我一直在关注安全播客的积压内容,也一直在听说针对虚拟机的暴雨攻击。虽然 Google 返回了有关黑帽相关新闻稿的信息,但我找不到有关如何防御此攻击的信息。
如何防御暴雨以及类似的袭击?
答案1
云爆攻击或多或少是“来自客户操作系统的主机代码执行漏洞”的术语。
您如何防范这种情况? 就像您通过更新/补丁来防范每个产品的安全漏洞一样。
如果您正在使用某个虚拟主机提供商(SaaS、PaaS 等),这意味着什么?选择核心虚拟化技术经过充分测试的提供商。Xen 是一个很好的候选者,因为它是开源的,因此会接受外部代码审查。
如果您在内部实施虚拟化,请使用最新的稳定版本并实施任何可能的附加主机保护,例如 chroots、selinux、jails、内核补丁(如 grsec)等。
答案2
这只是一个愚蠢的名字,所有经验丰富的系统管理员都知道这个漏洞,而我们有流程、技术和经验来帮助我们处理这些问题。
第一个谷歌搜索结果特别提到了 VMWare Workstation 的一个旧版本,如果你将 Workstation 暴露给外界,那么你就活该,它之所以被称为 Workstation 是有原因的。后来的谷歌搜索结果指出了包括 ESX 服务器产品在内的所有版本中都存在一个非常古老且早已修补过的错误,这些错误都是很久以前修补过的,而且都是过时的旧版本。
那么“如何防御这种情况” - 只需在服务器上使用服务器产品并每月或每两个月修补一次 - 这就是您在防火墙等常规安全措施之上所需要做的一切。
答案3
一种方法是利用硬件的帮助。大多数机器都有 TPM(可信平台模块)。它是存储密钥等机密信息以及系统签名(证明)的好地方,可以减轻损害。查看NSA 对此问题的回答。
纵深防御是一个好主意,您还应该遵循这里给出的其他建议:
定期打补丁并在适当的情况下安装服务器软件。当然,服务器软件可能不合适,补丁和病毒扫描程序也不一定能救你一命。