一種面向云計(jì)算環(huán)境下虛擬機(jī)的威脅建模方法

摘要：針時(shí)云計(jì)算環(huán)境中虛擬機(jī)平臺(tái)存在的弱點(diǎn)和漏洞，分析研究了虛擬機(jī)可能面臨的威脅和攻擊，基于STRIDE建模技術(shù)構(gòu)建了云計(jì)算環(huán)境下虛擬機(jī)平臺(tái)的安全威脅模型。并對(duì)威脅發(fā)生的可能性和嚴(yán)重程度進(jìn)行量化，從而進(jìn)一步評(píng)估整個(gè)云計(jì)算系統(tǒng)面臨的安全威脅。
關(guān)鍵詞：云計(jì)算；虛擬機(jī)；STRIDE威脅建模

0 引言
云計(jì)算是一種基于互聯(lián)網(wǎng)服務(wù)的新型計(jì)算模式，通過(guò)彈性動(dòng)態(tài)分配虛擬化資源給用戶(hù)帶來(lái)全新的計(jì)算體驗(yàn)，讓用戶(hù)從繁重且昂貴的運(yùn)營(yíng)與維護(hù)中解脫出來(lái)。虛擬化技術(shù)是實(shí)現(xiàn)云計(jì)算最重要的技術(shù)基礎(chǔ)，實(shí)現(xiàn)了物理資源的邏輯抽象和統(tǒng)一表示，解決了資源的動(dòng)態(tài)可重構(gòu)、監(jiān)控和自動(dòng)化部署問(wèn)題。在云計(jì)算技術(shù)飛速發(fā)展的同時(shí)，云計(jì)算系統(tǒng)的安全問(wèn)題也不斷暴露出來(lái)。全球綜合性網(wǎng)絡(luò)安全信息解決方案供應(yīng)商安博士公司基于網(wǎng)絡(luò)安全監(jiān)控平臺(tái)與安全威脅趨勢(shì)，發(fā)布了2011年七大網(wǎng)絡(luò)安全威脅報(bào)告，其中指出，針對(duì)云計(jì)算及虛擬化技術(shù)漏洞的攻擊所占比重越來(lái)越大。
云計(jì)算的安全問(wèn)題引起了廣泛的關(guān)注。Chen Qian，Jia Tiejun，J．Schiffman等人分別研究了云計(jì)算模型、云安全、云服務(wù)基礎(chǔ)架構(gòu)安全與挑戰(zhàn)等問(wèn)題。張紅斌等人研究建立了內(nèi)部威脅云模型，實(shí)現(xiàn)了基于云模型的內(nèi)部威脅感知算法。本文擬通過(guò)分析研究云計(jì)算環(huán)境下虛擬機(jī)平臺(tái)所面臨的常見(jiàn)安全威脅，建立威脅模型來(lái)確定和評(píng)估云計(jì)算系統(tǒng)的安全威脅及系統(tǒng)漏洞嚴(yán)重程度，有助于制定完整的安全策略來(lái)對(duì)抗云計(jì)算系統(tǒng)所面臨的威脅。

1 虛擬機(jī)威脅建模流程
STRIDE威脅建模技術(shù)是微軟公司提出的一項(xiàng)技術(shù)，廣泛用于安全系統(tǒng)的威脅建模。STRIDE是6種威脅的首字母縮寫(xiě)：
(1)欺騙標(biāo)識(shí)(Spoofing identity)，使用另一個(gè)用戶(hù)的用戶(hù)名和口令、認(rèn)證信息等。
(2)篡改數(shù)據(jù)(Tampering with data)，惡意修改數(shù)據(jù)。
(3)拒絕履約(Repudiation)，用戶(hù)拒絕從事一項(xiàng)活動(dòng)，而又沒(méi)有辦法證明其拒絕履約。
(4)信息泄漏(Information disclosure)，把信息暴露給無(wú)訪問(wèn)權(quán)限的用戶(hù)。
(5)拒絕服務(wù)(Denial of Service)，使合法用戶(hù)得不到服務(wù)。
(6)特權(quán)提升(Elevation of Privilege)，使沒(méi)有特權(quán)的用戶(hù)獲得特權(quán)，從而有足夠的能力損壞或摧毀整個(gè)系統(tǒng)。
云計(jì)算環(huán)境下虛擬機(jī)STRIDE安全威脅模型建立過(guò)程，可以概括為云系統(tǒng)結(jié)構(gòu)分析、威脅識(shí)別、威脅量化評(píng)估3個(gè)階段。其中，系統(tǒng)結(jié)構(gòu)分析階段是通過(guò)對(duì)云計(jì)算系統(tǒng)的架構(gòu)分析，劃定系統(tǒng)的各個(gè)層面和安全邊界。威脅識(shí)別階段通過(guò)分析、識(shí)別云計(jì)算系統(tǒng)運(yùn)行的關(guān)鍵節(jié)點(diǎn)和數(shù)據(jù)所面臨的威脅來(lái)構(gòu)建STRIDE模型。威脅量化評(píng)估階段是對(duì)識(shí)別的威脅進(jìn)行量化，進(jìn)而對(duì)整個(gè)云計(jì)算系統(tǒng)面臨的安全威脅嚴(yán)重程度進(jìn)行評(píng)估。

2 云計(jì)算環(huán)境下虛擬機(jī)架構(gòu)分析
虛擬機(jī)按照實(shí)現(xiàn)架構(gòu)主要分為I型(Bare-Metal，裸機(jī)型)和Ⅱ型(Hosted，宿主型)兩大類(lèi)。I型虛擬機(jī)中，虛擬化技術(shù)通過(guò)直接在硬件平臺(tái)上添加一層虛擬機(jī)監(jiān)控器(Virtual Machine Monitor，VMM，也稱(chēng)Hyper-visor)程序，實(shí)現(xiàn)對(duì)CPU、內(nèi)存管理器及I／O系統(tǒng)等的虛擬化管理，并負(fù)責(zé)對(duì)硬件資源的調(diào)度、所有虛擬機(jī)(Virtual machine，VM)的管理并響應(yīng)虛擬機(jī)的請(qǐng)求。I型虛擬機(jī)主要應(yīng)用于服務(wù)器虛擬化。Ⅱ型虛擬機(jī)通過(guò)在寄主操作系統(tǒng)中構(gòu)建一個(gè)虛擬化管理層實(shí)現(xiàn)對(duì)虛擬機(jī)的管理，該型虛擬機(jī)主要應(yīng)用于桌面虛擬化。在云計(jì)算環(huán)境下，參照I型虛擬機(jī)架構(gòu)，可以將提供云服務(wù)的虛擬化平臺(tái)分為用戶(hù)層、應(yīng)用層、系統(tǒng)層、監(jiān)控層、硬件層等五個(gè)層面，如圖1所示。

虛擬化技術(shù)的引入也帶來(lái)了新的安全威脅與挑戰(zhàn)，主要表現(xiàn)為以下幾個(gè)方面：
(1)虛擬機(jī)監(jiān)控器引入新的安全威脅。當(dāng)VMM本身存在的潛在漏洞或配置錯(cuò)誤被攻擊時(shí)，極易造成虛擬機(jī)溢出，也稱(chēng)為虛擬機(jī)逃逸，即攻擊者可以獲得對(duì)虛擬機(jī)監(jiān)控器或虛擬機(jī)管理系統(tǒng)的控制。
(2)虛擬機(jī)遷移引入新的安全威脅。虛擬機(jī)實(shí)時(shí)遷移技術(shù)可以使虛擬機(jī)在不中斷應(yīng)用的情況下在不同的物理主機(jī)之間實(shí)時(shí)進(jìn)行遷移，對(duì)于分布式數(shù)據(jù)中心、集群的負(fù)載均衡和災(zāi)難恢復(fù)有重大意義。虛擬機(jī)實(shí)時(shí)遷移過(guò)程中，攻擊者可能對(duì)遷移控制層、遷移數(shù)據(jù)層、遷移模塊等發(fā)動(dòng)攻擊，這對(duì)虛擬機(jī)的可靠運(yùn)行帶來(lái)了安全挑戰(zhàn)。
(3)虛擬機(jī)共享機(jī)制引入的安全威脅。為了保證應(yīng)用層服務(wù)能夠相對(duì)平等高效地共享底層硬件，虛擬化技術(shù)提供了大量的共享資源，而這些共享資源則成為隱蔽通道發(fā)生的源泉。另外數(shù)據(jù)殘留也有可能造成敏感信息泄露。
(4)新增的網(wǎng)絡(luò)監(jiān)管障礙。在虛擬化數(shù)據(jù)中心中采用了新的網(wǎng)絡(luò)模型，幾十個(gè)操作系統(tǒng)或應(yīng)用程序以虛擬機(jī)的形式同時(shí)部署在物理服務(wù)器上，這些虛擬機(jī)同時(shí)共享該服務(wù)器的硬件資源，虛擬機(jī)間的網(wǎng)絡(luò)流量不經(jīng)過(guò)傳統(tǒng)的硬件防火墻、IDS和IPS等網(wǎng)絡(luò)安全設(shè)備，這顯然是網(wǎng)絡(luò)安全防護(hù)中的盲點(diǎn)。當(dāng)一臺(tái)虛擬機(jī)發(fā)生問(wèn)題時(shí)，安全威脅就會(huì)通過(guò)網(wǎng)絡(luò)蔓延至其他的虛擬機(jī)。