《信息系統(tǒng)安全理論與技術》

第11章云計算服務安全

設計案例本章內容11.1云計算服務簡介11.2云計算服務安全需求11.4基于安全強化虛擬機的云計算平臺設計11.3云計算的安全關鍵技術11.1云計算服務簡介云計算服務的定義云計算服務是通過互聯(lián)網(wǎng)提供的虛擬計算環(huán)境，用戶可以使用計算、存儲等資源，而無需關注底層支撐元素（如數(shù)據(jù)庫、任務隊列等）。這種服務通過共享和匯集可用資源，提供按需、彈性的計算能力，用戶體驗到的計算過程被稱為云計算。云計算的部署模型主要分為公共云（PublicCloud）私有云（PrivateCloud）混合云（HybridCloud）多云（Multi-Cloud）11.1云計算服務簡介消費者可使用任意設備（如手機、平板電腦、筆記本電腦和工作站）通過網(wǎng)絡使用云計算服務。隨時網(wǎng)絡訪問云服務商可通過按需動態(tài)分配物理或虛擬資源的形式同時為多個消費者提供服務。資源的位置、類型等參數(shù)始終對用戶保持透明多人共享資源按需自助消費消費者可以單方面獲取服務器時間或網(wǎng)絡存儲能力，無需人工與服務提供商進行互動。云計算服務的特征服務商可通過在某服務元素（如存儲數(shù)量、計算請求、帶寬等）上設置計量功能為消費者提供清晰可量化的資源使用報告?？捎嬃康姆辗召Y源可在消費者無感的情況下，根據(jù)其需求自動增加或減少?？焖購椥圆渴?1.1云計算服務模式云服務部署模型邏輯關系圖用戶部署應用程序掌控運作應用程序的環(huán)境（也擁有主機部分掌控權），但并不掌控操作系統(tǒng)、硬件或運作的網(wǎng)絡基礎架構。平臺即服務（PaaS）用戶使用應用軟件，無需管理操作系統(tǒng)或硬件。軟件服務供應商以租賃的概念提供客戶服務，而非購買，比較常見的模式是提供一組賬號密碼軟件即服務（SaaS）消費者使用“基礎計算資源”，能掌控操作系統(tǒng)、存儲空間、已部署的應用程序及網(wǎng)絡組件（如防火墻、負載平衡器等），但并不掌控云基礎架構。基礎架構即服務（IaaS）11.1云計算服務模式新型服務模式提供容器管理和編排平臺，介于IaaS與PaaS之間（如：Kubernetes）容器即服務（CaaS）無狀態(tài)容器中運行事件驅動型任務，開發(fā)者無需管理基礎設施（如：AWSLambda）功能即服務（FaaS）11.2云計算服務安全需求NIST的云計算標準報告將云計算安全劃分為3個等級，分別是云基礎設施安全、云平臺安全以及云服務安全。防護虛擬機、數(shù)據(jù)中心和云基礎設施的非法入侵云基礎設施安全云服務安全保障外包計算的數(shù)據(jù)隱私安全和計算結果可靠保護平臺合法訪問及數(shù)據(jù)完整云平臺安全11.2云計算服務安全需求需要使用傳統(tǒng)或面向云的安全解決方案，保護虛擬機操作系統(tǒng)和工作負載免受惡意軟件和病毒的影響；在公共云環(huán)境中隔離不同租戶，防止共駐攻擊和側通道信息竊取。虛擬機安全防護虛擬機、數(shù)據(jù)中心和云基礎設施的非法入侵云基礎設施安全11.2云計算服務安全需求保證虛擬機映像存儲的完整性安全，防范離線狀態(tài)下的風險；對重復利用的映像資源進行隱私保護處理，防止前任用戶數(shù)據(jù)泄露虛擬機映像安全防護虛擬機、數(shù)據(jù)中心和云基礎設施的非法入侵云基礎設施安全11.2云計算服務安全需求保障云計算中虛擬網(wǎng)絡的安全，防范DNS服務器、DHCP協(xié)議、IP協(xié)議漏洞以及vSwitch軟件中的漏洞導致的基于網(wǎng)絡的虛擬機安全問題。虛擬網(wǎng)絡安全防護虛擬機、數(shù)據(jù)中心和云基礎設施的非法入侵云基礎設施安全11.2云計算服務安全需求強化不同虛擬機之間的邏輯隔離，保護不同用戶間的服務及數(shù)據(jù)可靠，防止跨越虛擬邊界的違規(guī)通信導致的數(shù)據(jù)泄露或計算結果錯誤。虛擬邊界安全防護虛擬機、數(shù)據(jù)中心和云基礎設施的非法入侵云基礎設施安全11.2云計算服務安全需求確保管理程序的安全性，防止設計過程中的安全隱患傳染到同臺物理主機上的虛擬機，避免黑客進入虛擬機管理程序并避開虛擬機安全保護系統(tǒng)對虛擬機進行危害。管理程序安全防護虛擬機、數(shù)據(jù)中心和云基礎設施的非法入侵云基礎設施安全11.2云計算服務安全需求保護平臺合法訪問及數(shù)據(jù)完整云平臺安全在云平臺中，攻擊者可通過嵌入惡意應用來獲取虛擬容器的特征信息，并基于此針對容器本身進行攻擊，以Tomcat為例，即可能面臨掃描威脅、Webbshell攻擊等。確保虛擬容器安全對確保云平臺提供的服務質量非常重要，同時也是云消費者保護自己數(shù)據(jù)及計算安全的必要條件，因此通常由云服務商和消費者共同負責。虛擬容器安全系統(tǒng)隔離(IsolateSystems)容器隔離(IsolateApplication)11.2云計算服務安全需求保護平臺合法訪問及數(shù)據(jù)完整云平臺安全服務API安全云平臺可基于虛擬容器提供具有一定計算功能的服務API，例如業(yè)務功能、安全功能、應用程序管理等。此類API應提供安全控制和實施的標準，例如OAuth，以強制執(zhí)行一致的身份驗證和授權調用此類API，避免DOS攻擊、中間人攻擊、XML相關攻擊、重放攻擊、字典攻擊、注入攻擊和輸入驗證相關攻擊。此安全問題通常由云服務商負責。11.2云計算服務安全需求保障外包計算的數(shù)據(jù)隱私安全和計算結果可靠云服務安全213Web應用程序漏洞掃描托管在云基礎設施上的Web應用程序應使用Web應用程序掃描器進行驗證和漏洞掃描，此類掃描器應與國家漏洞數(shù)據(jù)庫和常見弱點枚舉中維護的最近發(fā)現(xiàn)的漏洞和攻擊路徑保持同步。Web應用程序防火墻應該到位以減輕現(xiàn)有/新發(fā)現(xiàn)的漏洞，例如檢查HTTP請求和響應以查找特定于應用程序的漏洞等。此類安全問題通常由云服務商負責。Web應用程序安全錯誤配置和破壞區(qū)分兩種數(shù)據(jù)來源：云計算生成的數(shù)據(jù)和云存儲數(shù)據(jù)。云存儲的根本優(yōu)勢在于便捷的數(shù)據(jù)共享，用戶希望將云中的數(shù)據(jù)高效共享給多個設施或授權用戶。云端數(shù)據(jù)必須在保證安全的前提下仍可以被方便的共享給各種外部用戶、內部設施或服務所訪問。云數(shù)據(jù)的共享便利性常常以犧牲部分安全性為代價。云數(shù)據(jù)存儲安全Web應用程序安全錯誤配置或特定于應用程序的安全控制中的弱點是云服務安全中的一個重要問題。安全配置錯誤對于多用戶也非常重要，在這種情況下，每個用戶都有自己的安全配置，這些配置可能會相互沖突，從而導致安全漏洞。因此，此類安全問題主要由云服務商制定規(guī)范、云消費者進行遵守而實現(xiàn)協(xié)同負責。11.3云計算的安全關鍵技術通過監(jiān)控虛擬機運行狀態(tài)，檢測潛在威脅，提升整體安全性。密文訪問技術利用SDN實現(xiàn)靈活的安全策略配置，提高網(wǎng)絡防御能力軟件定義安全技術采用加密算法保護數(shù)據(jù)訪問，防止敏感信息泄露虛擬化系統(tǒng)監(jiān)控技術可信云計算技術基于硬件信任根，構建可信執(zhí)行環(huán)境，增強系統(tǒng)安全性11.3云計算的安全關鍵技術虛擬化系統(tǒng)監(jiān)控技術基于虛擬化的監(jiān)控系統(tǒng)可根據(jù)其部署位置的不同分為內部監(jiān)控和外部監(jiān)控兩大類。內部監(jiān)控是指監(jiān)控系統(tǒng)駐留在目標虛擬機內部，通過高級特權來保護系統(tǒng)完整性，如美國喬治亞理工大學的WenkeLee教授所提出的SIM和Lares外部監(jiān)控則是被部署在虛擬機外部，通過高控制權來對虛擬機內核數(shù)據(jù)結構進行監(jiān)控，如XenAccess和VMDriver。內部監(jiān)控系統(tǒng)通過將安全監(jiān)控模塊部署在虛擬機的特權域中實現(xiàn)事件攔截。當關鍵路徑被執(zhí)行時，事件感知器觸發(fā)并將截獲的事件提交給安全分析模塊，后者根據(jù)安全策略做出響應。優(yōu)點：高效、準確地感知關鍵事件，并直接讀取系統(tǒng)內核數(shù)據(jù)，提升監(jiān)控效率。缺點：需要在被監(jiān)控系統(tǒng)中插入內核模塊，缺乏透明性，且不具通用性。虛擬化內部監(jiān)控架構圖11.3云計算的安全關鍵技術虛擬化系統(tǒng)監(jiān)控技術外部監(jiān)控系統(tǒng)通過虛擬機監(jiān)視器的高控制權監(jiān)控關鍵事件或內核數(shù)據(jù)結構。由于虛擬機間的隔離，外部監(jiān)控需通過語義重構技術來恢復系統(tǒng)的語義信息。優(yōu)點：無需在被監(jiān)控系統(tǒng)中安裝插件，具備較強的通用性和隱私保護，適用于大規(guī)模動態(tài)網(wǎng)絡環(huán)境。缺點：需要依賴目標操作系統(tǒng)的特征信息，且操作系統(tǒng)升級可能導致監(jiān)視器失效。虛擬化外部監(jiān)控架構圖11.3云計算的安全關鍵技術虛擬化系統(tǒng)監(jiān)控技術1.基于虛擬化的入侵檢測虛擬化環(huán)境提供了對網(wǎng)絡硬件資源的有效掌控，因此出現(xiàn)了基于虛擬化的入侵檢測系統(tǒng)（IDS）。這些系統(tǒng)的優(yōu)勢在于可以監(jiān)控被監(jiān)控系統(tǒng)的內部狀態(tài)，而又不直接受到惡意攻擊的干擾。Livewire；VNIDA；HyperSpector2.基于虛擬化的蜜罐技術蜜罐技術通過模擬真實系統(tǒng)來引誘攻擊者，以便分析其攻擊行為。虛擬化使得蜜罐部署變得更加靈活和高效。Honeyd;PhoneyC；3.基于虛擬化的文件完整性監(jiān)控虛擬化技術還可用于確保虛擬化管理文件的完整性，保證云計算平臺的安全。Hypersafe；HyperSentry虛擬化技術在監(jiān)控系統(tǒng)中的應用，促生了多種安全保護功能。Livewire系統(tǒng)架構圖11.3云計算的安全關鍵技術密文訪問控制基于密文的訪問控制技術主要方法包括：層次密鑰訪問控制基于屬性的加密（ABE）代理重加密（PRE）ABE加密常用云計算場景，加密方式包括：密鑰策略屬性基加密（KP-ABE）：密鑰包含訪問策略，密文僅與屬性集關聯(lián)。密文策略屬性基加密（CP-ABE）：密文包含訪問策略，密鑰僅與屬性集關聯(lián)，支持靈活的訪問控制。CP-ABE方案廣泛應用于云環(huán)境，但其加解密效率低，且訪問策略更改需要重新加密，影響了實際部署。代理重加密技術（PRE）的有效緩解問題，通過云服務器完成密鑰和策略更新，從而減少用戶端計算負擔。11.3云計算的安全關鍵技術密文訪問技術密文查詢密文查詢方法主要包括：?

數(shù)值型密文查詢：利用同態(tài)加密、保序加密等技術，在密文數(shù)據(jù)上直接進行計算，實現(xiàn)比較查詢。?

字符型密文查詢：關鍵詞密文查詢：通過索引構建密文數(shù)據(jù)索引，支持單關鍵詞或多關鍵詞查詢。密文查詢隱私保護：對稱加密查詢：效率較高，但難防合謀攻擊，密鑰管理復雜。公鑰加密查詢（PKES）：安全性更高，但在公鑰認證、惡意合謀防御、索引動態(tài)擴展性和查詢效率等方面仍存在局限。11.3云計算的安全關鍵技術密文訪問技術軟件定義安全技術云安全軟件定義設計架構11.3云計算的安全關鍵技術可信云計算技術可信的含義是實體的行為總是依照制定方式運行，得到預期的結果。在標準的信任鏈中，可信根位于是每個傳遞鏈的始點，它為整個平臺提供了可信基礎，在TCG標準中可信根分為三種：可信度量根，位于BIOS啟動模塊中，確保系統(tǒng)啟動的過程中是安全的可信存儲根，由可信平臺模塊（TPM）擔任可信報告根，由可信平臺模塊（TPM）擔任信任鏈的傳遞將信任關系從可信根延伸至整個計算機系統(tǒng)?？尚庞嬎阍诖_保計算平臺的安全方面主要從以下三個方面實現(xiàn)：完整性確保安全存儲遠程證明11.3云計算的安全關鍵技術可信云計算技術確保云環(huán)境安全的關鍵就是實現(xiàn)可信云計算環(huán)境。將可信計算中遠程證明和信任鏈傳遞的思想引入云計算，在云計算中構建完整的可信環(huán)境?；谔摂M化可信基的可信云計算技術典型應用是vTPM11.3云計算的安全關鍵技術可信云計算技術基于可信執(zhí)行環(huán)境的可信云計算技術可信執(zhí)行環(huán)境是CPU內的一個安全區(qū)域，它運行在一個獨立的環(huán)境中且與操作系統(tǒng)并行運行?；诳尚艌?zhí)行環(huán)境構建可信云計算的目的是確保在云計算平臺管理員/hypervisor不可信的情況下，云計算環(huán)境依舊可以為用戶提供可信的服務。Schuster等提出了基于可信執(zhí)行環(huán)境的云平臺模型“VC3”，如圖所示。該模型利用IntelSGX技術，在云平臺實現(xiàn)一種保密的MapReduce計算模型，使得用戶能夠在云平臺執(zhí)行加密的計算任務，同時能夠保證計算結果的完整性。VC3結構流程示意圖11.3云計算的安全關鍵技術可信云計算技術基于第三方認證的可信云計算技術使用可信第三方建立可信云計算的主要思想是建立一個第三方的權威認證中心，提供對用戶的身份認證、數(shù)據(jù)傳輸、計算服務等的監(jiān)控。Santos等提出利用可信云計算平臺來確保云服務的有效性以及云用戶數(shù)據(jù)的保密性和完整性，利用可信協(xié)調中心管理云中所有節(jié)點，創(chuàng)新點在于將認證端和管理端拆分開來，云計算平臺針對虛擬機的任意行為都需要向可信第三方的協(xié)調中心進行認證。基于可信第三方的云計算安全方案11.3云計算的安全關鍵技術11.4基于安全強化虛擬機的云計算平臺設計?基于安全強化虛擬機的云平臺設計本節(jié)將介紹一個簡單的基于安全強化虛擬機設計及實現(xiàn)的云計算平臺架構，該平臺可面向互聯(lián)網(wǎng)提供包括存儲、通信、查詢等多種信息處理服務。11.4基于安全強化虛擬機的云計算平臺設計?系統(tǒng)設計目標安全地部署服務，保證用戶計算結果的可靠；安全地存儲數(shù)據(jù)，確保云端數(shù)據(jù)不被非法訪問且云服務商無法竊取隱私；安全地進行管理，防御內外部威脅，確保開發(fā)者能安全創(chuàng)建服務實例。11.4基于安全強化虛擬機的云計算平臺設計安全啟動安全啟動通過驗證啟動組件的數(shù)字簽名，確保系統(tǒng)僅運行合法授權的軟件。安全強化型虛擬機的固件由第三方證書機構簽名和驗證，建立可信根。統(tǒng)一可擴展固件接口（UEFI）管理系統(tǒng)密鑰，并在每次啟動時檢查所有組件的簽名，禁止未授權的軟件運行，從而保障虛擬機的安全。安全強化虛擬機111.4基于安全強化虛擬機的云計算平臺設計測量啟動vTPM作為虛擬化的可信平臺模塊，負責保護系統(tǒng)訪問憑證，并執(zhí)行啟動測量。測量啟動通過計算各組件（固件、引導加載程序、內核等）的哈希值，并與已知的完整性基準比對，檢測系統(tǒng)是否被篡改。首次啟動時，系統(tǒng)創(chuàng)建并存儲完整性基準，以后每次啟動都會重新測量并比對，確保啟動過程未被篡改。安全強化虛擬機211.4基于安全強化虛擬機的云計算平臺設計完整性監(jiān)控通過平臺配置寄存器（PCR）存儲啟動測量數(shù)據(jù)，并與完整性基準比對，完整性監(jiān)控可判斷啟動序列是否被修改。它分別驗證前期啟動（UEFI到引導加載程序）和后期啟動（引導加載程序到操作系統(tǒng)內核），若檢測到偏差，則啟動完整性驗證失敗，防止系統(tǒng)運行在不可信環(huán)境中。安全強化虛擬機3格模型示意圖11.4基于安全強化虛擬機的云計算平臺設計總體設計架構云平臺架構底層為機房建設，包含硬件設備及相關線纜，實現(xiàn)云平臺資源層的建設。中間層通過云平臺資源層靈活規(guī)劃各個資源池，邏輯隔離，保證業(yè)務安全，再通過統(tǒng)一云管理平臺使云平臺資源池統(tǒng)一運行與維護，使業(yè)務資源共享按需分配。頂層設計為業(yè)務運營，根據(jù)業(yè)務部門規(guī)劃多級虛擬業(yè)務區(qū)，保證資源獨立性，角色和權限解耦，實現(xiàn)安全管理。源代碼存儲于中央代碼庫，所有版本均可審計。二進制文件構建需經(jīng)獨立工程師審核并獲系統(tǒng)所有者批準，防止惡意篡改，并可回溯至源代碼。安全服務部署(1/2)服務身份認證每項服務都具備唯一身份標識，并使用加密憑據(jù)進行遠程調用認證?？蛻舳舜_保通信對象真實可信，服務器則基于身份標識限制訪問權限云平臺通過加密驗證與授權確保服務間通信安全，并提供精細化訪問控制，增強管理透明度。此外，網(wǎng)絡層采用入站/出站過濾，防止IP欺騙，提高安全性和網(wǎng)絡性能安全通信與訪問控制（1）服務身份標識、完整性和隔離服務隔離與安全防護采用用戶分離、沙盒機制和硬件虛擬化等技術，防止同一機器上的服務相互干擾。高風險任務采用更嚴格的隔離策略，而敏感服務則運行于專用機器，確保安全性。代碼完整性與安全追蹤11.4基于安全強化虛擬機的云計算平臺設計（2）服務間訪問管理基礎架構提供完善的身份管理體系，包括審批鏈、日志記錄和通知。例如，訪問控制組的變更需經(jīng)過雙人審批，確保權限分配安全可控，適用于大規(guī)模服務管理。安全服務部署(1/2)身份標識與訪問權限云平臺管理員同樣擁有個人身份標識，服務可基于此設定訪問權限。所有身份標識（包括機器、服務和員工）均存儲于全局名稱空間，并由基礎架構統(tǒng)一管理。服務所有者可利用基礎架構的訪問管理功能，精確指定可與其服務通信的對象。例如，可通過白名單機制，僅允許特定服務訪問API，訪問限制由基礎架構自動執(zhí)行。精細化服務訪問控制靈活的訪問控制機制除API層面的自動訪問控制，服務還可訪問中央ACL和組數(shù)據(jù)庫，實現(xiàn)更精細的定制化權限管理，進一步增強安全性。嚴格的身份管理流程11.4基于安全強化虛擬機的云計算平臺設計安全服務部署(2/2)（3）服務間通信的加密通過加密處理確保網(wǎng)絡上RPC數(shù)據(jù)的隱私性和完整性。為了向HTTP等其他應用層協(xié)議提供這些安全優(yōu)勢，云平臺將這些安全優(yōu)勢封裝到了基礎架構的RPC機制中。實際上，這實現(xiàn)了應用層隔離，并避免了對網(wǎng)絡路徑安全性的依賴。即使網(wǎng)絡被竊聽或網(wǎng)絡設備被破解，經(jīng)加密的服務間通信可保持安全11.4基于安全強化虛擬機的云計算平臺設計安全服務部署(2/2)（4）最終用戶數(shù)據(jù)訪問管理云平臺通過中央用戶身份識別服務來管理最終用戶數(shù)據(jù)訪問。該服務驗證最終用戶的登錄信息，并向其客戶端設備發(fā)放憑據(jù)（如Cookie或OAuth令牌）。當服務接收到這些憑據(jù)時，會將其傳遞給中央身份識別服務進行驗證。如果驗證成功，服務將獲得一個短期有效的“最終用戶權限工單”，用于授權與請求相關的遠程過程調用（RPC）11.4基于安全強化虛擬機的云計算平臺設計11.4基于安全強化虛擬機的云計算平臺設計云平臺通過中央密鑰管理服務對存儲服務中的數(shù)據(jù)進行加密，確保數(shù)據(jù)在物理存儲中始終保持加密狀態(tài)。密鑰管理服務支持自動密鑰輪替、提供詳細的審核日志，并將密鑰與特定最終用戶關聯(lián)，從而實現(xiàn)更高的安全性。這種加密方式使得應用層能夠有