糧食云安全管控
——云計算機內部威脅

文/李廬 劉川意

糧食云安全管控
——云計算機內部威脅

文/李廬 劉川意

云計算由于其敏捷、彈性、緊密貼合業務的特點，在糧食信息化中獲得越來越廣泛的應用。作為云計算的重要特性，安全性也備受關注：云計算的安全威脅有哪些？如何在云架構中獲得比傳統架構更好的安全特性？糧食云的實踐中，有哪些安全要素需要特別關注和管控？

為了回答這些問題，本欄目將刊登《糧食云安全管控》系列文章，探討糧食云安全的不同側面。這些內容來自IT行業的研究成果，以及糧食云的實施經驗。

一、什么是內部威脅

內部威脅是云計算安全面臨最嚴重挑戰之一。2013年斯諾登事件即內部人員公開內部數據給媒體引起廣泛關注，但這只是內部威脅安全的冰山一角。SailPoint安全公司曾做過一個安全調查，受訪者中20%的人表示只要價錢合適會出賣自己的工作賬號和密碼；美國計算機安全協會（CSI）和聯邦調查局（FBI）在2008年的報告中指出內部安全事件所造成的損失明顯高于外部安全事件；2015年普華永道的調查指出中國大陸與香港地區的企業信息安全事件中50%以上是由內部人員造成的。

根據計算機安全響應組（CERT）的定義，內部威脅是指一個或多個現在或以前的公司員工、外包商或合作伙伴，具有對網絡、系統或數據的訪問權限，故意濫用或誤用自己的權限損害公司信息或信息系統保密性、完整性、可用性。2016年2月，云安全聯盟（CSA）在報告中列舉了云計算模式下的十二大風險 ，其中惡意內部人員威脅赫然在列（Malicious Insiders）。對比傳統模式下應對內部威脅的典型方法，云計算模式的引入帶來了很多新的安全問題和挑戰，亟需找到有效的解決辦法。

1.云惡意管理員

在云環境下惡意管理員，包括云平臺管理員、虛擬鏡像管理員、系統管理員、應用程序管理員等，可利用自己的特權竊取用戶隱私數據，由于本身屬于防范邊界內受信任的實體，傳統的安全策略難以防范，如云平臺管理員轉儲虛擬機內存并分析其中的用戶數據。

2.利用使用云帶來的漏洞

圖1 威脅模型

圖2 修改linux虛擬機密碼

內部人員了解云的組織結構和應用程序特點，可利用其中的漏洞實施惡意攻擊。如部署在云環境下不同區域的多服務器程序同步消息時，一般情況下同步過程比傳統的處于同一區域的本地服務器程序要慢，惡意內部人員可利用這一時間差作惡，竊取數據或獲取利益。

3.復雜的數據資源和訪問接口

在云環境下用戶和資源的關系是動態變化的，云服務提供商和用戶往往并不在相同的安全域中，用戶使用的訪問終端也是多種多樣的，需要動態訪問控制。基于傳統的安全認證并不能防止內部人員作惡，如上述惡意管理員可偷窺到用戶正在訪問的虛擬機的統一資源定位符（URL）并可直接利用此URL進入虛擬機。

4.使用云作惡

云環境的引入也為內部人員作惡帶來了便利，如惡意內部人員利用云服務的計算處理能力來破解密碼文件，或利用云相對便宜、輕松配置的特性發動分布式拒絕服務攻擊等。

二、內部威脅的案例

為揭示云計算模式內部威脅問題，我們真實實現了惡意內部人員竊取用戶數據的攻擊實例。實例中內部人員可利用自己的特權成功得到用戶的隱私數據，例如云管理員可通過修改Linux或Windows用戶虛擬機登錄密碼侵入虛擬機，制作虛擬機鏡像時安裝后門程序，利用內存分析工具將虛擬機內存導出并分析，截獲虛擬機的訪問會話進入虛擬機等手段竊取用戶隱私數據，如圖1所示。

1.云管理員刪除虛擬機登錄密碼

用戶放在云上的Linux虛擬機，其Root密碼是用戶自己設定的，防止別人入侵。但云管理員可直接對Linux虛擬機磁盤文件進行修改繞過檢測，登入虛擬機竊取數據。如圖2所示，大致過程如下。

（1）在OpenStack云平臺（同時適用于其它云平臺）下，云管理員登錄云平臺后，獲取云主機ID。

（2）云管理員登錄運行該云主機的物理機，拷貝一個云主機實例（instance），并將其掛載到另一個操作系統中。

（3）編輯用戶密碼文件，將含有登錄用戶名和密碼的一行刪除，繞過用戶虛擬機的密碼登錄環節。

（4）云管理員啟動該云主機，可無需密碼直接登錄該云主機，對云主機進行操作，如圖2所示。

2.云管理員篡改虛擬機登錄密碼

對于主流云平臺上的Windows虛擬機，同樣存在著被入侵的風險。如圖3所示，大致過程為以下4點。

（1）在主流云平臺下，云管理員將安裝光盤掛載到虛擬機，并以安裝盤啟動虛擬機。

（2）選擇修復計算機，在系統恢復選項中，運行命令提示符。在system32目錄下，用cmd.exe替換其他可執行程序。

（3）重新啟動虛擬機，執行被替換的程序，此時實際執行cmd. exe的命令。

（4）使用命令行方式修改管理員登錄密碼，如圖3所示。

3.云管理員制作帶有后門或木馬的虛擬機鏡像

云平臺一般擁有大量的計算節點，不可能一個個安裝，而是利用虛擬機鏡像啟動虛擬機。如果鏡像由云平臺內部管理人員制作，則云管理員可在鏡像中輕松植入后門或木馬程序。如圖4所示，在使用該鏡像生成用戶虛擬機時，系統中將會留下后門，使得云管理員輕松獲取虛擬機運行中生成的數據，如圖4所示。

圖3 修改windows虛擬機密碼

圖4 植入后門程序到虛擬機

三、內部威脅防范方法

針對云計算的內部威脅，需要有多重方法進行防范。主要包括用戶行為分析、云管理權限劃分和數據加密。

1.用戶行為分析

用戶在使用云平臺服務時，會留下大量的日志信息和行為軌跡，一般稱之為“用戶行為數據”。這些數據一定程度上反映出了用戶的個人特征和使用意圖。用戶的行為數據包括以下4點。

（1）用戶的認證信息：用戶在接入云服務時用于確認用戶身份的基本信息，包括用戶標志、用戶密碼、用戶指紋等。更進一步地采集用戶所在的位置（IP地址）、用戶的權限等級、用戶的物理地址也屬于直接認證的范疇。

（2）網絡數據信息：用戶在使用云服務的過程中，會在網絡上留下大量的數據信息，如網站接入信息、云主機記錄、網絡輸出記錄、網站訪問記錄、防火墻信息、DNS記錄等，深入分析這些信息可以及時發現內部危險行為并進行預警。采集這些細節的網絡數據信息，可以從根本上對內部入侵進行防護。

（3）用戶的活動日志：用戶在使用系統時系統對用戶具體操作進行的詳細記錄。用戶日志詳盡地描述了用戶進行的一系列活動，例如Web服務器日志、活動目錄日志數據、用戶使用Unix命令日志等。因此，它被廣泛的用于檢測組織內部人員的可疑活動。

（4）用戶的生物學行為特征：用戶在使用終端進行操作時，硬件可以采集的用戶使用模式特征或固有特性。如用戶使用鍵盤和鼠標的最常用的使用習慣信息、用戶的指紋或虹膜信息等。分析這類數據可以準確的判斷操作者是否為本人，從而及時發現用戶賬號密碼被竊取情況。

2.云管理權限劃分

主要針對云系統中資源或數據制定細粒度權限劃分；或是在硬件層或虛擬機管理器層對用戶數據的訪問進行執行時驗證，使管理員即使擁有系統權限也無法得到客戶的真實數據。

在虛擬化平臺中，虛擬機管理器（VMM）是云平臺最有權限的軟件，可以訪問包括用戶虛擬機（VM）的所有資源。特權域（Dom0）是用戶VM管理域，管理和復用硬件資源，管理客戶虛擬機，比客戶虛擬機擁有更多特權。傳統的VMM賦予Dom0的權限太大，致使惡意的內部管理員可以利用Dom0的權限侵害用戶數據隱私，如云管理員可利用虛擬機管理域導出虛擬機內存竊取用戶數據。

自服務云計算模型（SSC）利用隔離虛擬機、分割Dom0特權來防止特權域對用戶隱私造成威脅，VMM將原有Dom0的權限分離，以防止用戶數據受到來自管理域的攻擊威脅。SSC中的虛擬機管理器將原有管理域的權限分離，并提供了兩類管理域。（1）由云管理員使用的解除特權的系統管理域。（2）基于用戶的管理域，用戶可以使用該管理域管理自身虛擬機。這種新型權限模型阻止了惡意的內部管理員去監聽或者修改用戶虛擬機狀態，并且使用戶更加靈活地控制自己的虛擬機。

3.用戶可控的數據加密

前文主要是針對如何管控云端的管理權限，但云模式的實質是數據的所有權和控制權分離了，用戶失去了對其數據的直接管理。因此，用戶的最后殺手锏即是把數據加密以后再存儲到云端。若用戶密鑰也在云中存儲和使用，則云管理員可通過特權域得到密鑰進而竊取用戶數據。所以數據最好在客戶端加密再上傳到云服務器，解密密鑰在用戶手里，而服務商只能看到密文，數據控制權完全在用戶手中。一般把這種思路稱為“用戶可控的數據加密”。進一步從是否依賴云服務商的角度可將現有工作分為不依賴云服務提供商的用戶數據加密和依賴云服務提供商的用戶數據加密。

四、總結

除上述方法外，預防云計算模式內部威脅還應包括其他技術，如管理員權限細粒度管控、云平臺安全機制防護、云平臺操作審計與回溯等措施，做到多措施預防，及早發現，出現后及時應對，將風險降到最低。通過大量分析實踐，筆者認為以下幾點是重要的云安全防護關鍵技術，包括以下三點。

1.云系統資源訪問入口嚴格管控

所有訪問云平臺內的資源或數據要經過統一的入口中轉，如訪問具體云平臺、虛擬機或網絡設備等，在入口經過認證后方能單點登錄到相關的資源或數據，從而避免訪問認證上的混亂，做到統一管控，防止內部人員繞開認證系統實施惡意行為。

2.云系統資源操作留痕

登錄云系統資源訪問入口后所有對資源或數據的操作都要詳細記錄，并能做到操作記錄審計回放。對用戶的操作數據進行處理，通過心理學和行為分析檢測到惡意行為，并能對可疑行為進行追溯。

3.云系統重要數據加密

通過加密保障用戶的數據不被惡意內部人員竊取，針對訪問控制問題，建立可信的第三方服務，在利用原有系統訪問控制的基礎上，用戶可對授權的不同密鑰密文數據向可信第三方認證申請獲得明文。同時研究密文搜索技術，從而節約帶寬資源，提高效率。

作者單位：怡和祥云（北京）科技有限公司，哈爾濱工業大學