[关闭]
@sambodhi 2017-02-03T11:43:21.000000Z 字数 2549 阅读 1832

使VM迁移更安全的提示和技巧

John Shackleton是Adventium实验室的首席研究科学家,他是在商业和政府计算环境中专注于虚拟化和系统安全性的研究和开发项目的技术主管。

不久前,John Shackleton写了一篇文章,作者在文章中提出了一些技巧和提示,能够使得VM的迁移更安全。

由于作者的文章中,声明了Creative Commons Zero(CC0),InfoQ翻译并分享。


虚拟机实时迁移对现代云环境的日常管理至关重要,但也可能是您安全中的薄弱环节。了解如何识别和避免这些常见的攻击很有必要。

搭建任何一种云的挑战是可用性与安全性之间的不断博弈。一般来说,云系统越流畅(即,使虚拟化资源更快捷、更容易地按需提供),您的系统对某些网络攻击就越开放。在活动虚拟机(VM)迁移期间,这种挑战可能最为严峻:当虚拟机从一个物理主机向另一个物理主机透明地移动时,而不会中断VM的操作。虚拟机实时迁移是现代云环境日常管理中的关键操作。

在大多数情况下,现代虚拟机管理程序(包括商业私有和开源)执行的VM迁移满足典型私有云的安全要求。然而,某些云系统可能需要额外的安全性。例如,考虑必须提供更大保证以使得在单个平台上的虚拟资源和虚拟机操作在不同(以及可能的竞争)组织之间隔离的系统。对于这些更具限制性的搭建任何一种云,VM迁移成为公司安全配置文件中的潜在薄弱环节。这些高级安全威胁是什么样的?

针对VM迁移的高级网络攻击

在解决每个这些攻击的可能补救措施之前,了解有关VM迁移更多详细资讯是有必要的。首先,在这种背景下,我们只关心活动VM迁移,或者不会中断VM迁移操作的迁移。此处不考虑停机或者掉电的VM迁移。此外,我们在本文描述的方法仅限于管理程序及其相关的工具包。任何安全性配置文件还必须包括硬件平台和网络基础设施,当然,有关这方面不在本文讨论范畴之内。

最后,云采用的存储类型对VM迁移有很大影响。通过像iSCSI、NFS或FibreChannel之类的协议的网络存储器比本地服务器存储器的配置和维护更复杂,但是也简化并加速了迁移的过程,因为VM映像本身通常不需要通过网络复制到单独的物理存储设备。

但是请注意,上面所列的攻击,对使用网络存储的VM迁移影响不大,但风险依然存在。VM使用共享存储能大幅减少迁移时间,降低VM迁移时被攻击的可能,但风险依然存在。状态数据和VM元数据仍然必须通过网络在服务器主机之间传递,由于迁移程序本身的脆弱性/缺点,上述攻击仍然能捕获到迁移过程中的VM状态数据和元数据。

在理解基本准则之后,让我们深入探讨解决每个迁移网络攻击的基本方法。

如何解决虚拟机迁移网络攻击

欺骗:中间人攻击已得到充分的研究,现代虚拟机管理程序应该已经利用在其迁移过程中集成的正确的身份验证协议来防止这类攻击。例如,针对Xen平台的变种,包括用于通过证书机构相互认证的公钥基础设施支持或用于防御MITM攻击的共享密钥。对于任何新安装,都要验证正确的身份验证是否可用并正确配置。

系统抖动:控制在网络基础设施之内、Hypervisor之外。使用编排软件自动化VM迁移以实现负载平衡,系统防御目的应该配置为防止DOS攻击。应该限制自动迁移请求,以防止网络堵塞,并避免单个主机过载。

强取豪夺:此攻击试图在适当的时刻中断迁移过程,以便使VM状态数据被损坏或被迫与源或目标服务器处的VM映像不同步,导致VM暂时或永久禁用。强取豪夺攻击可能像网络上的DOS攻击,或者可能由管理程序中的恶意软件执行。在这两种形式中,这种攻击测试迁移过程从间歇性故障中恢复的程度,以及迁移过程可以如何良好地回滚到先前的稳定状态。

管理工具不同,迁移恢复方案的健壮性的差异也很巨大。如论如何,有几个步骤可以将这类攻击的威胁最小化:

偷天换日:我们可以将偷天换日攻击作为强取豪夺攻击的变种,并减轻这种威胁的方法是一样的。要使偷天换日攻击成功,所中止的VM迁移尝试的残留副本必须保留在目标服务器上。如果VM占用量立即从磁盘擦除,则此攻击的风险也大大降低。

总之,重要的是要了解主动迁移的安全隐患。在设计和配置现代云环境时,必须充分考虑迁移过程中特定攻击情形和故障情况下的系统行为。幸运的是,如果你按照上面的步骤,你能够避免与VM迁移相关的安全风险。

添加新批注
在作者公开此批注前,只有你和作者可见。
回复批注