摘要：一般而言，要解決安全問(wèn)題，首先應(yīng)該正確識(shí)別其安全威脅，然后才能有針對(duì)性的進(jìn)行安全防護(hù)和保障，云計(jì)算都面臨著哪些安全威脅，下面主要從傳統(tǒng)威脅和虛擬化環(huán)境中特有的安全威脅兩個(gè)角度進(jìn)行分析。

關(guān)鍵詞：云計(jì)算；安全威脅；虛擬化環(huán)境

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-7712（2012）20-0029-01

一、傳統(tǒng)威脅

服務(wù)器虛擬化環(huán)境中，VM通常都是租給客戶使用的，對(duì)客戶而言與租用某臺(tái)物理主機(jī)差異不大。因此，VM依然面臨各種傳統(tǒng)的網(wǎng)絡(luò)攻擊威脅，這些威脅主要包括：

（一）遠(yuǎn)程漏洞攻擊。通過(guò)嚴(yán)重的遠(yuǎn)程服務(wù)漏洞，如RPC/IIS等漏洞，在VM中執(zhí)行任意代碼，并安裝后門，以實(shí)現(xiàn)長(zhǎng)期遠(yuǎn)程控制。

（二）Dos/DDos攻擊。典型的服務(wù)器致癱手段，利用僵尸網(wǎng)絡(luò)（botnet）使外界無(wú)法正常訪問(wèn)目標(biāo)服務(wù)器。

（三）主動(dòng)Web攻擊。通過(guò)SQL注入、旁注攻擊、Cookie欺騙登錄等手段獲取站點(diǎn)權(quán)限，以及后續(xù)的權(quán)限提升，最終效果為安裝后門或接管整個(gè)網(wǎng)站后臺(tái)。

（四）網(wǎng)頁(yè)掛馬攻擊。此類攻擊的目標(biāo)通常是存在特定瀏覽器漏洞的客戶端，就服務(wù)器而言，對(duì)應(yīng)的威脅主要是被控制后攻擊者實(shí)施的掛馬行為，如重定向主頁(yè)到真正的掛馬網(wǎng)站。

（五）登錄認(rèn)證攻擊。通過(guò)嗅探、猜解、暴破等方式，獲取VM的3389、4899、telnet等遠(yuǎn)程管理登錄信息，以及各類網(wǎng)站后臺(tái)入口登錄信息，以實(shí)現(xiàn)對(duì)遠(yuǎn)程VM或網(wǎng)站后臺(tái)的控制。

（六）基于移動(dòng)存儲(chǔ)介質(zhì)的病毒傳播。通常是結(jié)合U盤進(jìn)行的病毒傳播，典型的案例為2010年的“震網(wǎng)”病毒（Stuxnet），結(jié)合快捷方式漏洞（MS10-046）及U盤進(jìn)行傳播，但這類攻擊一般與VM管理員的操作系統(tǒng)有關(guān)。通過(guò)及時(shí)更新反病毒軟件實(shí)施防御。

二、虛擬化帶來(lái)的新威脅

逃逸即虛擬機(jī)逃逸，是指在已控制一個(gè)VM的前提下，通過(guò)利用各種安全漏洞，進(jìn)一步拓展?jié)B透到Hypervisor甚至其它VM中。

站在服務(wù)器虛擬化安全角度，可以從“一個(gè)前提、三類模式、四種影響、一個(gè)根源”四方面來(lái)理解逃逸。

（一）逃逸攻擊前提。服務(wù)器虛擬化環(huán)境里，Hypervisor直接安裝在物理機(jī)上。另一方面，Hypervisor并沒(méi)有接口明顯暴露在網(wǎng)絡(luò)中，攻擊者唯一能訪問(wèn)的就是上層的VM。因而，實(shí)施逃逸攻擊的前提則是必須先控制某個(gè)VM，再以它為跳板逐步嘗試并達(dá)到逃逸的目的。

（二）典型的逃逸模式。假設(shè)攻擊者通過(guò)各種手段（通常是漏洞攻擊）已控制某個(gè)VM，在此基礎(chǔ)上，可衍生出下列三類逃逸模式：

1.從已控VM到Hypervisor。由于對(duì)已控VM具有完全的操作權(quán)，如果Hypervisor各組件中存在漏洞、且漏洞可以從VM中觸發(fā)的話，則攻擊者完全可能開(kāi)發(fā)相應(yīng)的漏洞利用程序（Exploit），并實(shí)現(xiàn)在Hypervisor中以高權(quán)限執(zhí)行任意代碼（如ShellCode）或?qū)е翲ypervisor拒絕服務(wù)，該逃逸模式如圖所示：

上圖中，橙色部分表示處于被控狀態(tài)。值得探討的是攻擊者的身份，可能是網(wǎng)絡(luò)上的普通黑客，利用遠(yuǎn)程滲透手段獲取VM1控制權(quán)，進(jìn)而實(shí)現(xiàn)逃逸；此外，也可能是惡意的VM租用，以客戶身份直接攻擊Hypervisor（或VM供應(yīng)商），相比之下后者盡管發(fā)生概率小，但對(duì)虛擬化環(huán)境產(chǎn)生的威脅卻更大。

2.從已控VM到Hypervisor，再到其它VM。以第1種逃逸模式為基礎(chǔ)，在獲取Hypervisor之后，攻擊者可以截獲、篡改和轉(zhuǎn)發(fā)其它VM對(duì)底層資源的請(qǐng)求或各VM之間的通信，并結(jié)合對(duì)應(yīng)的安全漏洞實(shí)施攻擊，最終逃逸到其它VM中。該逃逸模式如圖所示：

3.從已控VM直接到其它VM。該逃逸模式利用了VM的動(dòng)態(tài)遷移特性引發(fā)的漏洞復(fù)制問(wèn)題。VM的動(dòng)態(tài)遷移用于快速解決眾多客戶的VM租用需求，基于此特性，同一個(gè)供應(yīng)商提供的VM幾乎源于相同的鏡像（Image）。顯然，動(dòng)態(tài)遷移過(guò)程使得原始VM鏡像中的安全漏洞也在不斷地復(fù)制和傳播。攻擊者在充分收集已控VM特點(diǎn)及脆弱性的基礎(chǔ)上，從網(wǎng)絡(luò)中通過(guò)適合的滲透手段對(duì)其它VM進(jìn)行攻擊，從而實(shí)現(xiàn)逃逸。

三、逃逸的影響

逃逸是目前最嚴(yán)重的虛擬化安全威脅，其影響主要體現(xiàn)在下列三點(diǎn)：

（一）安裝Hypervisor級(jí)后門。通過(guò)漏洞攻擊實(shí)現(xiàn)在Hypervisor中執(zhí)行任意代碼（如ShellCode）僅僅是一個(gè)過(guò)渡狀態(tài)，在此基礎(chǔ)上，可以進(jìn)一步安裝基于Hypervisor的后門。

（二）在其它VM中安裝后門。這與傳統(tǒng)系統(tǒng)攻擊后的情形類似，目前還暫不需考慮Hyper-V、Xen等非全虛擬化產(chǎn)品中VM安全性的變化。

（三）拒絕服務(wù)攻擊。Hypervisor中有的漏洞盡管無(wú)法執(zhí)行任意代碼，但卻可能導(dǎo)致Hypervisor出現(xiàn)異常，進(jìn)而使得單個(gè)甚至是所有的VM（即商業(yè)服務(wù)中的虛擬主機(jī)）都宕掉。此種情況若出現(xiàn)在大型服務(wù)器中，后果將是難以想象的。

除了上述三種影響外，逃逸攻擊還可以造成信息泄露，并使攻擊者瀏覽到正常權(quán)限以外的信息，例如II型虛擬機(jī)VMwareWorkstation中就出現(xiàn)過(guò)“利用HostOS/VM共享路徑處理漏洞”利用的案例。

四、逃逸根源—安全漏洞

虛擬化技術(shù)讓個(gè)多VM分享同一物理機(jī)上硬件資源并提供隔離效果。理想狀況下，一個(gè)運(yùn)行在VM里的程序是無(wú)法影響其它VM，即無(wú)法完成逃逸。然而，由于虛擬化技術(shù)水平上的限制，虛擬機(jī)軟件里必然出現(xiàn)一些漏洞，使得上述理想狀態(tài)不存在，從而讓整個(gè)虛擬機(jī)安全模型完全失效。因此，安全漏洞是虛擬化環(huán)境中逃逸威脅產(chǎn)生的根源。

參考文獻(xiàn)：

[1]里特豪斯.云計(jì)算實(shí)現(xiàn)管理與安全[M].田思源，趙學(xué)鋒.北京：機(jī)械工業(yè)出版社，2010，5，1.

[2]米勒.云計(jì)算[M].姜進(jìn)磊.北京：機(jī)械工業(yè)出版社，2009，4，1.

[3]王鵬，黃華峰，曹琹.云計(jì)算中國(guó)未來(lái)的IT戰(zhàn)略[M].北京：人民郵電出版社， 2010，6，1.