交叉虚拟机边信道攻击:云基础架构保卫战

日期: 2013-03-11 作者:Dave Shackleford翻译:张培颖 来源:TechTarget中国 英文

最近,一群多个大学的研究员和RSA实验室揭露了一种隐匿的边信道攻击方法,即一台虚拟机可以在一个云环境中用来对抗另外的一台虚拟机,目标VM的加密密钥最终被盗用。   这项研究会产生什么影响呢?任何已经用目标虚拟机(VM)密钥加密的敏感数据将会被盗用,对于一个坚定的攻击者,这将使一座潜在的巨大宝藏。   尽管企业云计算用户应该担忧这项研究,但是如果有一些合适的措施还是能够减轻并对抗这样的边信道攻击的。这也正是我们这条技巧文章所要探讨的内容。

  交叉VM边信道攻击详解   需要指出的是这项研究并不是成功的基于云的边信道工具的第一份文档案例。在2009年,加利福尼亚大学和MIT的研究员就已经发布了《……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

最近,一群多个大学的研究员和RSA实验室揭露了一种隐匿的边信道攻击方法,即一台虚拟机可以在一个云环境中用来对抗另外的一台虚拟机,目标VM的加密密钥最终被盗用。

  这项研究会产生什么影响呢?任何已经用目标虚拟机(VM)密钥加密的敏感数据将会被盗用,对于一个坚定的攻击者,这将使一座潜在的巨大宝藏。

  尽管企业云计算用户应该担忧这项研究,但是如果有一些合适的措施还是能够减轻并对抗这样的边信道攻击的。这也正是我们这条技巧文章所要探讨的内容。

  交叉VM边信道攻击详解

  需要指出的是这项研究并不是成功的基于云的边信道工具的第一份文档案例。在2009年,加利福尼亚大学和MIT的研究员就已经发布了《Hey, You, Get Off of My Cloud: Exploring Information Leakage in Third-Party Compute Clouds》,这篇论文揭露了基于云的VM的映射位置,通过称之为云制图的网络扫描策略实现。他们故意放置了一个恶意VM在相同的物理hypervisor平台上,随后访问共享硬件和缓存位置,执行各种边信道工具,包括拒绝服务(DoS)、硬件利用率检测、通过定时推理进行远程键入监控。这篇论文具体参考了边信道攻击的使用,抽取密码关键字,但是指出研究员使用的这种方法那会并不能足以访问那个目标密钥。

  快速回到现在,研究员有了新的努力,其文档名为《In Cross-VM Side Channels and Their Use to Extract Private Keys》,已经使用类似的边信道攻击成功命中密码关键字。为了实现这个复杂的攻击,研究员在VM和加载满数据的缓存之间利用一个共享的硬件缓存攻击机器。目标VM重写一些自己的数据,包括密码关键字的信息。数据重写的方式允许研究员最终截获4096位盖默尔加密密钥,这些密钥使用GNU Privacy Guard应用。

  对于安全和运营团队的好消息就是这种类型的攻击尽管不切实际,除了最尖端的攻击者。坏消息是这种类型的攻击在正确的条件下可能发生。由于缺少技术细节,很多从云提供商接收技术和架构的企业都位于提供商环境中,真正的边信道攻击可能难以实现。

  预防边信道攻击

  IT安全和运营专家在这一点上要问两个问题:“这种类型的攻击可能出现在我的环境中吗?”和“我怎样做来减轻这种威胁?”第一个问题的答案是“NO”。没有关于这个环境非常详细的细节,部分细节和控制整个hypervisor基础加固和这些平台使用的VM,攻击者很难发动边信道攻击,尤其是更加复杂的种类,比如密码关键字劫持。然而,有一些基本的步骤企业需要关心,从而帮助减少可能的边信道攻击风险。

  首先,尽可能锁定操作系统(OS)图像和应用实例。尽管这未必是预防边信道攻击的,但这些步骤可以协助企业对任何授权的厂商在其环境中妥协。第二,花时间协调和收集云系统本地流程监控数据和日志。特别的,密切关注任何对于本地内存的重复访问,以及系统对于任何hypervisor流程或者共享硬件缓存的访问。除了这些步骤,唯一且完全能阻止这种边信道攻击的方法就是编码你的应用,甚至是OS组件(在可能的地方),以这样的方式他们可以访问共享资源,就像在一种一贯且可预测的方式中访问内存缓存。这样就能预防攻击者钻空子,比如时间统计和其他行为属性。

  边信道攻击潜在风险探讨

  边信道攻击很可能在共享计算环境中继续被发现。对于云用户,这是一种在云端执行敏感工作负载必须考虑的一种风险。我建议同你的云提供商探讨这些风险和可能的对抗措施。尽管在今天这样的环境中成功实现这种攻击极为不可能,但是最好还是做好准备。

作者

Dave Shackleford
Dave Shackleford

Dave Shackleford是Voodoo安全有限责任公司的所有人和咨询师、IANS资深导师、SANS研究院分析师、高级讲师和课程作者。他已为数百个组织在安全、法规合规性以及网络架构与工程领域提供了咨询服务,是具有丰富安全虚拟化基础设施设计和配置经验的VMware vExpert。Dave之前是Configuresoft公司的CSO、互联网安全中心的CTO、并曾出任多家财富500强公司的安全架构师、分析师和经理。Dave是Sybex一书的作者,虚拟化安全:保护虚拟化环境,以及信息安全课程技术的合作设计者。最近,Dave为SANS研究所合作设计了第一个虚拟化安全课程。目前,Dave在SANS技术研究院担任董事一职,并协助领导云计算安全联盟的亚特兰大分部。

翻译

张培颖
张培颖

云计算网站编辑

相关推荐

  • 内部IaaS部署:如何管理虚拟机的安全性

    当部署一个内部基础设施即服务(IaaS)云计算时,有一个广泛的安全性方面的考虑,即企业不仅必须考虑满足安全性最佳实践的要求,而且也应符合监管的要求。

  • 内部IaaS部署:管理虚拟机安全

    当部署一个内部基础设施即服务(IaaS)云计算时,应当对安全性方面有一个广泛的考虑,即企业不仅必须考虑满足安全性最佳实践的要求,而且同时也应考虑符合监管的要求。

  • 文章汇:云计算三月春之舞

    温润的南风吹来,燕未至,花已开,柳燕斜阳的日子就要来了。不知你是否已经打点好行囊,准备一次寻春的踏青之旅,抑或安静的守着自家窗外的嫩芽,等待勃发……

  • 云中虚拟机配置与保护措施教程

    如何为私有云选择正确的虚拟机,我们分析每一个虚拟机和服务所用的资源,还要检查把这些资源移向云中的风险。有了正确的调查,就可以找到最好的资源和服务,并且可以相对容易的部署到私有云中。部署好了之后,云端虚拟机的安全如何保证与管理又成为问题,保证了正常运转与管理之后,随着业务发展,在云端,虚拟机蔓延该如何控制呢?在这本技术手册中我们将一一为您解答。