作為虛擬化的一種延伸方式,云計(jì)算在移動(dòng)互聯(lián)網(wǎng)時(shí)代的影響范圍越來越廣泛,呈現(xiàn)有增無減趨勢(shì)。
越多的數(shù)據(jù)泄露事故不斷動(dòng)搖著用戶對(duì)云安全的信心,也增加了云計(jì)算領(lǐng)域?qū)Π踩匾暋kS著云計(jì)算在各個(gè)行業(yè)的落地,各種類型的漏洞攻擊例如APT攻擊、0day攻擊、DDoS攻擊層出不窮。
當(dāng)黑客通過購(gòu)買云主機(jī)或采取直接入侵的方式進(jìn)入虛擬機(jī)后,可以進(jìn)行三種類型的攻擊:
第一, 利用虛擬化系統(tǒng)漏洞,控制虛擬化系統(tǒng)執(zhí)行流程,進(jìn)行逃逸攻擊,在宿主機(jī)中執(zhí)行任意代碼;
第二, 利用漏洞造成宿主機(jī)崩潰,導(dǎo)致該宿主機(jī)上虛擬機(jī)停止服務(wù);
第三, 通過虛擬機(jī)中的通信機(jī)制以及網(wǎng)絡(luò)劃分規(guī)則,對(duì)同一宿主機(jī)上的其他虛擬機(jī)進(jìn)行信道攻擊和惡意掃描。
以毒液漏洞為例,它虛擬化安全漏洞中的一個(gè)典型代表。
據(jù)了解,業(yè)界提供的完整利用思路分為三步:
第一, 黑客利用venom漏洞進(jìn)行虛擬機(jī)逃逸;
第二, 進(jìn)入同一宿主機(jī)上的其他虛擬機(jī)當(dāng)中;
第三, 獲取對(duì)宿主機(jī)網(wǎng)絡(luò)的訪問權(quán)限,并嘗試獲得證書等敏感信息。
云計(jì)算架構(gòu)已經(jīng)變得很復(fù)雜。云計(jì)算為代表的新一代信息技術(shù)是智慧城市形成驅(qū)動(dòng)力。因此,虛擬化漏洞挖掘是打造虛擬化防御產(chǎn)品必備入門技術(shù)。比如360Marvel team。
此外,針對(duì)用戶空間和hypervisor層的熱補(bǔ)丁技術(shù)與比輕代理效率更高的無代理技術(shù)也將是虛擬化防御產(chǎn)品的重要內(nèi)容。