虛擬化是一項能讓客戶端服務(wù)器應(yīng)用軟件與多核大容量中央處理器完美融合的技術(shù)。也是能為當(dāng)下的服務(wù)器和應(yīng)用軟件提供豐富的處理能力和內(nèi)存的理想解決方案，同時還能實現(xiàn)應(yīng)用軟件與服務(wù)器之間完美的隔離。事實上，管理程序和虛擬機已經(jīng)成為網(wǎng)絡(luò)應(yīng)用軟件時代的大型機。就像大型機推動了由內(nèi)部IT部門所有和掌控的私有系統(tǒng)向可供任何人使用的公共分時服務(wù)遷移那樣，虛擬機也跨越了私有和公有資源的鴻溝，以云為基礎(chǔ)的基礎(chǔ)架構(gòu)即服務(wù)提供商可以根據(jù)使用時間計費來出租服務(wù)器。

　　裸機虛擬機監(jiān)控器是針對完全孤立的多用戶客戶端操作系統(tǒng)所設(shè)計的系統(tǒng)。在企業(yè)數(shù)據(jù)中心可控的范圍內(nèi)，每個虛擬機用戶的身份和責(zé)任都是已知的，虛擬機隔絕技術(shù)就足夠用了；但是，當(dāng)應(yīng)用環(huán)境向公共云遷移，這項技術(shù)的作用就顯示出了其局限性。來自其他云用戶的虛擬機安全風(fēng)險涉及的范圍目前還處在在安全專家的研究過程中，但是安全風(fēng)險已經(jīng)超出了虛擬機監(jiān)控器目前可以自我防御的范圍，因為在云環(huán)境中，網(wǎng)絡(luò)和存儲也都是共享的。盡管目前還沒有公開文獻(xiàn)記載了虛擬機之間的滲透，但是有專家警告稱這不是不可能發(fā)生的事情，狡猾的黑客入侵管理程序不過是時間的問題。在云環(huán)境中，要控制的不止是操作系統(tǒng)，最終用戶只是這個安全天平上的一個組成部分，他們必須信任服務(wù)提供商來為獲取服務(wù)提供支持。

　　潛在的風(fēng)險

　　了解公共云風(fēng)險的一個方法是將操作環(huán)境劃分為三個提取層，這種方法是由思科系統(tǒng)公司安全技術(shù)事業(yè)部云和虛擬化解決方案總監(jiān)兼云安全聯(lián)盟技術(shù)顧問克里斯托弗.赫夫最先提出的。處于云托管環(huán)境核心中的基礎(chǔ)網(wǎng)絡(luò)，服務(wù)器硬件和存儲軟件的基礎(chǔ)架構(gòu)安全屬于最低的級別。

　　第二級是基礎(chǔ)架構(gòu)即服務(wù)層的安全，包括虛擬機監(jiān)控器，配置，協(xié)調(diào)和支付軟件。最后一個安全級涵蓋在基礎(chǔ)架構(gòu)即服務(wù)客戶端虛擬機上運行的操作系統(tǒng)和應(yīng)用軟件。赫夫指出云用戶只能控制最后一個安全級，所以他們必須信任其服務(wù)提供商能完全保證所有其他層的安全可靠。

　　赫夫表示“令人困惑的是提供商的安全環(huán)境就是令人費解的，但是最終用戶只能掌控他們自己的那一塊”。反之，即使云用戶能保證他們的應(yīng)用軟件和操作系統(tǒng)像軍事堡壘一樣安全可靠，但是如果提供商的基礎(chǔ)架構(gòu)存在漏洞，依然給遭遇風(fēng)險留下了可趁之機。

　　保護(hù)虛擬機環(huán)境也帶來了幾種新的挑戰(zhàn)。赫夫歸納了其中攻擊風(fēng)險。在虛擬機層面上，這些風(fēng)險是客戶端對客戶端，客戶端對主機服務(wù)器和客戶端自身的攻擊，同時也有來自云外部到主機和外部到客戶端的攻擊。最后是針對服務(wù)器或者管理程序本身的內(nèi)部攻擊和需要訪問物理服務(wù)器的硬件漏洞。

　　根據(jù)赫夫的說法，對公有虛擬機的攻擊采取的是多管齊下的形式，包括以管理程序為目標(biāo)的木馬，傳統(tǒng)的惡意軟件或者所謂的超級攻擊(一種完全控制服務(wù)器的流氓管理程序)。服務(wù)器外圍設(shè)備也是可能招致虛擬機木馬攻擊的漏洞，攻擊可能會針對網(wǎng)絡(luò)接口卡或者硬件BIOS漏洞，通過被木馬感染的USB記憶棒來傳播病毒。

　　雖然對虛擬機客戶端操作系統(tǒng)的攻擊從單獨的系統(tǒng)上是很難辨別的，但對基礎(chǔ)管理程序和服務(wù)器硬件的威脅在理論上依然是存在的。不過赫夫提醒大家說，盡管每個虛擬機的潛在風(fēng)險已經(jīng)被大家所認(rèn)知，但是仍然有人會去攻破系統(tǒng)中的漏洞，如果系統(tǒng)存在被攻擊的薄弱環(huán)節(jié)，他們就存在風(fēng)險。

　　技術(shù)和服務(wù)保護(hù)

　　在多數(shù)方面，維護(hù)基礎(chǔ)架構(gòu)即服務(wù)云上虛擬系統(tǒng)的安全與保護(hù)企業(yè)數(shù)據(jù)中心里單獨的服務(wù)器是一樣的，應(yīng)用的最佳實踐方法也是一樣的。

　　赫夫表示“你為維護(hù)一臺服務(wù)器所做的每件事，也應(yīng)該用在虛擬機上”，他還警告說使用公有云需要提高警惕性。

　　或許最重要的是擁有詳細(xì)而強大的應(yīng)用軟件和虛擬操作系統(tǒng)監(jiān)控。對于云托管的應(yīng)用軟件來說，赫夫建議建立自動監(jiān)控記錄以便提前偵測到性能異動或者中斷。

　　由于安全性已經(jīng)超出了云用戶的控制，赫夫就是主張?zhí)岣咛峁┥膛c用戶之前透明度的積極倡導(dǎo)者。當(dāng)我們信任第三方的核心業(yè)務(wù)應(yīng)用軟件時，用戶對他們的安全和數(shù)據(jù)保護(hù)協(xié)議，標(biāo)準(zhǔn)法規(guī)遵從和事故反應(yīng)流程的了解和監(jiān)控是非常重要的。事實上，對云提供商安全聲明查證流程的自動化是CloudAudit標(biāo)準(zhǔn)項目的初步目標(biāo)。

　　軟件廠商也加強了虛擬機的安全性。雖然這些改進(jìn)減少了黑客入侵管理程序或者攻擊同一個服務(wù)器上運行的其他虛擬機的可能性，但基礎(chǔ)架構(gòu)即服務(wù)的用戶仍然要加強防范。

　　KnowThreat的創(chuàng)始人兼首席咨詢師泰勒.班克斯推薦用戶在云上進(jìn)行存儲之前對所有數(shù)據(jù)都進(jìn)行本地加密，同時將關(guān)鍵的數(shù)據(jù)管理本地化。班克斯還強調(diào)說必須構(gòu)筑云托管應(yīng)用軟件的安全屏障。赫夫也同意班克斯的觀點并補充說，云用戶必須重新配置應(yīng)用軟件來保證系統(tǒng)能抵御安全缺口或者某個云提供商的服務(wù)中斷風(fēng)險。

　　Solera Networks公司負(fù)責(zé)市場營銷和產(chǎn)品管理的副總裁Pete Schlampp認(rèn)為，云用戶也應(yīng)該要求提供商利用網(wǎng)絡(luò)論壇來抵御各種攻擊。他還補充說論壇充當(dāng)?shù)木褪?quot;網(wǎng)絡(luò)安全照相機"的角色，可以將任何安全事故重放出來。

原文鏈接：http://smb.chinabyte.com/456/11683456.shtml