7月4日消息,2012年中國計算機(jī)網(wǎng)絡(luò)安全年會在西安舉行,華為云中心技術(shù)總監(jiān)云朋發(fā)表了“虛擬化安全分析”為主題的演講。
華為云中心技術(shù)總監(jiān)云朋
以下為演講實(shí)錄:
各位專家,大家好。我是華為這邊的工程師,今天跟大家看一下虛擬化安全分析,里面有一些錯誤問題的話,希望各位專家指正。我先自我介紹一下,我是差不多2000年開始從事安全這方面的工作,做了些年,比較雜。那么講XEN的時候,我們要簡單回顧一下它的歷史,其實(shí)在1960年的時候,IBM無就提出了,那么在整個虛擬化里面,我們現(xiàn)在可以看出來的,軟件的方式的話,架構(gòu)的就是說PDM,像微軟,這一系列,成為云計算的核心架構(gòu)形式。不知道買云計算主機(jī)的,都是一些小公司,可能看到PDM,他們做了一些改造,上面加了一些XEN的東西。今天我們主要看一下這樣幾個情況,XEN是一個機(jī)遇Hypenisor而和虛擬化的開韻虛擬機(jī)監(jiān)視器。上傳的話比較重要的經(jīng)過改造的,叫Dommain0,那么剩下的就是我們在云計算里面會使用的,那么一個是半虛擬,一個是全虛擬,構(gòu)成了一個完整的架構(gòu)。
我們看一下這種架構(gòu),在我們當(dāng)前看來,包括了它會出現(xiàn)問題的一些可能性。首先是CEO打交道,有可能會死到,所以會影響整個業(yè)務(wù)系統(tǒng),這是一個安全問題。第二就是對整個虛擬輸入輸出和網(wǎng)卡,它是整個全線最高的一臺虛擬機(jī)。那么所以如果Dommain0出現(xiàn)問題的話,會有影響。如果網(wǎng)絡(luò)沒有很好的被監(jiān)控,出現(xiàn)問題以后,有可能被其他虛擬用戶所攻陷,這是我們認(rèn)為三個層次里面比較重要的三個問題,我們下面分別簡單看一下。
第一個是我們說我們不知道運(yùn)行的是誰,它的安全性問題就會存在,它的安全性問題主要是架構(gòu)基于兩個方面造成的,一個是當(dāng)你使用虛擬機(jī)的時候,那么它的所有的內(nèi)容是在內(nèi)部的虛擬網(wǎng)卡進(jìn)行交流的,所以傳統(tǒng)的防火墻沒法去做,當(dāng)然有一些方法,把流量跟它引進(jìn)來,但是我個人感覺這些方法還是比較土的,因?yàn)椴荒艿玫奖WC,本身虛擬的流動拿到外面去了,經(jīng)過我們傳統(tǒng)的再進(jìn)行過慮,這種方法來說,本身系統(tǒng)就會有所降低,所以更多的認(rèn)為還是需要從Dommain0的控制,去對網(wǎng)絡(luò)進(jìn)行監(jiān)控。第二是內(nèi)容的問題,這也是容易出問題的情況,針對每一個,有一個表,當(dāng)Ghost Os被發(fā)現(xiàn)時,流量從一個虛擬機(jī)到另一個虛擬機(jī),不經(jīng)過物理網(wǎng)卡,這個是很危險的。那么對Hypervisor攻擊的話,其實(shí)是很平常的,那么這個拒絕服務(wù)攻擊的話,非常容易。第三個是Hypervisor的文化,Hypervisor作為基礎(chǔ)活動,你要在這個上面做一些虛擬,所以啟動了API接口,那么這些接口的話,他能夠保證說對Hypervisor比較容易的控制,那么這個接口就是我們看到這個可能就搭建起來了。但是因?yàn)檫@些接口的存在,如果我們可以發(fā)現(xiàn),其實(shí)我們不用去專門通過這些復(fù)雜的方法入侵,也一樣可以達(dá)到控制整臺設(shè)備的方法,最主要的我們調(diào)查和了解,最主要的在整個業(yè)務(wù)方面里面,拒絕服務(wù)比較麻煩,因?yàn)槟玫綑?quán)限以后,你的設(shè)備會被接管,但是一旦產(chǎn)生攻擊以后,典型的是不能提供服務(wù),會導(dǎo)致你的業(yè)務(wù)終端,所以在這里面需要防御、發(fā)現(xiàn)、更新。
我們剛才說有兩個漏洞,會導(dǎo)致Hypervisor問題,第一個漏洞是比較新的,這個的問題其實(shí)是很簡單的,就是說虛擬其實(shí)在加載的時候,它會通過指令加載我們所說的靜象虛擬機(jī),它的系統(tǒng)處理達(dá)不到,這時候就崩潰,XEN的崩潰,會導(dǎo)致Hypervisor不會提供這個能力,羧基我們會發(fā)現(xiàn)這個就掛了,任何用戶再虛擬就不會成功的。另一個攻擊是CVE-2011-1898,通過這個虛擬化,它的問題引起中斷,一個網(wǎng)卡,甚至USB的驅(qū)口,通過這個驅(qū)動的話,我們可以很容易的去啟動設(shè)備驅(qū)動,讓PCI去執(zhí)行DMA的執(zhí)行,那么這個時候,DMA會有一個指令,會發(fā)生一個中斷,我們有中斷的時候,這時候我們可以做很多事情,做的只是我們自己設(shè)備事情,但是恰恰不是這樣的。它的性能的提高,是把DMA已經(jīng)虛擬化,我們訪問所有的日程,在這個里面有一個消息中斷,也就是它具有了特權(quán),我們可以有我們的代碼,這樣執(zhí)行起來比較容易。在Hypervisor的情況下,切入自己的一些指令,這些指令包括你可以去修改上下的傳輸,這個字面意義理解起來比較困難,你可以實(shí)踐一下,遠(yuǎn)遠(yuǎn)沒有那么復(fù)雜。你要去搞中斷,就是比較簡單的來說,其實(shí)就是XEN做過這種要求有驅(qū)動的,很容易做。這是剩下一些比較老的漏洞,它們主要是因?yàn)檫壿嫴粔驀?yán)格,會出現(xiàn)一些攻擊。像自己把自己的虛擬機(jī)掛起來,或者說我讓自己執(zhí)行非常頻繁的這種操作,在這種情況下都能擊打消耗Hypervisor的性能,導(dǎo)致Hypervisor拒絕服務(wù)。
Hypervisor這些問題的話,通過這種傳統(tǒng)方式,會通過一些方法,現(xiàn)在實(shí)踐起來比較困難,因?yàn)樗旧淼臋C(jī)構(gòu),這是第一個,第二個Hypervisor一旦出現(xiàn)擋機(jī)(音),這是比較嚴(yán)重的。它重啟了以后,系統(tǒng)又恢復(fù)了原來的現(xiàn)狀,更多的還是我剛才說的基于Dommain0和Ghost Os的一些方法。剛才說了最下層對Hypervisor的攻擊。第二個就是Dommain0的問題,它會負(fù)責(zé)虛擬機(jī)的加載,虛擬機(jī)之間的資源傳輸,如果Dommain0沒有很好的被保護(hù)起來的話,我們就是說比攻擊Hypervisor要容易的多,去攻擊Dommain0,普通的是看不到的,其實(shí)像Hypervisor有很多接口,這樣的話,我們通過一些方式建立虛擬環(huán)境,去加載、創(chuàng)建,取給用戶分配一些功能,如果我們通過一些滲透的方法,就是我特別同意,其實(shí)我要看外部好像很簡單,我們發(fā)現(xiàn)是不一定要搞XP這樣才有機(jī)制,其實(shí)未來大部分都會到XEN上,如果你的管理XEN,管理平面被攻擊的話,攻擊者就會拿到Dommain0的操作,它是由整個接觸的這種邏輯不夠嚴(yán)格,產(chǎn)生的問題,這是Dommain0的攻擊,Dommain0的聯(lián)線的話,雖然現(xiàn)在很少看到攻擊,但是它的操作比較頻繁,我們依舊需要對Dommain0進(jìn)行一些隔離,以及下載防火墻,甚至在XEN前面加WIFI,防止攻擊。還有逃逸,在我們當(dāng)前IT環(huán)境沒有虛擬之前,是擺在桌面的,出現(xiàn)你的問題之后,最多是拔掉你的網(wǎng)線,但是在虛擬化里面,不可能通過拔網(wǎng)線,它可以穿透,在沒經(jīng)過改造的系統(tǒng)里面,我們很難去發(fā)生說Hypervisor被哪一個攻擊了,或者說哪一個運(yùn)行在Hypervisor之上,但是它已經(jīng)偷偷的把自己包裝成了。所以我們要有很多機(jī)制去控制和保護(hù)Hypervisor也好,另一方面的話,我們要對虛擬做一些防范,因?yàn)楣羰菬o時無刻都會產(chǎn)生的。安全的問題在很多時候,我們是跟在攻擊者之后的,我們在沒有能力防止未知的問題的時候,監(jiān)控和報警就很重要,比如說內(nèi)存加密,我們要能夠架空,以及發(fā)現(xiàn)Ghost OS,我們要有報警。Ghost OS一旦跑到你的Hypervisor,預(yù)示著你的一臺物理設(shè)備淪陷了,那么會導(dǎo)致跟物理設(shè)備有關(guān)的物理設(shè)備出現(xiàn)問題。第二個就是我們要對承載Ghost Os的物理設(shè)備要進(jìn)行格力,而不止是在Hypervisor之間進(jìn)行隔離了。第四點(diǎn)的話,我們要去捕捉到現(xiàn)場,就是說一旦產(chǎn)生這些問題,一定要產(chǎn)生快照,你能分析這些問題如何產(chǎn)生,你馬上對你的Hypervisor進(jìn)行修復(fù)。那么還有帶來的就是它的問題,這個可能跟XEN不太相關(guān)了,但是也是有很多問題的,就是虛擬機(jī)的熱遷移,這種熱遷移是明文的。熱遷移就是說我們在系統(tǒng)上可以達(dá)到說,讓一臺機(jī)器很短時間內(nèi)遷移到另外一個機(jī)器,對內(nèi)存的操作的話,是明文的,如果我們對網(wǎng)絡(luò)進(jìn)行修復(fù)的話,我們可以把這個完全拷貝下來,里面有一些重要的數(shù)據(jù)可能被泄露了。這是上次跟別人交流,提出的一些發(fā)展玄的方式,怎樣去防止你虛擬機(jī)隱蔽等等,大家一個物理設(shè)備上進(jìn)行工作,無論你用的幾核的CPU,對它的物理資源進(jìn)行消耗,產(chǎn)生像電信號這種操作,能夠慢慢讓一些被入侵,用一些其他的監(jiān)控設(shè)備,我們沒辦法把它傳到另外一臺黑客電腦上去,黑客可以用一些方法,在固定的時間段產(chǎn)生一些操作,這些操作會讓你的系統(tǒng)性能進(jìn)行消耗,我們可以進(jìn)行系統(tǒng)性能監(jiān)控,我們也試驗(yàn)過,這個比較難,因?yàn)镃PU會比較多,單個CPU其實(shí)已經(jīng)難一點(diǎn)。
推薦閱讀
【搜狐IT消息】 7月4日消息,2012年中國計算機(jī)網(wǎng)絡(luò)安全年會今日在西安舉行,南京翰海源公司CEO方興發(fā)表了關(guān)于“攻防”的演講。>>>詳細(xì)閱讀
本文標(biāo)題:華為云朋:虛擬化安全分析
地址:http://www.tjyalang.cn/a/11/20120705/73576.html
網(wǎng)友點(diǎn)評
精彩導(dǎo)讀
科技快報
品牌展示