7月4日消息,2012年中國計算機網絡安全年會在西安舉行,華為云中心技術總監云朋發表了“虛擬化安全分析”為主題的演講。
華為云中心技術總監云朋
以下為演講實錄:
各位專家,大家好。我是華為這邊的工程師,今天跟大家看一下虛擬化安全分析,里面有一些錯誤問題的話,希望各位專家指正。我先自我介紹一下,我是差不多2000年開始從事安全這方面的工作,做了些年,比較雜。那么講XEN的時候,我們要簡單回顧一下它的歷史,其實在1960年的時候,IBM無就提出了,那么在整個虛擬化里面,我們現在可以看出來的,軟件的方式的話,架構的就是說PDM,像微軟,這一系列,成為云計算的核心架構形式。不知道買云計算主機的,都是一些小公司,可能看到PDM,他們做了一些改造,上面加了一些XEN的東西。今天我們主要看一下這樣幾個情況,XEN是一個機遇Hypenisor而和虛擬化的開韻虛擬機監視器。上傳的話比較重要的經過改造的,叫Dommain0,那么剩下的就是我們在云計算里面會使用的,那么一個是半虛擬,一個是全虛擬,構成了一個完整的架構。
我們看一下這種架構,在我們當前看來,包括了它會出現問題的一些可能性。首先是CEO打交道,有可能會死到,所以會影響整個業務系統,這是一個安全問題。第二就是對整個虛擬輸入輸出和網卡,它是整個全線最高的一臺虛擬機。那么所以如果Dommain0出現問題的話,會有影響。如果網絡沒有很好的被監控,出現問題以后,有可能被其他虛擬用戶所攻陷,這是我們認為三個層次里面比較重要的三個問題,我們下面分別簡單看一下。
第一個是我們說我們不知道運行的是誰,它的安全性問題就會存在,它的安全性問題主要是架構基于兩個方面造成的,一個是當你使用虛擬機的時候,那么它的所有的內容是在內部的虛擬網卡進行交流的,所以傳統的防火墻沒法去做,當然有一些方法,把流量跟它引進來,但是我個人感覺這些方法還是比較土的,因為不能得到保證,本身虛擬的流動拿到外面去了,經過我們傳統的再進行過慮,這種方法來說,本身系統就會有所降低,所以更多的認為還是需要從Dommain0的控制,去對網絡進行監控。第二是內容的問題,這也是容易出問題的情況,針對每一個,有一個表,當Ghost Os被發現時,流量從一個虛擬機到另一個虛擬機,不經過物理網卡,這個是很危險的。那么對Hypervisor攻擊的話,其實是很平常的,那么這個拒絕服務攻擊的話,非常容易。第三個是Hypervisor的文化,Hypervisor作為基礎活動,你要在這個上面做一些虛擬,所以啟動了API接口,那么這些接口的話,他能夠保證說對Hypervisor比較容易的控制,那么這個接口就是我們看到這個可能就搭建起來了。但是因為這些接口的存在,如果我們可以發現,其實我們不用去專門通過這些復雜的方法入侵,也一樣可以達到控制整臺設備的方法,最主要的我們調查和了解,最主要的在整個業務方面里面,拒絕服務比較麻煩,因為拿到權限以后,你的設備會被接管,但是一旦產生攻擊以后,典型的是不能提供服務,會導致你的業務終端,所以在這里面需要防御、發現、更新。
我們剛才說有兩個漏洞,會導致Hypervisor問題,第一個漏洞是比較新的,這個的問題其實是很簡單的,就是說虛擬其實在加載的時候,它會通過指令加載我們所說的靜象虛擬機,它的系統處理達不到,這時候就崩潰,XEN的崩潰,會導致Hypervisor不會提供這個能力,羧基我們會發現這個就掛了,任何用戶再虛擬就不會成功的。另一個攻擊是CVE-2011-1898,通過這個虛擬化,它的問題引起中斷,一個網卡,甚至USB的驅口,通過這個驅動的話,我們可以很容易的去啟動設備驅動,讓PCI去執行DMA的執行,那么這個時候,DMA會有一個指令,會發生一個中斷,我們有中斷的時候,這時候我們可以做很多事情,做的只是我們自己設備事情,但是恰恰不是這樣的。它的性能的提高,是把DMA已經虛擬化,我們訪問所有的日程,在這個里面有一個消息中斷,也就是它具有了特權,我們可以有我們的代碼,這樣執行起來比較容易。在Hypervisor的情況下,切入自己的一些指令,這些指令包括你可以去修改上下的傳輸,這個字面意義理解起來比較困難,你可以實踐一下,遠遠沒有那么復雜。你要去搞中斷,就是比較簡單的來說,其實就是XEN做過這種要求有驅動的,很容易做。這是剩下一些比較老的漏洞,它們主要是因為邏輯不夠嚴格,會出現一些攻擊。像自己把自己的虛擬機掛起來,或者說我讓自己執行非常頻繁的這種操作,在這種情況下都能擊打消耗Hypervisor的性能,導致Hypervisor拒絕服務。
Hypervisor這些問題的話,通過這種傳統方式,會通過一些方法,現在實踐起來比較困難,因為它本身的機構,這是第一個,第二個Hypervisor一旦出現擋機(音),這是比較嚴重的。它重啟了以后,系統又恢復了原來的現狀,更多的還是我剛才說的基于Dommain0和Ghost Os的一些方法。剛才說了最下層對Hypervisor的攻擊。第二個就是Dommain0的問題,它會負責虛擬機的加載,虛擬機之間的資源傳輸,如果Dommain0沒有很好的被保護起來的話,我們就是說比攻擊Hypervisor要容易的多,去攻擊Dommain0,普通的是看不到的,其實像Hypervisor有很多接口,這樣的話,我們通過一些方式建立虛擬環境,去加載、創建,取給用戶分配一些功能,如果我們通過一些滲透的方法,就是我特別同意,其實我要看外部好像很簡單,我們發現是不一定要搞XP這樣才有機制,其實未來大部分都會到XEN上,如果你的管理XEN,管理平面被攻擊的話,攻擊者就會拿到Dommain0的操作,它是由整個接觸的這種邏輯不夠嚴格,產生的問題,這是Dommain0的攻擊,Dommain0的聯線的話,雖然現在很少看到攻擊,但是它的操作比較頻繁,我們依舊需要對Dommain0進行一些隔離,以及下載防火墻,甚至在XEN前面加WIFI,防止攻擊。還有逃逸,在我們當前IT環境沒有虛擬之前,是擺在桌面的,出現你的問題之后,最多是拔掉你的網線,但是在虛擬化里面,不可能通過拔網線,它可以穿透,在沒經過改造的系統里面,我們很難去發生說Hypervisor被哪一個攻擊了,或者說哪一個運行在Hypervisor之上,但是它已經偷偷的把自己包裝成了。所以我們要有很多機制去控制和保護Hypervisor也好,另一方面的話,我們要對虛擬做一些防范,因為攻擊是無時無刻都會產生的。安全的問題在很多時候,我們是跟在攻擊者之后的,我們在沒有能力防止未知的問題的時候,監控和報警就很重要,比如說內存加密,我們要能夠架空,以及發現Ghost OS,我們要有報警。Ghost OS一旦跑到你的Hypervisor,預示著你的一臺物理設備淪陷了,那么會導致跟物理設備有關的物理設備出現問題。第二個就是我們要對承載Ghost Os的物理設備要進行格力,而不止是在Hypervisor之間進行隔離了。第四點的話,我們要去捕捉到現場,就是說一旦產生這些問題,一定要產生快照,你能分析這些問題如何產生,你馬上對你的Hypervisor進行修復。那么還有帶來的就是它的問題,這個可能跟XEN不太相關了,但是也是有很多問題的,就是虛擬機的熱遷移,這種熱遷移是明文的。熱遷移就是說我們在系統上可以達到說,讓一臺機器很短時間內遷移到另外一個機器,對內存的操作的話,是明文的,如果我們對網絡進行修復的話,我們可以把這個完全拷貝下來,里面有一些重要的數據可能被泄露了。這是上次跟別人交流,提出的一些發展玄的方式,怎樣去防止你虛擬機隱蔽等等,大家一個物理設備上進行工作,無論你用的幾核的CPU,對它的物理資源進行消耗,產生像電信號這種操作,能夠慢慢讓一些被入侵,用一些其他的監控設備,我們沒辦法把它傳到另外一臺黑客電腦上去,黑客可以用一些方法,在固定的時間段產生一些操作,這些操作會讓你的系統性能進行消耗,我們可以進行系統性能監控,我們也試驗過,這個比較難,因為CPU會比較多,單個CPU其實已經難一點。
推薦閱讀
【搜狐IT消息】 7月4日消息,2012年中國計算機網絡安全年會今日在西安舉行,南京翰海源公司CEO方興發表了關于“攻防”的演講。>>>詳細閱讀
本文標題:華為云朋:虛擬化安全分析
地址:http://www.xglongwei.com/a/11/20120705/73576.html
網友點評
精彩導讀
科技快報
品牌展示