7月4日消息,2012年中國計(jì)算機(jī)網(wǎng)絡(luò)安全年會(huì)在西安舉行,華為云中心技術(shù)總監(jiān)云朋發(fā)表了“虛擬化安全分析”為主題的演講。
華為云中心技術(shù)總監(jiān)云朋
以下為演講實(shí)錄:
各位專家,大家好。我是華為這邊的工程師,今天跟大家看一下虛擬化安全分析,里面有一些錯(cuò)誤問題的話,希望各位專家指正。我先自我介紹一下,我是差不多2000年開始從事安全這方面的工作,做了些年,比較雜。那么講XEN的時(shí)候,我們要簡單回顧一下它的歷史,其實(shí)在1960年的時(shí)候,IBM無就提出了,那么在整個(gè)虛擬化里面,我們現(xiàn)在可以看出來的,軟件的方式的話,架構(gòu)的就是說PDM,像微軟,這一系列,成為云計(jì)算的核心架構(gòu)形式。不知道買云計(jì)算主機(jī)的,都是一些小公司,可能看到PDM,他們做了一些改造,上面加了一些XEN的東西。今天我們主要看一下這樣幾個(gè)情況,XEN是一個(gè)機(jī)遇Hypenisor而和虛擬化的開韻虛擬機(jī)監(jiān)視器。上傳的話比較重要的經(jīng)過改造的,叫Dommain0,那么剩下的就是我們?cè)谠朴?jì)算里面會(huì)使用的,那么一個(gè)是半虛擬,一個(gè)是全虛擬,構(gòu)成了一個(gè)完整的架構(gòu)。
我們看一下這種架構(gòu),在我們當(dāng)前看來,包括了它會(huì)出現(xiàn)問題的一些可能性。首先是CEO打交道,有可能會(huì)死到,所以會(huì)影響整個(gè)業(yè)務(wù)系統(tǒng),這是一個(gè)安全問題。第二就是對(duì)整個(gè)虛擬輸入輸出和網(wǎng)卡,它是整個(gè)全線最高的一臺(tái)虛擬機(jī)。那么所以如果Dommain0出現(xiàn)問題的話,會(huì)有影響。如果網(wǎng)絡(luò)沒有很好的被監(jiān)控,出現(xiàn)問題以后,有可能被其他虛擬用戶所攻陷,這是我們認(rèn)為三個(gè)層次里面比較重要的三個(gè)問題,我們下面分別簡單看一下。
第一個(gè)是我們說我們不知道運(yùn)行的是誰,它的安全性問題就會(huì)存在,它的安全性問題主要是架構(gòu)基于兩個(gè)方面造成的,一個(gè)是當(dāng)你使用虛擬機(jī)的時(shí)候,那么它的所有的內(nèi)容是在內(nèi)部的虛擬網(wǎng)卡進(jìn)行交流的,所以傳統(tǒng)的防火墻沒法去做,當(dāng)然有一些方法,把流量跟它引進(jìn)來,但是我個(gè)人感覺這些方法還是比較土的,因?yàn)椴荒艿玫奖WC,本身虛擬的流動(dòng)拿到外面去了,經(jīng)過我們傳統(tǒng)的再進(jìn)行過慮,這種方法來說,本身系統(tǒng)就會(huì)有所降低,所以更多的認(rèn)為還是需要從Dommain0的控制,去對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控。第二是內(nèi)容的問題,這也是容易出問題的情況,針對(duì)每一個(gè),有一個(gè)表,當(dāng)Ghost Os被發(fā)現(xiàn)時(shí),流量從一個(gè)虛擬機(jī)到另一個(gè)虛擬機(jī),不經(jīng)過物理網(wǎng)卡,這個(gè)是很危險(xiǎn)的。那么對(duì)Hypervisor攻擊的話,其實(shí)是很平常的,那么這個(gè)拒絕服務(wù)攻擊的話,非常容易。第三個(gè)是Hypervisor的文化,Hypervisor作為基礎(chǔ)活動(dòng),你要在這個(gè)上面做一些虛擬,所以啟動(dòng)了API接口,那么這些接口的話,他能夠保證說對(duì)Hypervisor比較容易的控制,那么這個(gè)接口就是我們看到這個(gè)可能就搭建起來了。但是因?yàn)檫@些接口的存在,如果我們可以發(fā)現(xiàn),其實(shí)我們不用去專門通過這些復(fù)雜的方法入侵,也一樣可以達(dá)到控制整臺(tái)設(shè)備的方法,最主要的我們調(diào)查和了解,最主要的在整個(gè)業(yè)務(wù)方面里面,拒絕服務(wù)比較麻煩,因?yàn)槟玫綑?quán)限以后,你的設(shè)備會(huì)被接管,但是一旦產(chǎn)生攻擊以后,典型的是不能提供服務(wù),會(huì)導(dǎo)致你的業(yè)務(wù)終端,所以在這里面需要防御、發(fā)現(xiàn)、更新。
我們剛才說有兩個(gè)漏洞,會(huì)導(dǎo)致Hypervisor問題,第一個(gè)漏洞是比較新的,這個(gè)的問題其實(shí)是很簡單的,就是說虛擬其實(shí)在加載的時(shí)候,它會(huì)通過指令加載我們所說的靜象虛擬機(jī),它的系統(tǒng)處理達(dá)不到,這時(shí)候就崩潰,XEN的崩潰,會(huì)導(dǎo)致Hypervisor不會(huì)提供這個(gè)能力,羧基我們會(huì)發(fā)現(xiàn)這個(gè)就掛了,任何用戶再虛擬就不會(huì)成功的。另一個(gè)攻擊是CVE-2011-1898,通過這個(gè)虛擬化,它的問題引起中斷,一個(gè)網(wǎng)卡,甚至USB的驅(qū)口,通過這個(gè)驅(qū)動(dòng)的話,我們可以很容易的去啟動(dòng)設(shè)備驅(qū)動(dòng),讓PCI去執(zhí)行DMA的執(zhí)行,那么這個(gè)時(shí)候,DMA會(huì)有一個(gè)指令,會(huì)發(fā)生一個(gè)中斷,我們有中斷的時(shí)候,這時(shí)候我們可以做很多事情,做的只是我們自己設(shè)備事情,但是恰恰不是這樣的。它的性能的提高,是把DMA已經(jīng)虛擬化,我們?cè)L問所有的日程,在這個(gè)里面有一個(gè)消息中斷,也就是它具有了特權(quán),我們可以有我們的代碼,這樣執(zhí)行起來比較容易。在Hypervisor的情況下,切入自己的一些指令,這些指令包括你可以去修改上下的傳輸,這個(gè)字面意義理解起來比較困難,你可以實(shí)踐一下,遠(yuǎn)遠(yuǎn)沒有那么復(fù)雜。你要去搞中斷,就是比較簡單的來說,其實(shí)就是XEN做過這種要求有驅(qū)動(dòng)的,很容易做。這是剩下一些比較老的漏洞,它們主要是因?yàn)檫壿嫴粔驀?yán)格,會(huì)出現(xiàn)一些攻擊。像自己把自己的虛擬機(jī)掛起來,或者說我讓自己執(zhí)行非常頻繁的這種操作,在這種情況下都能擊打消耗Hypervisor的性能,導(dǎo)致Hypervisor拒絕服務(wù)。
Hypervisor這些問題的話,通過這種傳統(tǒng)方式,會(huì)通過一些方法,現(xiàn)在實(shí)踐起來比較困難,因?yàn)樗旧淼臋C(jī)構(gòu),這是第一個(gè),第二個(gè)Hypervisor一旦出現(xiàn)擋機(jī)(音),這是比較嚴(yán)重的。它重啟了以后,系統(tǒng)又恢復(fù)了原來的現(xiàn)狀,更多的還是我剛才說的基于Dommain0和Ghost Os的一些方法。剛才說了最下層對(duì)Hypervisor的攻擊。第二個(gè)就是Dommain0的問題,它會(huì)負(fù)責(zé)虛擬機(jī)的加載,虛擬機(jī)之間的資源傳輸,如果Dommain0沒有很好的被保護(hù)起來的話,我們就是說比攻擊Hypervisor要容易的多,去攻擊Dommain0,普通的是看不到的,其實(shí)像Hypervisor有很多接口,這樣的話,我們通過一些方式建立虛擬環(huán)境,去加載、創(chuàng)建,取給用戶分配一些功能,如果我們通過一些滲透的方法,就是我特別同意,其實(shí)我要看外部好像很簡單,我們發(fā)現(xiàn)是不一定要搞XP這樣才有機(jī)制,其實(shí)未來大部分都會(huì)到XEN上,如果你的管理XEN,管理平面被攻擊的話,攻擊者就會(huì)拿到Dommain0的操作,它是由整個(gè)接觸的這種邏輯不夠嚴(yán)格,產(chǎn)生的問題,這是Dommain0的攻擊,Dommain0的聯(lián)線的話,雖然現(xiàn)在很少看到攻擊,但是它的操作比較頻繁,我們依舊需要對(duì)Dommain0進(jìn)行一些隔離,以及下載防火墻,甚至在XEN前面加WIFI,防止攻擊。還有逃逸,在我們當(dāng)前IT環(huán)境沒有虛擬之前,是擺在桌面的,出現(xiàn)你的問題之后,最多是拔掉你的網(wǎng)線,但是在虛擬化里面,不可能通過拔網(wǎng)線,它可以穿透,在沒經(jīng)過改造的系統(tǒng)里面,我們很難去發(fā)生說Hypervisor被哪一個(gè)攻擊了,或者說哪一個(gè)運(yùn)行在Hypervisor之上,但是它已經(jīng)偷偷的把自己包裝成了。所以我們要有很多機(jī)制去控制和保護(hù)Hypervisor也好,另一方面的話,我們要對(duì)虛擬做一些防范,因?yàn)楣羰菬o時(shí)無刻都會(huì)產(chǎn)生的。安全的問題在很多時(shí)候,我們是跟在攻擊者之后的,我們?cè)跊]有能力防止未知的問題的時(shí)候,監(jiān)控和報(bào)警就很重要,比如說內(nèi)存加密,我們要能夠架空,以及發(fā)現(xiàn)Ghost OS,我們要有報(bào)警。Ghost OS一旦跑到你的Hypervisor,預(yù)示著你的一臺(tái)物理設(shè)備淪陷了,那么會(huì)導(dǎo)致跟物理設(shè)備有關(guān)的物理設(shè)備出現(xiàn)問題。第二個(gè)就是我們要對(duì)承載Ghost Os的物理設(shè)備要進(jìn)行格力,而不止是在Hypervisor之間進(jìn)行隔離了。第四點(diǎn)的話,我們要去捕捉到現(xiàn)場(chǎng),就是說一旦產(chǎn)生這些問題,一定要產(chǎn)生快照,你能分析這些問題如何產(chǎn)生,你馬上對(duì)你的Hypervisor進(jìn)行修復(fù)。那么還有帶來的就是它的問題,這個(gè)可能跟XEN不太相關(guān)了,但是也是有很多問題的,就是虛擬機(jī)的熱遷移,這種熱遷移是明文的。熱遷移就是說我們?cè)谙到y(tǒng)上可以達(dá)到說,讓一臺(tái)機(jī)器很短時(shí)間內(nèi)遷移到另外一個(gè)機(jī)器,對(duì)內(nèi)存的操作的話,是明文的,如果我們對(duì)網(wǎng)絡(luò)進(jìn)行修復(fù)的話,我們可以把這個(gè)完全拷貝下來,里面有一些重要的數(shù)據(jù)可能被泄露了。這是上次跟別人交流,提出的一些發(fā)展玄的方式,怎樣去防止你虛擬機(jī)隱蔽等等,大家一個(gè)物理設(shè)備上進(jìn)行工作,無論你用的幾核的CPU,對(duì)它的物理資源進(jìn)行消耗,產(chǎn)生像電信號(hào)這種操作,能夠慢慢讓一些被入侵,用一些其他的監(jiān)控設(shè)備,我們沒辦法把它傳到另外一臺(tái)黑客電腦上去,黑客可以用一些方法,在固定的時(shí)間段產(chǎn)生一些操作,這些操作會(huì)讓你的系統(tǒng)性能進(jìn)行消耗,我們可以進(jìn)行系統(tǒng)性能監(jiān)控,我們也試驗(yàn)過,這個(gè)比較難,因?yàn)镃PU會(huì)比較多,單個(gè)CPU其實(shí)已經(jīng)難一點(diǎn)。
推薦閱讀
【搜狐IT消息】 7月4日消息,2012年中國計(jì)算機(jī)網(wǎng)絡(luò)安全年會(huì)今日在西安舉行,南京翰海源公司CEO方興發(fā)表了關(guān)于“攻防”的演講。>>>詳細(xì)閱讀
本文標(biāo)題:華為云朋:虛擬化安全分析
地址:http://www.brh9h.cn/a/11/20120705/73576.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示