如何減少云計算虛擬化期間安全風(fēng)險

　　摘要：在云計算中，有三種基本服務(wù)模型：軟件即服務(wù)（SaaS）、平臺即服務(wù)（PaaS）和基礎(chǔ)架構(gòu)即服務(wù)（IaaS）。此外，還有三種基本的部署模型：公有、混合和私有。虛擬化通常被用于上述的這些云計算模型和部署中，以實現(xiàn)其諸多優(yōu)勢，包括成本效益、增加運行時間、改善災(zāi)難恢復(fù)和應(yīng)用隔離。
　　
　　在云部署中處理虛擬化時，誰來管理安全并不重要，不管是提供商還是企業(yè)客戶，因為需要解決相同的安全問題。選擇一項服務(wù)和部署模型時，要知道SaaS提供了這個環(huán)境zui小的控制，同時IaaS則提供了zui多的控制。類似的，在公有云中，需要遵守云服務(wù)提供商（CSP）的規(guī)則，同時在私有云中，則具備環(huán)境的*控制。這一點對于安全同樣適用，用戶控制了云部署中的很小的部分，而剩下的則由CSP控制。無法訪問部署模型的具體部分，CSP則需要實施更合適的安全度量來處理。
　　
　　云計算中虛擬化的安全問題
　　
　　盡管虛擬化帶來了很多優(yōu)勢，但是也導(dǎo)致了很多安全問題：
　　
　　管理程序：這個程序在相同的物理機上運行了多種虛擬機。如果管理程序中易于受到攻擊，攻擊者就會利用其進入到整個主機，從而就可以訪問每一個運行在主機上的客用虛擬機。由于管理程序很少更新，已有的漏洞會危害整個系統(tǒng)的安全。如果發(fā)現(xiàn)了漏洞，關(guān)鍵就是盡快打補丁，組織潛在危害。
　　
　　資源分配：物理內(nèi)存或者數(shù)據(jù)存儲被一個虛擬機使用并重新分配給其他虛擬機時，數(shù)據(jù)泄露也是風(fēng)險。泄露通常發(fā)生在不再被需要的VM被刪除以及釋放資源分配給其他的VM事。一個新的VM收到了額外的資源，會采用取證調(diào)查技術(shù)獲取整個物理內(nèi)存的的鏡像，以及數(shù)據(jù)存儲。整個鏡像隨后會用于分析，這樣就會將前一個VM留下的重要信息透露出去。
　　
　　虛擬機攻擊：如果攻擊者成功威脅了一個VM，就可以在很長一段時間里通過網(wǎng)絡(luò)攻擊相同主機上的其他VM。這也是越來越流行的一種跨虛擬機攻擊方法，主要在于VM之間的流量無法被標(biāo)準(zhǔn)IDS/IPS軟件程序檢查出來。
　　
　　遷移攻擊：在必要時，大多數(shù)虛擬化界面中遷移虛擬機都很容易實現(xiàn)。VM通過網(wǎng)絡(luò)發(fā)送給另外的虛擬化服務(wù)器，這個服務(wù)器上相同VM已經(jīng)設(shè)置好。但是如果沒能很好地管理流程，VM就可以通過非加密的渠道發(fā)送，可能被工具這通過網(wǎng)絡(luò)中執(zhí)行中間人攻擊（MITM）嗅探到。
　　
　　減少安全擔(dān)憂
　　
　　下面我們來介紹如何減少上面指出的安全問題：
　　
　　管理程序：針對管理程序定期檢查可用的的升級非常重要，同時要相應(yīng)的升級系統(tǒng)。通過保持管理程序的更新，能夠阻止攻擊者利用已知的漏洞并控制主機系統(tǒng)，包括運行在上面的所有虛擬機。
　　
　　資源分配：當(dāng)從一個虛擬機將資源再分配給另一個虛擬機時，二者都需要確保其安全。舊的數(shù)據(jù)存在于物理內(nèi)存中，也存在于數(shù)據(jù)存儲中，需要用零來重寫覆蓋。
　　
　　虛擬機攻擊：有必要區(qū)別相同物理主機上的VM的流量進入和輸出。這樣我們就能夠應(yīng)用入侵檢測和預(yù)防算法盡快捕獲攻擊者帶來的威脅。
　　
　　遷移攻擊：為了防止遷移攻擊發(fā)生，必須保證網(wǎng)絡(luò)的安全性，防止MITM滲透帶來的威脅。這樣做的話，就算攻擊者能夠威脅一個VM，但是無法成功執(zhí)行MITM攻擊。此外，通過安全的取代發(fā)送數(shù)據(jù)可能也會比較有用。雖然有人認為還是在遷移必須發(fā)生時，破壞并重新創(chuàng)建虛擬機鏡像，但是通過安全渠道和網(wǎng)絡(luò)更靠譜。
　　
　　對于虛擬化的云環(huán)境可能會出現(xiàn)多種攻擊，但是如果在實施和管理云部署的時候進行了合適的安全控制和規(guī)程是可以預(yù)防的。在嘗試確保云環(huán)境安全之前，理解這些惡意攻擊如何執(zhí)行很重要。這將有助于確保企業(yè)的防御更好地適應(yīng)環(huán)境中zui可能出現(xiàn)的威脅。在確保環(huán)境安全之后，檢查安全度量是否很好地嘗試執(zhí)行攻擊預(yù)防。這些可以在企業(yè)內(nèi)部執(zhí)行或者聘請防御檢測公司來執(zhí)行。