云环境虚拟化安全之威胁篇
发布时间:2019-12-17
随着云计算技术逐步成熟,越来越多的企业和个人通过租用 IaaS 云服务来降低IT资源的管理和维护成本。IaaS 云服务通常是以提供独立的虚拟机方式为用户提供所需的处理器,内存,磁盘,网络等 IT 资源,用户只需在虚拟机上配置安装操作系统和上层应用程序。
目前,政府、大型企业的信息中心已经初步建成了IaaS云,并逐步将非关键的业务移植到云平台上,而关键业务并未上云多是因为担心数据中心和云平台遭到数据泄漏或导致关键业务中断。事实上,虚拟化技术打破了传统的网络边界的划分方式,使得传统的安全技术手段无法做到有效的安全防护。如果虚拟机管理程序被攻击,安全漏洞会导致平台受到威胁,甚至安装在基于主机操作系统分区上或者虚拟机管理程序上的传统安全工具无法及时识别威胁,大规模的虚拟化平台发生威胁,后果可想而知。
虚拟化安全威胁
目前主流的主机虚拟化面临的安全威胁,包括虚拟机逃逸、虚拟机信息窃取及篡改、Rootkit攻击、拒绝服务攻击和侧信道攻击等。
01
虚拟机逃逸
利用虚拟机,用户能够分享宿主机的资源并实现相互隔离。理想情况下,一个程序运行在虚拟机里,应该无法影响其他虚拟机。但是,由于技术的限制和虚拟化软件的一些bug,在某些情况下,虚拟机里运行的程序会绕过隔离限制,进而直接运行在宿主机上,这就是虚拟机逃逸。由于宿主机的特权地位,出现虚拟机逃逸会使整个安全模型完全崩溃。当虚拟机逃逸攻击成功之后,对于Hypervisor而言,攻击者有可能获得所有权限。截获该宿主机上其他虚拟机的I/O数据流,分析获得用户的相关数据,进行更进一步的针对用户个人敏感信息的攻击,更有甚者,倘若该宿主机上的某个虚拟机作为基本运行,攻击者便可以通过Hypervisor的特权,对该虚拟机进行强制关机或删除,造成基本服务的中断。对于宿主机而言,攻击者有可能获得宿主机操作系统的全部权限。此时,攻击者可以对宿主机的共享资源进行修改或替换,使得该宿主机上的所有虚拟机访问到虚假或篡改后的资源,从而对其他虚拟机进行攻击。由于攻击者获得了最高权限,则可以修改默认用户的基本信息,并降低虚拟机监视器的稳健性,从而对整个虚拟化平台造成不可恢复的灾难,使得其上的所有虚拟机都丢失重要信息。
02
虚拟机信息窃取和篡改
虚拟机信息主要通过镜像文件及快照来保存的。虚拟机镜像无论在静止还是运行状态都有被窃取或篡改的脆弱漏洞,包含重要敏感信息的虚拟机镜像和快照以文件形式存在,能够轻易通过网络传输到其他位置。
一个镜像文件越长时间没运行,就会在它再一次加载时出现越多的脆弱点。当用户和管理者可以创建自己的镜像文件时,如果这些镜像没有做到适当的防护,尤其在没有可参照的安全基线的时候,这会增加被攻陷的风险。
另一个潜在的问题是镜像文件的增殖,也叫无序蔓延。创建一个镜像只需要几分钟,如果没有任何安全性的考虑,就会创建很多没必要的镜像文件。多余的镜像文件会成为攻击者另一个潜在的攻击点。
此外,被恶意软件感染的系统在后期恢复快照时有可能重新加载恶意软件。
03
Rootkit攻击
Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,持久并毫无察觉地驻留在目标计算机中,对系统进行操纵,并通过隐秘渠道收集数据。
Rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。通常,攻击者通过远程攻击获得root访问权限,或者首先通过密码猜测或者密码强制破译的技术获得系统的访问权限。进入系统后,如果还未获得root权限,再通过某些安全漏洞获得系统的root权限。接着,攻击者会在侵入的主机中安装Rootkit后门,然后将通过后门检查系统中是否有其他用户登录,如果只有自己,攻击者便开始着手清理日志中的有关信息,隐藏入侵踪迹。通过Rootkit的嗅探器获得其他系统的用户和密码之后,攻击者就会利用这些信息侵入其他系统。
04
分布式拒绝服务攻击
分布式拒绝服务攻击(DDoS)是目前黑客经常采用而难以防范的攻击手段。
DoS(Denial of Service,拒绝服务攻击)有很多攻击方式,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。
高速广泛连接的网络在给大家带来方便的同时,也为DDoS攻击创造了极为有利的条件。在低速网络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过路由器的跳数少、效果好;而现在电信骨干节点之间的连接都是以G为级别,这使得攻击可以从更远的地方或者其他城市发起,攻击者的傀儡机位置可以分布在更大的范围,选择起来更加灵活。因此,现在的DDoS能够利用更多的傀儡机,以比从前更大的规模来攻击受害者主机。
DDos攻击的后果有很多。例如,被攻击主机上存在大量等待的TCP连接;网络中充斥着大量无用的数据包,且源IP地址为假;制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通信;利用受害主机提供的服务或传输协议上的缺陷,反复高速地发出特定的服务请求,使受害主机无法及时处理所有的正常请求;严重时会造成系统死机等。
05
侧信道攻击
侧信道攻击是针对密码算法实现的一种攻击方式,当密码算法具体执行时,执行过程中可能泄露与内部运算紧密相关的多种物理状态信息,比如声光信息、功耗、电磁辐射以及运行时间等。这些通过非直接传输途径泄露出来的物理状态信息被研究人员称为侧信道信息(Side-Channel Information,SCI)。攻击者通过测量采集密码算法执行期间产生的侧信道信息,再结合密码算法的具体实现,就可以进行密钥的分析与破解。而这种利用侧信道信息进行密码分析的攻击方法则被称为侧信道攻击。
针对侧信道攻击,安全芯片可以提供大量的解决方案。安全芯片可以采用混淆时序、能耗随机等手段使黑客无从辨别,也就难以解密。
对采用基于虚拟化的云平台架构搭建IT环境的政府及企业用户来说,远端数据的安全性和保密性、访问权限的风险性、隐私和可靠性方面的安全隐患都是用户使用云计算所存在的考量问题,用户需要一套完整的安全方案可以为虚拟和物理环境都提供持续的保护,并满足其合规性检查的需要。
云计算是分布式网络共享存储和计算资源池,其安全风险突显,传统的信息安全技术已经难以保障云上的网络安全、数据安全及用户隐私。超越数控在应对网络安全风险方面一是通过防火墙、堡垒机、VPN、网闸等网络安全产品,同时在云安全技术保障、虚拟化安全(KVM、Docker、Openstack和K8s)拥有成熟的经验,为构建安全的云计算环境奠定基础。
参考资料
[1] 安全隔离技术确保云环境虚拟资源安全隔离
[2] IaaS云环境下面向内部威胁的数据安全保护技术研究
[3] 云安全原理与实践