Xen教父:虛擬化控制著公共云的安全性 |
發(fā)布時間: 2012/9/10 15:06:49 |
Crosby在接受《Network World》雜志采訪時表示,如果虛擬機(jī)管理程序(hypervisor)能夠幫助隔離在系統(tǒng)上執(zhí)行的諸多功能,因而減小成功破壞某一種功能的攻擊擴(kuò)散開來的風(fēng)險,這就能增強(qiáng)其他那些進(jìn)程的可信性。
雖然傳統(tǒng)觀點認(rèn)為,虛擬化環(huán)境和公共云在安全方面帶來了眾多的棘手問題,但是有Xen教父之稱的Simon Crosby表示,虛擬化其實擁有提高安全性的法寶。 Crosby是Xen這款開源虛擬機(jī)管理程序的開發(fā)者,也是新興公司Bromium的創(chuàng)始人,這家公司希望利用Xen的功能特性來提高安全性。他表示,隔離功能(限制哪些計算任務(wù)在給定環(huán)境中運(yùn)行的功能)是虛擬化技術(shù)的一個基本特點,可以利用這個功能來增強(qiáng)物理系統(tǒng)上進(jìn)程的可信性,即便其他進(jìn)程的安全已受到了危及。 Crosby在接受《Network World》雜志采訪時表示,如果虛擬機(jī)管理程序(hypervisor)能夠幫助隔離在系統(tǒng)上執(zhí)行的諸多功能,因而減小成功破壞某一種功能的攻擊擴(kuò)散開來的風(fēng)險,這就能增強(qiáng)其他那些進(jìn)程的可信性。 Crosby說:“我認(rèn)為,如果五年后我們回顧一下,其實會弄明白硬件虛擬化的核心價值在于安全性方面。實際上,其核心價值在于提高可信性或加強(qiáng)隔離,而不是我們現(xiàn)在為虛擬化技術(shù)提出來的各種夸大其詞的好處。所以五年左右過后,即使在云計算.環(huán)境,虛擬化的主要用途還是在于安全,即通過隔離功能提高安全性。” Crosby不愿細(xì)述這樣一種系統(tǒng)的工作原理是怎樣,因為這正是Bromium所開展業(yè)務(wù)的核心;該公司并沒有打算在明年之前透露這方面的細(xì)節(jié)。但是在今年早些時候的Xen開發(fā)者大會上,Bromium聯(lián)合創(chuàng)始人兼Xen.org主席Ian Pratt發(fā)表了一些真知灼見。 他表示,如果反省一下,Xen讓虛擬機(jī)能夠被另一個可信的虛擬機(jī)來檢查的這項功能也許有助于發(fā)現(xiàn)虛擬機(jī)里面的安全隱患。Pratt表示,Xen可以隔離驅(qū)動程序域,這就能增強(qiáng)安全性。 Crosby表示,這種隔離類似XenClient現(xiàn)在提供的隔離技術(shù);比如說,讓企業(yè)桌面和個人桌面能夠同時在同一個機(jī)器上運(yùn)行,并且確保各自的活動相互獨(dú)立、安全。某人對機(jī)器作出了可能有危險的個人行為,但不會危及企業(yè)桌面的功能。 他說:“我想要竭力表明的一個主要觀點是,普通虛擬化技術(shù)通過隔離功能可以為你提供一個不同的環(huán)境,你可以在里面執(zhí)行不同信任級別的代碼。” 他表示,更細(xì)化地隔離進(jìn)程可以提高公共云環(huán)境的安全性。他說:“我認(rèn)為,將來可以創(chuàng)建高度安全的云體系,該云體系可以用來提供多層次的安全系統(tǒng)。” 他舉例時提到了英特爾和邁克菲攜手開發(fā)的DeepSAFE技術(shù),該軟件位于設(shè)備上的處理器與操作系統(tǒng)之間,其工作方式酷似裸機(jī)(類型1)虛擬機(jī)管理程序。據(jù)邁克菲聲稱,該軟件與硬件直接聯(lián)系起來,這為它賦予了可信性,得以洞察機(jī)器操作系統(tǒng)所看不到的事件。 Crosby說:“英特爾最近宣布與邁克菲共同開發(fā)出了Deep Safe技術(shù),這是類型1虛擬機(jī)管理程序,它的唯一用途就是為運(yùn)行時環(huán)境確保安全。所以,你會開始看到虛擬化技術(shù)給客戶端帶來安全。我認(rèn)為,最終服務(wù)器系統(tǒng)上也會出現(xiàn)同樣一幕。顯然,你要讓服務(wù)器虛擬機(jī)管理程序?qū)W習(xí)新的東西。” 他似乎認(rèn)為,將虛擬機(jī)管理程序與集成到大眾化處理器里面的可信平臺模塊(TPM)結(jié)合起來有助于加強(qiáng)安全性。TPM的功能包括:儲存加密密鑰以及硬件輔助加密,這樣就有可能對公司企業(yè)交給公共云的所有數(shù)據(jù)進(jìn)行加密。 Crosby說:“你可以高速加密數(shù)據(jù),云服務(wù)提供商管理密鑰是毫無理由的。所以,應(yīng)該會出現(xiàn)的一幕是,當(dāng)你在云環(huán)境中運(yùn)行應(yīng)用程序時,應(yīng)該為它提供密鑰。只有在運(yùn)行中應(yīng)用程序的環(huán)境下,當(dāng)數(shù)據(jù)離開某個存儲服務(wù)環(huán)境時,數(shù)據(jù)才被解密,然后在向外發(fā)送時重新實時加密。那樣一來,要是有人破解了云服務(wù)提供商的接口,或者有人步入云服務(wù)提供商的場地后帶走了硬盤,那么你也沒有什么關(guān)系,因為數(shù)據(jù)已經(jīng)過了加密。” 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |