中国IDC圈1月7日报道,1月5-7日,第十届中国IDC产业年度大典(IDCC2015)在北京国家会议中心隆重召开。本次大会由中国信息通信研究院、云计算发展与政策论坛、数据中心联盟指导,中国IDC产业年度大典组委会主办,中国IDC圈承办,并受到诸多媒体的大力支持。

中国IDC产业年度大典作为国内云计算和数据中心领域规模最大、最具影响力的标志性盛会,之前已成功举办过九届,在本届大会无论是规格还是规模都"更上一层楼",引来现场人员爆满,影响力全面覆盖数据中心、互联网、云计算、大数据等多个领域。

奇虎360云安全架构师蔡玉光出席IDCC2015大会并在大数据应用与安全技术论坛发表主题为《管中窥豹—小谈云平台虚拟化安全》的精彩演讲。

蔡玉光

奇虎360云安全架构师蔡玉光

以下为蔡玉光演讲实录:   

很高兴来到论坛跟大家分享有关于云平台虚拟化安全的内容。我先自我介绍一下,我是来自360云安全团队的蔡玉光,目前在360负责安全架构,我个人接触信息安全十多年的时间,我有六年的安全从业经验,以前做过反病毒、主动防御研发的工作,做了一部分跟金融安全渗透测试跟web相关的开发。

我今天分享三点,一是什么是虚拟化,二是如何对虚拟化做渗透,三是做完穿透之后如何加固虚拟化平台。管中窥豹这个词是根据圣斗士里来的,圣斗士里都是通过羊肠小道看安全,对于虚拟化安全我不能看到全部,我虽然不能知道所有的问题,但是我可以知道它有没有问题。虚拟化是用软件的方式模拟实现原有的硬件功能、CPU、网卡、显卡、硬盘相关的,由于是软件实现的,它可以轻松实现复制、迁移。虚拟化层主要是wirtual hardware,实现了网卡、内存等一些软件的模拟实现,底下是连接的安全运维跟实际的虚拟机通道,Hypervisor,再往下是Host Operating System。利用一个漏洞穿透这个虚拟化平台,对于Venom这个漏洞,它就像黑衣人闯入IDC的大门,他只说了一句,Hello world,I am Venom!漏洞预警,Venom漏洞影响全球数百万虚拟机安全。福布斯说对了一句话,这个漏洞打开了云端的潘多拉魔盒,它不一定是潘多拉,但它打开了,这是关注虚拟化安全的一个点。

回到Venom这个漏洞,它是CrowdStrike的Jason发现的,这个漏洞CVE的编号非常OK,CVE-2015-3456。宿主由qemu memalign分配的,大小为512字节。后续围绕着宿主,如何覆盖宿主后面的东西。实际上MIMO宿主模拟这一区块,它有513个字节,不管怎么写怎么读,永远都跳不出这513个字节,因为有个复位的功能,跳出去或者超过大小之后就会复位过来,所以我们的攻击思路就是绕过复位这个标记,因为它是软件模拟了,所以这里体现了虚拟化安全的本质,在模拟的过程中实现软件代码是存在漏洞的。我们回过头看一眼patch,这可能不是很切除,但这个patch里基本围绕Reset的指令来做的,在准确的地方做Reset。由于是软模拟,有一堆对应的处理函数,经过分析跟宿主相关的有两个指令,一个是FD CMD READ JD。这是存在漏洞的,下标没有进行Reset。

按照我自己的理解总结一下虚拟化安全里需要做哪些东西。大致有三点,如果需要了解更多的话,大家可以直接找我。第一还是要深入到基础领域的安全,做基础领域的研究。基础领域的安全研究可以感受到要做的有这么几点,第一是要减少攻击面,VLAN不是存在于实际的云平台里,不会见过目前的云平台里提供软驱功能的模块,应该把它检查掉,尽量减少虚拟化软件的攻击面。第二,无论如何有可能被穿透,要做被穿透的准备,按照目前的惯例更多还是通过沙箱系统,虚拟化里需要有沙箱系统,沙箱系统是必备的。第三,整个云平台里,黑客关心的并不仅仅是数据,无论如何都在云端共舞,有尾巴的这个家伙不停地朝运维人员灌酒,这有可能是基础设备,他不只是想让你喝醉,他每时每刻都在想着你手中的那把钥匙。

这是我们团队的愿景,我们愿意为用户、企业构建安全的云,通过我们自己的技术研究、安全架构保证我们的用户在云里能待得更安心,谢谢大家!

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2018-04-12 16:00:00
云资讯 解读2018数字政务指数:成渝城市群势能突出
目前在数字政务方面,珠三角城市群是全国移动政务发展版图的核心区。然而,在成都、重庆的辐射带动下,成渝城市群2017年数字政务指数同比增长40.52%,远超珠三角、长三角、 <详情>
2018-04-12 12:00:27
云安全 伴随云平台的发展,云安全现状如何?
随着许多工作相继进入云端,云计算的采用持续激增,云安全问题并没有减少的迹象。2018年,根据对LinkedIn上400,000名信息安全社区网络安全专业人员的在线调查显示,84%的 <详情>
2018-03-13 10:04:00
云资讯 有了金融云,银行还要有纵身一跃的勇气
近日,银监会亲自挂帅督导,牵头17家(有媒体称是16家)金融机构旗下公司出资成立了云服务公司的消息在媒体圈发酵。有观点认为,官方自建金融云服务的战略动作已是板上钉钉 <详情>
2018-03-08 10:47:00
国际资讯 IBM公司在其云平台采用Nvidia Tesla V100GPU
日前据悉,IBM公司在其云平台上采用了芯片厂商Nvidia公司的V100GPU,让用户可以采用Nvidia公司公司最先进的GPU. <详情>
2018-02-28 09:37:00
云资讯 云计算是否会减少数据中心的工作机会?
云计算是否会减少数据中心工作机会要追溯到2005年,当时Capital One通过将其数据中心业务外包给IBM而淘汰了170个工作岗位,2015年游戏公司Zynga通过关闭数据中心并将工作负 <详情>
调查显示:中国企业率先采用对象存储
2018-12-13 19:17:40
IDCC2018|奥飞数据COO杨培峰:中国IDC企业转型与出海的思考
2018-12-13 18:26:43
IDCC2018|中软国际数据业务总裁贾丕星:差异化行业的数据资产管理特征思考
2018-12-13 17:34:48
医疗大数据行业分析: 三大利好因素迎来广阔发展前景
2018-12-13 17:25:48
央视聚焦贵阳 点赞大数据加速营商环境优化
2018-12-13 17:19:11
工信部:将规范手机号二次销售业务解绑问题
2018-12-13 17:12:31
室内大数据方案支撑打造智慧商场、开拓行业数字化运营新市场
2018-12-13 17:04:07
总价6.16亿美元:澳洲电讯等四家运营商赢得澳大利亚5G频谱拍卖
2018-12-13 16:55:15
云服务市场龙虎斗:入华或入欧,暗夺转明争
2018-12-13 16:47:44
IDCC2018|腾讯云高级架构师李晓辉:腾讯云助力政府、企业数字化转型案例分享
2018-12-13 16:37:49
环信即时通讯云助力智慧树打造最大幼教互动云平台
2018-12-13 16:33:16
大数据技术标准推进委员会常务副主席魏凯:《数据资产管理白皮书3.0》发布
2018-12-13 16:32:27
IDCC2018|华为企业BG企业技术服务部大数据服务总监陈飚:大数据资产管理-从传统到智能
2018-12-13 16:27:00
白盒服务器能否成为数据中心的一个未来趋势?
2018-12-13 16:25:03
IDCC2018|中国支付清算协会业务协调三部主任丁华明:《非银行支付机构数据资产管理调研报告(2018)》解读
2018-12-13 16:23:15