引言

    由于云計算對資源的充分高效利用能大幅降低計算成本，從而大大增強了計算靈活性。云計算概念從2008年被提出開始已經(jīng)得到越來越廣泛的應用，越來越多的企業(yè)組織機構開始把計算平臺向云遷移。在這個過程中人們最關注的無疑是云的安全問題，尤其是在云的多租戶環(huán)境中，大量用戶共享同樣的基礎設施和網(wǎng)絡，如何在這種環(huán)境下保證用戶數(shù)據(jù)的安全和隱私，是一個比較嚴峻的問題。云安全聯(lián)盟（Cloud Security Alliance)已經(jīng)將不正確的數(shù)據(jù)和網(wǎng)絡隔離(Improper Data and NetworkIsolation)列為云計算的首要安全威脅之一。惡意用戶可以相對比較容易地攻擊其他使用同一平臺的用戶，特別是目前的云服務建立門檻已經(jīng)很低，一些新手程序員可以通過GoogleApp等建立自己的云服務，其代碼的安全性通常沒有得到良好的審查。

    目前，阻止這些攻擊還未有良好的解決辦法，即便部署了ERP數(shù)據(jù)防泄露系統(tǒng)，也無法阻止云服務上的敏感信息泄露。技術手段的缺乏使得黑客和惡意的內部人員的攻擊日益增加、數(shù)據(jù)合規(guī)性的監(jiān)管增強、云計算時代大型數(shù)據(jù)中心安全管理日益復雜，如何控制、保護和監(jiān)視高價值的業(yè)務數(shù)據(jù)，成為所有數(shù)據(jù)提供商和用戶面對的重要問題，因此迫切需要一套可視性的、有效控制的數(shù)據(jù)安全隔離辦法。

    這里提出一個名為OmniSep的數(shù)據(jù)隔離技術解決方案，使得云服務提供者可以把安全作為一種服務提供出來保護云中租戶的數(shù)據(jù)，即便這個租戶自身運行的軟件和服務不安全，OmniSep也能確保其數(shù)據(jù)的安全。OmniSep通過增強云服務提供商的虛擬機管理器(如XenServer、VMware ESXi等)并修改部分客戶機操作系統(tǒng)來實現(xiàn)數(shù)據(jù)的隔離，從而保證云中多租戶用戶遠離因服務商錯誤設置或side—channel攻擊等問題造成的數(shù)據(jù)泄露。

1 相關威脅分析

    對于云中多租戶的威脅分類分以下幾種情況討論，如表1所示。

    可見，最常見的威脅是一個租戶部署的服務有漏洞或者配置錯誤，但要求所有租戶都嚴格檢查其代碼也不現(xiàn)實，防火墻和IDS的作用也有限。OmniSep可以阻止惡意攻擊者從租戶的虛擬機實例偷走信息。其他的威脅有些是由于云基礎設施或租戶操作系統(tǒng)的漏洞造成的。

2 OmniSep系統(tǒng)構成

    圖1為OmniSep的系統(tǒng)結構，顯示了其組件和云中的位置，組件包括：

    表1 云計算多租戶環(huán)境威脅分類

    1)兩個在特權域Domain0中的軟件模塊，一個針對數(shù)據(jù)隔離，一個針對網(wǎng)絡隔離。

    2)一個標記服務(Labeling Service)部署在云服務提供商的存儲設備上。

    3)Pedigree操作系統(tǒng)級信息流追蹤組件，安裝在所有愿意使用OmniSep的用戶虛擬機實例上。

    圖1 OmniSep系統(tǒng)結構

    以云計算常用虛擬程序Xen為例，Xen有多個層，最底層和最高特權層是Xen程序本身。Xen可以管理多個客戶操作系統(tǒng)，每個操作系統(tǒng)都能在一個安全的虛擬機中實現(xiàn)。在Xen的術語中，Domain由Xen控制，以高效地利用CPU的物理資源，每個客戶操作系統(tǒng)可以管理它自身的應用。這種管理包括每個程序在規(guī)定時間內的響應到執(zhí)行，是通過Xen調度到虛擬機中實現(xiàn)，當Xen啟動運行后，第一個虛擬的操作系統(tǒng)就是Xen本身，通過xmlist，會發(fā)現(xiàn)有一個Domain0的虛擬機。Domain0是其他虛擬主機的管理者和控制者，Domain0可以構建其他更多的Domain，并管理虛擬設備，它還能執(zhí)行管理任務，比如虛擬機的休眠、喚醒和遷移其他虛擬機。

    一個被稱為Xend的服務器進程通過Domain0來管理系統(tǒng)，Xend負責管理眾多的虛擬主機，并且提供進入這些系統(tǒng)的控制臺。命令經(jīng)一個命令行的工具通過一個HTTP的接口被傳送到Xend。運行Pedigree的云租戶可以指定安全策略并運用部署在云服務提供商那里的標記服務來自動分配標記到他們的數(shù)據(jù)，這樣，Pedigree就可以追蹤所有在租戶虛擬機實例內進程和文件之間的信息流，如果租戶的數(shù)據(jù)不符合規(guī)定地流向了另一個租戶的虛擬機或是云外的網(wǎng)絡，Domain0里的執(zhí)行組件就會終止類似的數(shù)據(jù)交換。網(wǎng)絡隔離組件主要干擾對共享硬件資源的多租戶探測：通過中央數(shù)據(jù)庫重寫租戶虛擬機實例的IP地址，首先阻止攻擊者探測租戶的真實IP地址，同時調節(jié)ping值返回時間，使得同一臺物理主機上虛擬機之間的ping時間值和不同物理主機之間的ping時間值是相同的。

    (1)Pedigree信息流追蹤組件

    Pedigree在同一個虛擬機實例里使用標記來追蹤進程以及文件相互之間的信息流，使用一個安全可信的Linux內核，用戶和管理員把標記加到文件上，標記內容包含了租戶在策略中指定的內容、誰能訪問以及以什么權限訪問等信息，Pedigree一旦安裝就會關聯(lián)所有虛擬機內的資源，云中租戶便可以把數(shù)據(jù)安全的邊界得以劃清，控制自己的數(shù)據(jù)流動。租戶不僅可以單獨安裝Pedigree，還可以通過綁定虛擬機鏡像使得以這個虛擬機鏡像為母版的所有虛擬機都自動加上這個功能。對于所有正在運行的虛擬系統(tǒng)，Domain0的系統(tǒng)正在運行。

    Domain0就是Xen本身，也可以稱為虛擬平臺內存大小，負責提供其他虛擬操作系統(tǒng)的硬件環(huán)境，其他的系統(tǒng)都是基于DomainO開始的，Pedigree運行于其他DomainU虛擬系統(tǒng)，和DomainO交互數(shù)據(jù)。

    (2)標記服務

    標記服務建立在標準云服務的存儲服務之上，通過用戶指定的策略，標記層自動把相關標記數(shù)據(jù)插入存儲服務，每個租戶都可以通過管理界面創(chuàng)建策略來標記數(shù)據(jù)流。以下是一個策略的例子，其中一個標記被創(chuàng)建然后被插入到數(shù)據(jù)庫：whenquery：=“INSERT”and table：=“USERS”。

    (3)執(zhí)行組件

    執(zhí)行組件一直運行在云中的所有DomainO里面，作用有以下兩個：

    1)內部租戶的數(shù)據(jù)隔離。假如一個租戶標記的數(shù)據(jù)非正常地流向另一個租戶的虛擬機實例(如錯誤配置、被攻破的情況下)，執(zhí)行組件可以根據(jù)標有每個租戶唯一標識的標記來執(zhí)行阻斷。

    2)全局數(shù)據(jù)隔離。假如一個租戶標記的數(shù)據(jù)非正常地流向云外，執(zhí)行組件執(zhí)行阻斷措施并匯報事件。

    相對于內部數(shù)據(jù)隔離，全局數(shù)據(jù)隔離的難點在于如何讓租戶從云的外部瀏覽自己的數(shù)據(jù)，同時又能阻止攻擊者在已經(jīng)攻破云服務時沒辦法得到租戶的數(shù)據(jù)。這里采用租戶獨立運行一個可信登錄服務和云服務提供商的銷密服務結合的方法，為確保沒有惡意代碼和后門，可以采用已經(jīng)通過審計的開源代碼庫部署在虛擬機上作為自己的登錄服務。當一個用戶進入租戶涉及到保護數(shù)據(jù)的網(wǎng)站時，登錄進程便驗證用戶以及和銷密服務通信以標明用戶。銷密服務是一個可信的代理服務(需要由云服務商提供)，它可以把租戶的標記信息從數(shù)據(jù)流中剝離，當銷密服務器接收到租戶請求時便剝離指定連接的用戶信息，確保每一個流出的信息的租戶信息被剝離。另外，隔離的同時還具備流量監(jiān)視功能。為了防止網(wǎng)絡接口流量異常，執(zhí)行組件具有流量監(jiān)視及控制功能，能夠對通過安全隔離系統(tǒng)的網(wǎng)絡流量進行全面的控制。流量監(jiān)視及控制功能可以針對不同的應用對流量設置上限，保證云中數(shù)據(jù)不會由于其他應用占用過多的帶寬而不能正常使用。此外，流量監(jiān)視及控制功能還可以對執(zhí)行組件系統(tǒng)的特定網(wǎng)絡端口進行上行及下行的流量監(jiān)視和控制，使用戶能夠隨時掌握網(wǎng)絡流量的狀態(tài)，分析云中數(shù)據(jù)的流向。

    下面通過一個實例來說明全局數(shù)據(jù)隔離的運作，如圖2所示。一個正常用戶Alex和惡意用戶Bob，Alex登錄進系統(tǒng)然后發(fā)起請求查看其銀行賬戶信息，他的返回值只會標記一個“A”。銷密服務器把他的標記剝離然后執(zhí)行組件發(fā)現(xiàn)這些數(shù)據(jù)沒有包含敏感的標記，于是放行。如果Bob通過SQL注入攻擊想得到Alex的銀行信息，由于銷密服務只和Bob的連接相綁定，只會去除Bob的標記信息，Bob竊取的Alex的數(shù)據(jù)在經(jīng)過執(zhí)行組件的時候還會帶有Alex的標記，這時候執(zhí)行組件便會攔截這些數(shù)據(jù)，從而起到保護作用。就算Bob使用其他虛擬機繞過銷密服務器，但這些虛擬機里面駐留在DomainO里的執(zhí)行組件也會阻斷連接。

    圖2 OmniSep處理流程

3 系統(tǒng)實現(xiàn)

    OmniSep軟件代碼由C語言實現(xiàn)，驗證采用的云計算系統(tǒng)搭建在Ubuntu11．10上，云管理基礎軟件采用UbuntuUEC內置Eucalyptus，虛擬機兼容KVM和XEN，虛擬機鏡像格式為AMI。整個驗證系統(tǒng)實現(xiàn)了和Amazon EC2的完全兼容，實現(xiàn)了與Amazon從私有云到公有云的無縫遷移。在本地驗證系統(tǒng)的結論適用于目前使用最廣泛的云設施Amazon EC2及其S3存儲系統(tǒng)。

4 結語

    文中通過分析廣泛應用的云計算服務面臨的各種威脅，揭示威脅造成的嚴重后果，并針對各種不同的威脅分析可能的解決辦法，最后提出一個名為OmniSep的解決方案，該方案包含了一系列針對云計算多租戶環(huán)境增強數(shù)據(jù)和網(wǎng)絡隔離的技術。OmniSep通過部署在云中不同位置的3個組件實現(xiàn)了按照租戶意愿的ERP數(shù)據(jù)和網(wǎng)絡隔離，充分保障了租戶在不信任云環(huán)境中的ERP數(shù)據(jù)安全。

轉載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標題：云服務數(shù)據(jù)隔離技術

本文網(wǎng)址：http://www.oesoe.com/html/support/1112152500.html