多租賃云的虛擬機安全與隱私保護——專訪上海交大教授陳海波博士

文 葛遜

縱觀全球產業(yè)大環(huán)境多租云的虛擬機安全問題與隱私保護問題日益凸顯。虛擬化在很多云平臺里面已經成為了支撐云平臺的關鍵技術。比如亞馬遜，對于用戶來說只要做一個認證，注冊一下，付些費用就可以使用云里的虛擬機。但是同時也帶來了一些問題，云看起來是一個大泡泡，這個大泡泡可信度高嗎？

陳博士說：“用一個非常簡單的例子探討云平臺的安全性。例如一個人口普查的云，這個云做的服務是，每個人把信息放到云里面去，假如用戶把自己的個人信息、信用卡信息放到云里面。那么統(tǒng)計一下中國的人口結構，或者人口分布是怎么樣的。假設這樣的云不能竊取用戶的信息。早在2008年起，有一份關于云安全的報告現(xiàn)顯示，云最大的威脅是內部對云的不可見訪問。因為它很有可能通過各種方式竊取數(shù)據(jù)。可以通過各種各樣的方式，可以對整個云平臺，包括虛擬機進行篡改。甚至把用戶信息也進行篡改?！边@樣的話數(shù)據(jù)被竊取，甚至結構被篡改?？雌饋硭坪醪皇悄敲慈菀妆还舻脑?，其實并不安全。這不是危言聳聽。

云計算的安全威脅很多情況下是因為有一些好奇或者惡意的云平臺操作人員濫用職權監(jiān)守自盜。很多人可能在用郵件或者IM發(fā)給對方自己的銀行帳戶信息，但是這個郵箱是否可以完全相信？從2010年9月份Google的新聞可以看出來，Google內部員工濫用其訪問權限，并違反公司的隱私策略偷窺用戶信息。當然這些人可能有自己的目的，比如追女孩子之類。但是并不是在源頭做一些訪問控制就可以杜絕的。當時Google也有提到，必須要保證一定數(shù)量的人訪問所有的用戶信息，否則很多業(yè)務也沒有辦法開展。

陳博士說：“從安全的角度再來看，衡量一個系統(tǒng)的安全性，有一個指標就是可信基。一般來說，一個小的可信基是表明它是可信的。任何一個地方出現(xiàn)安全故障，會導致安全隱私性的破壞。美國計算機病毒處理中心2010年底統(tǒng)計數(shù)據(jù)表示，Xen虛擬化系統(tǒng)共有32個安全漏洞，VMWare虛擬化系統(tǒng)共有35個安全漏洞。對信息安全漏洞做一個深入分析就會發(fā)現(xiàn)，通過這些漏洞，通過一些特征提升的方式，可以通過其他的客戶虛擬機，或者是通過這樣的網絡連接，獲得這樣的系統(tǒng)控制權。這就使得運行在上面的服務就會存在較大的安全威脅。”

如何攻破虛擬層呢？通常硬件上面是一個虛擬的監(jiān)控器，它會存在于一個VM上，在上面會形成一些管理工具，然后是用戶在上面租賃的虛擬機。用戶的這些虛擬機是這樣受到攻擊的：如果要攻擊的話，可以到云平臺里面租一個虛擬機，目的不是為了跑應用，而是為了發(fā)動攻擊。發(fā)動攻擊者如果已知它里面有一些相關的安全漏洞，就可以通過安全漏洞，通過一些緩沖區(qū)或者帶特殊身份等方法提升權限，甚至獲取控制權，這樣就可以進入用戶的虛擬機中去。另外還可以通過管理工具進行攻擊，在虛擬機的創(chuàng)建過程或者是在運行過程中間會不停的跟管理工具和管理域進行交換，在交換協(xié)議有時會存在著一些安全漏洞，而這些漏洞就是突破口。陳博士表示管理員完全可以通過技術手段找到這些漏洞并按照這些安全漏洞進行控制。另外也可以通過已經提供好的強大的管理工具可以看到虛擬機上的信息。

目前的云平臺只能提供修改權限的保護，如果用戶的虛擬機在亞馬遜上面被攻破或者出現(xiàn)什么安全故障的話，是免責的。對于Amazon云平臺就是這樣的，如果用戶覺得這個數(shù)據(jù)特別重要，可以對這個數(shù)據(jù)進行加密。美國一些律師標準的說法是：“我們不能保證我們一定會做到這一點?！蹦敲磥嗰R遜這樣的一個平臺僅僅是建議用戶去加密，但是加密僅僅是對靜態(tài)數(shù)據(jù)的存儲，而且有加密的數(shù)據(jù)運行起來會非常慢。

陳博士表示從學術界角度看有兩種方法可以提供多層次云安全保障。一是CloudVisor：IaaS可信隔離與保護。是云的可信隔離和保護。二是CHAOS：基于虛擬化的SaaS可信隔離。

CloudVisor的體系架構是對傳統(tǒng)的云軟件進行保護。首先是增加了一個很小的安全監(jiān)控軟件。這樣一個軟件可以看到，是在整個云平臺的最下面，可行機越大越不安全，那么就要試圖把它變的非常小。CloudVisor是非常小的軟件，它的功能和管理虛擬化不一樣，傳統(tǒng)的是做很多硬件模擬等等，CloudVisor可以做保護，可以提供一套安全的認證和可以度量的。用戶首先要確認是否正確安裝了CloudVisor，然后有一個標準化的協(xié)議，通過這個協(xié)議可以知道這個平臺是否真實存在，然后通過密鑰把一些軟件進行加密。被加密的軟件上面的包括虛擬機，監(jiān)控器和控制的虛擬機根本沒辦法看到任何信息。通過這樣的方式可以保證它的傳輸和在加載的過程中都不能夠看到一些隱私數(shù)據(jù)。訪問頁通過其他的手段，通過VMM和CloudVisor為這樣有特權的軟件，可以讓VMM根本看不到IO的數(shù)據(jù)。

這是一個基于TXT的啟動認證，認證完了以后可以通過Hash傳到TPM。通過認證后可以分辨出到底是一個木馬還是一個安全保護的工具。同時還需要保證它在運行中的安全性，需要保證的一點是，VMM不能竊取VM的信息。用到的一個方法就是，如果VMM向VM流動，一旦他們兩個要進行溝通，首先要經過CloudVisor的審核。經過CloudVisor的處理再流動到VM，同時VM再回流到VMM也要經過這樣的認證。

基于EPT的內存隔離：VMM只有每個VM的EPT的只讀訪問權限?，F(xiàn)在假設VMM訪問VM的一個數(shù)據(jù)，這樣可以對它進行一個監(jiān)控，試圖訪問的話要經過系統(tǒng)的檢測，因為它不能保護它，如果嘗試保護就需要對它進行一個加密。系統(tǒng)通常需要通過這樣的加密方式來保護一些外涉的數(shù)據(jù)。

CHAOS的結構：管理員通過一些行為的約束讓OS都不能訪問云服務的信息。如果一個惡意操作系統(tǒng)試圖訪問并獲取信息的時候，可以對它正在進行的一些映射實施刪除。雖然安全通常會影響易用性，但是CHAOS的結構下在增強了安全性的同時還可以通過工具對其進行在線遷移。

陳博士最后表示：云計算給安全性帶來了巨大挑戰(zhàn)，最大的問題是數(shù)據(jù)和基礎設施在不在用戶這端還是在用戶提供商這邊。帶來這樣的挑戰(zhàn)，現(xiàn)實生活中反應非常多的問題。我們試圖做了一些事，提供多層次的安全來保護IaaS和SaaS，用指環(huán)王里的一句話就是“一個小的戒指就可以統(tǒng)管云的安全?！?/p>