《雲計算安全體系》之虛拟化安全讀後總結

• 雲計算安全體系之虛拟化安全讀後總結
  • 虛拟化架構
  • 虛拟化安全隐患
  • 虛拟化安全攻擊
  • 虛拟化安全解決方法

虛拟化架構

之前了解比較少，重點記錄下

* 裸機虛拟化：無需HostOS，hypervisor直接運作在硬體上，對上提供指令集和裝置接口給虛拟機，性能高，實作複雜，多用于企業級虛拟化架構，典型實作有VMware ESX、Microsoft Hyper V 等。

* 主機虛拟化：需HostOS，Hypervisor為其上的軟體，性能差，實作簡單，目前是發展主流，典型實作有xen、kvm、VMware workstation 等。

* 作業系統虛拟化：繼續HostOS的隔離機制實作，運作效率高，但必須使用單一标準的作業系統，靈活性差，典型實作有 docker、LXC 等，也就是容器，目前很火熱。

虛拟化安全隐患

配置問題導緻

- 虛拟機蔓延：虛拟機建立越來越容易，數量越來越多，導緻管理和回收工作越來越困難，這種失去控制的虛拟機繁殖成為虛拟機蔓延，具有僵屍虛拟機、幽靈虛拟機、虛胖虛拟機三種表現形式。

- 特殊配置隐患：模拟多種作業系統下軟體的運作情況，會租用多個虛拟機，部署不同的作業系統，在仿真條件，比如不更新更新檔的情況下檢視自己軟體運作情況，存在漏洞。

- 狀态恢複隐患：備份和快照的功能，導緻虛拟機可随時復原，導緻安全政策比如已更新的更新檔丢失的情況。

- 虛拟機暫态隐患：虛拟機暫停使用的狀态，系統管理者無法對其進行安全更新。

虛拟化安全攻擊

惡意攻擊

- 虛拟機竊取和篡改：虛拟機磁盤内容和鏡像以檔案存在的緣故。

- 虛拟機跳躍：同一Hypervisor上虛拟機之間能夠通過網絡連接配接、共享記憶體等互相通信，攻擊者基于一台虛拟機通過上述方式擷取同一Hypervisor上其他虛拟機的通路權限。

- 虛拟機逃逸：Hypervisor存在漏洞，攻擊者使用虛拟機擷取到Hypervisor的通路權限。

- VMBR攻擊：virtual machine based rootkit。在已有的作業系統之下安裝一個虛拟機螢幕，将作業系統上移，程式設計一個虛拟機，這樣在VMM中運作任何惡意程式都不會被運作在目标作業系統上的入侵檢測程式發現。

- 拒絕服務攻擊

虛拟化安全解決方法

• 主控端安全：實體安全和作業系統安全，傳統的安全機制。
• Hypervisor安全機制：
  • 自身安全保障：建構輕量級Hypervisor，較少TCB(Trusted Computing Base)；基于可信計算技術的完整性保護。。
  • 提高Hypervisor防禦能力：虛拟防火牆；合理配置設定主機資源；保障遠端控制台安全（連接配接數為1，禁止拷貝和黏貼）；根據需要配置設定權限（先配置設定角色，不帶權限，使用者需要什麼權限，再配置設定）。
• 虛拟機隔離機制：
  • 安全隔離模型：硬體協助的安全記憶體管理SMM；硬體協助的安全I/O管理SIOM。
  • 通路控制模型：sHype，Shamon
• 虛拟機安全監控：
  • 内部監控：被監控的虛拟機中插入一些鈎子函數，典型代表Lares、SIM，可以直接截取系統級語義。
  • 外部監控：依賴Hypervisor的截獲，典型代表Livewire，需要語義重構（低級語義如二進制語義重構出進階語義如作業系統級語義）。
• 虛拟機安全防護與檢測：
  • 縱向流量的防護與檢測：用戶端到伺服器的通路，不同虛拟機之間三層轉發流量，交換必經過硬體交換，傳統的防火牆和入侵檢測都可使用。
  • 橫向流量的防護與檢測：虛拟化新問題，不經過硬體交換，2種技術，一是基于虛拟機的安全服務模型（建立安全虛拟機，開發Hypervisor嵌入式子產品，将流量重定向到安全虛拟機進行安全管理）；二是邊緣虛拟橋（edge virtual bridge EVB）和虛拟以太網端口彙聚器VEPA，将虛拟交換上的流量重定向到實體交換上進行管理。