7月4日消息,2012年中国计算机网络安全年会在西安举行,华为云中心技术总监云朋发表了“虚拟化安全分析”为主题的演讲。
华为云中心技术总监云朋
以下为演讲实录:
各位专家,大家好。我是华为这边的工程师,今天跟大家看一下虚拟化安全分析,里面有一些错误问题的话,希望各位专家指正。我先自我介绍一下,我是差不多2000年开始从事安全这方面的工作,做了些年,比较杂。那么讲XEN的时候,我们要简单回顾一下它的历史,其实在1960年的时候,IBM无就提出了,那么在整个虚拟化里面,我们现在可以看出来的,软件的方式的话,架构的就是说PDM,像微软,这一系列,成为云计算的核心架构形式。不知道买云计算主机的,都是一些小公司,可能看到PDM,他们做了一些改造,上面加了一些XEN的东西。今天我们主要看一下这样几个情况,XEN是一个机遇Hypenisor而和虚拟化的开韵虚拟机监视器。上传的话比较重要的经过改造的,叫Dommain0,那么剩下的就是我们在云计算里面会使用的,那么一个是半虚拟,一个是全虚拟,构成了一个完整的架构。
我们看一下这种架构,在我们当前看来,包括了它会出现问题的一些可能性。首先是CEO打交道,有可能会死到,所以会影响整个业务系统,这是一个安全问题。第二就是对整个虚拟输入输出和网卡,它是整个全线最高的一台虚拟机。那么所以如果Dommain0出现问题的话,会有影响。如果网络没有很好的被监控,出现问题以后,有可能被其他虚拟用户所攻陷,这是我们认为三个层次里面比较重要的三个问题,我们下面分别简单看一下。
第一个是我们说我们不知道运行的是谁,它的安全性问题就会存在,它的安全性问题主要是架构基于两个方面造成的,一个是当你使用虚拟机的时候,那么它的所有的内容是在内部的虚拟网卡进行交流的,所以传统的防火墙没法去做,当然有一些方法,把流量跟它引进来,但是我个人感觉这些方法还是比较土的,因为不能得到保证,本身虚拟的流动拿到外面去了,经过我们传统的再进行过虑,这种方法来说,本身系统就会有所降低,所以更多的认为还是需要从Dommain0的控制,去对网络进行监控。第二是内容的问题,这也是容易出问题的情况,针对每一个,有一个表,当Ghost Os被发现时,流量从一个虚拟机到另一个虚拟机,不经过物理网卡,这个是很危险的。那么对Hypervisor攻击的话,其实是很平常的,那么这个拒绝服务攻击的话,非常容易。第三个是Hypervisor的文化,Hypervisor作为基础活动,你要在这个上面做一些虚拟,所以启动了API接口,那么这些接口的话,他能够保证说对Hypervisor比较容易的控制,那么这个接口就是我们看到这个可能就搭建起来了。但是因为这些接口的存在,如果我们可以发现,其实我们不用去专门通过这些复杂的方法入侵,也一样可以达到控制整台设备的方法,最主要的我们调查和了解,最主要的在整个业务方面里面,拒绝服务比较麻烦,因为拿到权限以后,你的设备会被接管,但是一旦产生攻击以后,典型的是不能提供服务,会导致你的业务终端,所以在这里面需要防御、发现、更新。
我们刚才说有两个漏洞,会导致Hypervisor问题,第一个漏洞是比较新的,这个的问题其实是很简单的,就是说虚拟其实在加载的时候,它会通过指令加载我们所说的静象虚拟机,它的系统处理达不到,这时候就崩溃,XEN的崩溃,会导致Hypervisor不会提供这个能力,羧基我们会发现这个就挂了,任何用户再虚拟就不会成功的。另一个攻击是CVE-2011-1898,通过这个虚拟化,它的问题引起中断,一个网卡,甚至USB的驱口,通过这个驱动的话,我们可以很容易的去启动设备驱动,让PCI去执行DMA的执行,那么这个时候,DMA会有一个指令,会发生一个中断,我们有中断的时候,这时候我们可以做很多事情,做的只是我们自己设备事情,但是恰恰不是这样的。它的性能的提高,是把DMA已经虚拟化,我们访问所有的日程,在这个里面有一个消息中断,也就是它具有了特权,我们可以有我们的代码,这样执行起来比较容易。在Hypervisor的情况下,切入自己的一些指令,这些指令包括你可以去修改上下的传输,这个字面意义理解起来比较困难,你可以实践一下,远远没有那么复杂。你要去搞中断,就是比较简单的来说,其实就是XEN做过这种要求有驱动的,很容易做。这是剩下一些比较老的漏洞,它们主要是因为逻辑不够严格,会出现一些攻击。像自己把自己的虚拟机挂起来,或者说我让自己执行非常频繁的这种操作,在这种情况下都能击打消耗Hypervisor的性能,导致Hypervisor拒绝服务。
Hypervisor这些问题的话,通过这种传统方式,会通过一些方法,现在实践起来比较困难,因为它本身的机构,这是第一个,第二个Hypervisor一旦出现挡机(音),这是比较严重的。它重启了以后,系统又恢复了原来的现状,更多的还是我刚才说的基于Dommain0和Ghost Os的一些方法。刚才说了最下层对Hypervisor的攻击。第二个就是Dommain0的问题,它会负责虚拟机的加载,虚拟机之间的资源传输,如果Dommain0没有很好的被保护起来的话,我们就是说比攻击Hypervisor要容易的多,去攻击Dommain0,普通的是看不到的,其实像Hypervisor有很多接口,这样的话,我们通过一些方式建立虚拟环境,去加载、创建,取给用户分配一些功能,如果我们通过一些渗透的方法,就是我特别同意,其实我要看外部好像很简单,我们发现是不一定要搞XP这样才有机制,其实未来大部分都会到XEN上,如果你的管理XEN,管理平面被攻击的话,攻击者就会拿到Dommain0的操作,它是由整个接触的这种逻辑不够严格,产生的问题,这是Dommain0的攻击,Dommain0的联线的话,虽然现在很少看到攻击,但是它的操作比较频繁,我们依旧需要对Dommain0进行一些隔离,以及下载防火墙,甚至在XEN前面加WIFI,防止攻击。还有逃逸,在我们当前IT环境没有虚拟之前,是摆在桌面的,出现你的问题之后,最多是拔掉你的网线,但是在虚拟化里面,不可能通过拔网线,它可以穿透,在没经过改造的系统里面,我们很难去发生说Hypervisor被哪一个攻击了,或者说哪一个运行在Hypervisor之上,但是它已经偷偷的把自己包装成了。所以我们要有很多机制去控制和保护Hypervisor也好,另一方面的话,我们要对虚拟做一些防范,因为攻击是无时无刻都会产生的。安全的问题在很多时候,我们是跟在攻击者之后的,我们在没有能力防止未知的问题的时候,监控和报警就很重要,比如说内存加密,我们要能够架空,以及发现Ghost OS,我们要有报警。Ghost OS一旦跑到你的Hypervisor,预示着你的一台物理设备沦陷了,那么会导致跟物理设备有关的物理设备出现问题。第二个就是我们要对承载Ghost Os的物理设备要进行格力,而不止是在Hypervisor之间进行隔离了。第四点的话,我们要去捕捉到现场,就是说一旦产生这些问题,一定要产生快照,你能分析这些问题如何产生,你马上对你的Hypervisor进行修复。那么还有带来的就是它的问题,这个可能跟XEN不太相关了,但是也是有很多问题的,就是虚拟机的热迁移,这种热迁移是明文的。热迁移就是说我们在系统上可以达到说,让一台机器很短时间内迁移到另外一个机器,对内存的操作的话,是明文的,如果我们对网络进行修复的话,我们可以把这个完全拷贝下来,里面有一些重要的数据可能被泄露了。这是上次跟别人交流,提出的一些发展玄的方式,怎样去防止你虚拟机隐蔽等等,大家一个物理设备上进行工作,无论你用的几核的CPU,对它的物理资源进行消耗,产生像电信号这种操作,能够慢慢让一些被入侵,用一些其他的监控设备,我们没办法把它传到另外一台黑客电脑上去,黑客可以用一些方法,在固定的时间段产生一些操作,这些操作会让你的系统性能进行消耗,我们可以进行系统性能监控,我们也试验过,这个比较难,因为CPU会比较多,单个CPU其实已经难一点。
推荐阅读
【搜狐IT消息】 7月4日消息,2012年中国计算机网络安全年会今日在西安举行,南京翰海源公司CEO方兴发表了关于“攻防”的演讲。>>>详细阅读
本文标题:华为云朋:虚拟化安全分析
地址:http://www.lgo100.com/a/11/20120705/73576.html
网友点评
精彩导读
科技快报
品牌展示