硬件的云計算平臺安全架構(gòu)上海交通大學(xué)·講師上海瓶缽科技·創(chuàng)始人基于硬件的云計算平臺安全架構(gòu)·安全：云計算的最大挑戰(zhàn)·基于硬件虛擬化的安全云架構(gòu)·基于INTELSGX的云安全能力增強·基于ARMTRUSTZONE的可信計算環(huán)境上海上海交通大學(xué)上海瓶缽信息科技“用云不信云”需要從設(shè)計保證安全云計算面臨的最大挑戰(zhàn)[IDC2008]上海瓶缽信息上海瓶缽信息科技上海交通大學(xué)上海交通大學(xué)·上海瓶缽科技上海交通大學(xué)·上海瓶缽科技安全威脅上海瓶缽信息上海瓶缽信息科技上海交通大學(xué)服務(wù)黑客攻擊路徑單一用戶掌控所有數(shù)據(jù)臺的網(wǎng)絡(luò)服務(wù)通過其他云租戶用戶失去對數(shù)據(jù)的云管理員監(jiān)守自盜其他不可控上海瓶缽信息上海瓶缽信息科技上海交通大學(xué)rivilegedoperatoraccess?Regulatorycompliance?Datalocation特權(quán)管理員訪問?Datasegregation?Recovery?Investigativesupport?Long-termviability上海瓶缽信息上海瓶缽信息科技上海交通大學(xué)，如email、聊天記錄、撥上海瓶缽信息上海瓶缽信息科技上海交通大學(xué)安全等安全等級篡改內(nèi)容竊取數(shù)據(jù)記錄用戶活動最高最高不允許不允許不允許高不允許不允許允許中不允許允許允許低(現(xiàn)狀低(現(xiàn)狀)允許允許允許容上海上海交通大學(xué)上海瓶缽信息科技基于硬件虛擬化的安全云架構(gòu)如何防御來自堡壘內(nèi)部的攻擊？上海交通大學(xué)·上海瓶缽科技上海瓶缽信息上海瓶缽信息科技上海交通大學(xué)?不需要明文的例子–用戶可將加密后的數(shù)據(jù)發(fā)送至云服務(wù)商保存?需要明文的例子–Amazon云虛擬機、大數(shù)據(jù)分析等–對數(shù)據(jù)進行運算時，必須在內(nèi)存中解密數(shù)據(jù)用戶VM用戶VM?用戶VM用戶VM?背景介紹：VirtualMachine–多個用戶共享物理主機–用戶VM間通過虛擬機監(jiān)控器隔離–控制VM和虛擬機監(jiān)控器有最高權(quán)限控制VM上海瓶缽信息上海瓶缽信息科技上海交通大學(xué)虛虛擬機監(jiān)控器(Hypervisor)?惡意管理員攻擊方式-1–管理員通過控制VM來啟動、關(guān)閉、重啟遷移用戶VM–副作用：管理員也可通過控制VM直接讀取用戶內(nèi)存上海瓶缽信息上海瓶缽信息科技上海交通大學(xué)?設(shè)計：解耦VM管理和VM安全–管理員仍可啟動、關(guān)閉、遷移用戶VM–管理員無法讀取用戶VM的內(nèi)存?實現(xiàn)：嵌套虛擬化–在Hypervisor底下插入安全層Cloudvisor–通過安全硬件保證Cloudvisor的安全安全用戶VM其他用戶VM?安全用戶VM其他用戶VM?不相信控制VM和虛擬機監(jiān)控器–代碼多：百萬行代碼，可能存在大量漏洞–人員多：大量管理員都可操作?只相信CloudVisor–代碼少：5000行代碼，出現(xiàn)漏洞的概率低–人員少：有權(quán)限接觸CloudVisor的人非常少–權(quán)限高：一旦啟動，無法被關(guān)閉或繞過控制VMCloudvisor上海瓶缽信息上海瓶缽信息科技上海交通大學(xué)虛虛擬機監(jiān)控器Cloudvisorretrofittingprotectionofvirtualmachinesinmulti-tenantcloudwithnestedvirtualization,SOSP’11.安全虛擬機ToolVMI ?Introspect客戶虛擬機安全虛擬機ToolVMI ?Introspect客戶虛擬機上海瓶缽信息上海瓶缽信息科技上海交通大學(xué)?VMI的優(yōu)勢?不用修改客戶虛擬機?保證殺毒軟件自身的安全?新的惡意軟件檢測技術(shù)?性能損失小?在學(xué)術(shù)界已有十多年積累?已集成在VMware套件中惡意軟件惡意軟件HyperHypervisor上海交通大學(xué)·上海瓶缽科技上海瓶缽信息上海瓶缽信息科技上海交通大學(xué)?惡意管理員攻擊方式-2：硬件攻擊–直接在服務(wù)器上接入惡意硬件–利用物理手段，直接讀取內(nèi)存中所有數(shù)據(jù)–繞過所有軟件防御?攻擊者–管理員，或偽裝成數(shù)據(jù)中心的維護人員–政府要求獲得數(shù)據(jù)上海上海交通大學(xué)上海瓶缽信息科技INTELSGX的云安全能力增強最小化可信基上海交通大學(xué)·上海瓶缽科技上海瓶缽信息上海瓶缽信息科技上海交通大學(xué)?設(shè)計：采用加密處理器–所有數(shù)據(jù)在內(nèi)存中為加密狀態(tài)–僅當(dāng)數(shù)據(jù)從內(nèi)存進入處理器時才解密–前提：攻擊者無法直接讀取處理器內(nèi)部數(shù)據(jù)?實現(xiàn)：可部署性–用戶將虛擬機鏡像加密后上傳到云服務(wù)器運行–用戶虛擬機本身不需要修改，只需要加密安全用戶VM?不相信內(nèi)存、硬盤等設(shè)備–攻擊者可物理攻擊獲取明文?只相信安全處理器安全用戶VM?不相信內(nèi)存、硬盤等設(shè)備–攻擊者可物理攻擊獲取明文?只相信安全處理器–無法對處理器進行物理攻擊?云服務(wù)商完全沒有明文其他用戶VM安全處理器其他硬件控制VM上海瓶缽信息上海瓶缽信息科技上海交通大學(xué)虛虛擬機監(jiān)控器–依然能管理：如開機、關(guān)機、遷移等ArchitectureSupportforGuest-TransparentVMProtectionfromUntrustedHypervisorsicalAttacksHPCAtelSGX上海瓶缽信息上海瓶缽信息科技上海交通大學(xué)?基于SGX的硬件隔離?代碼運行在Enclave中?支持多線程并發(fā)，可被中斷?只信任CPU?完全透明的內(nèi)存加密?18條新指令?Enclave本身沒有特權(quán)?只能運行在用戶態(tài)?內(nèi)存保護機制上海瓶缽信息上海瓶缽信息科技上海交通大學(xué)?使用libOS對應(yīng)用進行封裝?使用libOS提供系統(tǒng)服務(wù)?重定向本地系統(tǒng)調(diào)用?基于Windows實現(xiàn)?使用了DrawBridge內(nèi)核?可直接運行SQLServerShieldingapplicationsfromanuntrustedcloudwithhaven,OSDI’14.上海上海交通大學(xué)上海瓶缽信息科技RMTRUSTZONE從移動設(shè)備到服務(wù)器的延伸上海交通大學(xué)·上海瓶缽科技ARMTrustZone提供的芯片級隔離上海瓶缽信息上海瓶缽信息科技上海交通大學(xué)?TrustZone提供了與外界完全隔離的運行環(huán)境?即使外部OS完全被攻破，攻擊者也無法讀取或篡改安全OS?安全世界與外部完全獨立，運行自有操作系統(tǒng)和應(yīng)用生態(tài)?適合用來保存關(guān)鍵的數(shù)據(jù)?不需要額外的硬件支持?利用ARMTrustZone技術(shù)，目前主流芯片均已支持?通過分時復(fù)用，用1個CPU實現(xiàn)2個CPU的功能?相比2個CPU：成本更少，功耗更低，性能更好上海交通大學(xué)·上海瓶缽科技ARM的服務(wù)器產(chǎn)品上海瓶缽信息上海瓶缽信息科技上海交通大學(xué)上海交通大學(xué)·上海瓶缽科技上海瓶缽信息上海瓶缽信息科技上海交通大學(xué)?TEE(TrustedExecutionEnvironment)?GlobalPlatform在2013年提出?與REE(RichExecutionEnvironment)對應(yīng)?TEE通常用于運行關(guān)鍵的操作?機密數(shù)據(jù)：私鑰、證書等的安全存儲?內(nèi)容保護：DRM(數(shù)字版權(quán)保護)?…EE上海瓶缽信息上海瓶缽信息科技上海交通大學(xué)?使用TEE來隔離指紋的采集、存儲、驗證等過程上海交通大學(xué)·上海瓶缽科技上海交通大學(xué)·上海瓶缽科技上海瓶缽信息上海瓶缽信息科技上海交通大學(xué)?TEE內(nèi)部運行一個完整的操作系統(tǒng)?與REE操作系統(tǒng)無關(guān)，也無需適配?TEE與REE通過共享內(nèi)存進行交互?TEE內(nèi)部也分內(nèi)核態(tài)與用戶態(tài)?TEE的用戶態(tài)可以運行多個不同的安全應(yīng)用(TA)?安全應(yīng)用可支持動態(tài)下載和動態(tài)更新?TEE內(nèi)部結(jié)構(gòu)?SecureOS+中間件+安全應(yīng)用+外部交互上海瓶缽信息上海瓶缽信息科技上海交通大學(xué)?內(nèi)核完整性監(jiān)控?保證內(nèi)核的完整性?運行時度量?確保關(guān)鍵數(shù)據(jù)完整性?安全服務(wù)Hook與回調(diào)?為上層安全軟件提供防護接口?檢測效果?能檢測與防御大部分1-day與0-day內(nèi)核漏洞攻擊?專注于移動安全的核心技術(shù)研發(fā)?專注于移動安全的核心技術(shù)研