互聯網IDC圈1月7日報道，1月5-7日，第十屆中國IDC產業年度大典（IDCC2015）在北京國家會議中心隆重召開。本次大會由中國信息通信研究院、云計算發展與政策論壇、數據中心聯盟指導，中國IDC產業年度大典組委會主辦，互聯網IDC圈承辦，并受到諸多媒體的大力支持。

成都創新互聯公司是專業的金秀網站建設公司，金秀接單;提供成都做網站、網站制作,網頁設計,網站設計,建網站,PHP網站建設等專業做網站服務;采用PHP框架,可快速的進行金秀網站開發網頁制作和功能擴展;專業做搜索引擎喜愛的網站,專業的做網站團隊,希望更多企業前來合作!

中國IDC產業年度大典作為國內云計算和數據中心領域規模大、最具影響力的標志性盛會，之前已成功舉辦過九屆，在本屆大會無論是規格還是規模都"更上一層樓"，引來現場人員爆滿，影響力全面覆蓋數據中心、互聯網、云計算、大數據等多個領域。

奇虎360云安全架構師蔡玉光出席IDCC2015大會并在大數據應用與安全技術論壇發表主題為《管中窺豹—小談云平臺虛擬化安全》的精彩演講。

奇虎360云安全架構師蔡玉光

以下為蔡玉光演講實錄：   

很高興來到論壇跟大家分享有關于云平臺虛擬化安全的內容。我先自我介紹一下，我是來自360云安全團隊的蔡玉光，目前在360負責安全架構，我個人接觸信息安全十多年的時間，我有六年的安全從業經驗，以前做過反病毒、主動防御研發的工作，做了一部分跟金融安全滲透測試跟web相關的開發。

我今天分享三點，一是什么是虛擬化，二是如何對虛擬化做滲透，三是做完穿透之后如何加固虛擬化平臺。管中窺豹這個詞是根據圣斗士里來的，圣斗士里都是通過羊腸小道看安全，對于虛擬化安全我不能看到全部，我雖然不能知道所有的問題，但是我可以知道它有沒有問題。虛擬化是用軟件的方式模擬實現原有的硬件功能、CPU、網卡、顯卡、硬盤相關的，由于是軟件實現的，它可以輕松實現復制、遷移。虛擬化層主要是wirtual hardware，實現了網卡、內存等一些軟件的模擬實現，底下是連接的安全運維跟實際的虛擬機通道，Hypervisor，再往下是Host Operating System。利用一個漏洞穿透這個虛擬化平臺，對于Venom這個漏洞，它就像黑衣人闖入IDC的大門，他只說了一句，Hello world，I am Venom！漏洞預警，Venom漏洞影響全球數百萬虛擬機安全。福布斯說對了一句話，這個漏洞打開了云端的潘多拉魔盒，它不一定是潘多拉，但它打開了，這是關注虛擬化安全的一個點。

回到Venom這個漏洞，它是CrowdStrike的Jason發現的，這個漏洞CVE的編號非常OK，CVE-2015-3456。宿主由qemu memalign分配的，大小為512字節。后續圍繞著宿主，如何覆蓋宿主后面的東西。實際上MIMO宿主模擬這一區塊，它有513個字節，不管怎么寫怎么讀，永遠都跳不出這513個字節，因為有個復位的功能，跳出去或者超過大小之后就會復位過來，所以我們的攻擊思路就是繞過復位這個標記，因為它是軟件模擬了，所以這里體現了虛擬化安全的本質，在模擬的過程中實現軟件代碼是存在漏洞的。我們回過頭看一眼patch，這可能不是很切除，但這個patch里基本圍繞Reset的指令來做的，在準確的地方做Reset。由于是軟模擬，有一堆對應的處理函數，經過分析跟宿主相關的有兩個指令，一個是FD CMD READ JD。這是存在漏洞的，下標沒有進行Reset。

按照我自己的理解總結一下虛擬化安全里需要做哪些東西。大致有三點，如果需要了解更多的話，大家可以直接找我。第一還是要深入到基礎領域的安全，做基礎領域的研究。基礎領域的安全研究可以感受到要做的有這么幾點，第一是要減少攻擊面，VLAN不是存在于實際的云平臺里，不會見過目前的云平臺里提供軟驅功能的模塊，應該把它檢查掉，盡量減少虛擬化軟件的攻擊面。第二，無論如何有可能被穿透，要做被穿透的準備，按照目前的慣例更多還是通過沙箱系統，虛擬化里需要有沙箱系統，沙箱系統是必備的。第三，整個云平臺里，黑客關心的并不僅僅是數據，無論如何都在云端共舞，有尾巴的這個家伙不停地朝運維人員灌酒，這有可能是基礎設備，他不只是想讓你喝醉，他每時每刻都在想著你手中的那把鑰匙。

這是我們團隊的愿景，我們愿意為用戶、企業構建安全的云，通過我們自己的技術研究、安全架構保證我們的用戶在云里能待得更安心，謝謝大家！

分享標題：蔡玉光：管中窺豹—小談云平臺虛擬化安全
轉載源于：http://vcdvsql.cn/article22/sogjjc.html

成都網站建設公司_創新互聯，為您提供標簽優化、網頁設計公司、移動網站建設、網站營銷、網站維護、全網營銷推廣

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯