如何控制在云計(jì)算中使用虛擬化帶來的風(fēng)險(xiǎn)

　　當(dāng)面對云部署中的虛擬化時(shí)，供應(yīng)商或企業(yè)客戶誰來管理安全并不重要，因?yàn)槲覀冃枰�解決相同的安全問題。正如前面關(guān)于云計(jì)算取證的文章中所討論的，當(dāng)選擇服務(wù)和部署模式時(shí)，要知道，SaaS提供對環(huán)境的最少控制，而IaaS提供最多的控制。同樣地，在公共云中，企業(yè)有必要遵守云服務(wù)提供商（CSP）的規(guī)則，而在私有云中，企業(yè)則掌握對環(huán)境的完全控制。安全同樣是如此，用戶可以控制一小部分云計(jì)算部署，而其余部分則由CSP控制。如果無法訪問部署模式的某些部分，CSP將需要部署適當(dāng)?shù)陌踩�措施�?/p>

　　在云計(jì)算中使用虛擬化面臨的安全問題盡管虛擬化帶來了很多好處，它同樣也帶來了很多安全問題：

　　虛擬機(jī)管理程序： 在相同物理機(jī)器運(yùn)行多個(gè)虛擬機(jī)的程序。如果管理程序中存在漏洞，攻擊者將可以利用該漏洞來獲取對整個(gè)主機(jī)的訪問，從而他/她可以訪問主機(jī)上運(yùn)行的每個(gè)訪客虛擬機(jī)。由于管理程序很少更新，現(xiàn)有漏洞可能會危及整個(gè)系統(tǒng)的安全性。如果發(fā)現(xiàn)一個(gè)漏洞，企業(yè)應(yīng)該盡快修復(fù)漏洞以防止?jié)撛诘陌踩�泄露事故。�?006年，開發(fā)人員開發(fā)了兩個(gè)rootkit（被稱為Blue Pill）來證明它們可以用來掌控虛擬主機(jī)。

　　資源分配： 當(dāng)物理內(nèi)存數(shù)據(jù)存儲被一臺虛擬機(jī)使用，并重新分配給另一臺虛擬機(jī)時(shí)，可能會發(fā)生數(shù)據(jù)泄露；當(dāng)不再需要的虛擬機(jī)被刪除，釋放的資源被分配給其他虛擬機(jī)時(shí)，同樣可能發(fā)生數(shù)據(jù)泄露。當(dāng)新的虛擬機(jī)獲得更多的資源，它可以使用取證調(diào)查技術(shù)來獲取整個(gè)物理內(nèi)存以及數(shù)據(jù)存儲的鏡像。該而鏡像隨后可用于分析，并獲取從前一臺虛擬機(jī)遺留下的重要信息。

　　虛擬機(jī)攻擊： 如果攻擊者成功地攻擊一臺虛擬機(jī)，他或她在很長一段時(shí)間內(nèi)可以攻擊網(wǎng)絡(luò)上相同主機(jī)的其他虛擬機(jī)。這種跨虛擬機(jī)攻擊的方法越來越流行，因?yàn)樘摂M機(jī)之間的流量無法被標(biāo)準(zhǔn)IDS/IPS軟件程序所檢測。