从毒液漏洞说起，为何虚拟化安全是云安全的咽喉

Xuanwo

根据市场调研机构IDC公司的数据，2015年全球云计算基础设施支出将增长26.4%，达334亿美元，约占IT总支出的三分之一(2014年IT总支出增长了28.1%)。而未来五年，云计算基础设施支出预计将以年均15.6%的速度增长，到2019年将达546亿美元，这将占据IT基础设施支出近一半(46.5%)的市场。
在这场声势浩大的“云跃进”背后，近期频发的安全事件也使得云安全隐忧开始浮现。前不久《国家财经周刊》的一篇《90%靠外资!中国云计算面临扼喉战》揭露了云计算安全隐忧的背后，文中援引安全专家的观点称，虚拟化系统的安全已经成为关系云计算安全的核心因素。
由于云计算采用虚拟化技术，使得用户业务系统不再明确地运行在物理的服务器上，而是动态的虚拟机。这就使得多个数据源之间没有物理界限，一旦被侵入将难以设置隔离区。由此带来的结果是，原先一台服务器感染病毒，最多影响其所在公司设备，而云计算服务器一旦感染病毒，将影响大量企业甚至公共系统。
那么虚拟化技术的安全状况如何呢?在10月22日召开的中国系统构架师大会上，国内首个虚拟化安全研究团队360Marvel Team负责人唐青昊发表了题为《云虚拟化威胁分析》主题演讲，介绍了目前虚拟化安全的现状，同时也发布了Marvel Team的最新研究成果。

唐青昊透露，这是国内首只专业研究虚拟化安全课题的技术团队，虽然成立时间不长，已经在该领域取得了不凡的成绩，目前360Marvel Team已经挖掘出虚拟化系统0day漏洞16枚，其中qemu 0day漏洞12枚，vmware 0day漏洞4枚，此外还有支持docker和qemu的逃逸攻击工具，并制定了宿主机的加固解决方案。
在演讲中，唐青昊举了发生在今年的虚拟化安全漏洞实例：毒液漏洞爆发，亚马逊云业务为修复漏洞，对主机进行了重启，造成诸多企业业务中断，而且目前还没有针对于该漏洞的解决方案。“层出不穷的云安全事件已经为我们敲响了虚拟化安全的警钟。”唐青昊讲道。
以下是唐青昊演讲精彩观点节选：

1、虚拟化系统作为云计算的根基并不稳固。

虚拟化技术的核心目标是对虚拟机所需要的硬件设备进行仿真。通过虚拟化技术，虚拟机可以实现和普通服务器完全一致的功能。因此虚拟化系统就是云计算业务的根基。但是从近三年的虚拟化系统漏洞数字统计报告来看，这一根基并不稳固。

2、黑客通过虚拟机可以进行三种类型的攻击：

当黑客通过购买云主机或者直接入侵的方式，进入虚拟机之后，他可以进行哪些攻击呢?首先可以利用虚拟化系统的漏洞，尝试控制虚拟化系统的执行流程，进行逃逸攻击，在宿主机中执行任意代码。也可以利用漏洞造成宿主机的崩溃，导致该宿主机上的所有虚拟机停止服务。还可以通过虚拟机中的通信机制以及网络划分规则，对同一宿主机上的其他虚拟机进行信道攻击和恶意扫描。

3、虚拟化攻击目前仍无解：

毒液漏洞就是虚拟化安全漏洞中的一个典型代表。官网提供的完整利用思路分为三步：

1. 黑客利用venom漏洞进行虚拟机逃逸
2. 进入同一宿主机上的其他虚拟机当中
3. 获取对宿主机网络的访问权限，并尝试获得证书等敏感信息

在传统的安全产品中，我们有云盾类产品防止web攻击，ddos攻击，也有主机卫士类的产品防护恶意代码攻击，然而，类似毒液漏洞这种虚拟化层的影响广泛并且危害严重的漏洞，目前依然没有安全产品可以进行防御。
4、漏洞挖掘能力是虚拟化安全研究的基础

传统端管控类安全产品的基本逻辑是：在虚拟机内部安装轻代理杀毒客户端：实现对webshell文件，病毒木马文件进行查杀;系统恶意行为进行记录;并针对未知文件虚拟查杀。这样的设置无法对虚拟化攻击进行有效防护，因此360提出了一套以漏洞挖掘为基础的新云虚拟化安全技术解决方案。

以我们分析千兆网卡设备仿真器为例，在对其实现原理进行了充分的调试工作后，最终我们发现，在其实现TSO相关细节的过程中，处理描述符存在逻辑缺陷，导致虚拟机进入循环逻辑。通过发现这一类的漏洞，我们就可以通过漏洞分析和利用过程中积累的经验，防御虚拟化相关的一系列漏洞。
因此，虚拟化漏洞挖掘是打造虚拟化防御产品必备入门技术。360拥有国内领先的安全研究能力，为漏洞的自动化挖掘提供了基础，目前360Marvel team挖掘出的16个虚拟化漏洞所使用的时间仅为90天。
此外，针对用户空间和hypervisor层的热补丁技术与比轻代理效率更高的无代理技术也将是虚拟化防御产品的重要内容。相比传统的端管控类产品，这样的设计不会对打破云网络的隔离，并且执行效率高，资源消耗小。

原文链接： http://beareyes.com.cn/2/lib/201510/28/20151028107.htm