對(duì)于虛擬化的云環(huán)境可能會(huì)出現(xiàn)多種攻擊，但是如果在實(shí)施和管理云部署的時(shí)候進(jìn)行了合適的安全控制和規(guī)程是可以預(yù)防的。本文中我們將介紹云計(jì)算中虛擬機(jī)化存在的威脅以及預(yù)防辦法。

云計(jì)算中虛擬化的安全問(wèn)題

盡管虛擬化帶來(lái)了很多優(yōu)勢(shì)，但是也導(dǎo)致了很多安全問(wèn)題：

管理程序：這個(gè)程序在相同的物理機(jī)上運(yùn)行了多種虛擬機(jī)。如果管理程序中易于受到攻擊，攻擊者就會(huì)利用其進(jìn)入到整個(gè)主機(jī)，從而就可以訪問(wèn)每一個(gè)運(yùn)行在主機(jī)上的客用虛擬機(jī)。由于管理程序很少更新，已有的漏洞會(huì)危害整個(gè)系統(tǒng)的安全。如果發(fā)現(xiàn)了漏洞，關(guān)鍵就是盡快打補(bǔ)丁，組織潛在危害。

資源分配：物理內(nèi)存或者數(shù)據(jù)存儲(chǔ)被一個(gè)虛擬機(jī)使用并重新分配給其他虛擬機(jī)時(shí)，數(shù)據(jù)泄露也是風(fēng)險(xiǎn)。泄露通常發(fā)生在不再被需要的VM被刪除以及釋放資源分配給其他的VM事。一個(gè)新的VM收到了額外的資源，會(huì)采用取證調(diào)查技術(shù)獲取整個(gè)物理內(nèi)存的的鏡像，以及數(shù)據(jù)存儲(chǔ)。整個(gè)鏡像隨后會(huì)用于分析，這樣就會(huì)將前一個(gè)VM留下的重要信息透露出去。

虛擬機(jī)攻擊：如果攻擊者成功威脅了一個(gè)VM，就可以在很長(zhǎng)一段時(shí)間里通過(guò)網(wǎng)絡(luò)攻擊相同主機(jī)上的其他VM。這也是越來(lái)越流行的一種跨虛擬機(jī)攻擊方法，主要在于VM之間的流量無(wú)法被標(biāo)準(zhǔn)IDS/IPS軟件程序檢查出來(lái)。

遷移攻擊：在必要時(shí)，大多數(shù)虛擬化界面中遷移虛擬機(jī)都很容易實(shí)現(xiàn)。VM通過(guò)網(wǎng)絡(luò)發(fā)送給另外的虛擬化服務(wù)器，這個(gè)服務(wù)器上相同VM已經(jīng)設(shè)置好。但是如果沒(méi)能很好地管理流程，VM就可以通過(guò)非加密的渠道發(fā)送，可能被工具這通過(guò)網(wǎng)絡(luò)中執(zhí)行中間人攻擊(MITM)嗅探到。

減少安全擔(dān)憂

下面我們來(lái)介紹如何減少上面指出的安全問(wèn)題：

管理程序：針對(duì)管理程序定期檢查可用的最新的升級(jí)非常重要，同時(shí)要相應(yīng)的升級(jí)系統(tǒng)。通過(guò)保持管理程序的更新，能夠阻止攻擊者利用已知的漏洞并控制主機(jī)系統(tǒng)，包括運(yùn)行在上面的所有虛擬機(jī)。

資源分配：當(dāng)從一個(gè)虛擬機(jī)將資源再分配給另一個(gè)虛擬機(jī)時(shí)，二者都需要確保其安全。舊的數(shù)據(jù)存在于物理內(nèi)存中，也存在于數(shù)據(jù)存儲(chǔ)中，需要用零來(lái)重寫覆蓋。

虛擬機(jī)攻擊：有必要區(qū)別相同物理主機(jī)上的VM的流量進(jìn)入和輸出。這樣我們就能夠應(yīng)用入侵檢測(cè)和預(yù)防算法盡快捕獲攻擊者帶來(lái)的威脅。

遷移攻擊：為了防止遷移攻擊發(fā)生，必須保證網(wǎng)絡(luò)的安全性，防止MITM滲透帶來(lái)的威脅。這樣做的話，就算攻擊者能夠威脅一個(gè)VM，但是無(wú)法成功執(zhí)行MITM攻擊。此外，通過(guò)安全的取代發(fā)送數(shù)據(jù)可能也會(huì)比較有用。雖然有人認(rèn)為最好還是在遷移必須發(fā)生時(shí)，破壞并重新創(chuàng)建虛擬機(jī)鏡像，但是通過(guò)安全渠道和網(wǎng)絡(luò)更靠譜。

對(duì)于虛擬化的云環(huán)境可能會(huì)出現(xiàn)多種攻擊，但是如果在實(shí)施和管理云部署的時(shí)候進(jìn)行了合適的安全控制和規(guī)程是可以預(yù)防的。在嘗試確保云環(huán)境安全之前，理解這些惡意攻擊如何執(zhí)行很重要。這將有助于確保企業(yè)的防御更好地適應(yīng)環(huán)境中最可能出現(xiàn)的威脅。在確保環(huán)境安全之后，檢查安全度量是否很好地嘗試執(zhí)行攻擊預(yù)防。這些可以在企業(yè)內(nèi)部執(zhí)行或者聘請(qǐng)防御檢測(cè)公司來(lái)執(zhí)行。

河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年，專注服務(wù)器托管租用，是國(guó)家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營(yíng)商。億恩為近五十萬(wàn)的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù)，另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù)，使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話：0371-60135900
虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話：0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報(bào)電話：0371-60135995
服務(wù)熱線：0371-60135900