CAS采用什么密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问。

CAS 通过以下技术手段防止虚拟机镜像和快照中的敏感资源被非法访问：

1. 磁盘加密技术 

   加密算法：支持 AES256（对称加密）和 SM4（国密算法），对 qcow2 格式的虚拟机磁盘进行加密（E0760及之后版本）。 

   实现方式：基于 LUKS 加密框架。创建加密虚拟机或为已有虚拟机添加加密磁盘时需设置密钥，数据写入时自动加密，读取时解密。 

   安全性：即使物理磁盘被非法获取，未授权用户也无法访问加密数据。

2. 快照安全控制 

   磁盘模式隔离： 

     从属模式：快照操作包含磁盘数据（默认），还原时同步恢复。 

     独立-持久模式：快照操作排除该磁盘，还原时数据不受影响，适用于需保留的敏感数据盘。 

   快照删除保护：删除外部快照时需校验镜像链一致性（如检测 block-jobs、网络状态、镜像完整性），防止残留敏感数据。

3. 迁移过程加密 

   虚拟机迁移时采用 AES256 加密算法 传输数据，防止网络窃听（适用于在线存储迁移场景）。

4. 资源隔离机制 

   虚拟化层隔离：通过 KVM 技术实现： 

     vCPU 调度隔离：利用 Intel VT-x/AMD-V 技术，确保各虚拟机 vCPU 线程独立。 

     内存隔离：客户机“物理地址”到主机“机器地址”的映射由虚拟化层控制。 

     存储 I/O 隔离：虚拟化层拦截 I/O 请求，虚拟机仅能访问自身分配的物理磁盘。 

   网络隔离：虚拟交换机对数据包进行过滤和许可证校验，阻断非授权虚拟机间通信。

综上，CAS 通过磁盘加密、细粒度快照控制、传输加密、虚拟化层隔离及严格的访问策略，全方位保障虚拟机镜像和快照中敏感资源的安全性。

一、CAS平台自身的安全防护机制

1. 访问控制与权限管理

CAS平台通过基于角色的访问控制（RBAC）来防止未授权用户对虚拟机镜像和快照的非法访问：

• 平台管理员可以为不同用户分配不同的操作权限（如只读、操作员、管理员等）

• 访问虚拟机镜像和快照需要经过平台的身份认证和授权检查

• 这种方式从管理入口杜绝了非法访问的可能性

2. 数据完整性校验

CAS会对虚拟机镜像和快照进行完整性校验：

• 确保镜像和快照文件在存储和传输过程中未被篡改

• 通过校验机制检测文件是否损坏或异常修改

• 这种机制可以防范文件级别的非法篡改，但不提供加密保护

3. 快照文件存储特性

CAS的虚拟机磁盘采用qcow2格式，快照文件以普通文件形式存储在共享存储或本地存储中：

• 内部快照：快照数据存储在基础磁盘文件中

• 外部快照：系统创建增量镜像文件存储快照数据

• 这些文件本身没有加密，如果攻击者能直接访问存储设备，就可以读取这些文件

二、需要了解的重要局限性

CAS虚拟机快照在存储时没有进行加密保存-

这意味着：

• 如果攻击者能够物理接触到存储介质，或者通过漏洞获取到存储系统的访问权限，镜像和快照文件中的敏感数据可以被直接读取

• CAS平台本身不提供对"数据静态加密"的支持

三、全面的防护建议（平台内外结合）

既然CAS原生不提供镜像加密，建议采用"平台内部权限控制 + 存储层加密 + 备份加密"的组合方案：

1. 存储层加密（推荐）

利用底层存储设备的加密能力：

• 使用支持自加密硬盘（SED）的存储阵列

• 启用存储卷加密功能（如LUKS、存储厂商的加密特性）

• 配置加密文件系统（如ZFS、加密LVM）
  这样即使存储介质被非法获取，镜像和快照文件也是加密状态

2. 备份链路加密

如果镜像/快照需要备份到其他位置：

• 使用支持加密的备份软件（如搜索结果中提到的信核Streamer等第三方灾备方案）

• 启用备份传输过程的加密（如TLS/SSL）

• 对备份数据进行加密存储

3. 严格的存储网络隔离

• 将存储网络（如SAN、NAS网络）与业务网络严格隔离

• 限制可访问存储管理接口的IP范围

• 使用专用VLAN或物理隔离的网络传输存储流量

4. 平台安全加固

• 启用CAS平台的登录认证增强（如双因素认证）

• 定期审计用户操作日志

• 遵循最小权限原则分配账号权限

应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问。 标准理解： 这个需要依赖KMS等加密技术了，需要云计算平台支KMS等加密技术。 测评对象： 云计算平台、KMS、加密机等。 测评方法： 1核查云计算平台是否在创建虚拟机实例、恢复快照时具有加密功能。