云计算面临的主要安全威胁

云计算面临的主要安全威胁一、传统威胁服务器虚拟化环境中，VM通常都是租给客户使用的，对客户而言与租用某台物理主机差异不大。因此， VM依然面临各种传统的网络攻击威胁，这些威胁主要包括：（一）远程漏洞攻击。通过严重的远程服务漏洞，如RPC/IIS等漏洞，在VM中执行任意代码，并安装后门，以实现长期远程控制。（二） Dos/DDos攻击。典型的服务器致瘫手段，利用僵尸网络（botnet）使外界无法正常访问目标服务器。（三）主动Web攻击。通过SQL注入、旁注攻击、Cookie欺骗登录等手段获取站点权限，以及后续的权限提升，最终效果为安装后门或接管整个网站后台。（四）网页挂马攻击。此类攻击的目标通常是存在特定浏览器漏洞的客户端，就服务器而言，对应的威胁主要是被控制后攻击者实施的挂马行为，如重定向主页到真正的挂马网站。（五）登录认证攻击。通过嗅探、猜解、暴破等方式，获取VM的3389、4899、telnet等远程管理登录信息，以及各类网站后台入口登录信息，以实现对远程VM或网站后台的控制。（六）基于移动存储介质的病毒传播。通常是结合U盘进行的病毒传播，典型的案例为2010年的“震网”病毒（Stuxnet），结合快捷方式漏洞（MS10-046）及U盘进行传播，但这类攻击一般与VM管理员的操作系统有关。通过及时更新反病毒软件实施防御。二、虚拟化带来的新威胁逃逸即虚拟机逃逸，是指在已控制一个VM的前提下，通过利用各种安全漏洞，进一步拓展渗透到Hypervisor甚至其它VM中。站在服务器虚拟化安全角度，可以从“一个前提、三类模式、四种影响、一个根源”四方面来理解逃逸。一）逃逸攻击前提。服务器虚拟化环境里，Hypervisor直接安装在物理机上。另一方面，Hypervisor并没有接口明显暴露在网络中，攻击者唯一能访问的就是上层的VM因而，实施逃逸攻击的前提则是必须先控制某个VM再以它为跳板逐步尝试并达到逃逸的目的。（二）典型的逃逸模式。假设攻击者通过各种手段（通常是漏洞攻击）已控制某个VM在此基础上，可衍生出下列三类逃逸模式：从已控VM到Hypervisor。由于对已控VM具有完全的操作权，如果Hypervisor各组件中存在漏洞、且漏洞可以从 VM中触发的话，则攻击者完全可能开发相应的漏洞利用程序（Exploit），并实现在Hypervisor中以高权限执行任意代码（如ShellCode）或导致Hypervisor拒绝服务，该逃逸模式如图所示：上图中，橙色部分表示处于被控状态。值得探讨的是攻击者的身份，可能是网络上的普通黑客，利用远程渗透手段获取 VM1控制权，进而实现逃逸；此外，也可能是恶意的 VM租用，以客户身份直接攻击Hypervisor（或VM供应商），相比之下后者尽管发生概率小，但对虚拟化环境产生的威胁却更大。从已控VM到Hypervisor，再到其它VM以第1种逃逸模式为基础，在获取Hypervisor之后，攻击者可以截获、篡改和转发其它VM对底层资源的请求或各VM之间的通信，并结合对应的安全漏洞实施攻击，最终逃逸到其它VM中。该逃逸模式如图所示：从已控VM直接到其它VM该逃逸模式利用了VM的动态迁移特性引发的漏洞复制问题。VM的动态迁移用于快速解决众多客户的VM租用需求，基于此特性，同一个供应商提供的 VM几乎源于相同的镜像（Image）。显然，动态迁移过程使得原始VM镜像中的安全漏洞也在不断地复制和传播。攻击者在充分收集已控VM特点及脆弱性的基础上，从网络中通过适合的渗透手段对其它VM进行攻击，从而实现逃逸。三、逃逸的影响逃逸是目前最严重的虚拟化安全威胁，其影响主要体现在下列三点： 八、、•（一） 安装Hypervisor级后门。通过漏洞攻击实现在Hypervisor中执行任意代码（如ShellCode）仅仅是一个过渡状态，在此基础上，可以进一步安装基于Hypervisor的后门。（二） 在其它VM中安装后门。这与传统系统攻击后的情形类似，目前还暂不需考虑Hyper-VXen等非全虚拟化产品中VM安全性的变化。（三）拒绝服务攻击。Hypervisor中有的漏洞尽管无法执行任意代码，但却可能导致Hypervisor出现异常，进而使得单个甚至是所有的VM（即商业服务中的虚拟主机）都宕掉。此种情况若出现在大型服务器中，后果将是难以想象的。除了上述三种影响外，逃逸攻击还可以造成信息泄露，并使攻击者浏览到正常权限以外的信息，例如II型虚拟机VMwareWorkstation中就出现过“利用HostOS/VM共享路径处理漏洞”利用的案例。四、逃逸根源一安全漏洞虚拟化技术让个多VM分享同一物理机上硬件资源并提供隔离效果。理想状况下，一个运行在VM里的程