虛擬化是一項(xiàng)能讓客戶端服務(wù)器應(yīng)用軟件與多核大容量中央處理器完美融合的技術(shù)。也是能為當(dāng)下的服務(wù)器和應(yīng)用軟件提供豐富的處理能力和內(nèi)存的理想解決方案,同時(shí)還能實(shí)現(xiàn)應(yīng)用軟件與服務(wù)器之間完美的隔離。事實(shí)上,管理程序和虛擬機(jī)已經(jīng)成為網(wǎng)絡(luò)應(yīng)用軟件時(shí)代的大型機(jī)。就像大型機(jī)推動(dòng)了由內(nèi)部IT部門所有和掌控的私有系統(tǒng)向可供任何人使用的公共分時(shí)服務(wù)遷移那樣,虛擬機(jī)也跨越了私有和公有資源的鴻溝,以云為基礎(chǔ)的基礎(chǔ)架構(gòu)即服務(wù)提供商可以根據(jù)使用時(shí)間計(jì)費(fèi)來(lái)出租服務(wù)器。
裸機(jī)虛擬機(jī)監(jiān)控器是針對(duì)完全孤立的多用戶客戶端操作系統(tǒng)所設(shè)計(jì)的系統(tǒng)。在企業(yè)數(shù)據(jù)中心可控的范圍內(nèi),每個(gè)虛擬機(jī)用戶的身份和責(zé)任都是已知的,虛擬機(jī)隔絕技術(shù)就足夠用了;但是,當(dāng)應(yīng)用環(huán)境向公共云遷移,這項(xiàng)技術(shù)的作用就顯示出了其局限性。來(lái)自其他云用戶的虛擬機(jī)安全風(fēng)險(xiǎn)涉及的范圍目前還處在在安全專家的研究過(guò)程中,但是安全風(fēng)險(xiǎn)已經(jīng)超出了虛擬機(jī)監(jiān)控器目前可以自我防御的范圍,因?yàn)樵谠骗h(huán)境中,網(wǎng)絡(luò)和存儲(chǔ)也都是共享的。盡管目前還沒(méi)有公開(kāi)文獻(xiàn)記載了虛擬機(jī)之間的滲透,但是有專家警告稱這不是不可能發(fā)生的事情,狡猾的黑客入侵管理程序不過(guò)是時(shí)間的問(wèn)題。在云環(huán)境中,要控制的不止是操作系統(tǒng),最終用戶只是這個(gè)安全天平上的一個(gè)組成部分,他們必須信任服務(wù)提供商來(lái)為獲取服務(wù)提供支持。
潛在的風(fēng)險(xiǎn)
了解公共云風(fēng)險(xiǎn)的一個(gè)方法是將操作環(huán)境劃分為三個(gè)提取層,這種方法是由思科系統(tǒng)公司安全技術(shù)事業(yè)部云和虛擬化解決方案總監(jiān)兼云安全聯(lián)盟技術(shù)顧問(wèn)克里斯托弗.赫夫最先提出的。處于云托管環(huán)境核心中的基礎(chǔ)網(wǎng)絡(luò),服務(wù)器硬件和存儲(chǔ)軟件的基礎(chǔ)架構(gòu)安全屬于最低的級(jí)別。
第二級(jí)是基礎(chǔ)架構(gòu)即服務(wù)層的安全,包括虛擬機(jī)監(jiān)控器,配置,協(xié)調(diào)和支付軟件。最后一個(gè)安全級(jí)涵蓋在基礎(chǔ)架構(gòu)即服務(wù)客戶端虛擬機(jī)上運(yùn)行的操作系統(tǒng)和應(yīng)用軟件。赫夫指出云用戶只能控制最后一個(gè)安全級(jí),所以他們必須信任其服務(wù)提供商能完全保證所有其他層的安全可靠。
赫夫表示"令人困惑的是提供商的安全環(huán)境就是令人費(fèi)解的,但是最終用戶只能掌控他們自己的那一塊"。反之,即使云用戶能保證他們的應(yīng)用軟件和操作系統(tǒng)像軍事堡壘一樣安全可靠,但是如果提供商的基礎(chǔ)架構(gòu)存在漏洞,依然給遭遇風(fēng)險(xiǎn)留下了可趁之機(jī)。
保護(hù)虛擬機(jī)環(huán)境也帶來(lái)了幾種新的挑戰(zhàn)。赫夫歸納了其中攻擊風(fēng)險(xiǎn)。在虛擬機(jī)層面上,這些風(fēng)險(xiǎn)是客戶端對(duì)客戶端,客戶端對(duì)主機(jī)服務(wù)器和客戶端自身的攻擊,同時(shí)也有來(lái)自云外部到主機(jī)和外部到客戶端的攻擊。最后是針對(duì)服務(wù)器或者管理程序本身的內(nèi)部攻擊和需要訪問(wèn)物理服務(wù)器的硬件漏洞。
根據(jù)赫夫的說(shuō)法,對(duì)公有虛擬機(jī)的攻擊采取的是多管齊下的形式,包括以管理程序?yàn)槟繕?biāo)的木馬,傳統(tǒng)的惡意軟件或者所謂的超級(jí)攻擊(一種完全控制服務(wù)器的流氓管理程序)。服務(wù)器外圍設(shè)備也是可能招致虛擬機(jī)木馬攻擊的漏洞,攻擊可能會(huì)針對(duì)網(wǎng)絡(luò)接口卡或者硬件BIOS漏洞,通過(guò)被木馬感染的USB記憶棒來(lái)傳播病毒。
雖然對(duì)虛擬機(jī)客戶端操作系統(tǒng)的攻擊從單獨(dú)的系統(tǒng)上是很難辨別的,但對(duì)基礎(chǔ)管理程序和服務(wù)器硬件的威脅在理論上依然是存在的。不過(guò)赫夫提醒大家說(shuō),盡管每個(gè)虛擬機(jī)的潛在風(fēng)險(xiǎn)已經(jīng)被大家所認(rèn)知,但是仍然有人會(huì)去攻破系統(tǒng)中的漏洞,如果系統(tǒng)存在被攻擊的薄弱環(huán)節(jié),他們就存在風(fēng)險(xiǎn)。
技術(shù)和服務(wù)保護(hù)
在多數(shù)方面,維護(hù)基礎(chǔ)架構(gòu)即服務(wù)云上虛擬系統(tǒng)的安全與保護(hù)企業(yè)數(shù)據(jù)中心里單獨(dú)的服務(wù)器是一樣的,應(yīng)用的最佳實(shí)踐方法也是一樣的。
赫夫表示“你為維護(hù)一臺(tái)服務(wù)器所做的每件事,也應(yīng)該用在虛擬機(jī)上”,他還警告說(shuō)使用公有云需要提高警惕性。
或許最重要的是擁有詳細(xì)而強(qiáng)大的應(yīng)用軟件和虛擬操作系統(tǒng)監(jiān)控。對(duì)于云托管的應(yīng)用軟件來(lái)說(shuō),赫夫建議建立自動(dòng)監(jiān)控記錄以便提前偵測(cè)到性能異動(dòng)或者中斷。
由于安全性已經(jīng)超出了云用戶的控制,赫夫就是主張?zhí)岣咛峁┥膛c用戶之前透明度的積極倡導(dǎo)者。當(dāng)我們信任第三方的核心業(yè)務(wù)應(yīng)用軟件時(shí),用戶對(duì)他們的安全和數(shù)據(jù)保護(hù)協(xié)議,標(biāo)準(zhǔn)法規(guī)遵從和事故反應(yīng)流程的了解和監(jiān)控是非常重要的。事實(shí)上,對(duì)云提供商安全聲明查證流程的自動(dòng)化是CloudAudit標(biāo)準(zhǔn)項(xiàng)目的初步目標(biāo)。
軟件廠商也加強(qiáng)了虛擬機(jī)的安全性。雖然這些改進(jìn)減少了黑客入侵管理程序或者攻擊同一個(gè)服務(wù)器上運(yùn)行的其他虛擬機(jī)的可能性,但基礎(chǔ)架構(gòu)即服務(wù)的用戶仍然要加強(qiáng)防范。
KnowThreat的創(chuàng)始人兼首席咨詢師泰勒.班克斯推薦用戶在云上進(jìn)行存儲(chǔ)之前對(duì)所有數(shù)據(jù)都進(jìn)行本地加密,同時(shí)將關(guān)鍵的數(shù)據(jù)管理本地化。班克斯還強(qiáng)調(diào)說(shuō)必須構(gòu)筑云托管應(yīng)用軟件的安全屏障。赫夫也同意班克斯的觀點(diǎn)并補(bǔ)充說(shuō),云用戶必須重新配置應(yīng)用軟件來(lái)保證系統(tǒng)能抵御安全缺口或者某個(gè)云提供商的服務(wù)中斷風(fēng)險(xiǎn)。
Solera Networks公司負(fù)責(zé)市場(chǎng)營(yíng)銷和產(chǎn)品管理的副總裁Pete Schlampp認(rèn)為,云用戶也應(yīng)該要求提供商利用網(wǎng)絡(luò)論壇來(lái)抵御各種攻擊。他還補(bǔ)充說(shuō)論壇充當(dāng)?shù)木褪?quot;網(wǎng)絡(luò)安全照相機(jī)"的角色,可以將任何安全事故重放出來(lái)。
