虚拟化安全与云计算安全技术.pptVIP

虚拟化安全与云计算安全技术 邹德清 2010.6.25 IT发展趋势 根据IDC权威报告，虚拟化技术已经成为IT基础架构中的核心技术。虚拟化软件市场在2009年已经超过27亿美元，并在未来5年还将继续激增。虚拟化技术已经成为计算机系统软件的发展趋势，并显著地改变着IT 世界。 虚拟化成为热门技术 公司：VMware, XenSource, IBM, Intel, AMD, Microsoft等 大学和研究所：Cambridge, MIT, Stanford, CMU等 虚拟化技术 单台物理机器的性能按照摩尔定律提升。虚拟化技术能够充分利用底层硬件的处理能力，支持多个操作系统(OS)同时运行。虚拟机管理器(VMM)为多个OS提供了访问底层硬件的抽象接口，同时实现了虚拟机(VM)之间的安全隔离。与传统OS相比，VMM的代码量较少，同时可信硬件(TPM)的出现，提高了VMM自身的安全性。 虚拟化在企业中的应用 虚拟化技术的优势 服务聚合：将多台机器上的负载聚合到少量的机器上。 沙盒(Sandbox)：为不可信的程序提供安全、隔离的环境。 多执行环境：多个操作系统同时运行，创建多种不同的软件执行环境。 虚拟硬件：提供不存在的硬件。 调试：在虚拟机中调试软件 软件迁移：将系统作为整体进行迁移，保证服务质量。 …… 可信计算项目——Daolity 可信计算项目——Daoli项目 面向云计算的网络安全防御（1） 云端： 将与安全相关的计算资源（威胁信息汇总、特征码分析等）和服务放置在云中，为许多终端用户提供安全防护。 采用虚拟化技术，创建多种运行环境，对可疑程序进行分析并综合决策。 客户端： 客户端不需要存储大量的恶意软件特征码，只需要提交应用程序样本供云端分析。 面向云计算的网络安全防御系统CloudFence 云计算下的软件容错机制（1） 越来越多的软件错误和漏洞极大的降低了服务软件的可靠性和可用性。 根据资料显示，由于服务器宕机导致的每小时商业损失是在$84,000和$108,000之间。 当前备受关注的云计算，所有的业务处理都是在服务器端完成。一旦服务器出现问题，将导致所以用户的应用无法运行，数据无法访问。 2008年8月，Google的云计算服务出现严重问题，Blogger和Spreadsheet等服务均长时间宕机，Gmail服务两周内3次停摆。 软件容错技术是在软件出错的情况下保证软件在性能和安全方面可接受的情况下继续提供服务。 * 7 7 系统架构 VMM OS 键盘 其他进程 键盘 HTML XML CSS Java Script Cookie 浏览历史管理 密码管理 DOM Layout 安全I/O通道 html, js 沙盒 保护执行环境 研究方向 轻量级虚拟机管理器及其应用 虚拟动态可信根 基于虚拟机的入侵防御技术 基于虚拟机的软件容错技术 基于vDRTM的TEE 基于vDRTM的TEE 研究方向 轻量级虚拟机管理器及其应用 虚拟动态可信根 基于虚拟机的入侵防御技术 基于虚拟机的软件容错技术 基于虚拟化的入侵防御 透明监控机制 入侵检测与响应机制 实时文件防护机制 恶意软件探测与防御机制 研究方向 轻量级动态可信虚拟化技术 虚拟动态可信根 基于虚拟化的入侵防御技术 基于虚拟化的软件容错技术 基于虚拟机架构的软件容错机制 解决方案 在Dom0中部署营救点数据库，VM中是一个轻量级的数据库，只存放本地用户所要保护的软件所对应的营救点数据。 采用域间通信方式以及对营救点分配加权值来提高VM容错效率。 虚拟化专著 《Xen虚拟化技术》以Xen 3.1.0源码为基础，以通过源码剖析原理的方式深入细致地分析了Xen的半虚拟化技术；着重介绍了在x86平台上Xen半虚拟化技术提供的用以控制和管理虚拟机的内核接口，以及相关的原理和操作应用，包括半虚拟化技术的基本机制和策略，Xen的子系统及与安全相关的应用模块。 提纲 虚拟化安全技术 云计算安全技术 专业管理和 维护人员 普通网民 面向云计算的应用场景 方案 依托云端强大的处理能力以及更全的营救点数据库，可以对节点提交的未能处理的错误进行分析并给出结果以便节点进行相应处理 周期性的收集节点的处理信息用来更新营救点数据库中的营救点的加权值并周期性的发送该更新数据以提高其它节点处理错误的效率。 创新点： 依托云端来构建类似病毒库的软件容错库 以云模式来收集节点出错信息以及周期性更新节点容错数据库 云计算下的软件容错机制（2） 2 18 * 2 11 11 2 23 2 * * 在Google发布chrome浏览器之后的一次发布会上，Google曾表示“浏览器就是未来的操作系统”。因为在一切服务运行在云计算环境中以后，几乎95%的应用是基于浏览器的，因而浏览器会代替操作系统成