發(fā)布時間：2021-09-29 09:01

　　云計算是信息時代下繼互聯(lián)網(wǎng)、計算機后出現(xiàn)的又一革新概念,大數(shù)據(jù)、物聯(lián)網(wǎng)、5G通信等新興技術(shù)的發(fā)展均離不開云計算的支持。虛擬化技術(shù)是支撐云計算的一項關(guān)鍵技術(shù),現(xiàn)有的虛擬化方式主要分為基于虛擬機的虛擬化和基于容器的虛擬化,容器技術(shù)隨著Docker的出現(xiàn)在云服務(wù)領(lǐng)域備受青睞。Docker容器相較于傳統(tǒng)虛擬機具有輕量級、高性能等顯著優(yōu)勢,但是由于Docker容器采用軟件隔離機制,與虛擬機相比隔離性較弱,面臨的安全問題更加嚴(yán)重。隔離性差是Docker面臨的主要安全挑戰(zhàn)之一,嚴(yán)重影響了容器技術(shù)的進(jìn)一步推廣與發(fā)展,因此容器隔離性的安全研究具有重要意義。文章針對云環(huán)境下Docker容器隔離性弱引發(fā)的安全問題進(jìn)行研究,分析Docker容器隔離機制,證明Docker中部分偽文件系統(tǒng)沒有實現(xiàn)隔離,利用未隔離的偽文件系統(tǒng)可以獲取宿主機相關(guān)信息,造成宿主機信息泄露。此外,通過實驗證明,若泄露的信息被攻擊者惡意利用,將引發(fā)惡意容器同駐、同駐容器Do S攻擊等安全問題,對同駐合法容器服務(wù)構(gòu)成嚴(yán)重的安全威脅。 

【文章來源】：信息網(wǎng)絡(luò)安全. 2020,20(07)北大核心CSCD

【文章頁數(shù)】：11 頁

【部分圖文】：

虛擬機與容器技術(shù)架構(gòu)對比

利用Docker容器隔離脆弱性泄露的宿主機信息，本文實現(xiàn)了在容器內(nèi)監(jiān)控宿主機資源使用情況。對于攻擊者來說，了解宿主機當(dāng)前資源使用情況有利于攻擊者對宿主機及宿主機上的多個Docker容器整體運行狀態(tài)有一個更好的了解，可以從中挖掘出有價值的信息，有利于制定更加完備的攻擊方案。4 Docker容器隔離脆弱性引發(fā)的安全問題

實驗結(jié)果如圖3所示。在時間為8 s時發(fā)起大量服務(wù)請求，時間為15 s時停止發(fā)送。從圖3可以看出，發(fā)送大量服務(wù)請求后，磁盤I/O資源利用率明顯上升，停止發(fā)送大量服務(wù)請求后，磁盤I/O資源利用率明顯下降；CPU利用率在發(fā)送服務(wù)請求時輕微上升，內(nèi)存利用率基本保持不變。資源變化情況與My SQL數(shù)據(jù)庫服務(wù)特性吻合，My SQL數(shù)據(jù)庫服務(wù)存在大量讀取、存儲操作，數(shù)據(jù)讀取、存儲操作涉及磁盤I/O讀寫操作，因此會對磁盤I/O資源利用率產(chǎn)生明顯影響。

【參考文獻(xiàn)】：
期刊論文
[1]云計算的歷史和優(yōu)勢[J]. 王雄.  計算機與網(wǎng)絡(luò). 2019(02)
[2]DDoS攻擊防御技術(shù)發(fā)展綜述[J]. 陳飛,畢小紅,王晶晶,劉淵.  網(wǎng)絡(luò)與信息安全學(xué)報. 2017(10)



本文編號：3413441