NC州和IBM研究人员发现“云”中的修补孔的新方法

来自北卡罗来纳州立大学和IBM的研究人员已经发明了一种更新在计算机“云”中的虚拟机中打包的计算机系统 - 即使这些程序是脱机。

NC状态和IBM开发的新云计算补丁工具称为NuWA，并通过确保它们始终获得重要的安全升级，保护虚拟机（VMS）免受网络攻击。此外，研究人员确定安全补丁的离线应用程序比在线补丁应用程序快四倍。该工具以中国女神命名为天空中的一个洞。

12月10日，在德克萨斯州奥斯汀举行的年度计算机安全应用会议上，将发表一篇描述这项研究的论文，题为“始终更新——云计算中虚拟机镜像的可伸缩离线补丁”。

“我们设计了一种方法，可以在这些虚拟机离线时给它们打补丁，这样它们就能在安全保护方面保持最新状态，”北卡罗来纳州立大学计算机科学教授、描述这项研究的论文的合著者彭宁博士说。“目前的补丁系统是为在线电脑设计的，它们对休眠电脑或虚拟机不起作用。我们开发的工具可以自动分析脚本，脚本指示如何安装安全补丁，然后自动重写脚本，使其与离线系统兼容。”

Nuwa利用IBM开发的一系列技术，称为Mirage，用于执行高效的离线内部内省和操纵大量的VM图像，以允许云管理员同时修补多个VM。已经存在的程序允许云计算系统通过保存多个VM使用的计算机文件来更有效地操作 - 而不是为每个单独的VM重复保存相同的文件。NUWA利用此技术，并通过修补一个文件，最终可以保护所有使用该文件的VM。

NC状态和IBM在IBM Research Compute Cloud上成功测试和评估了Nuwa，这是一个由世界范围内的IBM研究人员使用的计算云。

云计算使用户能够在一个大型计算平台上创建许多VM，每个VM都能执行各种计算机功能。创建这些虚拟机很容易，该企业和个人通常会在定期创建它们以执行非常特定的任务。由于许多这些VM不经常使用，因此它们通常在延长的时间段内留下休眠，因此在不使用时不会消耗能量和计算机资源。

这些休眠期会带来严重的安全问题，因为离线的虚拟机不会接受安全升级，也就是补丁。这使得虚拟机在重新联机时容易受到网络攻击。如果vm处于休眠状态数月，并且错过了重要的补丁，那么它们就特别容易受到攻击。

研究合作由国家科学基金会和IBM资助。本文的牵头作者是吴周，博士。学生处于NC状态。共同作者是宁;小榄张，Glenn Ammons和IBM T.J的Vasanth Bala。沃森研究中心;罗曼王，博士。学生处于NC状态。

NC州的计算机科学部是大学工程学院的一部分。

- 船员 -

编辑:这项研究摘要跟随。

“始终更新-计算云中的虚拟机镜像的可伸缩离线补丁”

作者：吴周，彭宁，罗曼王，北卡罗来纳州立大学;小榄张，格伦亚蒙斯，Vasanth Bala，IBM T. J. Watson研究中心

提出了：2010年12月10日，在年度计算机安全应用程序会议上，德克萨斯州奥斯汀

抽象的：打补丁是一项重要的安全服务，可使计算机系统保持最新，并防范安全威胁。现有的补丁系统都需要运行系统。随着虚拟化和云计算服务的日益普及，休眠虚拟机(VM)映像的数量也在不断增加。这样的虚拟机映像不能从现有的补丁系统中获益，因此常常容易受到新出现的安全威胁的攻击。可以将虚拟机映像联机、应用补丁，并将虚拟机捕获回休眠映像。但是，这种方法存在不可预测性、性能挑战和较高的运营成本，特别是在可能有数千个休眠VM映像的大规模计算云中。

本文介绍了一个名为NUWA的新型工具，可实现休眠VM图像的高效和可扩展的离线修补。NUWA分析补丁，并且在可能的情况下，将它们转换为可以通过重写修补脚本来脱机应用的修补程序。Nuwa还利用了Mirage Image库提供的VM图像操作技术，以便以批次为VM图像提供高效且可扩展的方式。Nuwa已在新建的图像和IBM Research Compute Cloud（RC2）上的实际图像上进行了评估，这是一个全球IBM研究人员使用的计算云。将安全修补程序应用于Ubuntu-8.04的新安装时，Nuwa成功应用406个补丁的402。与在线方法相比，它将修补过程速度加速超过4次，并在与幻影集成时又在另一次2-10次。Nuwa还成功将10个最新安全更新应用于RC2中的所有VM图像。