云計算面臨的主要安全威脅

摘要：一般而言，要解決安全問題，首先應該正確識別其安全威脅，然后才能有針對性的進行安全防護和保障，云計算都面臨著哪些安全威脅，下面主要從傳統威脅和虛擬化環境中特有的安全威脅兩個角度進行分析。

關鍵詞：云計算；安全威脅；虛擬化環境

中圖分類號：TP393 文獻標識碼：A 文章編號：1674-7712（2012）20-0029-01

一、傳統威脅

服務器虛擬化環境中，VM通常都是租給客戶使用的，對客戶而言與租用某臺物理主機差異不大。因此，VM依然面臨各種傳統的網絡攻擊威脅，這些威脅主要包括：

（一）遠程漏洞攻擊。通過嚴重的遠程服務漏洞，如RPC/IIS等漏洞，在VM中執行任意代碼，并安裝后門，以實現長期遠程控制。

（二）Dos/DDos攻擊。典型的服務器致癱手段，利用僵尸網絡（botnet）使外界無法正常訪問目標服務器。

（三）主動Web攻擊。通過SQL注入、旁注攻擊、Cookie欺騙登錄等手段獲取站點權限，以及后續的權限提升，最終效果為安裝后門或接管整個網站后臺。

（四）網頁掛馬攻擊。此類攻擊的目標通常是存在特定瀏覽器漏洞的客戶端，就服務器而言，對應的威脅主要是被控制后攻擊者實施的掛馬行為，如重定向主頁到真正的掛馬網站。

（五）登錄認證攻擊。通過嗅探、猜解、暴破等方式，獲取VM的3389、4899、telnet等遠程管理登錄信息，以及各類網站后臺入口登錄信息，以實現對遠程VM或網站后臺的控制。

（六）基于移動存儲介質的病毒傳播。通常是結合U盤進行的病毒傳播，典型的案例為2010年的“震網”病毒（Stuxnet），結合快捷方式漏洞（MS10-046）及U盤進行傳播，但這類攻擊一般與VM管理員的操作系統有關。通過及時更新反病毒軟件實施防御。

二、虛擬化帶來的新威脅

逃逸即虛擬機逃逸，是指在已控制一個VM的前提下，通過利用各種安全漏洞，進一步拓展滲透到Hypervisor甚至其它VM中。

站在服務器虛擬化安全角度，可以從“一個前提、三類模式、四種影響、一個根源”四方面來理解逃逸。

（一）逃逸攻擊前提。服務器虛擬化環境里，Hypervisor直接安裝在物理機上。另一方面，Hypervisor并沒有接口明顯暴露在網絡中，攻擊者唯一能訪問的就是上層的VM。因而，實施逃逸攻擊的前提則是必須先控制某個VM，再以它為跳板逐步嘗試并達到逃逸的目的。

（二）典型的逃逸模式。假設攻擊者通過各種手段（通常是漏洞攻擊）已控制某個VM，在此基礎上，可衍生出下列三類逃逸模式：

1.從已控VM到Hypervisor。由于對已控VM具有完全的操作權，如果Hypervisor各組件中存在漏洞、且漏洞可以從VM中觸發的話，則攻擊者完全可能開發相應的漏洞利用程序（Exploit），并實現在Hypervisor中以高權限執行任意代碼（如ShellCode）或導致Hypervisor拒絕服務，該逃逸模式如圖所示：

上圖中，橙色部分表示處于被控狀態。值得探討的是攻擊者的身份，可能是網絡上的普通黑客，利用遠程滲透手段獲取VM1控制權，進而實現逃逸；此外，也可能是惡意的VM租用，以客戶身份直接攻擊Hypervisor（或VM供應商），相比之下后者盡管發生概率小，但對虛擬化環境產生的威脅卻更大。

2.從已控VM到Hypervisor，再到其它VM。以第1種逃逸模式為基礎，在獲取Hypervisor之后，攻擊者可以截獲、篡改和轉發其它VM對底層資源的請求或各VM之間的通信，并結合對應的安全漏洞實施攻擊，最終逃逸到其它VM中。該逃逸模式如圖所示：

3.從已控VM直接到其它VM。該逃逸模式利用了VM的動態遷移特性引發的漏洞復制問題。VM的動態遷移用于快速解決眾多客戶的VM租用需求，基于此特性，同一個供應商提供的VM幾乎源于相同的鏡像（Image）。顯然，動態遷移過程使得原始VM鏡像中的安全漏洞也在不斷地復制和傳播。攻擊者在充分收集已控VM特點及脆弱性的基礎上，從網絡中通過適合的滲透手段對其它VM進行攻擊，從而實現逃逸。

三、逃逸的影響

逃逸是目前最嚴重的虛擬化安全威脅，其影響主要體現在下列三點：

（一）安裝Hypervisor級后門。通過漏洞攻擊實現在Hypervisor中執行任意代碼（如ShellCode）僅僅是一個過渡狀態，在此基礎上，可以進一步安裝基于Hypervisor的后門。

（二）在其它VM中安裝后門。這與傳統系統攻擊后的情形類似，目前還暫不需考慮Hyper-V、Xen等非全虛擬化產品中VM安全性的變化。

（三）拒絕服務攻擊。Hypervisor中有的漏洞盡管無法執行任意代碼，但卻可能導致Hypervisor出現異常，進而使得單個甚至是所有的VM（即商業服務中的虛擬主機）都宕掉。此種情況若出現在大型服務器中，后果將是難以想象的。

除了上述三種影響外，逃逸攻擊還可以造成信息泄露，并使攻擊者瀏覽到正常權限以外的信息，例如II型虛擬機VMwareWorkstation中就出現過“利用HostOS/VM共享路徑處理漏洞”利用的案例。

四、逃逸根源—安全漏洞

虛擬化技術讓個多VM分享同一物理機上硬件資源并提供隔離效果。理想狀況下，一個運行在VM里的程序是無法影響其它VM，即無法完成逃逸。然而，由于虛擬化技術水平上的限制，虛擬機軟件里必然出現一些漏洞，使得上述理想狀態不存在，從而讓整個虛擬機安全模型完全失效。因此，安全漏洞是虛擬化環境中逃逸威脅產生的根源。

參考文獻：

[1]里特豪斯.云計算實現管理與安全[M].田思源，趙學鋒.北京：機械工業出版社，2010，5，1.

[2]米勒.云計算[M].姜進磊.北京：機械工業出版社，2009，4，1.

[3]王鵬，黃華峰，曹琹.云計算中國未來的IT戰略[M].北京：人民郵電出版社， 2010，6，1.