如何控制云中使用虛擬化帶來的風險？

云運算中有三種基本服務模式：軟件即服務(SaaS)、平臺即服務(PaaS)服務于基礎設施(IaaS)。此外，還有三種基本的部署模式：公共、混合和私有云。虛擬化通常用于所有這些云計算模式和部署，包括成本效益、增加正常運行時間、改善災難恢復和應用程序隔離。

面對云部署中的虛擬化，誰來管理供應商或企業(yè)客戶并不重要，因為我們需要解決同樣的安全問題。在選擇云服務和部署模式時，要知道，SaaS至少提供環(huán)境控制，IaaS提供最多的控制。同樣，企業(yè)也有必要遵守公共云中的云服務供應商(CSP)在私有云中，企業(yè)掌握環(huán)境。安全也是如此。用戶可以控制云計算部署的一小部分，其他部分由CSP控制。若部署模式的某些部分無法訪問，CSP需要部署適當的安全措施。

雖然虛擬化帶來了很多好處，但它也帶來了很多安全問題：

虛擬機管理程序：多個虛擬機程序在同一臺計算機中運行。如果管理程序中有漏洞，攻擊者可以利用漏洞獲取整個主機的訪問權，使其能夠訪問主機上運行的每個虛擬機。漏洞可能會危及整個系統(tǒng)的安全，因為管理程序很少更新。若發(fā)現(xiàn)漏洞，企業(yè)應盡快修復漏洞，防止?jié)撛诘木W絡安全事故。2006年，開發(fā)人員開發(fā)了兩個rootkit(被稱為BluePill)證明它們可以用來控制虛擬主機。

資源分配：當RAM當數據被一臺虛擬機使用并重新分配給另一臺虛擬機時，可能會發(fā)生數據泄露；當刪除不再需要的虛擬機并將釋放的資源分配給其他虛擬機時，也可能發(fā)生數據泄露。當新的虛擬機獲得更多的資源時，有心人可以使用電腦法證的技術來獲取整個RAM數據存儲ISO。該而ISO然后可以用來分析，獲得之前虛擬機留下的重要內容。

虛擬機攻擊：如果攻擊者成功地攻擊了一臺虛擬機，他或她可以在網絡上的同一主機中攻擊其他虛擬機很長一段時間。這種虛擬機攻擊方法越來越流行，因為虛擬機之間的流量不能標準化IDS/IPS檢測到。

遷移時的攻擊：在必要時，大多數虛擬化界面，虛擬機都可以輕松地完成設定。虛擬機通過網絡被發(fā)送到另一臺虛擬化伺服器，并在其中設置一個相同的虛擬機。但是，如果這個過程沒有得到有效的管理，虛擬機可能會被發(fā)送到未加密的通道，這便很有可能被攻擊者進行Sniffing。

控制安全方法

以下方法可以解決上述安全問題：

管理程序：定期檢查管理程序是否更新，并相應更新系統(tǒng)。通過保持管理程序的更新，企業(yè)可以防止攻擊者使用已知的漏洞來控制整個主機系統(tǒng)，包括所有在其上運行的虛擬機。

資源分配：當資源從一臺虛擬機分配到另一臺時，企業(yè)應保護它們。RAM數據存儲中的舊數據應使用0進行復制，以完全清除。這可以防止虛擬機RAM或數據存儲提取數據，并獲得仍然保持的重要信息。

虛擬機攻擊：企業(yè)有必要區(qū)分同一主機中的虛擬機和進入虛擬機的流量，使管理者能夠輕松部署入侵測試，并進行一些防御方法，以防止攻擊者的威脅。例如，我們可以通過通信港找到威脅，嘗試控制交換器上的一個通信港的數據，并將其更改為另一個通信港IDS/IPS監(jiān)控和分析信息。

遷移攻擊：為防止遷移攻擊，企業(yè)必須部署適當的安全措施來保護網絡，防止中間人PenetrationTest。這樣，即使攻擊者能夠攻擊虛擬機，他/她也不會成功地攻擊中間人。此外，還可以通過安全通道(如TLS)發(fā)送數據。雖然有人說在遷移過程中有必要破壞和重建虛擬機ISO，但企業(yè)也可以通過安全通道網絡仔細遷移虛擬機。

結論

虛擬云計算環(huán)境有各種攻擊，但如果企業(yè)在部署和管理云模式時部署了適當的安全控制和程序，則可以解決這些攻擊。在試圖保護云計算環(huán)境之前，企業(yè)了解如何實施這些惡意攻擊是很重要的。這將有助于確保企業(yè)的防御措施能夠抵御最有可能的威脅。企業(yè)在保護環(huán)境安全后，可以嘗試實施攻擊，檢查安全措施是否得到很好的部署。