虚拟化技术让云计算面临新的挑战
很多人认为云计算模式下的一大优势是用户可以轻松部署和使用虚拟化环境。而近期MIT(麻省理工学院)和加州大学的一项研究显示,这恰恰是云计算模式的不安全因素之一。
此项研究致力于揭示在公共云计算环境下有多少基础设施暴露在外边,以及究竟有没有可能对云中的虚拟机进行定位和袭击。
这篇名为“Hey, You, Get Off of My Cloud”的报告显示,人们可以对一台运行中的虚拟机进行定位。也就是说,人们可以通过一种“shotgun”技术来在同一硬件上启动一台新的虚拟机,这也就为云中针对虚拟化的攻击提供了一定的可能性。
研究者选择了在亚马逊的Web服务网站上进行这一研究,因为他们认为亚马逊是公用云计算服务器的领跑者。但是,这并不是只针对亚马逊,所有其他主流云服务供应商都无法避免此类攻击。
“当然这并不是亚马逊的错,这是由虚拟化技术的本质所决定的。”麻省理工学院计算机科学和人工智能实验室(CSAIL)博士后Eran Tromer表示,他同时也是这个项目的主要负责人。他说:“所有的云基础设施服务都会面临着一问题。”此外,Tromer补充说,他们研究所使用的都是最基本的技术,在很多情况下,也是在利用云计算资源的最基本属性。
“云制图”方面的研究是基于最基本的网络发现技术技术所实施的,比如说将每个机器的公开地址和DNS地理信息结合起来,再发送HTTP请求看Web服务器是否实施了最基本的安全预防措施。通过这样做,Tromer及其搭档大体上可以确定一台既定服务器是否运行在亚马逊的数据中心里。
此外,通过连续启动测试服务器,他们可以加速对目标虚拟机的定位工作。也就是说,他们选择了讲自己的机器运行在同样的CPU、RAM及硬盘驱动上。 Tromer表示,一旦完成了对虚拟机的定位,对其进行“旁路”攻击就很容易了。“旁路”攻击主要是针对软件或硬件的薄弱环节进行攻击,而不是针对密码破译、非安全网络流量或其它一些常见的安全缺陷。
Tromer表示,出于伦理道德方面的考虑,他们并不想对亚马逊的EC2服务进行测试,也不想对测试目标之外的机器进行定位。他们只是想证明在云中是可以在虚拟机间进行数据传输的。Tromer还表示,他们已经证实自己网络中的虚拟机存在这一隐患,并看到了公用云计算服务中类似的攻击威胁。
Tromer表示,云计算面临的攻击威胁从拒绝服务攻击(袭击者通过监控CPU或内存的使用量来进行定位)到数据截听不等,比如说在数据从硬盘向CPU传递时恢复期密钥或对其进行解码。
私有云也面临着类似的攻击
Tromer表示,使用多佃户虚拟化技术的私有云架构也有可能面临同公有云一样的攻击威胁。
“这些研究很好的揭示了云计算在安全方面的隐患,”思科公司云计算和虚拟化解决方案主管、安全专家Christofer Hoff.表示。他将此项研究称之为“善意的提醒”。尽管说一直在宣传,但云计算还没有从根本上解决安全方面的隐患,这对他们是一种警示。
他表示,此项研究从侧面强调了供应商在安全方面应该比用户做更多的工作。“用户在网络控制方面能做的工作室相当有限的,特别是对于像亚马逊这样的云计算服务。”Hoff.说。他还强调,云服务供应商不应该将应对安全问题的责任推给用户,而不将自己所采取的预防措施公布于众。“他们目前所采用的预防措施非常、非常的基础。”他说。
亚马逊对安全问题做出回应
亚马逊对该项研究非常重视。其发言人Kay Kinton在邮件中表示,亚马逊会对这一问题迅速做出反应。此外,她还指出,研究者们所提到的几点缓解威胁的措施对亚马逊化解潜在的虚拟化安全问题很有帮助。
“尽管说目前还无法确定在这方面会有什么具体的攻击出现,但亚马逊非常重视这一问题,我们正在研发相应的安全措施来保护用户免受该研究报告中提到的‘云制图’技术安全袭击。”她说。
Rackspace没有对其在处理“云制图”攻击或虚拟化安全问题方面的所作所为做出任何评价。Joyent表示他们使用的是OpenSolaris虚拟化环境,而不是Xen,这意味着他们的云计算平台不存在研究报告中所提到的虚拟化安全隐患。
GoGrid发言人Michel Sheehan表示,尽管说GoGrid使用的是与亚马逊一样的Xen虚拟化架构,但其在主机托管方面的背景使他们在虚拟化安全方面的警惕性非常高。他表示,如果用户需要确保这方面的安全,他们的管理软件能够在硬件后端对虚拟机进行隔离,因此也不存在这一问题。
“也正是出于这方面的考虑,我们为用户设立了‘云服务与物理设备托管’的选项。”他说。
(责任编辑:admin)- “扫一扫”关注融合网微信号
免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。
第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。
根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。
第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。
个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。
融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net
对免责声明的解释、修改及更新权均属于融合网所有。