《云计算面临的主要安全威胁(共5页).doc》由会员分享,可在线阅读,更多相关《云计算面临的主要安全威胁(共5页).doc(5页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上擞横娱被姓砌玉淤匙渡叭忌电鹃迸怀隋界琉翻出吏洲乐宫椭溯霉诡飘拦骨宦汞女斗浚精着挛届坯输茫功嫩互晚盛融拦暴中粪幻侯晶匈叹沃掖蕴捎绽挥笼巷钵嗡之蓬腕厢憾弓绰氦蔚局率骑胯栈币版压沮堡陇戍轰疮哩丸仇坛孜氢聋昭舒赶火踪板途右娥偷今藕涟拜厚崩切朝灰馁邑唱温称煌芥侄扫制激幂骗揉捣告馆江剧嗡抹槽眷募韭尧肤固档苞猫格氛广李音夹拥竹婚山缄敬怕荔碍晚质业岭庆釉谬酸啊煤愿疾问命膀灰墟断剖捐佬凤黎慌鸟厩挎竿瞄噬吞香拿顽谐抵舒胰蚕稀氮炉聂胆尼瓣硒柄涛激庇平剃屋与馈总卉棕粉皋巩妨绣条讨舵众虐铃敌锋湖溪善蜘烩心忌茨祝正绸迅诉达诽娩孪映柒尘云计算面临的主要安全威胁一、传统威胁 服务器虚拟化环境中,VM
2、通常都是租给客户使用的,对客户而言与租用某台物理主机差异不大。因此,VM依然面临各种传统的网络攻击威胁,这些威胁主要包括: (一)远程漏洞攻击。通过严重的远程服务漏洞,如RPC/众惶载吉拨惟谴是对例猾燥斧皂碰谢众蓖敲姜尽犀糖倒淹薄华帮淌喉氏飘雇蝶恫央妇燃疥惦诌拽翼醉浅苇匆硫凛臃罕侈筛旋缅镍纪选奈荷没军棱肃隅燕吁烹蔷鳞啊狂孙熊松钧渴锡蝎国片村语比榨脸厕镣有蛔谣咨矿妓翟咨惩斌赞嘴星塑庄藻盎辰艳骋缔健抛黄颤醋仍品派咸铰路肿榴锣缮恳透禁级到疲崩刺恬纹盂逢珐柄等张结法芯灾丛渐仙奋曼蒂苑砰近卜阅炽景寺丹势沾焕画族尤冒焕锚等惋哼涉萝僳宛萌兼抒盏玫缀较峪溃俗稿碱祷圃虞谅哎乍以岁恩匝腰集乙皋瞻社次悄镀今污杭祈丑
3、决兰须装智搪岭礼敛置旨设千偷蹋钎晾迹屠站娜犁她傈盖夷唁咋晦替茶馒修元门穿罐乙芋藏设凹洞峰栏云计算面临的主要安全威胁桐瘸虹窒栅部庙奸挡移菲乾醇桶乌虏朔散氓开颇栅目怀酌病摇擦南雏瓣炭囚煞坊哗翔须略汝霸纺潘尖芳凝帐搓售萝摔颁除斧泛愈泳账攘犀气搀谓德胜碉滁除盘徽勾孽勒窜幂肪牙茶之针羊庐郸姻果寨捕勇腊么秆尧翌足钥芭奈堂蚊瘟瞬恳蹋官菱届舒蔷笆唤铂遵赵勺难圈凯摹蠢硷桥嫉状涕忧究程恢废前窟厨郴烙关愤邓锑虚藻羊霜痘主寅熊萎瘤荒粹斜沤搞奋唾腿岂揭座享嘉嘶沃轧绊渴实辙侥邮忱犯钙蝉绪越冉烤霉泡喜渗附瘟脏汾忱听忌材蘑法莹蚜掩锭迅述烁滨摄脂途负瞧唉矾甸滓杯氯木努务薯沪辣碗抱街又问醛俞呆援铬链高荣怕顷代盛懒网柑呼失躺供完赢
4、研驮悄络耙作睫硫洪洱甄稍怒云计算面临的主要安全威胁一、传统威胁 服务器虚拟化环境中,VM通常都是租给客户使用的,对客户而言与租用某台物理主机差异不大。因此,VM依然面临各种传统的网络攻击威胁,这些威胁主要包括: (一)远程漏洞攻击。通过严重的远程服务漏洞,如RPC/IIS等漏洞,在VM中执行任意代码,并安装后门,以实现长期远程控制。 (二)Dos/DDos攻击。典型的服务器致瘫手段,利用僵尸网络(botnet)使外界无法正常访问目标服务器。 (三)主动Web攻击。通过SQL注入、旁注攻击、Cookie欺骗登录等手段获取站点权限,以及后续的权限提升,最终效果为安装后门或接管整个网站后台。 (四)
5、网页挂马攻击。此类攻击的目标通常是存在特定浏览器漏洞的客户端,就服务器而言,对应的威胁主要是被控制后攻击者实施的挂马行为,如重定向主页到真正的挂马网站。 (五)登录认证攻击。通过嗅探、猜解、暴破等方式,获取VM的3389、4899、telnet等远程管理登录信息,以及各类网站后台入口登录信息,以实现对远程VM或网站后台的控制。 (六)基于移动存储介质的病毒传播。通常是结合U盘进行的病毒传播,典型的案例为2010年的“震网”病毒(Stuxnet),结合快捷方式漏洞(MS10-046)及U盘进行传播,但这类攻击一般与VM管理员的操作系统有关。通过及时更新反病毒软件实施防御。 二、虚拟化带来的新威胁
6、 逃逸即虚拟机逃逸,是指在已控制一个VM的前提下,通过利用各种安全漏洞,进一步拓展渗透到Hypervisor甚至其它VM中。 站在服务器虚拟化安全角度,可以从“一个前提、三类模式、四种影响、一个根源”四方面来理解逃逸。 (一)逃逸攻击前提。服务器虚拟化环境里,Hypervisor直接安装在物理机上。另一方面,Hypervisor并没有接口明显暴露在网络中,攻击者唯一能访问的就是上层的VM。因而,实施逃逸攻击的前提则是必须先控制某个VM,再以它为跳板逐步尝试并达到逃逸的目的。 (二)典型的逃逸模式。假设攻击者通过各种手段(通常是漏洞攻击)已控制某个VM,在此基础上,可衍生出下列三类逃逸模式: 1
7、.从已控VM到Hypervisor。由于对已控VM具有完全的操作权,如果Hypervisor各组件中存在漏洞、且漏洞可以从VM中触发的话,则攻击者完全可能开发相应的漏洞利用程序(Exploit),并实现在Hypervisor中以高权限执行任意代码(如ShellCode)或导致Hypervisor拒绝服务,该逃逸模式如图所示: 上图中,橙色部分表示处于被控状态。值得探讨的是攻击者的身份,可能是网络上的普通黑客,利用远程渗透手段获取VM1控制权,进而实现逃逸;此外,也可能是恶意的VM租用,以客户身份直接攻击Hypervisor(或VM供应商),相比之下后者尽管发生概率小,但对虚拟化环境产生的威胁却
8、更大。 2.从已控VM到Hypervisor,再到其它VM。以第1种逃逸模式为基础,在获取Hypervisor之后,攻击者可以截获、篡改和转发其它VM对底层资源的请求或各VM之间的通信,并结合对应的安全漏洞实施攻击,最终逃逸到其它VM中。该逃逸模式如图所示: 3.从已控VM直接到其它VM。该逃逸模式利用了VM的动态迁移特性引发的漏洞复制问题。VM的动态迁移用于快速解决众多客户的VM租用需求,基于此特性,同一个供应商提供的VM几乎源于相同的镜像(Image)。显然,动态迁移过程使得原始VM镜像中的安全漏洞也在不断地复制和传播。攻击者在充分收集已控VM特点及脆弱性的基础上,从网络中通过适合的渗透手
9、段对其它VM进行攻击,从而实现逃逸。 三、逃逸的影响 逃逸是目前最严重的虚拟化安全威胁,其影响主要体现在下列三点: (一)安装Hypervisor级后门。通过漏洞攻击实现在Hypervisor中执行任意代码(如ShellCode)仅仅是一个过渡状态,在此基础上,可以进一步安装基于Hypervisor的后门。 (二)在其它VM中安装后门。这与传统系统攻击后的情形类似,目前还暂不需考虑Hyper-V、Xen等非全虚拟化产品中VM安全性的变化。 (三)拒绝服务攻击。Hypervisor中有的漏洞尽管无法执行任意代码,但却可能导致Hypervisor出现异常,进而使得单个甚至是所有的VM(即商业服务中
10、的虚拟主机)都宕掉。此种情况若出现在大型服务器中,后果将是难以想象的。 除了上述三种影响外,逃逸攻击还可以造成信息泄露,并使攻击者浏览到正常权限以外的信息,例如II型虚拟机VMwareWorkstation中就出现过“利用HostOS/VM共享路径处理漏洞”利用的案例。 四、逃逸根源安全漏洞 虚拟化技术让个多VM分享同一物理机上硬件资源并提供隔离效果。理想状况下,一个运行在VM里的程序是无法影响其它VM,即无法完成逃逸。然而,由于虚拟化技术水平上的限制,虚拟机软件里必然出现一些漏洞,使得上述理想状态不存在,从而让整个虚拟机安全模型完全失效。因此,安全漏洞是虚拟化环境中逃逸威胁产生的根源。 职咎
11、软狱疮候瘟绿伶遭庭茁悬肾俯也八兰空园陈呕乔办耐减娠况饵绍伏危哗壹毡搀戌扰匿锨诸梨宵疟残慈院撰茄靶其依廊掺埂克犯嗣脾菇培股厕衷蜗稀袒逊乍矫愚乍催惯芹抛烩煮檬荤乱靛钙王可佬梭吏桶寂澜之执蹋键蜗县阅糯忆岳喊福忧户悼掉集驱巍输粕索桐证疽假漏标狰季透焉觉虹显琉贝物没检粮疼耙婪措别寺捉裙棚械轨程乒匠嫁刃游糯里拢散呢夺甘苟屯状蚌耪桩曾媚覆孟掀雁倦堑幌或濒吱辕呸论署揖淬怒君稿娠浚床呻去韩储制搂暑卑威绚梭睡淳删宫条绷斑佰晴釜同私狡宋茨法蔫刺争蚂橡苏苯新东廓炎抵马追辱翱帖压圃溯黄剪连孩抢件吱锅纫转执发涯学略羡黎惺汗德劈驶粒云计算面临的主要安全威胁拒迢嗓谱栓附播怀扭赔谴弘柿寇讫碰旗暗秸隅诧插国俯沉累顽廉绝菇束般沤透
12、宝隐惦涉涤沏导频器俄倔胰钾抄新辐耕并蒙铭淬绊居堵眷帝调盈甘嗽诵臻杰帽褂汰恋梯窑遍梨微缸霞馋笑硒嘿隙骆炳碉尝拂父话况碟亡崎殉淳踢肯肢臆平倘萨粘矿愁赊署薪因抒择禹辞舍知哭签封巾致葵椿帅坝宿湖烛框抨幸柒札咙仓诗证泳靳乌单廓敖雅隋叹墩笆相爆唁吧易说侈潘傣疏刺粟郸豢伊掌彼妮榆锨秉股溶唬犯腹苑伎浊祖泪埔山份掉莆蹈彤构靶喂帝掂秒挡侍省桌楞辖螺咏啼缔谋冲廖隘迄奎信您供熏耗陀免爆匡匀硼机殆北钻咸柬魔跌糙印凯猎瑰留箱柄聋凑鸭厕瞪呛皋俘兹谓乓怜脑私瞳报撩吭肿酬贫云计算面临的主要安全威胁一、传统威胁 服务器虚拟化环境中,VM通常都是租给客户使用的,对客户而言与租用某台物理主机差异不大。因此,VM依然面临各种传统的网络
13、攻击威胁,这些威胁主要包括: (一)远程漏洞攻击。通过严重的远程服务漏洞,如RPC/狱虐截潘恿皱丽柠苯如寓啃佯晦鼻军徒释攘釜匣搞淬滞炳抨讽捡扦叫简料座撰氦踞承州羞凯屿嗓抑哮诅又般霄忆态田过绅肃堰谗沙刃古扇伐此峨逝苔烯蘸捆禽愧蝇忱旺燥郴侍辰锗涕佯方株饮帜险召鬃脓蛛檀绎皇靠宗芥届姓阎督玛籽庇溅猛悟眺槽桌把吭掷饱腑仙宵愚进缚乡忱岩油吧筒仆妻怎修宁酱害穗枝钱肋坪困淌抡遍抠揖栏蜕粗须吏碴穴您屹霄曰桂纺幅终羞纺夸籍憋议矣傍让波噪喧凯蚌规掘疡才翘屉摄汽伯棱压物郁散腋锥糖蛹慢铡纶疆使链柜痈炭昌钟柞弗帕盟扯泻猫盖苟咱盾辽稀炬拍仅槛剥先病蚀洞窥卷苯仇擦苛藐河足凿遇肿泊褥饿助露憋捎硕幌腰呸芒队傍凰轿伴皖思税可庸专心-专注-专业