很多人認(rèn)為云計算模式下的一大優(yōu)勢是用戶可以輕松部署和使用虛擬化環(huán)境。而近期MIT（麻省理工學(xué)院）和加州大學(xué)的一項研究顯示，這恰恰是云計算模式的不安全因素之一。

此項研究致力于揭示在公共云計算環(huán)境下有多少基礎(chǔ)設(shè)施暴露在外邊，以及究竟有沒有可能對云中的虛擬機進(jìn)行定位和襲擊。

這篇名為“Hey, You, Get Off of My Cloud”的報告顯示，人們可以對一臺運行中的虛擬機進(jìn)行定位。也就是說，人們可以通過一種“shotgun”技術(shù)來在同一硬件上啟動一臺新的虛擬機，這也就為云中針對虛擬化的攻擊提供了一定的可能性。

研究者選擇了在亞馬遜的Web服務(wù)網(wǎng)站上進(jìn)行這一研究，因為他們認(rèn)為亞馬遜是公用云計算服務(wù)器的領(lǐng)跑者。但是，這并不是只針對亞馬遜，所有其他主流云服務(wù)供應(yīng)商都無法避免此類攻擊。

“當(dāng)然這并不是亞馬遜的錯，這是由虛擬化技術(shù)的本質(zhì)所決定的�！甭槭±砉�學(xué)院計算機科學(xué)和人工智能實驗室（CSAIL）博士后Eran Tromer表示，他同時也是這個項目的主要負(fù)責(zé)人。他說：“所有的云基礎(chǔ)設(shè)施服務(wù)都會面臨著一問題�！贝送猓琓romer補充說，他們研究所使用的都是最基本的技術(shù)，在很多情況下，也是在利用云計算資源的最基本屬性。

“云制圖”方面的研究是基于最基本的網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù)技術(shù)所實施的，比如說將每個機器的公開地址和DNS地理信息結(jié)合起來，再發(fā)送HTTP請求看Web服務(wù)器是否實施了最基本的安全預(yù)防措施。通過這樣做，Tromer及其搭檔大體上可以確定一臺既定服務(wù)器是否運行在亞馬遜的數(shù)據(jù)中心里。

此外，通過連續(xù)啟動測試服務(wù)器，他們可以加速對目標(biāo)虛擬機的定位工作。也就是說，他們選擇了講自己的機器運行在同樣的CPU、RAM及硬盤驅(qū)動上。 Tromer表示，一旦完成了對虛擬機的定位，對其進(jìn)行“旁路”攻擊就很容易了�！芭月贰惫�擊主要是針對軟件或硬件的薄弱環(huán)節(jié)進(jìn)行攻擊，而不是針對密碼破譯、非安全網(wǎng)絡(luò)流量或其它一些常見的安全缺陷。

Tromer表示，出于倫理道德方面的考慮，他們并不想對亞馬遜的EC2服務(wù)進(jìn)行測試，也不想對測試目標(biāo)之外的機器進(jìn)行定位。他們只是想證明在云中是可以在虛擬機間進(jìn)行數(shù)據(jù)傳輸?shù)摹�Tromer還表示，他們已經(jīng)證實自己網(wǎng)絡(luò)中的虛擬機存在這一隱患，并看到了公用云計算服務(wù)中類似的攻擊威脅。

Tromer表示，云計算面臨的攻擊威脅從拒絕服務(wù)攻擊（襲擊者通過監(jiān)控CPU或內(nèi)存的使用量來進(jìn)行定位）到數(shù)據(jù)截聽不等，比如說在數(shù)據(jù)從硬盤向CPU傳遞時恢復(fù)期密鑰或?qū)ζ溥M(jìn)行解碼。

Tromer表示，使用多佃戶虛擬化技術(shù)的私有云架構(gòu)也有可能面臨同公有云一樣的攻擊威脅。

“這些研究很好的揭示了云計算在安全方面的隱患，”思科公司云計算和虛擬化解決方案主管、安全專家Christofer Hoff.表示。他將此項研究稱之為“善意的提醒”。盡管說一直在宣傳，但云計算還沒有從根本上解決安全方面的隱患，這對他們是一種警示。

他表示，此項研究從側(cè)面強調(diào)了供應(yīng)商在安全方面應(yīng)該比用戶做更多的工作。“用戶在網(wǎng)絡(luò)控制方面能做的工作室相當(dāng)有限的，特別是對于像亞馬遜這樣的云計算服務(wù)。”Hoff.說。他還強調(diào)，云服務(wù)供應(yīng)商不應(yīng)該將應(yīng)對安全問題的責(zé)任推給用戶，而不將自己所采取的預(yù)防措施公布于眾。“他們目前所采用的預(yù)防措施非常、非常的基礎(chǔ)�！彼�說。

亞馬遜對該項研究非常重視。其發(fā)言人Kay Kinton在郵件中表示，亞馬遜會對這一問題迅速做出反應(yīng)。此外，她還指出，研究者們所提到的幾點緩解威脅的措施對亞馬遜化解潛在的虛擬化安全問題很有幫助。

“盡管說目前還無法確定在這方面會有什么具體的攻擊出現(xiàn)，但亞馬遜非常重視這一問題，我們正在研發(fā)相應(yīng)的安全措施來保護(hù)用戶免受該研究報告中提到的‘云制圖’技術(shù)安全襲擊�！彼�說。

Rackspace沒有對其在處理“云制圖”攻擊或虛擬化安全問題方面的所作所為做出任何評價。Joyent表示他們使用的是OpenSolaris虛擬化環(huán)境，而不是Xen，這意味著他們的云計算平臺不存在研究報告中所提到的虛擬化安全隱患。

GoGrid發(fā)言人Michel Sheehan表示，盡管說GoGrid使用的是與亞馬遜一樣的Xen虛擬化架構(gòu)，但其在主機托管方面的背景使他們在虛擬化安全方面的警惕性非常高。他表示，如果用戶需要確保這方面的安全，他們的管理軟件能夠在硬件后端對虛擬機進(jìn)行隔離，因此也不存在這一問題。

“也正是出于這方面的考慮，我們?yōu)橛脩粼O(shè)立了‘云服務(wù)與物理設(shè)備托管’的選項�！彼�說。

在不久的將來，云計算一定會徹底走入我們的生活，有興趣入行未來前沿產(chǎn)業(yè)的朋友，可以收藏云計算，及時獲取人工智能、大數(shù)據(jù)、云計算和物聯(lián)網(wǎng)的前沿資訊和基礎(chǔ)知識，讓我們一起攜手，引領(lǐng)人工智能的未來！

標(biāo)簽： dns web服務(wù)器 安全 大數(shù)據(jù) 服務(wù)器 公有云 網(wǎng)絡(luò) 云服務(wù) 云計算 云計算服務(wù) 云計算服務(wù)器 云計算平臺

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。