法執行期間產生的側信道信息,再結合密碼算法的具體實現,就可以進行密鑰的分析與破解。而這種利用側信道信息進行密碼分析的攻擊方法則被稱為側信道攻擊。
針對側信道攻擊,安全芯片可以提供大量的解決方案。安全芯片可以采用混淆時序、能耗隨機等手段使黑客無從辨別,也就難以解密。
對采用基于虛擬化的云平臺架構搭建IT環境的政府及企業用戶來說,遠端數據的安全性和保密性、訪問權限的風險性、隱私和可靠性方面的安全隱患都是用戶使用云計算所存在的考量問題,用戶需要一套完整的安全方案可以為虛擬和物理環境都提供持續的保護,并滿足其合規性檢查的需要。
云計算是分布式網絡共享存儲和計算資源池,其安全風險突顯,傳統的信息安全技術已經難以保障云上的網絡安全、數據安全及用戶隱私。超越數控在應對網絡安全風險方面一是通過防火墻、堡壘機、VPN、網閘等網絡安全產品,同時在云安全技術保障、虛擬化安全(KVM、Docker、Openstack和K8s)擁有成熟的經驗,為構建安全的云計算環境奠定基礎。
參考資料
[1] 安全隔離技術確保云環境虛擬資源安全隔離
[2] IaaS云環境下面向內部威脅的數據安全保護技術研究
[3] 云安全原理與實踐
