文/李廬 劉川意

糧食云安全管控
——云計算機內(nèi)部威脅

文/李廬 劉川意

云計算由于其敏捷、彈性、緊密貼合業(yè)務(wù)的特點，在糧食信息化中獲得越來越廣泛的應(yīng)用。作為云計算的重要特性，安全性也備受關(guān)注：云計算的安全威脅有哪些？如何在云架構(gòu)中獲得比傳統(tǒng)架構(gòu)更好的安全特性？糧食云的實踐中，有哪些安全要素需要特別關(guān)注和管控？

為了回答這些問題，本欄目將刊登《糧食云安全管控》系列文章，探討糧食云安全的不同側(cè)面。這些內(nèi)容來自IT行業(yè)的研究成果，以及糧食云的實施經(jīng)驗。

一、什么是內(nèi)部威脅

內(nèi)部威脅是云計算安全面臨最嚴(yán)重挑戰(zhàn)之一。2013年斯諾登事件即內(nèi)部人員公開內(nèi)部數(shù)據(jù)給媒體引起廣泛關(guān)注，但這只是內(nèi)部威脅安全的冰山一角。SailPoint安全公司曾做過一個安全調(diào)查，受訪者中20%的人表示只要價錢合適會出賣自己的工作賬號和密碼；美國計算機安全協(xié)會（CSI）和聯(lián)邦調(diào)查局（FBI）在2008年的報告中指出內(nèi)部安全事件所造成的損失明顯高于外部安全事件；2015年普華永道的調(diào)查指出中國大陸與香港地區(qū)的企業(yè)信息安全事件中50%以上是由內(nèi)部人員造成的。

根據(jù)計算機安全響應(yīng)組（CERT）的定義，內(nèi)部威脅是指一個或多個現(xiàn)在或以前的公司員工、外包商或合作伙伴，具有對網(wǎng)絡(luò)、系統(tǒng)或數(shù)據(jù)的訪問權(quán)限，故意濫用或誤用自己的權(quán)限損害公司信息或信息系統(tǒng)保密性、完整性、可用性。2016年2月，云安全聯(lián)盟（CSA）在報告中列舉了云計算模式下的十二大風(fēng)險 ，其中惡意內(nèi)部人員威脅赫然在列（Malicious Insiders）。對比傳統(tǒng)模式下應(yīng)對內(nèi)部威脅的典型方法，云計算模式的引入帶來了很多新的安全問題和挑戰(zhàn)，亟需找到有效的解決辦法。

1.云惡意管理員

在云環(huán)境下惡意管理員，包括云平臺管理員、虛擬鏡像管理員、系統(tǒng)管理員、應(yīng)用程序管理員等，可利用自己的特權(quán)竊取用戶隱私數(shù)據(jù)，由于本身屬于防范邊界內(nèi)受信任的實體，傳統(tǒng)的安全策略難以防范，如云平臺管理員轉(zhuǎn)儲虛擬機內(nèi)存并分析其中的用戶數(shù)據(jù)。

2.利用使用云帶來的漏洞

圖1 威脅模型

圖2 修改linux虛擬機密碼

內(nèi)部人員了解云的組織結(jié)構(gòu)和應(yīng)用程序特點，可利用其中的漏洞實施惡意攻擊。如部署在云環(huán)境下不同區(qū)域的多服務(wù)器程序同步消息時，一般情況下同步過程比傳統(tǒng)的處于同一區(qū)域的本地服務(wù)器程序要慢，惡意內(nèi)部人員可利用這一時間差作惡，竊取數(shù)據(jù)或獲取利益。

3.復(fù)雜的數(shù)據(jù)資源和訪問接口

在云環(huán)境下用戶和資源的關(guān)系是動態(tài)變化的，云服務(wù)提供商和用戶往往并不在相同的安全域中，用戶使用的訪問終端也是多種多樣的，需要動態(tài)訪問控制?；趥鹘y(tǒng)的安全認(rèn)證并不能防止內(nèi)部人員作惡，如上述惡意管理員可偷窺到用戶正在訪問的虛擬機的統(tǒng)一資源定位符（URL）并可直接利用此URL進(jìn)入虛擬機。

4.使用云作惡

云環(huán)境的引入也為內(nèi)部人員作惡帶來了便利，如惡意內(nèi)部人員利用云服務(wù)的計算處理能力來破解密碼文件，或利用云相對便宜、輕松配置的特性發(fā)動分布式拒絕服務(wù)攻擊等。

二、內(nèi)部威脅的案例

為揭示云計算模式內(nèi)部威脅問題，我們真實實現(xiàn)了惡意內(nèi)部人員竊取用戶數(shù)據(jù)的攻擊實例。實例中內(nèi)部人員可利用自己的特權(quán)成功得到用戶的隱私數(shù)據(jù)，例如云管理員可通過修改Linux或Windows用戶虛擬機登錄密碼侵入虛擬機，制作虛擬機鏡像時安裝后門程序，利用內(nèi)存分析工具將虛擬機內(nèi)存導(dǎo)出并分析，截獲虛擬機的訪問會話進(jìn)入虛擬機等手段竊取用戶隱私數(shù)據(jù)，如圖1所示。

1.云管理員刪除虛擬機登錄密碼

用戶放在云上的Linux虛擬機，其Root密碼是用戶自己設(shè)定的，防止別人入侵。但云管理員可直接對Linux虛擬機磁盤文件進(jìn)行修改繞過檢測，登入虛擬機竊取數(shù)據(jù)。如圖2所示，大致過程如下。

（1）在OpenStack云平臺（同時適用于其它云平臺）下，云管理員登錄云平臺后，獲取云主機ID。

（2）云管理員登錄運行該云主機的物理機，拷貝一個云主機實例（instance），并將其掛載到另一個操作系統(tǒng)中。

（3）編輯用戶密碼文件，將含有登錄用戶名和密碼的一行刪除，繞過用戶虛擬機的密碼登錄環(huán)節(jié)。

（4）云管理員啟動該云主機，可無需密碼直接登錄該云主機，對云主機進(jìn)行操作，如圖2所示。

2.云管理員篡改虛擬機登錄密碼

對于主流云平臺上的Windows虛擬機，同樣存在著被入侵的風(fēng)險。如圖3所示，大致過程為以下4點。

（1）在主流云平臺下，云管理員將安裝光盤掛載到虛擬機，并以安裝盤啟動虛擬機。

（2）選擇修復(fù)計算機，在系統(tǒng)恢復(fù)選項中，運行命令提示符。在system32目錄下，用cmd.exe替換其他可執(zhí)行程序。

（3）重新啟動虛擬機，執(zhí)行被替換的程序，此時實際執(zhí)行cmd. exe的命令。

（4）使用命令行方式修改管理員登錄密碼，如圖3所示。

3.云管理員制作帶有后門或木馬的虛擬機鏡像

云平臺一般擁有大量的計算節(jié)點，不可能一個個安裝，而是利用虛擬機鏡像啟動虛擬機。如果鏡像由云平臺內(nèi)部管理人員制作，則云管理員可在鏡像中輕松植入后門或木馬程序。如圖4所示，在使用該鏡像生成用戶虛擬機時，系統(tǒng)中將會留下后門，使得云管理員輕松獲取虛擬機運行中生成的數(shù)據(jù)，如圖4所示。

圖3 修改windows虛擬機密碼

圖4 植入后門程序到虛擬機

三、內(nèi)部威脅防范方法

針對云計算的內(nèi)部威脅，需要有多重方法進(jìn)行防范。主要包括用戶行為分析、云管理權(quán)限劃分和數(shù)據(jù)加密。

1.用戶行為分析

用戶在使用云平臺服務(wù)時，會留下大量的日志信息和行為軌跡，一般稱之為“用戶行為數(shù)據(jù)”。這些數(shù)據(jù)一定程度上反映出了用戶的個人特征和使用意圖。用戶的行為數(shù)據(jù)包括以下4點。

（1）用戶的認(rèn)證信息：用戶在接入云服務(wù)時用于確認(rèn)用戶身份的基本信息，包括用戶標(biāo)志、用戶密碼、用戶指紋等。更進(jìn)一步地采集用戶所在的位置（IP地址）、用戶的權(quán)限等級、用戶的物理地址也屬于直接認(rèn)證的范疇。

（2）網(wǎng)絡(luò)數(shù)據(jù)信息：用戶在使用云服務(wù)的過程中，會在網(wǎng)絡(luò)上留下大量的數(shù)據(jù)信息，如網(wǎng)站接入信息、云主機記錄、網(wǎng)絡(luò)輸出記錄、網(wǎng)站訪問記錄、防火墻信息、DNS記錄等，深入分析這些信息可以及時發(fā)現(xiàn)內(nèi)部危險行為并進(jìn)行預(yù)警。采集這些細(xì)節(jié)的網(wǎng)絡(luò)數(shù)據(jù)信息，可以從根本上對內(nèi)部入侵進(jìn)行防護(hù)。

（3）用戶的活動日志：用戶在使用系統(tǒng)時系統(tǒng)對用戶具體操作進(jìn)行的詳細(xì)記錄。用戶日志詳盡地描述了用戶進(jìn)行的一系列活動，例如Web服務(wù)器日志、活動目錄日志數(shù)據(jù)、用戶使用Unix命令日志等。因此，它被廣泛的用于檢測組織內(nèi)部人員的可疑活動。

（4）用戶的生物學(xué)行為特征：用戶在使用終端進(jìn)行操作時，硬件可以采集的用戶使用模式特征或固有特性。如用戶使用鍵盤和鼠標(biāo)的最常用的使用習(xí)慣信息、用戶的指紋或虹膜信息等。分析這類數(shù)據(jù)可以準(zhǔn)確的判斷操作者是否為本人，從而及時發(fā)現(xiàn)用戶賬號密碼被竊取情況。

2.云管理權(quán)限劃分

主要針對云系統(tǒng)中資源或數(shù)據(jù)制定細(xì)粒度權(quán)限劃分；或是在硬件層或虛擬機管理器層對用戶數(shù)據(jù)的訪問進(jìn)行執(zhí)行時驗證，使管理員即使擁有系統(tǒng)權(quán)限也無法得到客戶的真實數(shù)據(jù)。

在虛擬化平臺中，虛擬機管理器（VMM）是云平臺最有權(quán)限的軟件，可以訪問包括用戶虛擬機（VM）的所有資源。特權(quán)域（Dom0）是用戶VM管理域，管理和復(fù)用硬件資源，管理客戶虛擬機，比客戶虛擬機擁有更多特權(quán)。傳統(tǒng)的VMM賦予Dom0的權(quán)限太大，致使惡意的內(nèi)部管理員可以利用Dom0的權(quán)限侵害用戶數(shù)據(jù)隱私，如云管理員可利用虛擬機管理域?qū)С鎏摂M機內(nèi)存竊取用戶數(shù)據(jù)。

自服務(wù)云計算模型（SSC）利用隔離虛擬機、分割Dom0特權(quán)來防止特權(quán)域?qū)τ脩綦[私造成威脅，VMM將原有Dom0的權(quán)限分離，以防止用戶數(shù)據(jù)受到來自管理域的攻擊威脅。SSC中的虛擬機管理器將原有管理域的權(quán)限分離，并提供了兩類管理域。（1）由云管理員使用的解除特權(quán)的系統(tǒng)管理域。（2）基于用戶的管理域，用戶可以使用該管理域管理自身虛擬機。這種新型權(quán)限模型阻止了惡意的內(nèi)部管理員去監(jiān)聽或者修改用戶虛擬機狀態(tài)，并且使用戶更加靈活地控制自己的虛擬機。

3.用戶可控的數(shù)據(jù)加密

前文主要是針對如何管控云端的管理權(quán)限，但云模式的實質(zhì)是數(shù)據(jù)的所有權(quán)和控制權(quán)分離了，用戶失去了對其數(shù)據(jù)的直接管理。因此，用戶的最后殺手锏即是把數(shù)據(jù)加密以后再存儲到云端。若用戶密鑰也在云中存儲和使用，則云管理員可通過特權(quán)域得到密鑰進(jìn)而竊取用戶數(shù)據(jù)。所以數(shù)據(jù)最好在客戶端加密再上傳到云服務(wù)器，解密密鑰在用戶手里，而服務(wù)商只能看到密文，數(shù)據(jù)控制權(quán)完全在用戶手中。一般把這種思路稱為“用戶可控的數(shù)據(jù)加密”。進(jìn)一步從是否依賴云服務(wù)商的角度可將現(xiàn)有工作分為不依賴云服務(wù)提供商的用戶數(shù)據(jù)加密和依賴云服務(wù)提供商的用戶數(shù)據(jù)加密。

四、總結(jié)

除上述方法外，預(yù)防云計算模式內(nèi)部威脅還應(yīng)包括其他技術(shù)，如管理員權(quán)限細(xì)粒度管控、云平臺安全機制防護(hù)、云平臺操作審計與回溯等措施，做到多措施預(yù)防，及早發(fā)現(xiàn)，出現(xiàn)后及時應(yīng)對，將風(fēng)險降到最低。通過大量分析實踐，筆者認(rèn)為以下幾點是重要的云安全防護(hù)關(guān)鍵技術(shù)，包括以下三點。

1.云系統(tǒng)資源訪問入口嚴(yán)格管控

所有訪問云平臺內(nèi)的資源或數(shù)據(jù)要經(jīng)過統(tǒng)一的入口中轉(zhuǎn)，如訪問具體云平臺、虛擬機或網(wǎng)絡(luò)設(shè)備等，在入口經(jīng)過認(rèn)證后方能單點登錄到相關(guān)的資源或數(shù)據(jù)，從而避免訪問認(rèn)證上的混亂，做到統(tǒng)一管控，防止內(nèi)部人員繞開認(rèn)證系統(tǒng)實施惡意行為。

2.云系統(tǒng)資源操作留痕

登錄云系統(tǒng)資源訪問入口后所有對資源或數(shù)據(jù)的操作都要詳細(xì)記錄，并能做到操作記錄審計回放。對用戶的操作數(shù)據(jù)進(jìn)行處理，通過心理學(xué)和行為分析檢測到惡意行為，并能對可疑行為進(jìn)行追溯。

3.云系統(tǒng)重要數(shù)據(jù)加密

通過加密保障用戶的數(shù)據(jù)不被惡意內(nèi)部人員竊取，針對訪問控制問題，建立可信的第三方服務(wù)，在利用原有系統(tǒng)訪問控制的基礎(chǔ)上，用戶可對授權(quán)的不同密鑰密文數(shù)據(jù)向可信第三方認(rèn)證申請獲得明文。同時研究密文搜索技術(shù)，從而節(jié)約帶寬資源，提高效率。

作者單位：怡和祥云（北京）科技有限公司，哈爾濱工業(yè)大學(xué)