可信云平臺服務運行管理模式初探

陳鵬　劉軍娥　李倩　張莉

摘 要

隨著云計算的推進和發展，云平臺的建設由基礎設施向高端的軟件服務延伸，作為一種平臺，云平臺允許開發者們或是將寫好的服務放在“云”里運行，或是使用“云”里提供的服務，或二者皆是。與此同時，云平臺的可信性問題越來越引起業界及用戶的關注，構建可信性平臺變得越來越重要。云平臺除了證明平臺自身的可信性之外，還必須保證由第三方提供的、運行在云平臺上的服務在云平臺運行過程中，不會給云平臺引入新的風險和隱患，保證云平臺上的服務不會影響云平臺的可信性。本文結合與上海證券交易所合作的“證券業云平臺研發與運營”課題 ，對可信云平臺的服務運行管理模式進行了探討，結合ITIL規范和本單位參與制訂的《可信計算平臺可信性度量》系列標準，提出一種對云平臺服務在運行階段的可信性管理的機制。

【關鍵詞】可信 云平臺 ITIL 威脅模型 防御模型 配置管理 服務部署

1 前言

云平臺允許第三方服務提供商提供的服務放在“云”里運行。云計算的靈魂在于服務，服務的靈魂在于安全可靠，如何打造可信、安全的云平臺是云服務商和用戶關心的問題。由于云平臺對于第三方服務的開放性，打造可信的云平臺需要滿足：（1）云平臺自身具有可信保證機制；（2）云平臺上的第三方服務在運行中是可靠的。

本文假定云平臺是已被證明是可信的，作為本文研究的可信根。云平臺提供一套可信服務管理框架，以保證運行在云平臺上的服務是可信的。信任云平臺的用戶可以安全地使用云平臺上的。該框架能夠實現：（1）防止服務提供商在服務運行過程中篡改程序代碼，獲取用戶數據進行惡意操作；（2）防止服務因其程序依賴的其他程序包和部署環境發現的漏洞而受到攻擊。

2 威脅模型

本節介紹在用戶在使用第三方服務的過程中可能遇到的威脅模型，及在可信云平臺中通過計算手段克服這些威脅的解決方案，使得信任云平臺的用戶能夠使用可信的服務。在本文中，云服務提供商擔任可信根。

2.1 來自服務提供商的威脅

部署在云平臺上的第三方服務在運行過程中主要受到兩種來源的威脅，分別來自服務提供商和黑客等外部群體。本節對服務提供商在服務運行過程中篡改服務源碼的威脅及防御措施進行介紹。

2.1.1 威脅模型

圖2-1展示了一個用戶在使用第三方提供的服務時存在的威脅模型。服務提供商提供了一個惡意服務程序，部署在服務提供商的服務器上，服務提供商對服務進行運行和控制。一個信任這個服務提供商的用戶發現了這個服務并訪問該服務。該服務能夠獲取到用戶的數據，并有可能不正確地使用用戶數據，或在用戶未知的情況下，將用戶數據泄露給其他的惡意服務。但在此模型中，用戶想要使用該服務，只能相信服務提供商，此外并無其他選擇。

2.1.2 防御模型

圖2-2展示了針對威脅模型1的防御模型。云平臺提供商作為中立的第三方可信平臺，對發布在云平臺上的服務進行嚴格的驗證，并對服務實例進行封裝，防止實例被篡改。驗證主要包括服務是否存在漏洞，是否存在惡意代碼等進行全方面的檢查。封裝即保證一旦實例運行起來后就不能被修改。在云平臺，云服務提供商將服務封裝在虛擬機鏡像中，以實例的方式運行服務，使得實例被隔離并防止服務提供商對實例的修改。這樣，在云服務提供商將服務部署到云平臺之后，服務提供商無法在其中增加惡意代碼，也無法獲取用戶數據。

通過上述措施，信任云平臺的用戶可以放心的使用云平臺中部署的第三方服務。

2.2 來自外部的攻擊

除了前文介紹的來自服務提供商的威脅，服務還可能因其程序依賴的程序包或者部署環境存在漏洞而受到黑客等外部群體的攻擊。本節對該類威脅模型和針對該類威脅的防御模型進行介紹。

2.2.1 威脅模型

圖2-3展示了服務在運行過程中存在的漏洞威脅模型。2013年7月17日的Struts2高危漏洞事件造成了大規模的信息泄露。利用漏洞，黑客能夠發起遠程攻擊，輕則竊取網站數據信息，嚴重的可取得網站服務器控制權，構成信息泄露和運行安全威脅，無數的網民受其影響。7.17事件只是我們的漏洞威脅模型中的一個案例。服務實例在運行過程中，可能會因為程序依賴的包（如Struts2的Jar包）或部署環境（如操作系統、數據庫等）存在的漏洞而受到攻擊，在這種情況下，用戶的信息可能會泄露而造成損失。

2.2.2 防御模型

圖2-4描述了針對漏洞威脅模型的防御模型，云平臺構建漏洞預防機制。云平臺通過爬蟲實時獲得互聯網上公布的漏洞信息，對安全信息庫進行不斷更新。可心服務檢測引擎監測安全信息庫中的漏洞，并發現漏洞可能影響的運行在云平臺中的服務實例，并將發現的潛在風險通知云平臺提供商，以采取預防措施，防止服務受到攻擊，也防止第三方服務將風險引入云平臺。

3 解決方案

為了提高云平臺服務管理的標準化程度及規范性，在云平臺對第三方服務的管理中引入了ITIL規范。ITIL（信息技術基礎架構庫）于上世紀八十年代被提出，用于指導IT組織提供更加經濟高效的IT服務，是一套與產品和行業無關的國際最佳實踐。ITIL運維服務支持五大流程，即事件、問題、配置、變更、發布管理流程。本文基于ITIL規范及本單位參與制訂的《可信計算平臺可信性度量》系列標準，提出一種對云平臺服務可信性管理的機制。本節對與第二章威脅模型相關的流程進行介紹。

3.1 服務發布管理

對于第三方服務提供商提交給云平臺的服務，云平臺依據圖3-1的發布管理流程對服務的發布進行嚴格管理，以預防服務提供商在服務發布到云平臺之后，對于服務源代碼的惡意篡改行為。

在上述流程中，服務提供商只負責向云平臺提交服務，在服務部署到云平臺之后，不再具有對服務的控制權，無法對運行中的服務進行代碼修改等操作，有效預防威脅模型1中描述的威脅。

服務驗證包括云平臺服務管理員對服務提供商的資質、信用，對服務的漏洞掃描等操作，保證初始的服務是安全的。

服務封裝指云平臺將服務封裝在KVM虛擬機鏡像中，通過運行虛擬機實例的方式運行服務，而虛擬機對服務提供商而言是不可見也不可控制的，從而保證服務實例的安全性。云平臺采用Eucalyptus云計算軟件作為底層的管理軟件，利用Eucalyptus的管理能力能夠實現對服務實例的隔離并防止服務提供商對服務實例的修改，使服務提供商無法以root身份登陸去修改軟件代碼和設置信息。具體過程為：

（1）云平臺管理員制作KVM鏡像，鏡像中包含服務提供商上傳的服務包及運行依賴的環境；

（2）將制作的鏡像相關文件上傳到云平臺CLC機器，Eucalyptus對鏡像進行管理；非云平臺管理員無法獲取鏡像和修改鏡像；

（3）用鏡像啟動虛擬機，服務可對外訪問。可通過SSH協議遠程登陸虛擬機，SSL私鑰保持機密，服務提供商不能通過自己的私鑰來訪問虛擬機。

3.2 服務配置管理

按照圖3-2展示的服務配置管理，云平臺對第三方服務商提供的服務進行規范的配置管理，規范化的服務配置信息存儲在配置信息庫中。

配置信息由服務提供商在提交服務的同時，提交給云平臺。配置信息主要包括兩類信息：

（1）服務依賴的運行環境配置，包括Web服務器、數據庫等。

（2）服務程序中依賴的第三方程序包，如Struts Jar包等，本文采用類似Maven的配置文件pom.xml格式的XML文件提交服務依賴程序包信息，服務提供商如果使用Maven管理項目則可以直接提交項目的pom.xml文件，否則需按照云平臺提供的類似pom.xml的文件填寫。

提交之后，云平臺會對配置項信息的完整性進行檢查，并將完整的配置項信息提交到配置信息庫，此后如果發現配置項信息變化則進行變更配置項的操作。

3.3 服務漏洞監測

在服務提供商將服務及服務配置信息提交給云平臺，并且云平臺對服務進行檢驗、封裝并運行之后，運平臺的可信服務監測引擎則不斷監測服務可能存在的漏洞，并觸發風險預警，如圖3-3所示。

云平臺執行網絡爬蟲程序，實時從互聯網上的多個權威的漏洞和安全信息頁面爬取漏洞和安全信息，并存儲在采集庫中，采集庫中的信息經過清洗、提取等處理形成不斷更新的安全信息庫，包括漏洞、補丁、安全事件等信息。可信服務監測引擎實時監測安全信息庫中的信息，并根據這些漏洞、補丁影響的軟件、程序包等信息以及云平臺服務的配置項信息，判斷可能會受到影響的服務，從而生成風險預警信息，并進入事件管理流程。

通過該系統，云平臺能夠實現對漏洞、補丁相關威脅的預先防范和及時發現，降低服務和云平臺的風險。

3.4 事件管理

對于可信服務監測系統發現的漏洞風險進行規范的事件管理。首先云平臺管理員接收全部風險預警信息，并進行判別，對誤報的風險直接關閉。對于服務真正存在的潛在風險進行分類和在線支持，對于能夠直接處理的問題直接進行解決，否則派發給云平臺運維工程師進行調查、診斷和解決。

4 總結

本文基于ITIL服務管理及《可信計算平臺可信性度量》系列標準，制定了可信云平臺服務管理方案。云平臺作為可信根，對部屬在云平臺上的服務進行規范管理，避免了兩種安全威脅：（1）防止服務提供商在服務運行過程中篡改程序代碼，獲取用戶數據進行惡意操作；（2）防止服務因其程序依賴的其他程序包和部署環境發現的漏洞而受到攻擊。從而使得信任云平臺的用戶能夠安全使用云平臺上部署的第三方服務提供上提供的服務。

參考文獻

[1]翰緯ITIL Version 3白皮書[Z].翰緯IT管理研究咨詢中心，2007（O7）.

[2]Web安全：技術與危機并進[Z].信息安全與通信保密，2010.

[3]可信云平臺服務技術研究，http：//www.doc88.com/p-296946252314.html[Z].2012（06）.

作者簡介

陳鵬（1979-），男，博士學位，現為北京中科院軟件中心有限公司總經理助理。

劉軍娥（1986-），女，碩士學位，現為北京中科院軟件中心有限公司軟件工程師。主要研究方向為云計算、大數據。

李倩（1987-），女，碩士學位，現為北京中科院軟件中心有限公司軟件工程師。主要研究方向為云計算、大數據。

張莉（1969-），女，碩士學位，北京中科院軟件中心有限公司IT服務部副總經理、技術總監，中國科學院大學碩士生導師。主要研究方向為軟件架構、數據挖掘、產品數據管理、云計算。

作者單位

北京中科院軟件中心有限公司 北京市 100190

服務驗證包括云平臺服務管理員對服務提供商的資質、信用，對服務的漏洞掃描等操作，保證初始的服務是安全的。

服務封裝指云平臺將服務封裝在KVM虛擬機鏡像中，通過運行虛擬機實例的方式運行服務，而虛擬機對服務提供商而言是不可見也不可控制的，從而保證服務實例的安全性。云平臺采用Eucalyptus云計算軟件作為底層的管理軟件，利用Eucalyptus的管理能力能夠實現對服務實例的隔離并防止服務提供商對服務實例的修改，使服務提供商無法以root身份登陸去修改軟件代碼和設置信息。具體過程為：

（1）云平臺管理員制作KVM鏡像，鏡像中包含服務提供商上傳的服務包及運行依賴的環境；

（2）將制作的鏡像相關文件上傳到云平臺CLC機器，Eucalyptus對鏡像進行管理；非云平臺管理員無法獲取鏡像和修改鏡像；

（3）用鏡像啟動虛擬機，服務可對外訪問。可通過SSH協議遠程登陸虛擬機，SSL私鑰保持機密，服務提供商不能通過自己的私鑰來訪問虛擬機。

3.2 服務配置管理

按照圖3-2展示的服務配置管理，云平臺對第三方服務商提供的服務進行規范的配置管理，規范化的服務配置信息存儲在配置信息庫中。

配置信息由服務提供商在提交服務的同時，提交給云平臺。配置信息主要包括兩類信息：

（1）服務依賴的運行環境配置，包括Web服務器、數據庫等。

（2）服務程序中依賴的第三方程序包，如Struts Jar包等，本文采用類似Maven的配置文件pom.xml格式的XML文件提交服務依賴程序包信息，服務提供商如果使用Maven管理項目則可以直接提交項目的pom.xml文件，否則需按照云平臺提供的類似pom.xml的文件填寫。

提交之后，云平臺會對配置項信息的完整性進行檢查，并將完整的配置項信息提交到配置信息庫，此后如果發現配置項信息變化則進行變更配置項的操作。

3.3 服務漏洞監測

在服務提供商將服務及服務配置信息提交給云平臺，并且云平臺對服務進行檢驗、封裝并運行之后，運平臺的可信服務監測引擎則不斷監測服務可能存在的漏洞，并觸發風險預警，如圖3-3所示。

云平臺執行網絡爬蟲程序，實時從互聯網上的多個權威的漏洞和安全信息頁面爬取漏洞和安全信息，并存儲在采集庫中，采集庫中的信息經過清洗、提取等處理形成不斷更新的安全信息庫，包括漏洞、補丁、安全事件等信息。可信服務監測引擎實時監測安全信息庫中的信息，并根據這些漏洞、補丁影響的軟件、程序包等信息以及云平臺服務的配置項信息，判斷可能會受到影響的服務，從而生成風險預警信息，并進入事件管理流程。

通過該系統，云平臺能夠實現對漏洞、補丁相關威脅的預先防范和及時發現，降低服務和云平臺的風險。

3.4 事件管理

對于可信服務監測系統發現的漏洞風險進行規范的事件管理。首先云平臺管理員接收全部風險預警信息，并進行判別，對誤報的風險直接關閉。對于服務真正存在的潛在風險進行分類和在線支持，對于能夠直接處理的問題直接進行解決，否則派發給云平臺運維工程師進行調查、診斷和解決。

4 總結

本文基于ITIL服務管理及《可信計算平臺可信性度量》系列標準，制定了可信云平臺服務管理方案。云平臺作為可信根，對部屬在云平臺上的服務進行規范管理，避免了兩種安全威脅：（1）防止服務提供商在服務運行過程中篡改程序代碼，獲取用戶數據進行惡意操作；（2）防止服務因其程序依賴的其他程序包和部署環境發現的漏洞而受到攻擊。從而使得信任云平臺的用戶能夠安全使用云平臺上部署的第三方服務提供上提供的服務。

參考文獻

[1]翰緯ITIL Version 3白皮書[Z].翰緯IT管理研究咨詢中心，2007（O7）.

[2]Web安全：技術與危機并進[Z].信息安全與通信保密，2010.

[3]可信云平臺服務技術研究，http：//www.doc88.com/p-296946252314.html[Z].2012（06）.

作者簡介

陳鵬（1979-），男，博士學位，現為北京中科院軟件中心有限公司總經理助理。

劉軍娥（1986-），女，碩士學位，現為北京中科院軟件中心有限公司軟件工程師。主要研究方向為云計算、大數據。

李倩（1987-），女，碩士學位，現為北京中科院軟件中心有限公司軟件工程師。主要研究方向為云計算、大數據。

張莉（1969-），女，碩士學位，北京中科院軟件中心有限公司IT服務部副總經理、技術總監，中國科學院大學碩士生導師。主要研究方向為軟件架構、數據挖掘、產品數據管理、云計算。

作者單位

北京中科院軟件中心有限公司 北京市 100190

服務驗證包括云平臺服務管理員對服務提供商的資質、信用，對服務的漏洞掃描等操作，保證初始的服務是安全的。

服務封裝指云平臺將服務封裝在KVM虛擬機鏡像中，通過運行虛擬機實例的方式運行服務，而虛擬機對服務提供商而言是不可見也不可控制的，從而保證服務實例的安全性。云平臺采用Eucalyptus云計算軟件作為底層的管理軟件，利用Eucalyptus的管理能力能夠實現對服務實例的隔離并防止服務提供商對服務實例的修改，使服務提供商無法以root身份登陸去修改軟件代碼和設置信息。具體過程為：

（1）云平臺管理員制作KVM鏡像，鏡像中包含服務提供商上傳的服務包及運行依賴的環境；

（2）將制作的鏡像相關文件上傳到云平臺CLC機器，Eucalyptus對鏡像進行管理；非云平臺管理員無法獲取鏡像和修改鏡像；

（3）用鏡像啟動虛擬機，服務可對外訪問。可通過SSH協議遠程登陸虛擬機，SSL私鑰保持機密，服務提供商不能通過自己的私鑰來訪問虛擬機。

3.2 服務配置管理

按照圖3-2展示的服務配置管理，云平臺對第三方服務商提供的服務進行規范的配置管理，規范化的服務配置信息存儲在配置信息庫中。

配置信息由服務提供商在提交服務的同時，提交給云平臺。配置信息主要包括兩類信息：

（1）服務依賴的運行環境配置，包括Web服務器、數據庫等。

（2）服務程序中依賴的第三方程序包，如Struts Jar包等，本文采用類似Maven的配置文件pom.xml格式的XML文件提交服務依賴程序包信息，服務提供商如果使用Maven管理項目則可以直接提交項目的pom.xml文件，否則需按照云平臺提供的類似pom.xml的文件填寫。

提交之后，云平臺會對配置項信息的完整性進行檢查，并將完整的配置項信息提交到配置信息庫，此后如果發現配置項信息變化則進行變更配置項的操作。

3.3 服務漏洞監測

在服務提供商將服務及服務配置信息提交給云平臺，并且云平臺對服務進行檢驗、封裝并運行之后，運平臺的可信服務監測引擎則不斷監測服務可能存在的漏洞，并觸發風險預警，如圖3-3所示。

云平臺執行網絡爬蟲程序，實時從互聯網上的多個權威的漏洞和安全信息頁面爬取漏洞和安全信息，并存儲在采集庫中，采集庫中的信息經過清洗、提取等處理形成不斷更新的安全信息庫，包括漏洞、補丁、安全事件等信息。可信服務監測引擎實時監測安全信息庫中的信息，并根據這些漏洞、補丁影響的軟件、程序包等信息以及云平臺服務的配置項信息，判斷可能會受到影響的服務，從而生成風險預警信息，并進入事件管理流程。

通過該系統，云平臺能夠實現對漏洞、補丁相關威脅的預先防范和及時發現，降低服務和云平臺的風險。

3.4 事件管理

對于可信服務監測系統發現的漏洞風險進行規范的事件管理。首先云平臺管理員接收全部風險預警信息，并進行判別，對誤報的風險直接關閉。對于服務真正存在的潛在風險進行分類和在線支持，對于能夠直接處理的問題直接進行解決，否則派發給云平臺運維工程師進行調查、診斷和解決。

4 總結

本文基于ITIL服務管理及《可信計算平臺可信性度量》系列標準，制定了可信云平臺服務管理方案。云平臺作為可信根，對部屬在云平臺上的服務進行規范管理，避免了兩種安全威脅：（1）防止服務提供商在服務運行過程中篡改程序代碼，獲取用戶數據進行惡意操作；（2）防止服務因其程序依賴的其他程序包和部署環境發現的漏洞而受到攻擊。從而使得信任云平臺的用戶能夠安全使用云平臺上部署的第三方服務提供上提供的服務。

參考文獻

[1]翰緯ITIL Version 3白皮書[Z].翰緯IT管理研究咨詢中心，2007（O7）.

[2]Web安全：技術與危機并進[Z].信息安全與通信保密，2010.

[3]可信云平臺服務技術研究，http：//www.doc88.com/p-296946252314.html[Z].2012（06）.

作者簡介

陳鵬（1979-），男，博士學位，現為北京中科院軟件中心有限公司總經理助理。

劉軍娥（1986-），女，碩士學位，現為北京中科院軟件中心有限公司軟件工程師。主要研究方向為云計算、大數據。

李倩（1987-），女，碩士學位，現為北京中科院軟件中心有限公司軟件工程師。主要研究方向為云計算、大數據。

張莉（1969-），女，碩士學位，北京中科院軟件中心有限公司IT服務部副總經理、技術總監，中國科學院大學碩士生導師。主要研究方向為軟件架構、數據挖掘、產品數據管理、云計算。

作者單位

北京中科院軟件中心有限公司 北京市 100190