了解云計(jì)算的漏洞

關(guān)于云計(jì)算安全性的討論往往失于對(duì)一般問(wèn)題和云計(jì)算特定問(wèn)題未加區(qū)分。為了讓關(guān)于安全漏洞的討論更加明了，根據(jù)風(fēng)險(xiǎn)要素與云計(jì)算的可靠定義，作者制定了一些指標(biāo)。

每一天，每一條剛剛出爐的新聞、博客文章或其他的一些發(fā)行物都在提醒我們?cè)朴?jì)算的安全風(fēng)險(xiǎn)和威脅。多數(shù)情況下，安全問(wèn)題都被認(rèn)為是采用云計(jì)算的道路上最大的障礙。但這種關(guān)于云計(jì)算安全問(wèn)題的論調(diào)反而讓找到一個(gè)完善的方法來(lái)評(píng)估實(shí)際的安全后果變得更加困難，原因有如下兩點(diǎn)：首先，在有關(guān)風(fēng)險(xiǎn)的這些討論中，很大一部分都對(duì)一些基本的術(shù)語(yǔ)詞匯——包括風(fēng)險(xiǎn)，威脅和漏洞——不加區(qū)分地交替使用，而不考慮各自實(shí)際的含義；其次，并不是每一個(gè)被提出來(lái)的問(wèn)題，都是特別與云計(jì)算的背景對(duì)應(yīng)。

為了更好地理解云計(jì)算在安全問(wèn)題上所帶來(lái)的新課題，我們必須分析云計(jì)算是如何影響了既有的安全問(wèn)題。這里的一個(gè)關(guān)鍵因素是安全漏洞：云計(jì)算使得一些大家已經(jīng)耳熟能詳?shù)穆┒醋兊酶�加突出，并且貢獻(xiàn)了一些新成員。然而，在我們仔細(xì)分析特定于云計(jì)算語(yǔ)境的漏洞之前，我們必須先確定到底什么才算得上是一個(gè)真正的“漏洞”。

漏洞：概述

漏洞是一個(gè)突出的風(fēng)險(xiǎn)因素。ISO 27005中把風(fēng)險(xiǎn)定義為“一種潛在的可能性，即某種特定的威脅利用一項(xiàng)或一組設(shè)施的漏洞來(lái)造成組織的破壞，”對(duì)其的度量應(yīng)包括發(fā)生的概率以及事件的后果[1]。Open Group的風(fēng)險(xiǎn)分類(lèi)法提供了一個(gè)有用的危險(xiǎn)因素總覽（見(jiàn)圖1） 。

（點(diǎn)擊圖像放大。）

圖1.在Open Group的風(fēng)險(xiǎn)分類(lèi)法所總結(jié)的會(huì)造成風(fēng)險(xiǎn)的因素。風(fēng)險(xiǎn)等于造成損害的事件的發(fā)生頻率（左）和可能的損失幅度（右）的乘積。而漏洞則對(duì)造成損害的事件的發(fā)生頻率具有影響。

Open Group的分類(lèi)法中使用了與ISO 27005一樣的兩條頂級(jí)風(fēng)險(xiǎn)因素：有害事件的發(fā)生概率（在這里稱(chēng)為造成損害的事件的發(fā)生頻率）和其后果（在這里稱(chēng)為可能的損失幅度）�？赡艿膿p失幅度的子要素（如圖1右側(cè)所示）影響一個(gè)有害事件的最終代價(jià)。而（在圖1左側(cè)的）造成損害的事件的發(fā)生頻率的子因素相對(duì)而言較為復(fù)雜。當(dāng)一個(gè)威脅載體（例如說(shuō)黑客）成功地利用了一個(gè)漏洞的時(shí)候就會(huì)發(fā)生造成損害的事件，這種情況發(fā)生的頻率取決于兩個(gè)因素：

• 威脅載體試圖利用漏洞的頻率。這個(gè)頻率取決于載體的動(dòng)機(jī)（他們從攻擊中獲得什么好處？他們需要付出多少努力？對(duì)于攻擊者來(lái)說(shuō)的風(fēng)險(xiǎn)是什么？），同時(shí)也取決于載體可以在多大程度上訪問(wèn)（“接觸”）到攻擊目標(biāo)。
• 威脅載體的攻擊能力與系統(tǒng)抵御攻擊的堅(jiān)固性之間的差距。

這第二個(gè)因素讓我們接近得到一個(gè)有用的對(duì)于漏洞的定義。

定義漏洞

據(jù)Open Group的風(fēng)險(xiǎn)分類(lèi)法，

“漏洞就是設(shè)施無(wú)法抵御威脅載體行動(dòng)的可能性。當(dāng)威脅載體所施展的力量與目標(biāo)抵抗能力之間存在差距的時(shí)候，就會(huì)產(chǎn)生漏洞。

因而，在描述漏洞時(shí)必須放在防止某種特定類(lèi)型的攻擊的背景下來(lái)考慮。這里可以舉一個(gè)真實(shí)世界的例子，如果一輛汽車(chē)不能夠保護(hù)它的駕駛者在正面被一輛以六十英里行駛的卡車(chē)撞擊時(shí)免受傷害，這就是一個(gè)漏洞；這輛汽車(chē)的潰縮吸能區(qū)的強(qiáng)度相對(duì)于卡車(chē)的沖力來(lái)說(shuō)太弱了。而相對(duì)于來(lái)自一輛自行車(chē)、甚或一輛中速行駛小型轎車(chē)的攻擊而言，這款車(chē)的抵抗力則完全足夠了。

我們可以還把計(jì)算機(jī)的漏洞描述成——也就是你可以用供應(yīng)商所提供的補(bǔ)丁來(lái)彌補(bǔ)的安全相關(guān)錯(cuò)誤——某種抵抗能力的弱化或消失。比方說(shuō)，一個(gè)緩沖區(qū)溢出漏洞削弱了系統(tǒng)的防止任意代碼執(zhí)行的強(qiáng)度，而攻擊者是否會(huì)利用此漏洞則完全取決于他們的能力。

漏洞和云計(jì)算的風(fēng)險(xiǎn)

現(xiàn)在，我們將從右側(cè)的風(fēng)險(xiǎn)因素樹(shù)開(kāi)始，著手探討云計(jì)算如何影響圖1中的風(fēng)險(xiǎn)因素。

從云客戶(hù)的角度來(lái)看，右側(cè)所描述的可能的對(duì)未來(lái)?yè)p失的幅度的處理完全沒(méi)有受到云計(jì)算的影響：事件的后果和最終的代價(jià)——就假定是來(lái)自于機(jī)密的泄露——完全一樣，不論這種數(shù)據(jù)的泄露是發(fā)生在云平臺(tái)還是傳統(tǒng)的IT基礎(chǔ)設(shè)施。而從云服務(wù)供應(yīng)商的角度來(lái)看，事情就有一點(diǎn)不一樣了：因?yàn)樵朴?jì)算系統(tǒng)以前是相互隔離在相同的基礎(chǔ)設(shè)施上的，一個(gè)造成損害的事件可能帶來(lái)相當(dāng)大的影響。但是這個(gè)實(shí)際情況是很容易把控和納入風(fēng)險(xiǎn)評(píng)估的：看起來(lái)不需要在概念上做出什么變化來(lái)適應(yīng)云計(jì)算環(huán)境下的影響分析。

因此，我們必須在圖1的左側(cè)——造成損害的事件的發(fā)生頻率——來(lái)找找是否有些什么變化。云計(jì)算可以改變一個(gè)有害事件的發(fā)生概率。正如我們后面還會(huì)指出的那樣，云計(jì)算會(huì)導(dǎo)致漏洞要素發(fā)生相當(dāng)大的變化。當(dāng)然，移植到云基礎(chǔ)設(shè)施可能會(huì)改變攻擊者的訪問(wèn)級(jí)別和動(dòng)機(jī)，以及工作量和風(fēng)險(xiǎn)——這是在以后的工作中必須考慮的一個(gè)事實(shí)。但是，對(duì)支持特定于云計(jì)算的風(fēng)險(xiǎn)評(píng)估而言，從考察特定于云計(jì)算的漏洞的嚴(yán)格本質(zhì)入手似乎最有效益。

云計(jì)算

真的有所謂“特定于云計(jì)算”的漏洞嗎？如果是這樣的話，在云計(jì)算的本質(zhì)中必然存在某些因素讓一個(gè)漏洞成為特定于云計(jì)算的漏洞。

從本質(zhì)上講，云計(jì)算把已知的技術(shù)（如虛擬化）用巧妙的方法結(jié)合起來(lái)，“從流水線”上提供IT服務(wù)，產(chǎn)生了規(guī)模經(jīng)濟(jì)的效果。下面我們將更加詳細(xì)地討論什么是核心技術(shù)，以及這些技術(shù)在云計(jì)算的應(yīng)用中有哪些關(guān)鍵的特性。

核心云計(jì)算技術(shù)

云計(jì)算非常依賴(lài)于現(xiàn)有的幾樣核心技術(shù)能力：

• Web應(yīng)用程序和服務(wù)：如果沒(méi)有Web應(yīng)用程序和Web服務(wù)技術(shù)，要發(fā)展軟件即服務(wù)（SaaS）和平臺(tái)即服務(wù)（PaaS）是無(wú)法想象的：SaaS實(shí)例通常作為Web應(yīng)用程序?qū)嵤�，而PaaS實(shí)例提供了Web應(yīng)用和服務(wù)的開(kāi)發(fā)和運(yùn)行環(huán)境。在基礎(chǔ)設(shè)施即服務(wù)（IaaS）實(shí)例中，管理員通常使用Web應(yīng)用程序/服務(wù)技術(shù)來(lái)實(shí)施相關(guān)服務(wù)和API，例如客戶(hù)的管理訪問(wèn)。
• 虛擬化的IaaS實(shí)例：在這些技術(shù)中虛擬化技巧都占據(jù)了核心地位。由于PaaS和SaaS服務(wù)往往建立在支持性IaaS基礎(chǔ)設(shè)施之上，虛擬化的重要性也就延伸到了這些服務(wù)模型中。在未來(lái)，我們希望虛擬化可以從虛擬化服務(wù)器發(fā)展到可以直接用于SaaS服務(wù)的計(jì)算資源。
• 加密：許多云計(jì)算安全的要求只有通過(guò)使用加密技術(shù)才能夠得到解決。

隨著云計(jì)算的發(fā)展，這份核心技術(shù)的清單很有可能擴(kuò)大。

基本特征

在其基本的云特性的描述[2]中，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）敏銳地指出了從流水線上提供IT服務(wù)意味著什么：

• 按需自助服務(wù)：用戶(hù)可以使用——比方說(shuō)一個(gè)門(mén)戶(hù)網(wǎng)站和管理界面，來(lái)訂購(gòu)和管理服務(wù)，而不再需要與來(lái)自服務(wù)供應(yīng)商的真實(shí)的人打交道。服務(wù)及其相關(guān)資源的上線準(zhǔn)備和下線準(zhǔn)備都在供應(yīng)商端自動(dòng)解決。
• 無(wú)處不在的網(wǎng)絡(luò)接入：云服務(wù)是通過(guò)網(wǎng)絡(luò)（通常是互聯(lián)網(wǎng)）訪問(wèn)的，應(yīng)用標(biāo)準(zhǔn)的機(jī)制和協(xié)議。
• 資源池：用于提供云服務(wù)的計(jì)算資源是通過(guò)使用一個(gè)在所有服務(wù)用戶(hù)間共享的同質(zhì)基礎(chǔ)設(shè)施實(shí)現(xiàn)的。
• 敏捷的彈性：資源可以快速并且具備彈性的擴(kuò)充或縮減。
• 可度量的服務(wù)：資源/服務(wù)的使用率隨時(shí)進(jìn)行測(cè)算，支持資源使用率優(yōu)化、使用率用戶(hù)報(bào)告以及用多少收多少的商業(yè)模式。

NIST的云計(jì)算定義框架，包括其關(guān)鍵特性列表，現(xiàn)在已經(jīng)演化成為事實(shí)上的定義云計(jì)算的標(biāo)準(zhǔn)。

特定于云計(jì)算的漏洞

根據(jù)我們前面介紹的云計(jì)算的抽象視圖，我們現(xiàn)在可以下手定義什么構(gòu)成了特定于云的漏洞。我們可以說(shuō)一個(gè)漏洞是特定于云的，條件是其：

• 對(duì)于某個(gè)核心云計(jì)算技術(shù)來(lái)說(shuō)是不可分割的或是廣泛存在的，
• 根本誘因是NIST的關(guān)鍵特性列表中的一項(xiàng)，
• 其發(fā)生可以歸咎于云計(jì)算創(chuàng)新讓嘗試和測(cè)試安全控制難以、甚至根本無(wú)法實(shí)施，或者
• 在成功的最新云計(jì)算服務(wù)中很常見(jiàn)。

我們現(xiàn)在來(lái)研究這四項(xiàng)指標(biāo)。

核心技術(shù)漏洞

云計(jì)算的核心技術(shù)——Web應(yīng)用程序和服務(wù)、虛擬化和加密——存在一些漏洞，有些是固有于技術(shù)本身，而另一些則是普遍存在于該技術(shù)的流行實(shí)現(xiàn)方式中。這里舉這些漏洞的三個(gè)例子，包括虛擬機(jī)逃逸、會(huì)話控制和劫持以及不安全或過(guò)時(shí)的加密。

首先，虛擬化的本質(zhì)就決定了存在攻擊者從一個(gè)虛擬環(huán)境中成功逃脫的可能性。因此，我們必須把這個(gè)漏洞歸類(lèi)于固有于虛擬化、與云計(jì)算高度相關(guān)的那一類(lèi)漏洞。

其次，Web應(yīng)用技術(shù)必須克服這樣一個(gè)問(wèn)題，即從設(shè)計(jì)的初衷來(lái)說(shuō)，HTTP協(xié)議是無(wú)狀態(tài)協(xié)議，而Web應(yīng)用程序則需要一些會(huì)話狀態(tài)的概念。有許多技術(shù)能夠?qū)崿F(xiàn)會(huì)話處理，而許多會(huì)話處理的實(shí)現(xiàn)都容易遭受會(huì)話控制和劫持，這一點(diǎn)隨便一個(gè)具有豐富Web應(yīng)用安全經(jīng)驗(yàn)的安全專(zhuān)業(yè)人士都可以作證。會(huì)話控制/劫持漏洞是Web應(yīng)用技術(shù)所固有的呢，抑或“只是”常見(jiàn)于許多當(dāng)前實(shí)現(xiàn)？這一點(diǎn)是值得商榷的。不過(guò)，在任何情況下，這樣的漏洞當(dāng)然和云計(jì)算有關(guān)系。

最后，密碼分析學(xué)的進(jìn)步可以使任何加密機(jī)制或算法變得不再安全，因?yàn)榭偸怯行缕娴钠平夥椒ū徽页鰜?lái)。而更為普遍的情況是，加密算法實(shí)現(xiàn)被發(fā)現(xiàn)具有關(guān)鍵的缺陷，可以讓原本的強(qiáng)加密退化成弱加密（有時(shí)甚至相當(dāng)于完全不加密）。在沒(méi)有加密來(lái)保護(hù)云里的數(shù)據(jù)保密性和完整性的情況下，無(wú)法想象云計(jì)算能夠獲得廣泛的應(yīng)用，因而可以說(shuō)不安全或過(guò)時(shí)的加密漏洞與云計(jì)算有著非常密切的關(guān)系。

關(guān)鍵的云特性的漏洞

正如我們前面提到的，NIST描述了五個(gè)關(guān)鍵的云計(jì)算特性：按需自助服務(wù)，無(wú)處不在的網(wǎng)絡(luò)接入，資源池，敏捷的彈性和可度量的服務(wù)。

下面是一些源自上述一種或以上特性的漏洞的例子：

• 未經(jīng)授權(quán)的管理界面訪問(wèn)：按需自助服務(wù)云計(jì)算特性需要一個(gè)管理界面，可以向云服務(wù)的用戶(hù)開(kāi)放訪問(wèn)。這樣，未經(jīng)授權(quán)的管理界面訪問(wèn)對(duì)于云計(jì)算系統(tǒng)來(lái)說(shuō)就算得上是一個(gè)具有特別相關(guān)性的漏洞，可能發(fā)生未經(jīng)授權(quán)的訪問(wèn)的概率要遠(yuǎn)遠(yuǎn)高于傳統(tǒng)的系統(tǒng)，在那些系統(tǒng)中管理功能只有少數(shù)管理員能夠訪問(wèn)。
• 互聯(lián)網(wǎng)協(xié)議漏洞：無(wú)處不在的網(wǎng)絡(luò)接入云計(jì)算特性意味著云服務(wù)是通過(guò)使用標(biāo)準(zhǔn)協(xié)議的網(wǎng)絡(luò)獲得訪問(wèn)。在大多數(shù)情況下，這個(gè)網(wǎng)絡(luò)即互聯(lián)網(wǎng)，必須被看作是不可信的。這樣一來(lái)，互聯(lián)網(wǎng)協(xié)議漏洞也就和云計(jì)算發(fā)生了關(guān)系，像是導(dǎo)致中間人攻擊的漏洞。
• 數(shù)據(jù)恢復(fù)漏洞：關(guān)于資源池和彈性的云特性意味著分配給一個(gè)用戶(hù)的資源將有可能在稍后的時(shí)間被重新分配到不同的用戶(hù)。從而，對(duì)于內(nèi)存或存儲(chǔ)資源來(lái)說(shuō)，有可能恢復(fù)出前面用戶(hù)寫(xiě)入的數(shù)據(jù)。
• 逃避計(jì)量和計(jì)費(fèi)：可度量的服務(wù)云特性意味著，任何云服務(wù)都在某一個(gè)適合服務(wù)類(lèi)型的抽象層次（如存儲(chǔ)，處理能力以及活躍帳戶(hù)）上具備計(jì)量能力。計(jì)量數(shù)據(jù)被用來(lái)優(yōu)化服務(wù)交付以及計(jì)費(fèi)。有關(guān)漏洞包括操縱計(jì)量和計(jì)費(fèi)數(shù)據(jù)，以及逃避計(jì)費(fèi)。

接下來(lái)我們可以利用NIST的完善的云計(jì)算定義來(lái)思考云計(jì)算問(wèn)題。

已知安全控制的缺陷

如果云計(jì)算創(chuàng)新直接導(dǎo)致在實(shí)施控制上的困難，標(biāo)準(zhǔn)安全控制漏洞就應(yīng)該認(rèn)為是特定于云計(jì)算的。這種漏洞也被稱(chēng)為控制的挑戰(zhàn) 。

在這里，我們剖析這種控制的挑戰(zhàn)的三個(gè)例子。第一個(gè)挑戰(zhàn)是虛擬網(wǎng)絡(luò)提供的基于網(wǎng)絡(luò)的控制不足。由于云服務(wù)自身的性質(zhì)的限制，對(duì)IaaS的網(wǎng)絡(luò)基礎(chǔ)設(shè)施的管理訪問(wèn)和量身定制網(wǎng)絡(luò)基礎(chǔ)設(shè)施的能力通常是有限的，因此無(wú)法應(yīng)用標(biāo)準(zhǔn)控制，如基于IP網(wǎng)絡(luò)的分區(qū)。此外，標(biāo)準(zhǔn)的技術(shù)，如基于網(wǎng)絡(luò)的漏洞掃描通常被IaaS提供商所禁止，原因之一是無(wú)法把友好的掃描從攻擊者的活動(dòng)區(qū)別開(kāi)來(lái)。最后，像虛擬化這樣的技術(shù)意味著網(wǎng)絡(luò)流量同時(shí)產(chǎn)生在真實(shí)和虛擬的網(wǎng)絡(luò)中，比如，當(dāng)托管在同樣服務(wù)器上的兩個(gè)虛擬機(jī)環(huán)境（VMEs）通信的時(shí)候。這些問(wèn)題構(gòu)成了一個(gè)控制的挑戰(zhàn)，因?yàn)榛�于嘗試和測(cè)試的網(wǎng)絡(luò)級(jí)安全控制在一個(gè)給定的云環(huán)境中可能無(wú)法正常工作。

第二個(gè)挑戰(zhàn)是在差勁的密鑰管理程序。正如在一項(xiàng)最近的歐洲網(wǎng)絡(luò)和信息安全局的研究所表明的一樣[3]，云計(jì)算基礎(chǔ)設(shè)施需要管理和存儲(chǔ)許多不同種類(lèi)的密鑰。由于虛擬機(jī)不會(huì)有一個(gè)固定的硬件基礎(chǔ)設(shè)施，并且基于云的內(nèi)容往往是地理上分散的，更難以對(duì)云計(jì)算基礎(chǔ)設(shè)施的密鑰實(shí)施標(biāo)準(zhǔn)控制——如硬件安全模塊（HSM）存儲(chǔ)。

最后，安全指標(biāo)沒(méi)有根據(jù)云基礎(chǔ)設(shè)施進(jìn)行調(diào)整。目前，還沒(méi)有這樣一種標(biāo)準(zhǔn)化的特定于云計(jì)算的安全指標(biāo)，讓云客戶(hù)可以使用它來(lái)監(jiān)視云資源的安全狀態(tài)。在這樣的安全指標(biāo)被制定和實(shí)施之前，對(duì)安全評(píng)估、審計(jì)和問(wèn)責(zé)的控制會(huì)更加困難和昂貴，甚至可能是不可能開(kāi)展的。

最新的云計(jì)算實(shí)例中常見(jiàn)的漏洞

雖然云計(jì)算相對(duì)年輕，但在市場(chǎng)上已經(jīng)存在無(wú)數(shù)的云計(jì)算實(shí)例。因此，我們?yōu)榍笆龅娜��?xiàng)特定于云計(jì)算的漏洞指標(biāo)補(bǔ)充第四個(gè)實(shí)證指標(biāo)：如果一個(gè)漏洞在最新的云計(jì)算實(shí)例中很常見(jiàn)，就必須認(rèn)為它是特定于云計(jì)算的。這些漏洞的例子包括注入漏洞和薄弱的身份驗(yàn)證方案。

針對(duì)注入漏洞的攻擊是指操縱服務(wù)或應(yīng)用輸入來(lái)以開(kāi)發(fā)者意想之外的方式來(lái)解釋或執(zhí)行輸入的片段。注入漏洞的例子包括：

• SQL注入：指在輸入包含SQL代碼，誘發(fā)錯(cuò)誤的數(shù)據(jù)庫(kù)后端執(zhí)行；
• 命令注入：在輸入中包含通過(guò)操作系統(tǒng)被錯(cuò)誤執(zhí)行的命令；
• 跨站點(diǎn)腳本：在輸入中包含JavaScript代碼，在受害者的瀏覽器中執(zhí)行。

此外，許多廣泛使用的身份驗(yàn)證機(jī)制是很薄弱的。例如，用于驗(yàn)證的用戶(hù)名和密碼是薄弱的，原因如下：

• 不安全的用戶(hù)行為（選擇弱密碼，重復(fù)使用的密碼，等等）；
• 單因素認(rèn)證機(jī)制固有的局限性。

身份驗(yàn)證機(jī)制的實(shí)現(xiàn)也可能有弱點(diǎn)并導(dǎo)致被攻擊，例如憑證攔截和重播。當(dāng)前最新的云計(jì)算服務(wù)中的大多數(shù)都采用了用戶(hù)名和密碼的身份驗(yàn)證機(jī)制。

架構(gòu)組件和漏洞

云服務(wù)模式通常分為SaaS，PaaS和IaaS，在給定云基礎(chǔ)設(shè)施時(shí)，每一種模式都會(huì)影響暴露出來(lái)的漏洞。增加更多的結(jié)構(gòu)性到服務(wù)模式堆棧會(huì)有所幫助：圖2中給出了一種云計(jì)算參考架構(gòu)，明確了最重要的安全相關(guān)的云計(jì)算組件，而且為了分析安全問(wèn)題提供了一個(gè)云計(jì)算的抽象概述。

圖2.云計(jì)算參考架構(gòu)。我們建立了特定于云計(jì)算的漏洞到這個(gè)參考架構(gòu)的組件之間的映射關(guān)系，這樣讓我們大致了解有哪些漏洞可能會(huì)與一個(gè)給定的云計(jì)算服務(wù)相關(guān)。

這個(gè)參考架構(gòu)是基于在洛杉磯的加州大學(xué)和IBM開(kāi)展的工作[4]之上的。它繼承了分層的方法，因?yàn)閷涌梢阅依ㄒ粋�(gè)或多??個(gè)服務(wù)組件。在這里，我們使用“服務(wù)”在廣義上的概念，既可能包括物質(zhì)（如建筑、電力和硬件），也可能包括非物質(zhì)（如運(yùn)行時(shí)環(huán)境）。對(duì)于云計(jì)算的軟件環(huán)境和云軟件基礎(chǔ)設(shè)施這兩層，這個(gè)模型明確了層中的三個(gè)主要的服務(wù)組件——計(jì)算、存儲(chǔ)以及通信。頂層服務(wù)可以由堆棧更下層來(lái)實(shí)現(xiàn)，事實(shí)上跳過(guò)中間層。例如，云端的Web應(yīng)用程序可以用傳統(tǒng)的方式實(shí)施和操作——也就是說(shuō)，在一個(gè)標(biāo)準(zhǔn)的操作系統(tǒng)上運(yùn)行，而無(wú)需使用專(zhuān)用的云計(jì)算軟件的基礎(chǔ)設(shè)施和環(huán)境組件。從這樣的分層和組合性可以知道，在模型的任何層之間，都可能從場(chǎng)地內(nèi)服務(wù)或功能供應(yīng)轉(zhuǎn)換到服務(wù)和功能外包。

除了原有的模式，我們還確定了若干層服務(wù)的相關(guān)支持功能，并將它們添加到模型中，垂直覆蓋幾個(gè)水平層。

我們的云計(jì)算參考架構(gòu)有三個(gè)主要部分：

• 支持（IT）基礎(chǔ)設(shè)施：這些對(duì)于任何IT服務(wù)、云計(jì)算或其他方式來(lái)說(shuō)都是常見(jiàn)的設(shè)施和服務(wù)。我們之所以把它們包括在架構(gòu)之中，是因?yàn)槲覀兿Ｍ�提供一個(gè)全景——要完整描述IT安全性就必須也照顧到云服務(wù)的非特定于云計(jì)算的組成部分。
• 特定于云計(jì)算的基礎(chǔ)設(shè)施：這些組件構(gòu)成云服務(wù)的核心，特定于云計(jì)算的漏洞和相應(yīng)的控制通常映射到這些組成部分。
• 云服務(wù)的消費(fèi)者：同樣，我們之所以把云服務(wù)的客戶(hù)包括到架構(gòu)中是因?yàn)樗鼘?duì)于全面的安全性討論很重要。

此外，我們明確地把將云服務(wù)消費(fèi)者和云計(jì)算基礎(chǔ)設(shè)施分開(kāi)的網(wǎng)絡(luò)表示出來(lái)，因?yàn)樵瀑Y源是通過(guò)（通常是不可信的）網(wǎng)絡(luò)進(jìn)行訪問(wèn)的這一個(gè)事實(shí)是云計(jì)算的主要特點(diǎn)之一。

使用云計(jì)算參考架構(gòu)的結(jié)構(gòu)，我們現(xiàn)在可以挨個(gè)討論架構(gòu)的組成部分，并給出每個(gè)組成部分特定于云計(jì)算的漏洞的例子。

云計(jì)算軟件基礎(chǔ)設(shè)施和環(huán)境

云計(jì)算軟件基礎(chǔ)設(shè)施層把作為服務(wù)提供給上層的基本IT資源抽象成為一個(gè)抽象層次，這些資源包括：計(jì)算資源（通常是VME——虛擬機(jī)環(huán)境）、存儲(chǔ)以及（網(wǎng)絡(luò)）通訊。這些服務(wù)可單獨(dú)使用，典型場(chǎng)景是用于存儲(chǔ)服務(wù)中，但他們也經(jīng)常捆綁在一起，這時(shí)服務(wù)器就會(huì)附有網(wǎng)絡(luò)連接，（通常）還提供對(duì)存儲(chǔ)的訪問(wèn)能力。這種捆綁在一起的服務(wù)通常簡(jiǎn)稱(chēng)為IaaS，無(wú)論是否帶有存儲(chǔ)能力。

云計(jì)算的軟件環(huán)境層在應(yīng)用平臺(tái)層面提供服務(wù)：

• 一個(gè)開(kāi)發(fā)和運(yùn)行時(shí)環(huán)境，支持用一種或多種語(yǔ)言所開(kāi)發(fā)的服務(wù)和應(yīng)用程序；
• 存儲(chǔ)服務(wù)（是數(shù)據(jù)庫(kù)接口，而不是文件共享）；
• 通信基礎(chǔ)設(shè)施，如微軟的Azure服務(wù)總線。

在基礎(chǔ)設(shè)施和環(huán)境層存在的漏洞通常都與這兩層提供的三種資源類(lèi)型的某一種密切相關(guān)。然而，跨租戶(hù)訪問(wèn)漏洞就與所有三種類(lèi)型的資源都有關(guān)系。我們前面描述的虛擬機(jī)逃逸漏洞的就是一個(gè)典型的例子。我們用它作為一個(gè)核心虛擬化技術(shù)所固有的漏洞的例子，但也可以認(rèn)為它根本上是來(lái)自于資源池的本質(zhì)特征：當(dāng)使用資源池時(shí)，跨資源的未經(jīng)授權(quán)的訪問(wèn)將成為一個(gè)問(wèn)題。因此對(duì)PaaS而言，就算用于隔離不同的租戶(hù)（和租戶(hù)服務(wù)）的技術(shù)未必基于虛擬化（不過(guò)這其實(shí)是一個(gè)越來(lái)越流行的趨勢(shì)）的時(shí)候，跨租戶(hù)訪問(wèn)漏洞也還是會(huì)產(chǎn)生影響。同樣，云存儲(chǔ)容易導(dǎo)致交叉租戶(hù)存儲(chǔ)訪問(wèn)，云通信——以虛擬網(wǎng)絡(luò)的形式——容易導(dǎo)致交叉租戶(hù)網(wǎng)絡(luò)訪問(wèn)。

計(jì)算資源

一組高度重要的計(jì)算資源漏洞是與如何處理虛擬機(jī)映像有關(guān)：提供幾乎相同的服務(wù)器映像的唯一可行的辦法——從而為虛擬服務(wù)器提供按需服務(wù)——是通過(guò)克隆模板鏡像來(lái)實(shí)現(xiàn)。

有漏洞的虛擬機(jī)模板鏡像會(huì)導(dǎo)致許多操作系統(tǒng)或應(yīng)用程序上的漏洞傳播到更多系統(tǒng)。攻擊者可能偽裝成服務(wù)客戶(hù)租用一個(gè)虛擬服務(wù)器以獲得管理員權(quán)限，這樣就能夠分析系統(tǒng)的構(gòu)成方式、補(bǔ)丁版本，甚至是具體代碼，從而獲得在攻擊其他客戶(hù)的鏡像時(shí)有用??的信息。另外一個(gè)有關(guān)的問(wèn)題是，鏡像有可能是來(lái)自于不可信來(lái)源，這種現(xiàn)象隨著IaaS服務(wù)的虛擬鏡像交易市場(chǎng)的出現(xiàn)更為突出。在這種情況下會(huì)存在一些風(fēng)險(xiǎn)，比如鏡像可能被動(dòng)過(guò)手腳，從而為攻擊者提供后門(mén)。

虛擬機(jī)復(fù)制造成的數(shù)據(jù)泄漏也是一個(gè)類(lèi)似的漏洞，原因同樣在于為了提供隨需服務(wù)而進(jìn)行鏡像克隆。克隆會(huì)導(dǎo)致虛擬機(jī)機(jī)密數(shù)據(jù)的泄漏問(wèn)題：一個(gè)操作系統(tǒng)的某些元素——如主機(jī)密鑰和加密字符串——本來(lái)應(yīng)該完全屬于一臺(tái)主機(jī)，可是克隆卻可能破壞這個(gè)關(guān)于隱私的隱含前提。這次同樣是虛擬機(jī)鏡像的新興交易市場(chǎng)——比如說(shuō)亞馬遜EC2——會(huì)引出一個(gè)相關(guān)的問(wèn)題：用戶(hù)可以把運(yùn)行中的鏡像轉(zhuǎn)換成模板，并向其他用戶(hù)來(lái)提供模板鏡像。根據(jù)在創(chuàng)建模板前該鏡像被使用的情況，此鏡像有可能會(huì)包含用戶(hù)并不愿意公開(kāi)的內(nèi)容。

這里還有一些控制上的問(wèn)題，其中一些與應(yīng)用加密有關(guān)。如果介于硬件與操作系統(tǒng)間的虛擬化抽象層在為虛擬機(jī)運(yùn)行環(huán)境生成隨機(jī)數(shù)的時(shí)候發(fā)生問(wèn)題，這種薄弱的隨機(jī)數(shù)生成機(jī)制可能會(huì)導(dǎo)致加密上的漏洞，因?yàn)橐�生成隨機(jī)數(shù)往往需要硬件級(jí)別的信息源。虛擬化可能在利用這樣的信息源上存在缺陷，或者說(shuō)在同一臺(tái)主機(jī)上容納多個(gè)虛擬機(jī)運(yùn)行環(huán)境可能會(huì)窮盡可用的信息源，導(dǎo)致薄弱的隨機(jī)數(shù)生成機(jī)制。我們前面也提到了，這個(gè)抽象層還讓先進(jìn)的安全控制——像是硬件安全模塊——的使用更加復(fù)雜，結(jié)果就可能是蹩腳的密鑰管理程序。

存儲(chǔ)

除了由于資源池和彈性的特性所引起的數(shù)據(jù)恢復(fù)上的漏洞，還有一個(gè)與介質(zhì)擦除相關(guān)的控制問(wèn)題，在云計(jì)算環(huán)境中這往往是很難或不可能實(shí)現(xiàn)的。例如，在一個(gè)生命周期的末尾，如果一個(gè)磁盤(pán)仍被另一租客使用，就不能執(zhí)行要銷(xiāo)毀物理硬盤(pán)的數(shù)據(jù)銷(xiāo)毀政策。

由于加密技術(shù)經(jīng)常被用來(lái)克服與存儲(chǔ)相關(guān)的漏洞，這一核心技術(shù)的漏洞——不安全或過(guò)時(shí)的加密和蹩腳的密鑰管理——在云存儲(chǔ)中有著特殊地位。

通信

云通信服務(wù)最突出的例子是為IaaS環(huán)境中的虛擬機(jī)運(yùn)行環(huán)境提供網(wǎng)絡(luò)支持。由于資源池，幾個(gè)客戶(hù)可能擁有同樣的網(wǎng)絡(luò)基礎(chǔ)設(shè)施組件：共享網(wǎng)絡(luò)基礎(chǔ)設(shè)施組件的漏洞——像是DNS服務(wù)器或動(dòng)態(tài)主機(jī)配置協(xié)議中的漏洞，或IP協(xié)議的漏洞——可能在IaaS的基礎(chǔ)設(shè)施中引發(fā)基于網(wǎng)絡(luò)的跨租戶(hù)的攻擊。

虛擬化網(wǎng)絡(luò)還提出了一個(gè)控制上的問(wèn)題：在云服務(wù)中，與上面其他問(wèn)題一樣，IaaS的網(wǎng)絡(luò)基礎(chǔ)設(shè)施的管理權(quán)限訪問(wèn)和剪裁網(wǎng)絡(luò)基礎(chǔ)設(shè)施的可能性通常是受限的。此外，諸如虛擬化等技術(shù)的使用會(huì)導(dǎo)致網(wǎng)絡(luò)流量不僅發(fā)生在“真正的”網(wǎng)絡(luò)上，同時(shí)也發(fā)生在虛擬網(wǎng)絡(luò)中（如在同一服務(wù)器上托管的兩個(gè)虛擬機(jī)運(yùn)行環(huán)境之間的通信），大多數(shù)虛擬網(wǎng)絡(luò)的實(shí)現(xiàn)只提供了集成基于網(wǎng)絡(luò)安全的有限可能性。總而言之，這形成了一個(gè)控制上的問(wèn)題，即不充分的基于網(wǎng)絡(luò)的控制，因?yàn)榛�于嘗試與測(cè)試的網(wǎng)絡(luò)級(jí)別安全控制可能在某些云計(jì)算環(huán)境下無(wú)法工作。

云計(jì)算Web應(yīng)用程序

Web應(yīng)用使用瀏覽器技術(shù)來(lái)在前段執(zhí)行用戶(hù)交互。隨著基于瀏覽器的技術(shù)如JavaScript、Java、Flash和Silverlight被更多地采用，Web云計(jì)算應(yīng)用可以被分為兩種：

• 被維護(hù)在云端的應(yīng)用程序組件；
• 在用戶(hù)的瀏覽器內(nèi)運(yùn)行的瀏覽器組件。

今后，對(duì)于一些不需要頻繁訪問(wèn)遠(yuǎn)端數(shù)據(jù)的情況，開(kāi)發(fā)商將越來(lái)越多地使用一些技術(shù)，像是谷歌Gears等，來(lái)允許脫機(jī)使用Web應(yīng)用的瀏覽器組件。我們已經(jīng)描述了兩個(gè)典型的Web應(yīng)用程序技術(shù)漏洞：會(huì)話控制和劫持漏洞，以及注入漏洞。

其他特定于Web應(yīng)用程序的漏洞與瀏覽器的前端組件有關(guān)。其中包括客戶(hù)端的數(shù)據(jù)操作的漏洞，用戶(hù)可利用其操縱應(yīng)用程序組件發(fā)送到服務(wù)器的應(yīng)用程序組件的數(shù)據(jù)，從而攻擊Web應(yīng)用。換句話說(shuō)，服務(wù)器組件收到的輸入是不是“預(yù)期”的客戶(hù)端組件發(fā)送的輸入，而是變更過(guò)的或是完全由用戶(hù)生成的輸入。此外，Web應(yīng)用程序還依賴(lài)于瀏覽器的機(jī)制以隔離嵌入到應(yīng)用程序（如廣告、Mashup組件等）的第三方內(nèi)容。因此，瀏覽器的隔離漏洞可能允許第三方內(nèi)容來(lái)操作的Web應(yīng)用程序。

服務(wù)和API

雖說(shuō)云計(jì)算基礎(chǔ)設(shè)施的所有層次看起來(lái)都明顯提供服務(wù)，但要討論云計(jì)算基礎(chǔ)設(shè)施的安全性，還是值得特別地考慮所有基礎(chǔ)設(shè)施的服務(wù)和應(yīng)用的編程接口。大多數(shù)服務(wù)都可能是Web服務(wù)，從而也具有許多Web應(yīng)用程序漏洞。事實(shí)上，Web應(yīng)用程序?qū)涌赡芡耆�由一個(gè)或多個(gè)Web服務(wù)實(shí)現(xiàn)，這樣應(yīng)用的URL只會(huì)把瀏覽器組件暴露給用戶(hù)。因此，配套服務(wù)和API函數(shù)也具有Web應(yīng)用程序?qū)拥脑S多漏洞。

管理訪問(wèn)

NIST的云計(jì)算定義指出云服務(wù)的核心特征之一是：可以快速準(zhǔn)備并發(fā)布，只需要最小的管理工作或服務(wù)提供商的配合。因此，每個(gè)云服務(wù)的一個(gè)共同點(diǎn)是管理接口，這會(huì)直接導(dǎo)致非法訪問(wèn)管理接口的漏洞。此外，因?yàn)榻?jīng)常使用Web應(yīng)用或服務(wù)實(shí)現(xiàn)管理訪問(wèn)，它通常也會(huì)帶來(lái)與Web應(yīng)用層和服務(wù)/API組件同樣的漏洞。

標(biāo)識(shí)、身份驗(yàn)證、授權(quán)和審計(jì)機(jī)制

所有的云服務(wù)（以及每個(gè)云服務(wù)的管理界面）都需要身份管理、認(rèn)證、授權(quán)和審計(jì)（IAAA）的機(jī)制。在一定程度上，這些機(jī)制的某些部分可能被分離出來(lái)，作為一個(gè)獨(dú)立的IAAA服務(wù)以供其他服務(wù)使用。足夠的授權(quán)檢查（這必然會(huì)用到身份驗(yàn)證和/或從IAA服務(wù)收到的授權(quán)信息）和云基礎(chǔ)設(shè)施的審計(jì)這兩個(gè)IAAA要素是每個(gè)服務(wù)實(shí)現(xiàn)的不可分割的部分。

IAAA組件相關(guān)聯(lián)的大部分漏洞必須被視為特定于云計(jì)算，因?yàn)樗鼈冊(cè)诋?dāng)前最新的云計(jì)算實(shí)例中很常見(jiàn)。前面我們已經(jīng)舉了薄弱的用戶(hù)認(rèn)證機(jī)制的例子，其他的例子還包括：

• 由于帳戶(hù)鎖定而拒絕服務(wù)：一個(gè)經(jīng)常使用的安全控制——尤其是對(duì)于用戶(hù)名和密碼驗(yàn)證方式來(lái)說(shuō)——就是鎖定那些在很短時(shí)間內(nèi)連續(xù)發(fā)生失敗驗(yàn)證請(qǐng)求的帳號(hào)。攻擊者可以利用這樣的方法來(lái)發(fā)動(dòng)針對(duì)某個(gè)用戶(hù)的DoS攻擊。
• 薄弱的憑證重置機(jī)制：當(dāng)云計(jì)算供應(yīng)商自己來(lái)管理用戶(hù)憑證，而不是使用聯(lián)邦式身份驗(yàn)證，他們必須提供一個(gè)機(jī)制來(lái)重置憑證，以防憑證被忘記或丟失的情況。在過(guò)去，密碼恢復(fù)機(jī)制已被證明非常薄弱。
• 不足或錯(cuò)誤的授權(quán)檢查：最新的Web應(yīng)用程序和服務(wù)的云計(jì)算實(shí)例往往容易受困于不足或錯(cuò)誤的授權(quán)檢查，會(huì)暴露未經(jīng)授權(quán)的信息或行為給用戶(hù)。比方說(shuō)缺少授權(quán)檢查就是URL猜測(cè)攻擊的根源。在這種攻擊中，用戶(hù)可以修改URL來(lái)顯示其他用戶(hù)帳戶(hù)的信息。
• 粗粒度的授權(quán)控制：云服務(wù)的管理界面特別傾向于提供過(guò)粗粒度的授權(quán)控制模型。因此，像職責(zé)分離這樣的標(biāo)準(zhǔn)安全措施得不到實(shí)施，因?yàn)闆](méi)辦法只提供給用戶(hù)那些僅夠他們展開(kāi)工作的權(quán)限。
• 日志和監(jiān)控不足的可能性：目前，還沒(méi)有一個(gè)標(biāo)準(zhǔn)或機(jī)制來(lái)讓云計(jì)算的客戶(hù)來(lái)記錄和監(jiān)測(cè)云計(jì)算資源內(nèi)的設(shè)施。這就產(chǎn)生了一個(gè)尖銳的問(wèn)題，即日志文件記錄所有租戶(hù)事件，無(wú)法容易地把單個(gè)租戶(hù)的信息剪裁出來(lái)。此外，監(jiān)測(cè)能力的不足往往阻礙了供應(yīng)商進(jìn)行安全監(jiān)控。直到我們制定出可用的關(guān)于記錄和監(jiān)測(cè)的標(biāo)準(zhǔn)并實(shí)施成為工具之前，是很難——甚至說(shuō)是不可能——實(shí)現(xiàn)需要記錄和監(jiān)測(cè)的安全控制的。

以云服務(wù)提供商的經(jīng)驗(yàn)而言，在所有這些IAAA漏洞中，目前驗(yàn)證問(wèn)題是主要的漏洞，因?yàn)樗�讓用�?hù)放在云服務(wù)里的數(shù)據(jù)蒙受風(fēng)險(xiǎn)[5] 。

提供商

所有云計(jì)算組件的漏洞，或者更確切地說(shuō)，無(wú)法讓用戶(hù)像控制自己的基礎(chǔ)設(shè)施一樣控制云計(jì)算基礎(chǔ)設(shè)施，通常都讓提供商感到擔(dān)心。控制方面的課題有：安全審計(jì)不足的可能，以及認(rèn)證方式和安全度量在云計(jì)算中沒(méi)有得到采用這樣一個(gè)事實(shí)。此外，審計(jì)、認(rèn)證與持續(xù)安全檢測(cè)這樣的標(biāo)準(zhǔn)安全控制沒(méi)有被有效地實(shí)施。

云計(jì)算還處于不斷發(fā)展的階段，隨著該領(lǐng)域的成熟，更多的特定于云的漏洞肯定還會(huì)出現(xiàn)，而舊的威脅也會(huì)減弱。從Open Group的風(fēng)險(xiǎn)分類(lèi)，加上我們?cè)诖俗R(shí)別出的特定于云計(jì)算的漏洞的四項(xiàng)指標(biāo)，我們得到了精確的關(guān)于漏洞的定義，提高了準(zhǔn)確度和清晰度，而這正是目前為止的對(duì)云計(jì)算安全性的討論中所缺乏的。

一些本來(lái)成功的安全控制在云計(jì)算的背景下變得無(wú)效，這些情況在安全控制的問(wèn)題中往往很突出。因此，這些問(wèn)題對(duì)于進(jìn)一步的云計(jì)算安全研究具有特殊的意義。事實(shí)上，目前有許多努力——如安全度量和認(rèn)證方式的開(kāi)發(fā)

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]