受此答案的启发,我想知道有哪些常见威胁和缓解技术可用于防止一个虚拟机通过共享存储基础架构将数据泄漏到另一个虚拟机。
可能的易受攻击情况包括
- 基于 IOPS 将数据从 SATA 提升/降级到 FLASH 的 EMC SAN
- 尝试保护擦除的服务器可能不会擦除提升数据的两个位置
- 在扩展的 VMDK 上按需分配空间的 VM
- 可以读取原始分区的本机操作系统 API
- IO 错误充当 Oracle 暴露机密
- 将加密数据和密钥存储在同一个 VM 上(Bitlocker)
- 用于磁盘 IO 块的行锤(共享内存利用)的变体
可能的缓解措施可能包括
- 服务器使用隐藏细微 IO 错误的结构化 REST 接口(例如,我想不出 Azure 云或页面 blob 可以暴露此错误的方法)
- 由操作系统管理的磁盘加密 (Bitlocker)
- 在主机发布时自动清零数据的管理程序
我的目标是制定一份清单,这样我就可以调查大公司(Azure、亚马逊、Rackspace、Google Apps、EMC 等),也可以调查针对长尾场景的独立利基商店。