Domain3-3漏洞安全、威胁和对策

基础概念

共享责任

每个人都有责任

云时，每个实体要知道自己执行工作时共享的责任

数据本土化和数据主权

数据本土化

数据主权

数据可移植

虚拟化技术

核心组件

安全管理：

Host OS稳定性

Hypervisor保护

虚拟资产备份、定期测试

保持各级OS备份

c 复制代码

硬件（CPU / 内存 / 硬盘）
        ↓
     Host OS        运行Vmware的真实计算机
        ↓
   Hypervisor       VMware Workstation
     ↓     ↓
 Guest OS Guest OS  Windows 10/11 Linux

Hypervisor

Type 1 裸金属虚拟化系统，直接运行在硬件上

Type 2 运行在操作系统之上

Software Define Everything-SDx

资源层:资源拆分与整合

Virtualization 一台变多台

SDS Software Defined Storage 软件调度多硬盘

VSAN Virtual Storage Area Network 拼接硬盘 / 合成一个大存储池

控制层：全局软件控制

SDN

SDN Software Defined Networking

软件控制网络流量（不用手动配路由/交换机）

SDDC

SDDC Software Defined Data Center

整个数据中心全部软件化管理（网络+存储+计算）

运行层：软件运行优化

Container容器：标准化运行环境、资源隔离

Serverless：自动化调度

体验层：可视化管理

Virtual Desktop Infrastructure 桌面上云

Virtual Mobile Infrastructure 手机集中管理

Software Defined Visibility 系统看板可视化

瘦客户机属于VDI，主要功能是：连接 + 显示 + IO

特定风险

VM Sprawl

虚拟机开完不删，浪费服务器资源

Server Sprawl

服务器越开越多，没人规划，浪费资源

VM Escape

攻击者透过虚拟机攻击宿主机

虚拟化相关技术

bash 复制代码

云计算（Cloud）
    ↓
雾计算（Fog）  云部分功能下沉,分布式计算和调度
    ↓
边缘计算（Edge） 位于网络拓扑最外围(近数据源)
    ↓
终端设备（Device）

c 复制代码

传统服务器管理
        ↓
基础设施即代码（IaC） 用"代码"来管理服务器
        ↓
不可变架构（Immutable Infrastructure）
        ↓
无服务器架构（Serverless）

无服务器架构

基础设施即代码

不可变架构

客户端/服务器安全

客户端安全

服务器安全

硬件和固件安全

1.处理器processor

执行类型：

多核：多个处理核心，并行处理任务

多程序（Multiprogramming）多个程序都在内存里，只是放着

多任务（Multitasking） CPU快速切换执行，达到同时运行

线程属于进程，

进程是"容器"，独立的应用程序：浏览器、微信

进程状态：ready waiting running stopped

线程是"容器里的执行者"：处理点击打开网页渲染页面

多进程：多个独立程序运行

多线程：一个程序内部多个执行路径

保护环

Ring 0 ← 最高权限，访问任何资源

Ring 1/2 较少使用

Ring 3 ← 用户态，微信 word 游戏

寄存器 Registers

指令 = CPU执行的最小操作单位

正常需要去内存里

• 立即寻址：数据成为指令的一部分

• 寄存器寻址：数据"在CPU里面"（最快）

• 直接寻址：指令"给你地址"

• 间接寻址：地址指向地址，最后拿数据

• 基址+偏移：在"某个起点基础上移动"

2.内存memory

只读存储器 Read-Only Memory

只能读不能写(改)，工厂烧录

Programmable Read-Only Memory (PROM) 用户稍后烧录

Erasable Programmable Read-Only Memory (EPROM) 可擦除

随机存取存储器 Random Access Memory

👉 运行内存 = RAM（主存）

随机位置读取速度一样快||临时存储 易失性存储

风险低，因为断电就没了

Real Memory主内存

Cache RAM Cache物理属于CPU，属于SRAM，不是RAM

对比项	DRAM（动态RAM）	SRAM（静态RAM）
全称	Dynamic RAM	Static RAM
存储方式	电容存储电荷	触发器（锁存器）
是否需要刷新	需要（不断刷新）	不需要
速度	较慢	很快
成本	低	高
集成密度	高（能做很大容量）	低（占用面积大）
常见用途	主内存（RAM）	CPU缓存（Cache）
可靠性	较低（会丢电荷）	较高（稳定）

3.外存Second memory

👉 硬盘 = 外存（长期存储）

数据残留问题：坏块

4.输入输出设备

放射安全：

法拉第笼：被动防止信号传播

白噪音：主动干扰信号防止远程读取

打印机：

本地存储数据、传输安全、身份验证

显示器：电磁侧信道攻击、肩窥

键鼠

调制解调器POTS Telephone Modems

5.固件（很少改动）

BIOS

UEFI统一可扩展接口

Flashing闪烁

Boot Attestion,安全引导Boot Secure

Measured Boot测试启动