云计算

  |  手机版

收藏网站

投稿QQ:1745232315

IT专家网,汇聚专业声音 解析IT潮流 IT专家网,汇聚专业声音 解析IT潮流

网络

专家视点在现场环球瞭望
IT专家网 > 云计算

Cansecwest安全峰会:三项议题直指云计算安全

作者:SINA出处:博客2016-03-22 08:11

  北京时间3月18日早上,正于加拿大温哥华举行的世界顶级信息安全峰会Cansecwest上,来自中国360安全创新中心的虚拟化安全团队360Marvel team带来了有关云计算安全的三大议题演讲。

  

  记者北京时间18日上午获悉,正在加拿大温哥华举行的世界顶级信息安全峰会Cansecwest已进入第二天的会议日程。本次大会上,破天荒的出现了围绕同一安全领域的3个议题同时入选,分别为“虚拟化系统漏洞挖掘”、“Docker平台的虚拟机逃逸”、“KVM-QEMU环境下虚拟机逃逸”,且这三大议题全部来自于中国安全团队——360Marvel team。

  同一安全团队的3大云计算安全议题同步入选Cansecwest,这在大会历史上还尚属首次,这其实与时下火热的云计算安全问题息息相关。360Marvel team负责人唐青昊介绍,作为云计算的基础,虚拟化的安全性在过去始终被忽略,直到去年“毒液”漏洞被外国安全专家曝出,才在世界范围内引起人们的注意。据不完全统计,仅为避免“毒液”蔓延,企业重启云计算服务造成业务中断的损失就高达数千万美金。

  “毒液漏洞的出现只是给人们敲响了云计算安全的警钟。”唐青昊在“虚拟化系统漏洞挖掘”的议题演讲中提到,2015年是云计算虚拟化安全问题爆发的元年,继毒液漏洞肆虐全球之后,包括Marvel Team在内的全球安全专家又不断在kvm、xen、vmware平台上发现了众多高危安全漏洞,这些漏洞会导致各种云系统被黑客攻破。云系统上存放着大量用户的个人隐私信息,企业数据库信息及政府的敏感信息,“一旦云系统被攻破,就意味着这些重要的信息会被泄露,黑客利用这些漏洞不但可以偷取重要信息,甚至可以从一台虚拟机的普通用户发起攻击控制宿主机,最终控制整个云环境的所有用户。“

  不仅如此,国外顶级安全专家及权威机构此前已多次对提到云计算安全问题的忧虑。SkyHight Networks公司高级网络安全研究员拉杰·古塔2015年年末对谈及今年安全趋势时曾表示,“在即将到来的2016年,企业必须开始偿还云安全的欠账。”在Gartner的数据研究报告中也显示,全球大型企业对于云计算的依赖程度极高,部分公司的业务对云计算的依赖性已经超过80%,而安全投入方面,云安全领域的支出只占总安全支出的3.8%。

  在Marvel team其余两个入选的议题中,安全专家又分别介绍了Docker平台与KVM-QEMU环境下的虚拟机逃逸,虚拟机逃逸是指利用虚拟机软件或者虚拟机中运行的软件的漏洞进行攻击,以达到攻击或控制虚拟机宿主操作系统的目的,而Docker与KVM-QEMU正是目前虚拟化技术使用的主要场景。

  据悉,依托长期在安全领域的研究积累与技术优势,360公司已经推出虚拟化安全管理系统,其中所包括的宿主机防护方案,通过分析虚拟机的底层I/O操作,能发现和拦截各种已知和未知的虚拟机逃逸攻击,并能对未知攻击进行溯源,找出系统漏洞,及时进行修补。本次会议关于虚拟机逃逸的演讲和演示,必定会引起大家重新审视宿主机安全防护的重要性,而360独创的虚拟化宿主机防护方案,正是顺应了这个市场需求。

相关文章

关键词:云安全

责任编辑:zzzz_ll

网警备案