多租賃云的虛擬機(jī)安全與隱私保護(hù)——專訪上海交大教授陳海波博士

文 葛遜

縱觀全球產(chǎn)業(yè)大環(huán)境多租云的虛擬機(jī)安全問題與隱私保護(hù)問題日益凸顯。虛擬化在很多云平臺里面已經(jīng)成為了支撐云平臺的關(guān)鍵技術(shù)。比如亞馬遜，對于用戶來說只要做一個認(rèn)證，注冊一下，付些費用就可以使用云里的虛擬機(jī)。但是同時也帶來了一些問題，云看起來是一個大泡泡，這個大泡泡可信度高嗎？

陳博士說：“用一個非常簡單的例子探討云平臺的安全性。例如一個人口普查的云，這個云做的服務(wù)是，每個人把信息放到云里面去，假如用戶把自己的個人信息、信用卡信息放到云里面。那么統(tǒng)計一下中國的人口結(jié)構(gòu)，或者人口分布是怎么樣的。假設(shè)這樣的云不能竊取用戶的信息。早在2008年起，有一份關(guān)于云安全的報告現(xiàn)顯示，云最大的威脅是內(nèi)部對云的不可見訪問。因為它很有可能通過各種方式竊取數(shù)據(jù)?？梢酝ㄟ^各種各樣的方式，可以對整個云平臺，包括虛擬機(jī)進(jìn)行篡改。甚至把用戶信息也進(jìn)行篡改?！边@樣的話數(shù)據(jù)被竊取，甚至結(jié)構(gòu)被篡改?？雌饋硭坪醪皇悄敲慈菀妆还舻脑?，其實并不安全。這不是危言聳聽。

云計算的安全威脅很多情況下是因為有一些好奇或者惡意的云平臺操作人員濫用職權(quán)監(jiān)守自盜。很多人可能在用郵件或者IM發(fā)給對方自己的銀行帳戶信息，但是這個郵箱是否可以完全相信？從2010年9月份Google的新聞可以看出來，Google內(nèi)部員工濫用其訪問權(quán)限，并違反公司的隱私策略偷窺用戶信息。當(dāng)然這些人可能有自己的目的，比如追女孩子之類。但是并不是在源頭做一些訪問控制就可以杜絕的。當(dāng)時Google也有提到，必須要保證一定數(shù)量的人訪問所有的用戶信息，否則很多業(yè)務(wù)也沒有辦法開展。

陳博士說：“從安全的角度再來看，衡量一個系統(tǒng)的安全性，有一個指標(biāo)就是可信基。一般來說，一個小的可信基是表明它是可信的。任何一個地方出現(xiàn)安全故障，會導(dǎo)致安全隱私性的破壞。美國計算機(jī)病毒處理中心2010年底統(tǒng)計數(shù)據(jù)表示，Xen虛擬化系統(tǒng)共有32個安全漏洞，VMWare虛擬化系統(tǒng)共有35個安全漏洞。對信息安全漏洞做一個深入分析就會發(fā)現(xiàn)，通過這些漏洞，通過一些特征提升的方式，可以通過其他的客戶虛擬機(jī)，或者是通過這樣的網(wǎng)絡(luò)連接，獲得這樣的系統(tǒng)控制權(quán)。這就使得運(yùn)行在上面的服務(wù)就會存在較大的安全威脅?！?/p>

如何攻破虛擬層呢？通常硬件上面是一個虛擬的監(jiān)控器，它會存在于一個VM上，在上面會形成一些管理工具，然后是用戶在上面租賃的虛擬機(jī)。用戶的這些虛擬機(jī)是這樣受到攻擊的：如果要攻擊的話，可以到云平臺里面租一個虛擬機(jī)，目的不是為了跑應(yīng)用，而是為了發(fā)動攻擊。發(fā)動攻擊者如果已知它里面有一些相關(guān)的安全漏洞，就可以通過安全漏洞，通過一些緩沖區(qū)或者帶特殊身份等方法提升權(quán)限，甚至獲取控制權(quán)，這樣就可以進(jìn)入用戶的虛擬機(jī)中去。另外還可以通過管理工具進(jìn)行攻擊，在虛擬機(jī)的創(chuàng)建過程或者是在運(yùn)行過程中間會不停的跟管理工具和管理域進(jìn)行交換，在交換協(xié)議有時會存在著一些安全漏洞，而這些漏洞就是突破口。陳博士表示管理員完全可以通過技術(shù)手段找到這些漏洞并按照這些安全漏洞進(jìn)行控制。另外也可以通過已經(jīng)提供好的強(qiáng)大的管理工具可以看到虛擬機(jī)上的信息。

目前的云平臺只能提供修改權(quán)限的保護(hù)，如果用戶的虛擬機(jī)在亞馬遜上面被攻破或者出現(xiàn)什么安全故障的話，是免責(zé)的。對于Amazon云平臺就是這樣的，如果用戶覺得這個數(shù)據(jù)特別重要，可以對這個數(shù)據(jù)進(jìn)行加密。美國一些律師標(biāo)準(zhǔn)的說法是：“我們不能保證我們一定會做到這一點?！蹦敲磥嗰R遜這樣的一個平臺僅僅是建議用戶去加密，但是加密僅僅是對靜態(tài)數(shù)據(jù)的存儲，而且有加密的數(shù)據(jù)運(yùn)行起來會非常慢。

陳博士表示從學(xué)術(shù)界角度看有兩種方法可以提供多層次云安全保障。一是CloudVisor：IaaS可信隔離與保護(hù)。是云的可信隔離和保護(hù)。二是CHAOS：基于虛擬化的SaaS可信隔離。

CloudVisor的體系架構(gòu)是對傳統(tǒng)的云軟件進(jìn)行保護(hù)。首先是增加了一個很小的安全監(jiān)控軟件。這樣一個軟件可以看到，是在整個云平臺的最下面，可行機(jī)越大越不安全，那么就要試圖把它變的非常小。CloudVisor是非常小的軟件，它的功能和管理虛擬化不一樣，傳統(tǒng)的是做很多硬件模擬等等，CloudVisor可以做保護(hù)，可以提供一套安全的認(rèn)證和可以度量的。用戶首先要確認(rèn)是否正確安裝了CloudVisor，然后有一個標(biāo)準(zhǔn)化的協(xié)議，通過這個協(xié)議可以知道這個平臺是否真實存在，然后通過密鑰把一些軟件進(jìn)行加密。被加密的軟件上面的包括虛擬機(jī)，監(jiān)控器和控制的虛擬機(jī)根本沒辦法看到任何信息。通過這樣的方式可以保證它的傳輸和在加載的過程中都不能夠看到一些隱私數(shù)據(jù)。訪問頁通過其他的手段，通過VMM和CloudVisor為這樣有特權(quán)的軟件，可以讓VMM根本看不到IO的數(shù)據(jù)。

這是一個基于TXT的啟動認(rèn)證，認(rèn)證完了以后可以通過Hash傳到TPM。通過認(rèn)證后可以分辨出到底是一個木馬還是一個安全保護(hù)的工具。同時還需要保證它在運(yùn)行中的安全性，需要保證的一點是，VMM不能竊取VM的信息。用到的一個方法就是，如果VMM向VM流動，一旦他們兩個要進(jìn)行溝通，首先要經(jīng)過CloudVisor的審核。經(jīng)過CloudVisor的處理再流動到VM，同時VM再回流到VMM也要經(jīng)過這樣的認(rèn)證。

基于EPT的內(nèi)存隔離：VMM只有每個VM的EPT的只讀訪問權(quán)限?，F(xiàn)在假設(shè)VMM訪問VM的一個數(shù)據(jù)，這樣可以對它進(jìn)行一個監(jiān)控，試圖訪問的話要經(jīng)過系統(tǒng)的檢測，因為它不能保護(hù)它，如果嘗試保護(hù)就需要對它進(jìn)行一個加密。系統(tǒng)通常需要通過這樣的加密方式來保護(hù)一些外涉的數(shù)據(jù)。

CHAOS的結(jié)構(gòu)：管理員通過一些行為的約束讓OS都不能訪問云服務(wù)的信息。如果一個惡意操作系統(tǒng)試圖訪問并獲取信息的時候，可以對它正在進(jìn)行的一些映射實施刪除。雖然安全通常會影響易用性，但是CHAOS的結(jié)構(gòu)下在增強(qiáng)了安全性的同時還可以通過工具對其進(jìn)行在線遷移。

陳博士最后表示：云計算給安全性帶來了巨大挑戰(zhàn)，最大的問題是數(shù)據(jù)和基礎(chǔ)設(shè)施在不在用戶這端還是在用戶提供商這邊。帶來這樣的挑戰(zhàn)，現(xiàn)實生活中反應(yīng)非常多的問題。我們試圖做了一些事，提供多層次的安全來保護(hù)IaaS和SaaS，用指環(huán)王里的一句話就是“一個小的戒指就可以統(tǒng)管云的安全?！?/p>