很多人認(rèn)為云計(jì)算模式下的一大優(yōu)勢(shì)是用戶可以輕松部署和使用虛擬化環(huán)境。而近期MIT（麻省理工學(xué)院）和加州大學(xué)的一項(xiàng)研究顯示，這恰恰是云計(jì)算模式的不安全因素之一。

此項(xiàng)研究致力于揭示在公共云計(jì)算環(huán)境下有多少基礎(chǔ)設(shè)施暴露在外邊，以及究竟有沒(méi)有可能對(duì)云中的虛擬機(jī)進(jìn)行定位和襲擊。

這篇名為“Hey, You, Get Off of My Cloud”的報(bào)告顯示，人們可以對(duì)一臺(tái)運(yùn)行中的虛擬機(jī)進(jìn)行定位。也就是說(shuō)，人們可以通過(guò)一種“shotgun”技術(shù)來(lái)在同一硬件上啟動(dòng)一臺(tái)新的虛擬機(jī)，這也就為云中針對(duì)虛擬化的攻擊提供了一定的可能性。

研究者選擇了在亞馬遜的Web服務(wù)網(wǎng)站上進(jìn)行這一研究，因?yàn)樗麄冋J(rèn)為亞馬遜是公用云計(jì)算服務(wù)器的領(lǐng)跑者。但是，這并不是只針對(duì)亞馬遜，所有其他主流云服務(wù)供應(yīng)商都無(wú)法避免此類攻擊。

“當(dāng)然這并不是亞馬遜的錯(cuò)，這是由虛擬化技術(shù)的本質(zhì)所決定的�！甭槭±砉�學(xué)院計(jì)算機(jī)科學(xué)和人工智能實(shí)驗(yàn)室（CSAIL）博士后Eran Tromer表示，他同時(shí)也是這個(gè)項(xiàng)目的主要負(fù)責(zé)人。他說(shuō)：“所有的云基礎(chǔ)設(shè)施服務(wù)都會(huì)面臨著一問(wèn)題�！贝送�，Tromer補(bǔ)充說(shuō)，他們研究所使用的都是最基本的技術(shù)，在很多情況下，也是在利用云計(jì)算資源的最基本屬性。

“云制圖”方面的研究是基于最基本的網(wǎng)絡(luò)發(fā)現(xiàn)技術(shù)技術(shù)所實(shí)施的，比如說(shuō)將每個(gè)機(jī)器的公開地址和DNS地理信息結(jié)合起來(lái)，再發(fā)送HTTP請(qǐng)求看Web服務(wù)器是否實(shí)施了最基本的安全預(yù)防措施。通過(guò)這樣做，Tromer及其搭檔大體上可以確定一臺(tái)既定服務(wù)器是否運(yùn)行在亞馬遜的數(shù)據(jù)中心里。

此外，通過(guò)連續(xù)啟動(dòng)測(cè)試服務(wù)器，他們可以加速對(duì)目標(biāo)虛擬機(jī)的定位工作。也就是說(shuō)，他們選擇了講自己的機(jī)器運(yùn)行在同樣的CPU、RAM及硬盤驅(qū)動(dòng)上。 Tromer表示，一旦完成了對(duì)虛擬機(jī)的定位，對(duì)其進(jìn)行“旁路”攻擊就很容易了�！芭月贰惫�擊主要是針對(duì)軟件或硬件的薄弱環(huán)節(jié)進(jìn)行攻擊，而不是針對(duì)密碼破譯、非安全網(wǎng)絡(luò)流量或其它一些常見(jiàn)的安全缺陷。

Tromer表示，出于倫理道德方面的考慮，他們并不想對(duì)亞馬遜的EC2服務(wù)進(jìn)行測(cè)試，也不想對(duì)測(cè)試目標(biāo)之外的機(jī)器進(jìn)行定位。他們只是想證明在云中是可以在虛擬機(jī)間進(jìn)行數(shù)據(jù)傳輸?shù)�。Tromer還表示，他們已經(jīng)證實(shí)自己網(wǎng)絡(luò)中的虛擬機(jī)存在這一隱患，并看到了公用云計(jì)算服務(wù)中類似的攻擊威脅。

Tromer表示，云計(jì)算面臨的攻擊威脅從拒絕服務(wù)攻擊（襲擊者通過(guò)監(jiān)控CPU或內(nèi)存的使用量來(lái)進(jìn)行定位）到數(shù)據(jù)截聽(tīng)不等，比如說(shuō)在數(shù)據(jù)從硬盤向CPU傳遞時(shí)恢復(fù)期密鑰或?qū)ζ溥M(jìn)行解碼。

Tromer表示，使用多佃戶虛擬化技術(shù)的私有云架構(gòu)也有可能面臨同公有云一樣的攻擊威脅。

“這些研究很好的揭示了云計(jì)算在安全方面的隱患，”思科公司云計(jì)算和虛擬化解決方案主管、安全專家Christofer Hoff.表示。他將此項(xiàng)研究稱之為“善意的提醒”。盡管說(shuō)一直在宣傳，但云計(jì)算還沒(méi)有從根本上解決安全方面的隱患，這對(duì)他們是一種警示。

他表示，此項(xiàng)研究從側(cè)面強(qiáng)調(diào)了供應(yīng)商在安全方面應(yīng)該比用戶做更多的工作。“用戶在網(wǎng)絡(luò)控制方面能做的工作室相當(dāng)有限的，特別是對(duì)于像亞馬遜這樣的云計(jì)算服務(wù)�！盚off.說(shuō)。他還強(qiáng)調(diào)，云服務(wù)供應(yīng)商不應(yīng)該將應(yīng)對(duì)安全問(wèn)題的責(zé)任推給用戶，而不將自己所采取的預(yù)防措施公布于眾�！八麄兡壳八�采用的預(yù)防措施非常、非常的基礎(chǔ)�！彼�說(shuō)。

亞馬遜對(duì)該項(xiàng)研究非常重視。其發(fā)言人Kay Kinton在郵件中表示，亞馬遜會(huì)對(duì)這一問(wèn)題迅速做出反應(yīng)。此外，她還指出，研究者們所提到的幾點(diǎn)緩解威脅的措施對(duì)亞馬遜化解潛在的虛擬化安全問(wèn)題很有幫助。

“盡管說(shuō)目前還無(wú)法確定在這方面會(huì)有什么具體的攻擊出現(xiàn)，但亞馬遜非常重視這一問(wèn)題，我們正在研發(fā)相應(yīng)的安全措施來(lái)保護(hù)用戶免受該研究報(bào)告中提到的‘云制圖’技術(shù)安全襲擊�！彼�說(shuō)。

Rackspace沒(méi)有對(duì)其在處理“云制圖”攻擊或虛擬化安全問(wèn)題方面的所作所為做出任何評(píng)價(jià)。Joyent表示他們使用的是OpenSolaris虛擬化環(huán)境，而不是Xen，這意味著他們的云計(jì)算平臺(tái)不存在研究報(bào)告中所提到的虛擬化安全隱患。

GoGrid發(fā)言人Michel Sheehan表示，盡管說(shuō)GoGrid使用的是與亞馬遜一樣的Xen虛擬化架構(gòu)，但其在主機(jī)托管方面的背景使他們?cè)谔摂M化安全方面的警惕性非常高。他表示，如果用戶需要確保這方面的安全，他們的管理軟件能夠在硬件后端對(duì)虛擬機(jī)進(jìn)行隔離，因此也不存在這一問(wèn)題。

“也正是出于這方面的考慮，我們?yōu)橛脩粼O(shè)立了‘云服務(wù)與物理設(shè)備托管’的選項(xiàng)�！彼�說(shuō)。

在不久的將來(lái)，云計(jì)算一定會(huì)徹底走入我們的生活，有興趣入行未來(lái)前沿產(chǎn)業(yè)的朋友，可以收藏云計(jì)算，及時(shí)獲取人工智能、大數(shù)據(jù)、云計(jì)算和物聯(lián)網(wǎng)的前沿資訊和基礎(chǔ)知識(shí)，讓我們一起攜手，引領(lǐng)人工智能的未來(lái)！

標(biāo)簽： dns web服務(wù)器 安全 大數(shù)據(jù) 服務(wù)器 公有云 網(wǎng)絡(luò) 云服務(wù) 云計(jì)算 云計(jì)算服務(wù) 云計(jì)算服務(wù)器 云計(jì)算平臺(tái)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。