云计算面临的主要安全威胁

云计算面临的主要安全威胁

一、传统威胁

服务器虚拟化环境中，VM通常都是租给客户使用的，对客户而言与租用某台物理主机差异不大。因此，VM依然面临各种传统的网络攻击威胁，这些威胁主要包括：

（一）远程漏洞攻击。通过严重的远程服务漏洞，如RPC/IIS等漏洞，在VM中执行任意代码，并安装后门，以实现长期远程控制。

（二）Dos/DDos攻击。典型的服务器致瘫手段，利用僵尸网络（botnet）使外界无法正常访问目标服务器。

（三）主动Web攻击。通过SQL注入、旁注攻击、Cookie欺骗登录等手段获取站点权限，以及后续的权限提升，最终效果为安

装后门或接管整个网站后台。

（四）网页挂马攻击。此类攻击的目标通常是存在特定浏览器漏洞的客户端，就服务器而言，对应的威胁主要是被控制后攻击者实施的挂马行为，如重定向主页到真正的挂马网站。

（五）登录认证攻击。通过嗅探、猜解、暴破等方式，获取VM 的3389、4899、telnet等远程管理登录信息，以及各类网站后台入口登录信息，以实现对远程VM或网站后台的控制。

（六）基于移动存储介质的病毒传播。通常是结合U盘进行的病毒传播，典型的案例为2010年的“震网”病毒（Stuxnet），结合快捷方式漏洞（MS10-

046）及U盘进行传播，但这类攻击一般与VM管理员的操作系统有关。通过及时更新反病毒软件实施防御。

二、虚拟化带来的新威胁

逃逸即虚拟机逃逸，是指在已控制一个VM的前提下，通过利用各种安全漏洞，进一步拓展渗透到Hypervisor甚至其它VM中。

站在服务器虚拟化安全角度，可以从“一个前提、三类模式、四种影响、一个根源”四方面来理解逃逸。

（一）逃逸攻击前提。服务器虚拟化环境里，Hypervisor直接

安装在物理机上。另一方面，Hypervisor并没有接口明显暴露

在网络中，攻击者唯一能访问的就是上层的VM。因而，实施逃

逸攻击的前提则是必须先控制某个VM，再以它为跳板逐步尝试

并达到逃逸的目的。

（二）典型的逃逸模式。假设攻击者通过各种手段（通常是漏

洞攻击）已控制某个VM，在此基础上，可衍生出下列三类逃逸

模式：

1.从已控VM到Hypervisor。由于对已控VM具有完全的操作权，如果Hypervisor各组件中存在漏洞、且漏洞可以从VM中触发的话，则攻击者完全可能开发相应的漏洞利用程序（Exploit），

并实现在Hypervisor中以高权限执行任意代码（如ShellCode）或导致Hypervisor拒绝服务，该逃逸模式如图所示：

上图中，橙色部分表示处于被控状态。值得探讨的是攻击者的

身份，可能是网络上的普通黑客，利用远程渗透手段获取VM1控制权，进而实现逃逸；此外，也可能是恶意的VM租用，以客户

身份直接攻击Hypervisor（或VM供应商），相比之下后者尽管

发生概率小，但对虚拟化环境产生的威胁却更大。

2.从已控VM到Hypervisor，再到其它VM。以第1种逃逸模式为基

础，在获取Hypervisor之后，攻击者可以截获、篡改和转发其它VM对底层资源的请求或各VM之间的通信，并结合对应的安全漏洞实施攻击，最终逃逸到其它VM中。该逃逸模式如图所示：

3.从已控VM直接到其它VM。该逃逸模式利用了VM的动态迁移特性引发的漏洞复制问题。VM的动态迁移用于快速解决众多客户的VM租用需求，基于此特性，同一个供应商提供的VM几乎源于相同的镜像（Image）。显然，动态迁移过程使得原始VM镜像中的安全漏洞也在不断地复制和传播。攻击者在充分收集已控VM 特点及脆弱性的基础上，从网络中通过适合的渗透手段对其它V M进行攻击，从而实现逃逸。

三、逃逸的影响

逃逸是目前最严重的虚拟化安全威胁，其影响主要体现在下列

三点：

（一）安装Hypervisor级后门。通过漏洞攻击实现在Hyperviso r中执行任意代码（如ShellCode）仅仅是一个过渡状态，在此基础上，可以进一步安装基于Hypervisor的后门。

（二）在其它VM中安装后门。这与传统系统攻击后的情形类似，目前还暂不需考虑Hyper-

V、Xen等非全虚拟化产品中VM安全性的变化。

（三）拒绝服务攻击。Hypervisor中有的漏洞尽管无法执行任意代码，但却可能导致Hypervisor出现异常，进而使得单个甚至是所有的VM（即商业服务中的虚拟主机）都宕掉。此种情况若出现在大型服务器中，后果将是难以想象的。

除了上述三种影响外，逃逸攻击还可以造成信息泄露，并使攻

击者浏览到正常权限以外的信息，例如II型虚拟机VMwareWorks tation中就出现过“利用HostOS/VM共享路径处理漏洞”利用的案例。

四、逃逸根源―安全漏洞

虚拟化技术让个多VM分享同一物理机上硬件资源并提供隔离效果。理想状况下，一个运行在VM里的程序是无法影响其它VM，即无法完成逃逸。然而，由于虚拟化技术水平上的限制，虚拟

机软件里必然出现一些漏洞，使得上述理想状态不存在，从而

让整个虚拟机安全模型完全失效。因此，安全漏洞是虚拟化环

境中逃逸威胁产生的根源。