隨著云計(jì)算的不斷普及,云平臺(tái)安全問(wèn)題日益凸顯。云平臺(tái)資源共享,、邊界消失,、動(dòng)態(tài)變化等特點(diǎn),使得傳統(tǒng)基于邊界的旁路式,、外掛式防御手段無(wú)法有效應(yīng)對(duì)云內(nèi)安全威脅。因此,通過(guò)將安全機(jī)制與云平臺(tái)融合設(shè)計(jì),,實(shí)現(xiàn)了對(duì)云平臺(tái)內(nèi)部威脅和攻擊的可視、可控,、可防,,確保安全機(jī)制的不可繞過(guò)和性能開(kāi)銷最小。
0 引 言
云計(jì)算技術(shù)作為當(dāng)前信息領(lǐng)域影響最大的技術(shù)之一,,其發(fā)展應(yīng)用給社會(huì)生活和國(guó)防領(lǐng)域帶來(lái)了顯著影響,。云計(jì)算本質(zhì)是一種新的IT資源(硬件、平臺(tái),、軟件)的組織和使用技術(shù),,引入了新的技術(shù)體系架構(gòu)和組織管理模式,,隨之也帶來(lái)了許多新的安全風(fēng)險(xiǎn)。其具有集中計(jì)算,、資源動(dòng)態(tài)變換,、邊界消失以及軟件定義等特點(diǎn),對(duì)傳統(tǒng)基于邊界的防護(hù)手段提出了新挑戰(zhàn),。
云平臺(tái)的安全威脅可以分為外部威脅和內(nèi)部威脅,,典型關(guān)系滿足冰山理論觀點(diǎn)。外部威脅容易被關(guān)注,,屬于冰山之上的部分,;內(nèi)部威脅難以察覺(jué),但其影響巨大,,屬于冰山之下的部分,。兩者的主要區(qū)別表現(xiàn)在以下3個(gè)方面。
?。?)從安全威脅上看,,外部威脅通常影響云平臺(tái)用戶使用和應(yīng)用運(yùn)行,屬于被大眾所關(guān)注得到的冰山之上的威脅,。內(nèi)部威脅來(lái)自安全邊界內(nèi)部,,可以躲避防火墻、入侵檢測(cè)等外部安全設(shè)備的檢測(cè),。
?。?)從攻擊來(lái)源上看,內(nèi)部威脅遠(yuǎn)大于外部威脅,。據(jù)2018年 Cybersecurity Insiders 發(fā)布的“2018年內(nèi)部威脅報(bào)告”顯示,,當(dāng)今最具破壞性的安全威脅不是來(lái)自外部的惡意人員或惡意軟件,而是來(lái)自可信賴的內(nèi)部人員,,無(wú)論是惡意的內(nèi)部人員還是疏忽的內(nèi)部人員,。外部威脅影響的可能是冰山一角的某個(gè)業(yè)務(wù)或者服務(wù),但內(nèi)部威脅影響的是整個(gè)冰山下的信息系統(tǒng)基礎(chǔ)設(shè)施,。
?。?)從攻擊面上看,內(nèi)部威脅的攻擊面遠(yuǎn)大于外部威脅,。外部威脅只有有限的攻擊路徑和攻擊方式,,但內(nèi)部威脅容易選擇從安全防御最薄弱的環(huán)節(jié)入手,威脅整個(gè)云環(huán)境的安全,。所以,,隨著云平臺(tái)在國(guó)防、民生等領(lǐng)域的廣泛應(yīng)用,除云平臺(tái)外部安全以外,,其自身的安全性研究更加迫切,。
#1 云安全現(xiàn)狀概述
目前,云安全聯(lián)盟CSA在云安全指南基礎(chǔ)上推出的“云安全控制矩陣CCM”成為云計(jì)算信息安全行業(yè)黃金標(biāo)準(zhǔn),,提供了評(píng)估云供應(yīng)商整體安全風(fēng)險(xiǎn)的基本安全準(zhǔn)則,。CCM圍繞云計(jì)算體系架構(gòu),提出了16個(gè)安全域,,包括應(yīng)用程序和接口安全,、審計(jì)保障與合規(guī)性、業(yè)務(wù)連續(xù)性管理與運(yùn)營(yíng)恢復(fù),、變更控制和配置管理,、數(shù)據(jù)安全與信息生命周期管理,、數(shù)據(jù)中心安全,、加密與密鑰管理、治理與風(fēng)險(xiǎn)管理,、人力資源安全,、身份與訪問(wèn)控制、基礎(chǔ)設(shè)施與虛擬化安全,、互操作與可移植性,、移動(dòng)安全、安全事件管理,、電子發(fā)現(xiàn)與云取證和供應(yīng)鏈管理以及透明與可審計(jì),、威脅、脆弱性管理,。通過(guò)這 16個(gè)安全域構(gòu)建了統(tǒng)一的云安全控制框架,,期望減少云中的安全威脅和弱點(diǎn),從而為強(qiáng)化現(xiàn)有的信息安全控制環(huán)境提供標(biāo)準(zhǔn)化的安全和運(yùn)營(yíng)管理,。
在云安全產(chǎn)業(yè)層面,,亞馬遜、阿里云,、華為云等云計(jì)算廠商都推出了云安全責(zé)任共擔(dān)模型,,明確區(qū)分了用戶的安全責(zé)任和云廠商的安全責(zé)任。云上由租戶承擔(dān),,云下由云廠商提供,,而用戶的安全通常由安全廠商來(lái)保障。云安全共享責(zé)任模型,,如圖1所示,。
圖1 云安全共享責(zé)任模型
1.1 云上安全
云上安全方面,各個(gè)安全廠商基于云平臺(tái)的特點(diǎn),,主要在虛擬主機(jī)安全,、云平臺(tái)東西向網(wǎng)絡(luò)安全以及南北向網(wǎng)絡(luò)安全方面做了很多努力,,提出了如下一代防火墻、安全資源池,、vWAF,、vIDS/IPS等虛擬化安全產(chǎn)品。
天融信云計(jì)算安全方案包含從外到內(nèi)的3層縱深防御體系,,主要由傳統(tǒng)物理邊界安全設(shè)備,、安全資源池、分布式防火墻以及vSecCenter云安全管理平臺(tái)等組成,。
綠盟云安全方案參考了安全域縱深主動(dòng)防御思想,,具備完整的云平臺(tái)東西向安全防御、南北向安全防御以及安全資源池統(tǒng)一管理和控制能力,。
1.2 云平臺(tái)安全
云平臺(tái)安全方面,,各個(gè)云平臺(tái)廠商也構(gòu)建了較為全面的云平臺(tái)安全防御能力。
阿里云提出了“五橫兩縱”的7個(gè)維度的安全架構(gòu)保障,。兩個(gè)縱向維度分別為賬戶安全(身份和訪問(wèn)控制)以及安全監(jiān)控和運(yùn)營(yíng)管理,。五個(gè)橫向維度包括最底層的云平臺(tái)層面安全、租戶層面的基礎(chǔ)安全,、數(shù)據(jù)安全,、應(yīng)用安全和業(yè)務(wù)安全。
華為云提出了多維全棧的云安全防護(hù)體系,,核心包括物理與環(huán)境安全,、網(wǎng)絡(luò)安全、平臺(tái)安全,、API應(yīng)用安全以及數(shù)據(jù)安全5部分,。
綜上,無(wú)論是針對(duì)云平臺(tái)的安全標(biāo)準(zhǔn)制定,,還是云廠商的安全防護(hù)建設(shè),,學(xué)者和工程師們都進(jìn)行了大量研究和實(shí)踐。但是,,從公開(kāi)的資料來(lái)看,,針對(duì)云平臺(tái)自身核心組件和機(jī)制的安全體系研究較少。因此,,本文將結(jié)合云平臺(tái)機(jī)理,,從攻擊的角度出發(fā),探索云平臺(tái)安全風(fēng)險(xiǎn),,并結(jié)合內(nèi)生安全的設(shè)計(jì)思想,,探討云平臺(tái)的內(nèi)生安全技術(shù)。
#2 云平臺(tái)IaaS結(jié)構(gòu)分析
眾所周知,云平臺(tái)分為IaaS,、PaaS和SaaS共3層,。IaaS是基礎(chǔ),管理云計(jì)算環(huán)境下所有的服務(wù)器,、網(wǎng)絡(luò),、存儲(chǔ)等物理設(shè)備,并將其虛擬化為虛擬機(jī),、容器,、虛機(jī)網(wǎng)絡(luò)、虛擬磁盤(pán)等動(dòng)態(tài),、可調(diào)度的云資源,。PaaS 層基于這些抽象出來(lái)的云資源為上層應(yīng)用構(gòu)建平臺(tái)級(jí)服務(wù)。SaaS 層基于部分平臺(tái)服務(wù)和云資源構(gòu)建云上應(yīng)用服務(wù),。所以,,研究云平臺(tái)的自身安全需要從源頭出發(fā),通過(guò)打開(kāi)IaaS層的黑盒,,分析其組件功能和運(yùn)行機(jī)理,,從而找出潛在的安全風(fēng)險(xiǎn)。
云平臺(tái)的IaaS層定義為通過(guò)隱藏特定計(jì)算平臺(tái)的實(shí)際物理特性,,為用戶提供抽象的、統(tǒng)一的,、模擬的計(jì)算環(huán)境,。宿主機(jī)內(nèi)提供這一虛擬化能力的組件稱為虛擬機(jī)監(jiān)視器(Virtual Machine Monitor,VMM),,如圖2所示,。
圖2 開(kāi)源KVM云平臺(tái)架構(gòu)
(1)Qemu,。用戶態(tài)的一個(gè)虛擬化模擬程序,,提供一個(gè)完整的虛擬主機(jī)設(shè)備模擬,包括BIOS,、CPU,、內(nèi)存、磁盤(pán),、網(wǎng)卡,、聲卡等虛擬設(shè)備。一個(gè)Qemu進(jìn)程對(duì)應(yīng)一個(gè)VM運(yùn)行空間,。
?。?)KVM.ko。linux內(nèi)核中為Qemu提供虛擬化中斷和IO支持的模塊。
?。?)libvirt,。一個(gè)虛擬機(jī)管理的標(biāo)準(zhǔn)庫(kù),運(yùn)行在宿主機(jī),,支持管理KVM,、XEN等平臺(tái)虛機(jī),提供虛機(jī)創(chuàng)建,、啟動(dòng),、暫停、關(guān)機(jī)以及銷毀等接口,。
?。?)存儲(chǔ)虛擬化。后端SAN存儲(chǔ)通過(guò)LVM切割劃分為L(zhǎng)V,,提供給虛擬機(jī)作為虛擬磁盤(pán)使用,,或者分布式存儲(chǔ)直接提供塊設(shè)備作為虛擬磁盤(pán)。
?。?)網(wǎng)絡(luò)虛擬化,。通過(guò)OVS虛擬交換機(jī)為虛擬機(jī)提供通信功能。Qemu模擬的虛擬網(wǎng)卡與虛擬交換機(jī)相連,,交換機(jī)與物理網(wǎng)卡相連,。
(6)虛擬化管理平臺(tái),。對(duì)宿主機(jī)集群及其虛擬化資源進(jìn)行統(tǒng)一管理,,包括虛機(jī)動(dòng)態(tài)遷移、宿主機(jī)彈性伸縮,、虛擬機(jī)磁盤(pán),、CPU以及內(nèi)存管理等。
?。?)VDI協(xié)議,。用戶在網(wǎng)絡(luò)可達(dá)的任意位置通過(guò)遠(yuǎn)程連接協(xié)議對(duì)虛擬機(jī)進(jìn)行遠(yuǎn)程訪問(wèn)。
#3 云平臺(tái)IaaS層安全風(fēng)險(xiǎn)分析
針對(duì)IaaS層的安全風(fēng)險(xiǎn),,本文從分層模型和攻擊路徑兩個(gè)視角進(jìn)行分析,。
3.1 分層模型視角的安全風(fēng)險(xiǎn)分析
從分層模型來(lái)看,它主要包括虛擬機(jī)安全風(fēng)險(xiǎn),、數(shù)據(jù)和存儲(chǔ)安全風(fēng)險(xiǎn),、虛擬化監(jiān)視器安全風(fēng)險(xiǎn)、網(wǎng)絡(luò)虛擬化安全風(fēng)險(xiǎn)以及管理平面安全風(fēng)險(xiǎn)5個(gè)部分,。
3.1.1 虛擬機(jī)安全風(fēng)險(xiǎn)
虛擬機(jī)面臨傳統(tǒng)主機(jī)系統(tǒng)的所有安全風(fēng)險(xiǎn):操作系統(tǒng)和數(shù)據(jù)庫(kù)被暴力破解,、非法訪問(wèn)的行為,;對(duì)服務(wù)器的Web應(yīng)用入侵、上傳木馬以及上傳webshell等攻擊行為,;補(bǔ)丁更新不及時(shí)導(dǎo)致的漏洞利用,;不安全的配置和非必要端口的開(kāi)放導(dǎo)致的非法訪問(wèn)和入侵。
3.1.2 數(shù)據(jù)和存儲(chǔ)安全風(fēng)險(xiǎn)
在云計(jì)算環(huán)境中,,存儲(chǔ)虛擬化的引入,、物理存儲(chǔ)資源的共用和復(fù)用、虛擬機(jī)的數(shù)據(jù)(磁盤(pán)內(nèi)容)以文件的形式存儲(chǔ)在物理存儲(chǔ)介質(zhì)上(可通過(guò)網(wǎng)絡(luò)方式訪問(wèn))等,,會(huì)帶來(lái)以下安全風(fēng)險(xiǎn):
?。?)數(shù)據(jù)在傳輸過(guò)程中受到破壞而無(wú)法恢復(fù);
?。?)在虛擬環(huán)境傳輸?shù)奈募蛘邤?shù)據(jù)被監(jiān)聽(tīng),;
(3)虛擬機(jī)的內(nèi)存和存儲(chǔ)空間被釋放或再分配后被惡意攻擊者竊??;
(4)同一個(gè)邏輯卷被多個(gè)虛擬機(jī)掛載,,導(dǎo)致邏輯卷上的敏感信息泄露,;
(5)云用戶從虛擬機(jī)逃逸后獲取鏡像文件或其他用戶的隱私數(shù)據(jù),;
?。?)虛擬機(jī)遷移和敏感數(shù)據(jù)存儲(chǔ)漂移導(dǎo)致的不可控;
?。?)數(shù)據(jù)安全隔離不嚴(yán)格導(dǎo)致惡意用戶可以訪問(wèn)其他用戶數(shù)據(jù),;
(8)虛擬機(jī)鏡像遭到惡意攻擊者篡改或非法讀取,。
3.1.3 虛擬化監(jiān)視器安全風(fēng)險(xiǎn)
在云計(jì)算環(huán)境中,資源是通過(guò)虛擬化監(jiān)視器(hypervisor等)的方式對(duì)資源進(jìn)行邏輯切分,,存在以下安全風(fēng)險(xiǎn):
?。?)hypervisor 管理器缺乏身份鑒別,導(dǎo)致非法登錄hypervisor后進(jìn)入虛擬機(jī),;
?。?)攻擊者控制單臺(tái)虛擬機(jī)后,通過(guò)虛擬機(jī)漏洞逃逸到hypervisor獲得物理主機(jī)的控制權(quán)限,;
?。?)攻擊者控制單臺(tái)虛擬機(jī)后,通過(guò)hypervisor漏洞訪問(wèn)其他虛擬機(jī),;
?。?)缺乏QoS機(jī)制,,導(dǎo)致虛擬機(jī)因異常原因產(chǎn)生資源占用過(guò)高發(fā)生宿主機(jī)或宿主機(jī)下的其他虛擬機(jī)的資源不足問(wèn)題,出現(xiàn)正常業(yè)務(wù)異?;虿豢捎玫那闆r,;
(5)缺乏對(duì)虛擬機(jī)的“監(jiān),、控,、防”機(jī)制,不能及時(shí)發(fā)現(xiàn)攻擊行為,,待攻擊者攻破虛擬系統(tǒng)后,,可以進(jìn)行任意破壞行為、網(wǎng)絡(luò)行為以及對(duì)其他賬戶的猜解和長(zhǎng)期潛伏,;
?。?)虛擬機(jī)可能因運(yùn)行環(huán)境異常或硬件設(shè)備異常等原因出錯(cuò),,影響其他虛擬機(jī),;
(7)hypervisor等核心組件缺乏完整性檢測(cè),,存在被破壞和被篡改的風(fēng)險(xiǎn),。
3.1.4 網(wǎng)絡(luò)虛擬化安全風(fēng)險(xiǎn)
在云計(jì)算模式下,網(wǎng)絡(luò)虛擬化的引入,、物理網(wǎng)絡(luò)資源的共享,、傳統(tǒng)邊界的消失等,會(huì)帶來(lái)以下安全風(fēng)險(xiǎn):
?。?)傳統(tǒng)的防火墻,、IDS、IPS等網(wǎng)絡(luò)安全設(shè)備只能部署在物理網(wǎng)絡(luò)的邊界,,無(wú)法對(duì)虛擬機(jī)之間的通信進(jìn)行細(xì)粒度訪問(wèn)控制,;
(2)網(wǎng)絡(luò)資源虛擬化后,,導(dǎo)致傳統(tǒng)網(wǎng)絡(luò)邊界消失,,無(wú)法有效對(duì)云環(huán)境流量進(jìn)行審計(jì)、監(jiān)控和管控,;
?。?)單臺(tái)虛擬機(jī)被入侵后對(duì)整片虛擬機(jī)進(jìn)行滲透攻擊,并導(dǎo)致病毒等惡意行為在網(wǎng)絡(luò)內(nèi)傳播蔓延,,直接威脅到整個(gè)虛擬網(wǎng)絡(luò)甚至計(jì)算平臺(tái)的安全運(yùn)行,;
(4)虛擬機(jī)之間進(jìn)行的 ARP 攻擊,、嗅探,;
?。?)云內(nèi)網(wǎng)絡(luò)帶寬的非法搶占;
?。?)內(nèi)部用戶之間或者虛擬機(jī)之間的端口掃描,、暴力破解以及入侵攻擊等行為。
3.1.5 管理平面安全風(fēng)險(xiǎn)
管理平面安全風(fēng)險(xiǎn)主要涉及如下方面:
?。?)虛擬化管理軟件自身存在安全漏洞,,導(dǎo)致被攻擊者入侵,通過(guò)管理平面破壞云平臺(tái),;
?。?)缺乏統(tǒng)一的、高安全的認(rèn)證和鑒權(quán)體系,,導(dǎo)致云平臺(tái)管理員因賬號(hào)非法冒用,、暴力破解等帶來(lái)安全威脅;
?。?)管理員權(quán)限集中,,缺乏審計(jì)和回溯機(jī)制,導(dǎo)致管理平面安全風(fēng)險(xiǎn),;
?。?)管理平面缺乏安全設(shè)計(jì),導(dǎo)致對(duì)服務(wù)器,、宿主機(jī),、虛擬機(jī)等進(jìn)行操作管理時(shí)存在被竊聽(tīng)、重放的風(fēng)險(xiǎn),。
3.2 攻擊路徑視角的安全風(fēng)險(xiǎn)分析
從攻擊路徑來(lái)分析,,IaaS層安全風(fēng)險(xiǎn)主要分為宿主機(jī)攻擊、虛機(jī)逃逸攻擊,、VDI協(xié)議攻擊以及接口攻擊,,如圖3所示。
3.2.1 宿主機(jī)攻擊
如圖3中的攻擊路徑①,,惡意管理員或者系統(tǒng)黑客對(duì)宿主機(jī)進(jìn)行密碼破解,、漏洞滲透后進(jìn)入系統(tǒng),能夠?qū)μ摂M磁盤(pán)進(jìn)行惡意讀取,、毀壞,造成數(shù)據(jù)泄露,、破壞等安全威脅,,同時(shí)也將威脅Qemu、libvirt等核心虛擬化組件,,通過(guò)替換,、病毒注入等方式,,從下往上侵入虛擬機(jī),造成信息泄露等安全風(fēng)險(xiǎn),。
圖3 云平臺(tái)IaaS層攻擊路徑
3.2.2 虛機(jī)逃逸攻擊
如圖3中的攻擊路徑②,,虛機(jī)用戶利用Qemu中模擬設(shè)備驅(qū)動(dòng)漏洞獲取在宿主機(jī)的用戶態(tài)甚至內(nèi)核態(tài)特權(quán),從而完成從虛機(jī)到宿主機(jī)的入侵,;通過(guò)截獲虛機(jī)管理控制流,,實(shí)施竊取密碼或者回放攻擊、同駐攻擊等,;通過(guò)惡意Dump或者讀取其他虛機(jī)的內(nèi)存,,實(shí)施內(nèi)存跨域攻擊;通過(guò)宿主機(jī)訪問(wèn)云管理網(wǎng)絡(luò),,從而攻擊其他相鄰主機(jī),,造成DDoS、入侵等攻擊蔓延,。
3.2.3 VDI 協(xié)議攻擊
如圖3中的攻擊路徑③部分,,目前,大量使用開(kāi)源VDI協(xié)議組件,。用戶使用惡意VDI客戶端冒充合法用戶連接虛機(jī),,對(duì)協(xié)議中的圖像數(shù)據(jù)進(jìn)行竊取、破壞,、篡改等,。
3.2.4 接口攻擊
如圖3中的攻擊路徑④,通過(guò)抓包竊取用戶賬戶,,惡意執(zhí)行管理調(diào)度行為,,如惡意執(zhí)行快照回滾造成數(shù)據(jù)丟失、引發(fā)遷移風(fēng)暴耗盡云資源等,。
#4 云平臺(tái)IaaS層內(nèi)生安全設(shè)計(jì)
針對(duì)以上IaaS云平臺(tái)內(nèi)部威脅,,采用安全機(jī)制與云平臺(tái)融合設(shè)計(jì)的理念,探索云平臺(tái)內(nèi)生安全設(shè)計(jì),,如圖4所示,。通過(guò)對(duì)云平臺(tái)內(nèi)VMM、VDI協(xié)議,、管理平臺(tái)等組件從“監(jiān)”“控”“防”3個(gè)維度進(jìn)行設(shè)計(jì)改造,,確保云平臺(tái)IaaS層的內(nèi)部威脅“看得見(jiàn)”“控得住”“防得了”。
圖4 云平臺(tái) IaaS 層內(nèi)生安全設(shè)計(jì)
?。?)“看得見(jiàn)”,。在VMM層加入監(jiān)視模塊,確保能及時(shí)發(fā)現(xiàn)進(jìn)入宿主機(jī)的攻擊,。通過(guò)在宿主機(jī)操作系統(tǒng)層開(kāi)放內(nèi)核跟蹤功能,,對(duì)系統(tǒng)調(diào)用,、指令序列、信息流,、IO序列等進(jìn)行跟蹤,,目標(biāo)是對(duì)從攻擊路徑①②進(jìn)入宿主機(jī)系統(tǒng)發(fā)起的中斷風(fēng)暴、非法磁盤(pán)IO讀取寫(xiě)入(非法/敏感文件路徑),、惡意系統(tǒng)調(diào)用(Dump),、非法控制流等攻擊進(jìn)行監(jiān)控、上報(bào),。在網(wǎng)絡(luò)虛擬化安全方面,,內(nèi)核網(wǎng)絡(luò)協(xié)議棧增加內(nèi)生防火墻模塊,在虛擬網(wǎng)卡和虛擬網(wǎng)橋之間建立虛擬機(jī)流量的過(guò)濾和監(jiān)控機(jī)制,。相比安全廠商通過(guò)引流到旁路防火墻進(jìn)行過(guò)濾和監(jiān)控的機(jī)制,,這種方式更不容易被繞過(guò),且效率更高,。
?。?)“控得住”。在VMM層加入控制模塊和控制驅(qū)動(dòng),,確保攻擊一旦被發(fā)現(xiàn),,能夠有效阻斷,限制其攻擊和蔓延,。這主要包括:在宿主機(jī)操作系統(tǒng)層,,增加對(duì)惡意逃逸虛擬機(jī)的Qemu進(jìn)程的控制模塊,如增加降低風(fēng)險(xiǎn)虛擬機(jī)進(jìn)程調(diào)度優(yōu)先級(jí)控制指令,,限制風(fēng)險(xiǎn)虛擬機(jī)的資源占用,;通過(guò)在內(nèi)核網(wǎng)絡(luò)協(xié)議棧的內(nèi)生防火墻模塊,限制風(fēng)險(xiǎn)虛擬機(jī)的網(wǎng)絡(luò)流量轉(zhuǎn)發(fā),、傳播行為,;通過(guò)在宿主機(jī)內(nèi)核數(shù)據(jù)路徑側(cè)限制風(fēng)險(xiǎn)虛擬機(jī)存儲(chǔ)讀寫(xiě)速率,限制其對(duì)存儲(chǔ)資源的占用,。在存儲(chǔ)訪問(wèn)控制方面,,增加在執(zhí)行敏感指令時(shí)的多員確認(rèn)機(jī)制,如磁盤(pán)的銷毀,、復(fù)制,、快照回滾、來(lái)自其他進(jìn)程的 IO 訪問(wèn)等,,從而防止磁盤(pán)惡意破壞,、惡意越權(quán)訪問(wèn)等攻擊。在虛擬化管理方面,增加三員分權(quán)管理,,對(duì)管理權(quán)限進(jìn)行三員劃分,減少超級(jí)權(quán)限帶來(lái)的安全風(fēng)險(xiǎn),,增加對(duì)管理操作的審計(jì),,防止惡意管理員的蓄意攻擊。
?。?)“防得了”,。通過(guò)將加密、認(rèn)證,、可信等安全防御技術(shù)融入IaaS層云平臺(tái)內(nèi)部,,從而強(qiáng)化IaaS層云平臺(tái)的安全防護(hù)能力。在IaaS層云平臺(tái)組件安全方面,,通過(guò)在VMM中增加組件完整性度量模塊,,在虛擬化組件啟動(dòng)前或者運(yùn)行中,對(duì)Qemu,、libvirt,、KVM等關(guān)鍵組件的可執(zhí)行程序和配置進(jìn)行完整性度量,防止病毒注入,、組件替換等攻擊,。在數(shù)據(jù)安全方面,虛擬機(jī)磁盤(pán),、快照,、鏡像是IaaS層數(shù)據(jù)的核心資產(chǎn)。通過(guò)加密,、完整性校驗(yàn)和剩余信息擦除技術(shù),,在虛擬機(jī)的全生命周期對(duì)虛機(jī)磁盤(pán)、快照,、模板鏡像全鏈路加密,、完整性校驗(yàn)以及殘余信息擦除,確保虛擬機(jī)在遷移,、備份,、導(dǎo)入導(dǎo)出等場(chǎng)景下,磁盤(pán),、快照,、模板未被非法訪問(wèn)、篡改以及病毒植入等,。在管理平面安全方面,,增加API安全保護(hù)機(jī)制,增加時(shí)間戳超時(shí)機(jī)制、拒絕重復(fù)調(diào)用,,限制在一段時(shí)間內(nèi)同一用戶調(diào)用次數(shù),,防止重放攻擊,同時(shí)對(duì)IaaS云平臺(tái)管理鏈接口調(diào)用(管理平臺(tái)→libvirt→Qemu)進(jìn)行層層鑒權(quán)認(rèn)證,,防止中間非法調(diào)用和指令下發(fā),。
#5 結(jié) 語(yǔ)
針對(duì)云平臺(tái)內(nèi)部安全威脅,通過(guò)將安全機(jī)制與云平臺(tái)融合的內(nèi)生安全防護(hù)設(shè)計(jì),,可以有效避免目前旁路式,、外掛式云安全防護(hù)手段無(wú)法實(shí)施、高效應(yīng)對(duì)云平臺(tái)內(nèi)部安全威脅的問(wèn)題,,并具有不可繞過(guò),、性能開(kāi)銷小等優(yōu)點(diǎn)。從試驗(yàn)結(jié)果來(lái)看,,該機(jī)制能夠有效應(yīng)對(duì)內(nèi)部惡意管理,、虛擬機(jī)逃逸、越權(quán)訪問(wèn)等多種云內(nèi)部安全威脅場(chǎng)景,,具備較為廣闊的應(yīng)用前景,。
但是,該機(jī)制需要與云平臺(tái)內(nèi)部組件和機(jī)制相結(jié)合,,對(duì)云平臺(tái)組件改造和接口開(kāi)放要求較高,,需要云平臺(tái)廠商和安全廠商深度配合才能完成。未來(lái),,隨著云安全的逐步深化,,有望通過(guò)云的安全標(biāo)準(zhǔn)促進(jìn)云廠商自身內(nèi)在安全的發(fā)展,通過(guò)開(kāi)放更多標(biāo)準(zhǔn)化接口吸納安全廠商的云平臺(tái)加固組件,,從而推動(dòng)云平臺(tái)內(nèi)生安全的發(fā)展和應(yīng)用,。
