虛擬化是一項(xiàng)能讓客戶端服務(wù)器應(yīng)用軟件與多核大容量中央處理器完美融合的技術(shù)。也是能為當(dāng)下的服務(wù)器和應(yīng)用軟件提供豐富的處理能力和內(nèi)存的理想解決方案，同時(shí)還能實(shí)現(xiàn)應(yīng)用軟件與服務(wù)器之間完美的隔離。事實(shí)上，管理程序和虛擬機(jī)已經(jīng)成為網(wǎng)絡(luò)應(yīng)用軟件時(shí)代的大型機(jī)。就像大型機(jī)推動(dòng)了由內(nèi)部IT部門所有和掌控的私有系統(tǒng)向可供任何人使用的公共分時(shí)服務(wù)遷移那樣，虛擬機(jī)也跨越了私有和公有資源的鴻溝，以云為基礎(chǔ)的基礎(chǔ)架構(gòu)即服務(wù)提供商可以根據(jù)使用時(shí)間計(jì)費(fèi)來出租服務(wù)器。

    裸機(jī)虛擬機(jī)監(jiān)控器是針對(duì)完全孤立的多用戶客戶端操作系統(tǒng)所設(shè)計(jì)的系統(tǒng)。在企業(yè)數(shù)據(jù)中心可控的范圍內(nèi)，每個(gè)虛擬機(jī)用戶的身份和責(zé)任都是已知的，虛擬機(jī)隔絕技術(shù)就足夠用了；但是，當(dāng)應(yīng)用環(huán)境向公共云遷移，這項(xiàng)技術(shù)的作用就顯示出了其局限性。來自其他云用戶的虛擬機(jī)安全風(fēng)險(xiǎn)涉及的范圍目前還處在在安全專家的研究過程中，但是安全風(fēng)險(xiǎn)已經(jīng)超出了虛擬機(jī)監(jiān)控器目前可以自我防御的范圍，因?yàn)樵谠骗h(huán)境中，網(wǎng)絡(luò)和存儲(chǔ)也都是共享的。盡管目前還沒有公開文獻(xiàn)記載了虛擬機(jī)之間的滲透，但是有專家警告稱這不是不可能發(fā)生的事情，狡猾的黑客入侵管理程序不過是時(shí)間的問題。在云環(huán)境中，要控制的不止是操作系統(tǒng)，最終用戶只是這個(gè)安全天平上的一個(gè)組成部分，他們必須信任服務(wù)提供商來為獲取服務(wù)提供支持。

潛在的風(fēng)險(xiǎn)

    了解公共云風(fēng)險(xiǎn)的一個(gè)方法是將操作環(huán)境劃分為三個(gè)提取層，這種方法是由思科系統(tǒng)公司安全技術(shù)事業(yè)部云和虛擬化解決方案總監(jiān)兼云安全聯(lián)盟技術(shù)顧問克里斯托弗.赫夫最先提出的。處于云托管環(huán)境核心中的基礎(chǔ)網(wǎng)絡(luò)，服務(wù)器硬件和存儲(chǔ)軟件的基礎(chǔ)架構(gòu)安全屬于最低的級(jí)別。

    第二級(jí)是基礎(chǔ)架構(gòu)即服務(wù)層的安全，包括虛擬機(jī)監(jiān)控器，配置，協(xié)調(diào)和支付軟件。最后一個(gè)安全級(jí)涵蓋在基礎(chǔ)架構(gòu)即服務(wù)客戶端虛擬機(jī)上運(yùn)行的操作系統(tǒng)和應(yīng)用軟件。赫夫指出云用戶只能控制最后一個(gè)安全級(jí)，所以他們必須信任其服務(wù)提供商能完全保證所有其他層的安全可靠。

赫夫表示"令人困惑的是提供商的安全環(huán)境就是令人費(fèi)解的，但是最終用戶只能掌控他們自己的那一塊"。反之，即使云用戶能保證他們的應(yīng)用軟件和操作系統(tǒng)像軍事堡壘一樣安全可靠，但是如果提供商的基礎(chǔ)架構(gòu)存在漏洞，依然給遭遇風(fēng)險(xiǎn)留下了可趁之機(jī)。

    保護(hù)虛擬機(jī)環(huán)境也帶來了幾種新的挑戰(zhàn)。赫夫歸納了其中攻擊風(fēng)險(xiǎn)。在虛擬機(jī)層面上，這些風(fēng)險(xiǎn)是客戶端對(duì)客戶端，客戶端對(duì)主機(jī)服務(wù)器和客戶端自身的攻擊，同時(shí)也有來自云外部到主機(jī)和外部到客戶端的攻擊。最后是針對(duì)服務(wù)器或者管理程序本身的內(nèi)部攻擊和需要訪問物理服務(wù)器的硬件漏洞。

    根據(jù)赫夫的說法，對(duì)公有虛擬機(jī)的攻擊采取的是多管齊下的形式，包括以管理程序?yàn)槟繕?biāo)的木馬，傳統(tǒng)的惡意軟件或者所謂的超級(jí)攻擊（一種完全控制服務(wù)器的流氓管理程序）。服務(wù)器外圍設(shè)備也是可能招致虛擬機(jī)木馬攻擊的漏洞，攻擊可能會(huì)針對(duì)網(wǎng)絡(luò)接口卡或者硬件BIOS漏洞，通過被木馬感染的USB記憶棒來傳播病毒。

    雖然對(duì)虛擬機(jī)客戶端操作系統(tǒng)的攻擊從單獨(dú)的系統(tǒng)上是很難辨別的，但對(duì)基礎(chǔ)管理程序和服務(wù)器硬件的威脅在理論上依然是存在的。不過赫夫提醒大家說，盡管每個(gè)虛擬機(jī)的潛在風(fēng)險(xiǎn)已經(jīng)被大家所認(rèn)知，但是仍然有人會(huì)去攻破系統(tǒng)中的漏洞，如果系統(tǒng)存在被攻擊的薄弱環(huán)節(jié)，他們就存在風(fēng)險(xiǎn)。

技術(shù)和服務(wù)保護(hù)

    在多數(shù)方面，維護(hù)基礎(chǔ)架構(gòu)即服務(wù)云上虛擬系統(tǒng)的安全與保護(hù)企業(yè)數(shù)據(jù)中心里單獨(dú)的服務(wù)器是一樣的，應(yīng)用的最佳實(shí)踐方法也是一樣的。

    赫夫表示“你為維護(hù)一臺(tái)服務(wù)器所做的每件事，也應(yīng)該用在虛擬機(jī)上”，他還警告說使用公有云需要提高警惕性。

    或許最重要的是擁有詳細(xì)而強(qiáng)大的應(yīng)用軟件和虛擬操作系統(tǒng)監(jiān)控。對(duì)于云托管的應(yīng)用軟件來說，赫夫建議建立自動(dòng)監(jiān)控記錄以便提前偵測(cè)到性能異動(dòng)或者中斷。

    由于安全性已經(jīng)超出了云用戶的控制，赫夫就是主張?zhí)岣咛峁┥膛c用戶之前透明度的積極倡導(dǎo)者。當(dāng)我們信任第三方的核心業(yè)務(wù)應(yīng)用軟件時(shí)，用戶對(duì)他們的安全和數(shù)據(jù)保護(hù)協(xié)議，標(biāo)準(zhǔn)法規(guī)遵從和事故反應(yīng)流程的了解和監(jiān)控是非常重要的。事實(shí)上，對(duì)云提供商安全聲明查證流程的自動(dòng)化是CloudAudit標(biāo)準(zhǔn)項(xiàng)目的初步目標(biāo)。

    軟件廠商也加強(qiáng)了虛擬機(jī)的安全性。雖然這些改進(jìn)減少了黑客入侵管理程序或者攻擊同一個(gè)服務(wù)器上運(yùn)行的其他虛擬機(jī)的可能性，但基礎(chǔ)架構(gòu)即服務(wù)的用戶仍然要加強(qiáng)防范。

    KnowThreat的創(chuàng)始人兼首席咨詢師泰勒.班克斯推薦用戶在云上進(jìn)行存儲(chǔ)之前對(duì)所有數(shù)據(jù)都進(jìn)行本地加密，同時(shí)將關(guān)鍵的數(shù)據(jù)管理本地化。班克斯還強(qiáng)調(diào)說必須構(gòu)筑云托管應(yīng)用軟件的安全屏障。赫夫也同意班克斯的觀點(diǎn)并補(bǔ)充說，云用戶必須重新配置應(yīng)用軟件來保證系統(tǒng)能抵御安全缺口或者某個(gè)云提供商的服務(wù)中斷風(fēng)險(xiǎn)。

    Solera Networks公司負(fù)責(zé)市場(chǎng)營(yíng)銷和產(chǎn)品管理的副總裁Pete Schlampp認(rèn)為，云用戶也應(yīng)該要求提供商利用網(wǎng)絡(luò)論壇來抵御各種攻擊。他還補(bǔ)充說論壇充當(dāng)?shù)木褪?quot;網(wǎng)絡(luò)安全照相機(jī)"的角色，可以將任何安全事故重放出來。

原文鏈接：http://virtual.51cto.com/art/201012/236078.htm