VM映像安全威胁
– VM克隆安全威胁 – VM存储安全威胁
– VM运行安全威胁
–VM间通信安全
–托管桌面安全
–VM迁移安全 –VM资源消耗型DoS
– VM注销安全威胁
VM克隆和存储安全威胁
休眠
App App App
激活
克隆
OS
ESX/Xen/Hyper-V
• VM克隆安全威胁： • VM模板中可能存在脆弱性和错误配置选项，导致：1） 安全弱点复制得很快；2）错误安全设置的快速传播 • VM存储安全威胁 • 休眠VM的存储安全威胁：VM篡改、数据泄密 • 休眠VM可能携带着脆弱性和过期AV特征库
IBC-based IAM
密钥分发 明文数据 云存储系统 密文数据
虚拟机池
安全存 储网关
技术交流目录
核研院虚拟化与云计算研究布局 虚拟化与云计算安全威胁
目录
虚拟化与云计算安全防护框架
虚拟化与云计算安全技术和产品
企业云计算之路安全建议
安全性是用户选择云计算首要考虑因素
• IDC 08年的调查报告显示，云计算服务面临的前大大市场挑战分别为服 务安全性、性能和稳定性。 • Google的数据泄密、Amazon的存储故障
应用安全威胁 – Web安全威胁 • OWASP Top 10
云计算特有的安全威胁
• 虚拟化自身的安全威胁
– Hypervisor脆弱性引入的安全威胁
• 虚拟化引入的安全威胁
– 虚拟机管理过程中引入的安全威胁
• 多租户引入的安全威胁
– 多租户网络物理融合引入的安全威胁 – 多租户数据集中存储引入的安全威胁 – 企业接入云计算平台引入的安全威胁
云计算安全防护基本思路和要求
改善应用程序/服务的交付 安全性 减少 IT 运营员工/费用 降低拥有硬件基础架构的总成本 提高生产效率/移动性 允许在企业网络内使用消费设备 不打算更改校园/边缘 IT 架构 不知道/不适用
云计算应用的安全优势和挑战
• 从安全角度看，云计算带来的机遇和挑战并存 • 优势
– 将数据统一存储在云计算服务器中，通过加强对核心数据的集 中管控，在理论上比在分布大量各种终端上的数据更安全 – 云计算的同质化使得安全审计、安全评估、测试更加简单 – 更容易实现系统容错、高可用性和冗余及灾备 – 更容易实现网络犯罪取证，只需要拷贝虚拟机
• 挑战
– – – – – – 客户对物理设备的控制缺失，只有间接的管理权限 同一物理主机上虚拟机之间流量的不可见性 物理安全边界模糊 客户需要信任服务提供商的安全模型 多租户环境下的数据安全和隐私保护 云服务之间的相互依赖带来的可靠性问题
云计算环境安全威胁
• 两种类型的安全威胁
• 传统网络环境的安全威胁
vSwitch
vSwitch
托管虚拟桌面(VDI)安全威胁
3:00am Scan
AV
App
AV
AV
AV
AV
OS
Typical AV Console
ESX/Xen/Hyper-V
• 虚拟桌面以克隆方式快速复制，使得所有虚拟桌面拥有相 同的配置 • 运行在虚拟桌面上的AV 和补丁管理程序可能在同一时刻进 行病毒扫描和升级，导致资源竞争，影响降低虚拟桌面部 署密度 • 虚拟桌面终端安全管理软件和恶意软件位于同一个权限级 别，容易被恶意卸载
• 用户数据和应用集中部署在数据中心， 用户远程接入到云计算平台的过程可能 存在安全威胁。
– 云计算接入过程中的安全威胁
• 身份假冒威胁 • 传输泄密威胁 • 未经授权访问
企业访问SaaS带来的安全威胁
• 当一个企业租用多个SaaS服务时，对SaaS服务的 访问管理成为一个难题，可能带来新的安全威 胁。
– 电子政务安全现状和安全需求 – 云计算安全风险和安全技术研究 – 云计算环境下的电子政务安全策略框架 研究 – 云计算环境下的电子政务安全策略实施 方案研究
虚拟化与云计算群研究课题
• 博士后研究课题：虚拟化平台上的虚拟机安全监 控
– 特权虚拟机通过虚拟化层提供的内省API对其它虚拟机 进行安全监控 – 允许安全虚拟机对其它虚拟机CPU、内存、网络流和磁 盘I/O进行监控 – 安全虚拟机可高效实现各种安全功能，包括FW、HIPS、 NIPS、AV等
云计算管理平台安全威胁
• 云计算管理平台是整个云计算平台运维 和运营中心，管理着所有的物理和虚拟 资源
– 管理平台稳定性和安全性非常关键。
• 云计算平台管理员具有创建、运行、迁 移和删除运行在云平台上的虚拟机的超 级权限
– 如果管理权限被滥用，后果不堪设想
云计算管理平台安全威胁
云计算平台接入安全威胁
21
VM运行安全威胁(内部通讯)
休眠
App
激活
App
App
App
App
App
App
App
OS
OS
OS
OS
• 同一物理机上VM之间的信息交互在机器内部进行，并不经过 物理安全设备 • 传统网络安全审计设备无法监视VM间的流量 • 传统边界防御安全设备无法控制虚拟机之间的访问
22
IDS/IPS
IDS/IPS
虚拟机逃逸介绍
• 虚拟机逃逸，是指攻击者在已控制一个VM的前提 下，通过利用各种安全漏洞攻击Hypervisor。
– 典型案例：蓝色药丸、CloudBurst 序号 – 逃逸后果
• • • •
VM1
CVE编号 CVE-2010-0633 CVE-2009-3758 CVE-2009-3525 CVE-2008-7096 CVE-2008-4993 CVE-2008-3687 CVE-2008-1944 CVE-2008-1943 CVE-2008-1673 影响 execute unspecified Xen API (XAPI) calls execute arbitrary SQL commands boot the guest or modify the guest's kernel boot parameters gain additional privileges overwrite arbitrary files execute arbitrary code execute arbitrary code execute arbitrary code execute arbitrary code
23
VM动态迁移安全威胁
App
App
App
App
App
App
OS
OS
OS
• VM动态迁移是否会导致业务服务中断？ • VM是否会迁移到一个不安全的网络中？ • VM迁移是否可以确保安全策略一致性？
IDS/IPS
IDS/IPS
vSwitch
vSwitch
24
VM资源消耗型DoS和VM注销安全威胁
• VM资源消耗型DoS
– 如果配置不妥，可能导致数据泄密。
• 如何确保和验证各租户逻辑网络之间的 安全隔离?
多租户环境下的数据安全威胁
• 在云计算环境中，数据的所有权和控制权 被分离，各租户的用户数据集中存在云中 ，存在数据保护和隐私保护安全需求 • 用户数据的各种形态
– 存储在存储区的静态数据 – 缓存在内存中的动态数据 – 流经于网络中的传输数据
杀毒 模块 防火 墙 系统 监控 应用 保护 入侵 防护 虚拟 补丁
虚拟化与云计算群研究课题
• 博士后研究课题：基于身份标识密码系 统的身份标识、密钥管理和数据加密研 究
– 采用轻量级的IBC实现云计算中的用户身份标识和 密钥管理 – 基于IBE实现云存储中的数据加密研究 – 设计并实现一个安全存储网关实现云计算中的数据 存储安全。
虚拟化与云计算安全技术交流
技术交流目录
核研院云计算技术布局 虚拟化与云计算安全威胁介绍
目录
虚拟化与云计算安全防护框架
虚拟化与云计算安全技术和产品
企业云计算之路安全建议
启明星辰为云安全联盟会员（CSA）
启明星辰成立VCTF小组
• 为推动虚拟化和云计算小组的技术研究 、产品研发、产品推广等方面工作，我 们成立了跨部门的VCTF小组。
• 当攻击者控制了主机上的一个VM后，可能通过在该 VM上执行计算密集型或IO密集型操作，过多地占用 物理主机上宝贵资源，从而对其它VM带来性能降低
• VM注销安全问题 • 不再使用的VM如果不进行安全删除，则可能被恶意 恢复，从而导致数据泄密。
25
多租户网络融合引入的安全威胁
• 在多租户网络环境中，各租户之间的物 理网络边界变得模糊，可能只存在逻辑 上的网络边界
安装Hypervisor级后门 拒绝服务攻击 数据窃取 控制其它VM
VM2 VMn
1 2 3 4 5 6 7 8 9
表3 2007-2010 Xen重要漏洞概览
Hypervisor(执行任意代码) Hardware
序号 1 2 3 CVE编号 对应MS编号 CVE-2009-1544 MS09-041 影响 execute arbitrary code affect all virtual machines hosted by that system. CVE-2010-0026 MS10-010 CVE-2009-1542 MS09-033 execute arbitrary code
目录
虚拟化与云计算安全防护框架
虚拟化与云计算安全技术和产品
企业云计算之路安全建议
CSA对云计算安全控制观点
• 云计算中的安全控制其主要部分与其它IT环 境中的安全控制并没有什么不同，然而，基 于采用的云服务模型、运行模式以及提供云 服务的技术，与传统IT解决方案相比云计算 可能面临不同的风险 • ---CSA云计算安全指南