《云计算安全体系》之虚拟化安全读后总结

云计算安全体系之虚拟化安全读后总结
- 虚拟化架构
- 虚拟化安全隐患
- 虚拟化安全攻击
- 虚拟化安全解决方法

虚拟化架构

之前了解比较少，重点记录下
* 裸机虚拟化：无需HostOS，hypervisor直接运行在硬件上，对上提供指令集和设备接口给虚拟机，性能高，实现复杂，多用于企业级虚拟化架构，典型实现有VMware ESX、Microsoft Hyper V 等。
* 主机虚拟化：需HostOS，Hypervisor为其上的软件，性能差，实现简单，目前是发展主流，典型实现有xen、kvm、VMware workstation 等。
* 操作系统虚拟化：继续HostOS的隔离机制实现，运行效率高，但必须使用单一标准的操作系统，灵活性差，典型实现有 docker、LXC 等，也就是容器，目前很火热。

虚拟化安全隐患

配置问题导致
- 虚拟机蔓延：虚拟机创建越来越容易，数量越来越多，导致管理和回收工作越来越困难，这种失去控制的虚拟机繁殖成为虚拟机蔓延，具有僵尸虚拟机、幽灵虚拟机、虚胖虚拟机三种表现形式。
- 特殊配置隐患：模拟多种操作系统下软件的运行情况，会租用多个虚拟机，部署不同的操作系统，在仿真条件，比如不更新补丁的情况下查看自己软件运行情况，存在漏洞。
- 状态恢复隐患：备份和快照的功能，导致虚拟机可随时回滚，导致安全策略比如已更新的补丁丢失的情况。
- 虚拟机暂态隐患：虚拟机暂停使用的状态，系统管理员无法对其进行安全更新。

虚拟化安全攻击

恶意攻击
- 虚拟机窃取和篡改：虚拟机磁盘内容和镜像以文件存在的缘故。
- 虚拟机跳跃：同一Hypervisor上虚拟机之间能够通过网络连接、共享内存等互相通信，攻击者基于一台虚拟机通过上述方式获取同一Hypervisor上其他虚拟机的访问权限。
- 虚拟机逃逸：Hypervisor存在漏洞，攻击者使用虚拟机获取到Hypervisor的访问权限。
- VMBR攻击：virtual machine based rootkit。在已有的操作系统之下安装一个虚拟机监视器，将操作系统上移，编程一个虚拟机，这样在VMM中运行任何恶意程序都不会被运行在目标操作系统上的入侵检测程序发现。
- 拒绝服务攻击

虚拟化安全解决方法

宿主机安全：物理安全和操作系统安全，传统的安全机制。
Hypervisor安全机制：
- 自身安全保障：构建轻量级Hypervisor，较少TCB(Trusted Computing Base)；基于可信计算技术的完整性保护。。
- 提高Hypervisor防御能力：虚拟防火墙；合理分配主机资源；保障远程控制台安全（连接数为1，禁止拷贝和黏贴）；根据需要分配权限（先分配角色，不带权限，用户需要什么权限，再分配）。
虚拟机隔离机制：
- 安全隔离模型：硬件协助的安全内存管理SMM；硬件协助的安全I/O管理SIOM。
- 访问控制模型：sHype，Shamon
虚拟机安全监控：
- 内部监控：被监控的虚拟机中插入一些钩子函数，典型代表Lares、SIM，可以直接截取系统级语义。
- 外部监控：依赖Hypervisor的截获，典型代表Livewire，需要语义重构（低级语义如二进制语义重构出高级语义如操作系统级语义）。
虚拟机安全防护与检测：
- 纵向流量的防护与检测：客户端到服务器的访问，不同虚拟机之间三层转发流量，交换必经过硬件交换，传统的防火墙和入侵检测都可使用。
- 横向流量的防护与检测：虚拟化新问题，不经过硬件交换，2种技术，一是基于虚拟机的安全服务模型（建立安全虚拟机，开发Hypervisor嵌入式模块，将流量重定向到安全虚拟机进行安全管理）；二是边缘虚拟桥（edge virtual bridge EVB）和虚拟以太网端口汇聚器VEPA，将虚拟交换上的流量重定向到物理交换上进行管理。