引言
由于云計(jì)算對(duì)資源的充分高效利用能大幅降低計(jì)算成本,從而大大增強(qiáng)了計(jì)算靈活性。云計(jì)算概念從2008年被提出開始已經(jīng)得到越來越廣泛的應(yīng)用,越來越多的企業(yè)組織機(jī)構(gòu)開始把計(jì)算平臺(tái)向云遷移。在這個(gè)過程中人們最關(guān)注的無疑是云的安全問題,尤其是在云的多租戶環(huán)境中,大量用戶共享同樣的基礎(chǔ)設(shè)施和網(wǎng)絡(luò),如何在這種環(huán)境下保證用戶數(shù)據(jù)的安全和隱私,是一個(gè)比較嚴(yán)峻的問題。云安全聯(lián)盟(Cloud Security Alliance)已經(jīng)將不正確的數(shù)據(jù)和網(wǎng)絡(luò)隔離(Improper Data and NetworkIsolation)列為云計(jì)算的首要安全威脅之一。惡意用戶可以相對(duì)比較容易地攻擊其他使用同一平臺(tái)的用戶,特別是目前的云服務(wù)建立門檻已經(jīng)很低,一些新手程序員可以通過GoogleApp等建立自己的云服務(wù),其代碼的安全性通常沒有得到良好的審查。
目前,阻止這些攻擊還未有良好的解決辦法,即便部署了ERP數(shù)據(jù)防泄露系統(tǒng),也無法阻止云服務(wù)上的敏感信息泄露。技術(shù)手段的缺乏使得黑客和惡意的內(nèi)部人員的攻擊日益增加、數(shù)據(jù)合規(guī)性的監(jiān)管增強(qiáng)、云計(jì)算時(shí)代大型數(shù)據(jù)中心安全管理日益復(fù)雜,如何控制、保護(hù)和監(jiān)視高價(jià)值的業(yè)務(wù)數(shù)據(jù),成為所有數(shù)據(jù)提供商和用戶面對(duì)的重要問題,因此迫切需要一套可視性的、有效控制的數(shù)據(jù)安全隔離辦法。
這里提出一個(gè)名為OmniSep的數(shù)據(jù)隔離技術(shù)解決方案,使得云服務(wù)提供者可以把安全作為一種服務(wù)提供出來保護(hù)云中租戶的數(shù)據(jù),即便這個(gè)租戶自身運(yùn)行的軟件和服務(wù)不安全,OmniSep也能確保其數(shù)據(jù)的安全。OmniSep通過增強(qiáng)云服務(wù)提供商的虛擬機(jī)管理器(如XenServer、VMware ESXi等)并修改部分客戶機(jī)操作系統(tǒng)來實(shí)現(xiàn)數(shù)據(jù)的隔離,從而保證云中多租戶用戶遠(yuǎn)離因服務(wù)商錯(cuò)誤設(shè)置或side—channel攻擊等問題造成的數(shù)據(jù)泄露。
1 相關(guān)威脅分析
對(duì)于云中多租戶的威脅分類分以下幾種情況討論,如表1所示。
可見,最常見的威脅是一個(gè)租戶部署的服務(wù)有漏洞或者配置錯(cuò)誤,但要求所有租戶都嚴(yán)格檢查其代碼也不現(xiàn)實(shí),防火墻和IDS的作用也有限。OmniSep可以阻止惡意攻擊者從租戶的虛擬機(jī)實(shí)例偷走信息。其他的威脅有些是由于云基礎(chǔ)設(shè)施或租戶操作系統(tǒng)的漏洞造成的。
2 OmniSep系統(tǒng)構(gòu)成
圖1為OmniSep的系統(tǒng)結(jié)構(gòu),顯示了其組件和云中的位置,組件包括:
表1 云計(jì)算多租戶環(huán)境威脅分類
1)兩個(gè)在特權(quán)域Domain0中的軟件模塊,一個(gè)針對(duì)數(shù)據(jù)隔離,一個(gè)針對(duì)網(wǎng)絡(luò)隔離。
2)一個(gè)標(biāo)記服務(wù)(Labeling Service)部署在云服務(wù)提供商的存儲(chǔ)設(shè)備上。
3)Pedigree操作系統(tǒng)級(jí)信息流追蹤組件,安裝在所有愿意使用OmniSep的用戶虛擬機(jī)實(shí)例上。
圖1 OmniSep系統(tǒng)結(jié)構(gòu)
以云計(jì)算常用虛擬程序Xen為例,Xen有多個(gè)層,最底層和最高特權(quán)層是Xen程序本身。Xen可以管理多個(gè)客戶操作系統(tǒng),每個(gè)操作系統(tǒng)都能在一個(gè)安全的虛擬機(jī)中實(shí)現(xiàn)。在Xen的術(shù)語中,Domain由Xen控制,以高效地利用CPU的物理資源,每個(gè)客戶操作系統(tǒng)可以管理它自身的應(yīng)用。這種管理包括每個(gè)程序在規(guī)定時(shí)間內(nèi)的響應(yīng)到執(zhí)行,是通過Xen調(diào)度到虛擬機(jī)中實(shí)現(xiàn),當(dāng)Xen啟動(dòng)運(yùn)行后,第一個(gè)虛擬的操作系統(tǒng)就是Xen本身,通過xmlist,會(huì)發(fā)現(xiàn)有一個(gè)Domain0的虛擬機(jī)。Domain0是其他虛擬主機(jī)的管理者和控制者,Domain0可以構(gòu)建其他更多的Domain,并管理虛擬設(shè)備,它還能執(zhí)行管理任務(wù),比如虛擬機(jī)的休眠、喚醒和遷移其他虛擬機(jī)。
一個(gè)被稱為Xend的服務(wù)器進(jìn)程通過Domain0來管理系統(tǒng),Xend負(fù)責(zé)管理眾多的虛擬主機(jī),并且提供進(jìn)入這些系統(tǒng)的控制臺(tái)。命令經(jīng)一個(gè)命令行的工具通過一個(gè)HTTP的接口被傳送到Xend。運(yùn)行Pedigree的云租戶可以指定安全策略并運(yùn)用部署在云服務(wù)提供商那里的標(biāo)記服務(wù)來自動(dòng)分配標(biāo)記到他們的數(shù)據(jù),這樣,Pedigree就可以追蹤所有在租戶虛擬機(jī)實(shí)例內(nèi)進(jìn)程和文件之間的信息流,如果租戶的數(shù)據(jù)不符合規(guī)定地流向了另一個(gè)租戶的虛擬機(jī)或是云外的網(wǎng)絡(luò),Domain0里的執(zhí)行組件就會(huì)終止類似的數(shù)據(jù)交換。網(wǎng)絡(luò)隔離組件主要干擾對(duì)共享硬件資源的多租戶探測(cè):通過中央數(shù)據(jù)庫重寫租戶虛擬機(jī)實(shí)例的IP地址,首先阻止攻擊者探測(cè)租戶的真實(shí)IP地址,同時(shí)調(diào)節(jié)ping值返回時(shí)間,使得同一臺(tái)物理主機(jī)上虛擬機(jī)之間的ping時(shí)間值和不同物理主機(jī)之間的ping時(shí)間值是相同的。
(1)Pedigree信息流追蹤組件
Pedigree在同一個(gè)虛擬機(jī)實(shí)例里使用標(biāo)記來追蹤進(jìn)程以及文件相互之間的信息流,使用一個(gè)安全可信的Linux內(nèi)核,用戶和管理員把標(biāo)記加到文件上,標(biāo)記內(nèi)容包含了租戶在策略中指定的內(nèi)容、誰能訪問以及以什么權(quán)限訪問等信息,Pedigree一旦安裝就會(huì)關(guān)聯(lián)所有虛擬機(jī)內(nèi)的資源,云中租戶便可以把數(shù)據(jù)安全的邊界得以劃清,控制自己的數(shù)據(jù)流動(dòng)。租戶不僅可以單獨(dú)安裝Pedigree,還可以通過綁定虛擬機(jī)鏡像使得以這個(gè)虛擬機(jī)鏡像為母版的所有虛擬機(jī)都自動(dòng)加上這個(gè)功能。對(duì)于所有正在運(yùn)行的虛擬系統(tǒng),Domain0的系統(tǒng)正在運(yùn)行。
Domain0就是Xen本身,也可以稱為虛擬平臺(tái)內(nèi)存大小,負(fù)責(zé)提供其他虛擬操作系統(tǒng)的硬件環(huán)境,其他的系統(tǒng)都是基于DomainO開始的,Pedigree運(yùn)行于其他DomainU虛擬系統(tǒng),和DomainO交互數(shù)據(jù)。
(2)標(biāo)記服務(wù)
標(biāo)記服務(wù)建立在標(biāo)準(zhǔn)云服務(wù)的存儲(chǔ)服務(wù)之上,通過用戶指定的策略,標(biāo)記層自動(dòng)把相關(guān)標(biāo)記數(shù)據(jù)插入存儲(chǔ)服務(wù),每個(gè)租戶都可以通過管理界面創(chuàng)建策略來標(biāo)記數(shù)據(jù)流。以下是一個(gè)策略的例子,其中一個(gè)標(biāo)記被創(chuàng)建然后被插入到數(shù)據(jù)庫:whenquery:=“INSERT”and table:=“USERS”。
(3)執(zhí)行組件
執(zhí)行組件一直運(yùn)行在云中的所有DomainO里面,作用有以下兩個(gè):
1)內(nèi)部租戶的數(shù)據(jù)隔離。假如一個(gè)租戶標(biāo)記的數(shù)據(jù)非正常地流向另一個(gè)租戶的虛擬機(jī)實(shí)例(如錯(cuò)誤配置、被攻破的情況下),執(zhí)行組件可以根據(jù)標(biāo)有每個(gè)租戶唯一標(biāo)識(shí)的標(biāo)記來執(zhí)行阻斷。
2)全局?jǐn)?shù)據(jù)隔離。假如一個(gè)租戶標(biāo)記的數(shù)據(jù)非正常地流向云外,執(zhí)行組件執(zhí)行阻斷措施并匯報(bào)事件。
相對(duì)于內(nèi)部數(shù)據(jù)隔離,全局?jǐn)?shù)據(jù)隔離的難點(diǎn)在于如何讓租戶從云的外部瀏覽自己的數(shù)據(jù),同時(shí)又能阻止攻擊者在已經(jīng)攻破云服務(wù)時(shí)沒辦法得到租戶的數(shù)據(jù)。這里采用租戶獨(dú)立運(yùn)行一個(gè)可信登錄服務(wù)和云服務(wù)提供商的銷密服務(wù)結(jié)合的方法,為確保沒有惡意代碼和后門,可以采用已經(jīng)通過審計(jì)的開源代碼庫部署在虛擬機(jī)上作為自己的登錄服務(wù)。當(dāng)一個(gè)用戶進(jìn)入租戶涉及到保護(hù)數(shù)據(jù)的網(wǎng)站時(shí),登錄進(jìn)程便驗(yàn)證用戶以及和銷密服務(wù)通信以標(biāo)明用戶。銷密服務(wù)是一個(gè)可信的代理服務(wù)(需要由云服務(wù)商提供),它可以把租戶的標(biāo)記信息從數(shù)據(jù)流中剝離,當(dāng)銷密服務(wù)器接收到租戶請(qǐng)求時(shí)便剝離指定連接的用戶信息,確保每一個(gè)流出的信息的租戶信息被剝離。另外,隔離的同時(shí)還具備流量監(jiān)視功能。為了防止網(wǎng)絡(luò)接口流量異常,執(zhí)行組件具有流量監(jiān)視及控制功能,能夠?qū)νㄟ^安全隔離系統(tǒng)的網(wǎng)絡(luò)流量進(jìn)行全面的控制。流量監(jiān)視及控制功能可以針對(duì)不同的應(yīng)用對(duì)流量設(shè)置上限,保證云中數(shù)據(jù)不會(huì)由于其他應(yīng)用占用過多的帶寬而不能正常使用。此外,流量監(jiān)視及控制功能還可以對(duì)執(zhí)行組件系統(tǒng)的特定網(wǎng)絡(luò)端口進(jìn)行上行及下行的流量監(jiān)視和控制,使用戶能夠隨時(shí)掌握網(wǎng)絡(luò)流量的狀態(tài),分析云中數(shù)據(jù)的流向。
下面通過一個(gè)實(shí)例來說明全局?jǐn)?shù)據(jù)隔離的運(yùn)作,如圖2所示。一個(gè)正常用戶Alex和惡意用戶Bob,Alex登錄進(jìn)系統(tǒng)然后發(fā)起請(qǐng)求查看其銀行賬戶信息,他的返回值只會(huì)標(biāo)記一個(gè)“A”。銷密服務(wù)器把他的標(biāo)記剝離然后執(zhí)行組件發(fā)現(xiàn)這些數(shù)據(jù)沒有包含敏感的標(biāo)記,于是放行。如果Bob通過SQL注入攻擊想得到Alex的銀行信息,由于銷密服務(wù)只和Bob的連接相綁定,只會(huì)去除Bob的標(biāo)記信息,Bob竊取的Alex的數(shù)據(jù)在經(jīng)過執(zhí)行組件的時(shí)候還會(huì)帶有Alex的標(biāo)記,這時(shí)候執(zhí)行組件便會(huì)攔截這些數(shù)據(jù),從而起到保護(hù)作用。就算Bob使用其他虛擬機(jī)繞過銷密服務(wù)器,但這些虛擬機(jī)里面駐留在DomainO里的執(zhí)行組件也會(huì)阻斷連接。
圖2 OmniSep處理流程
3 系統(tǒng)實(shí)現(xiàn)
OmniSep軟件代碼由C語言實(shí)現(xiàn),驗(yàn)證采用的云計(jì)算系統(tǒng)搭建在Ubuntu11.10上,云管理基礎(chǔ)軟件采用UbuntuUEC內(nèi)置Eucalyptus,虛擬機(jī)兼容KVM和XEN,虛擬機(jī)鏡像格式為AMI。整個(gè)驗(yàn)證系統(tǒng)實(shí)現(xiàn)了和Amazon EC2的完全兼容,實(shí)現(xiàn)了與Amazon從私有云到公有云的無縫遷移。在本地驗(yàn)證系統(tǒng)的結(jié)論適用于目前使用最廣泛的云設(shè)施Amazon EC2及其S3存儲(chǔ)系統(tǒng)。
4 結(jié)語
文中通過分析廣泛應(yīng)用的云計(jì)算服務(wù)面臨的各種威脅,揭示威脅造成的嚴(yán)重后果,并針對(duì)各種不同的威脅分析可能的解決辦法,最后提出一個(gè)名為OmniSep的解決方案,該方案包含了一系列針對(duì)云計(jì)算多租戶環(huán)境增強(qiáng)數(shù)據(jù)和網(wǎng)絡(luò)隔離的技術(shù)。OmniSep通過部署在云中不同位置的3個(gè)組件實(shí)現(xiàn)了按照租戶意愿的ERP數(shù)據(jù)和網(wǎng)絡(luò)隔離,充分保障了租戶在不信任云環(huán)境中的ERP數(shù)據(jù)安全。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:云服務(wù)數(shù)據(jù)隔離技術(shù)
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112152500.html