日前,两场高水平竞赛成为大家热议话题,一边李世石和AlphaGo的世纪大战尘埃落定,AlphaGo的完胜让人类的智能遭受了严峻挑战。另一方面加拿大温哥华所举办的Pwn2Own 2016世界大赛隆重落幕,期间众位极客各显神通,各种姿势完虐苹果Safari或微软应用,为人类扳回一城 。
在这场比赛中,尤其一个项目值得引起大家注意,那就是VMware workstation 逃逸,竟然出现无人报名的罕见情况。其原因,是大家止步于VMware的强大安全防护能力,还是因为比赛项目公布较晚,报名选手难以准备,这其中原因不得而知。
但就目前形式而看,15年开始的毒液漏洞敲响了云计算安全的警钟。然而,毒液漏洞只是虚拟化安全威胁警报的序章,紧接着的下半年,更多的存在于云计算系统中的通用性虚拟化安全漏洞相继出现。
虚拟化漏洞在目前主流虚拟化系统(Xen,KVM,VMware系列产品)中广泛存在,这样一种漏洞的成因本质上和我们通常所说的Windows漏洞、Linux漏洞是一致的,都是由于官方在某些功能的编码实现过程中对可能的风险不能提前感知造成的,只是在攻击面上和传统的系统漏洞有所不同。虚拟化漏洞都是存在于符合“硬件设备虚拟化”概念的系统功能组件当中,即传统由物理硬件所提供的键盘鼠标功能,在虚拟机当中都是由软件实现,那么这些组件就容易出现漏洞。
虚拟化漏洞可以导致的危害主要有3个方面,一是造成宿主机崩溃,从而影响同一宿主机上其他虚拟机的正常运行;二是宿主机被控制,即虚拟机逃逸攻击,获取宿主机的控制权,使用宿主机发动更加深入的攻击;三是侧信道攻击,就是获取同一宿主机的其他虚拟机的敏感信息。
今天,政府、企业、个人都有越来越多的资料信息在云上储存,一旦云系统被攻破,就意味着这些重要的信息会被泄露。黑客利用虚拟化漏洞不但可以偷取到重要信息,甚至可以从一台虚拟机的普通用户发起攻击控制宿主机,最终控制整个云环境的所有用户。
360虚拟化安全管理系统独创的宿主机防护方案,通过分析虚拟机的底层I/O操作,能发现和拦截各种已知和未知的虚拟机逃逸攻击,并能对未知攻击进行溯源,找出系统漏洞,及时进行修补,提供对对混合虚拟化平台、混合操作系统、混合系统应用环境的统一管理,打造从虚拟机资源池中的底层安全,到虚拟机的系统安全,到虚拟机内部的应用安全,为企业提供自内至外、自上之下的立体防御体系。
