1、Daoli Company All Rights Reserved 2011毛文波道里云信息技術（北京）有限公司網(wǎng)址：http:/郵箱：Daoli Company All Rights Reserved 2011當服務器整合遇到虛擬化，當服務器整合遇到虛擬化，ITIT管理管理 開始具有流動性與自動化開始具有流動性與自動化IT IT 變?yōu)榉兆優(yōu)榉瞻葱杼峁┓瞻葱杼峁┓召Y源資源利用率提高利用率提高負載負載均衡均衡容災備份容災備份高可靠性高可靠性自動化安全策略執(zhí)行自動化安全策略執(zhí)行流水線化資源管理流水線化資源管理高質(zhì)量用戶數(shù)據(jù)管理高質(zhì)量用戶數(shù)據(jù)管理綠色綠色節(jié)能節(jié)能但是：但是：虛擬虛擬化多租客環(huán)

2、境化多租客環(huán)境引入新的安全挑戰(zhàn)引入新的安全挑戰(zhàn)CPU PoolStorage PoolStoragePoolOracle CRMSAP ERPFile/PrintExchangeVirtualizationVirtualizationVirtualizationVirtualizationVirtual Infrastructure虛擬架構上安全問題一個復制虛擬機問題的真實案例，見 http:/ ：一個保險公司的程序員對一個復制的虛擬機進行調(diào)試時，無意中讓虛擬機向許多客戶發(fā)出了支票！亞馬遜EC2：雖然采用了安全殼加密SSH登錄技術，系統(tǒng)管理員可以通過復制租客虛擬機文件，重置所復制虛擬機的roo

3、t身份，獲得原虛擬機的SSH密鑰從而入侵原租客虛擬機。此類攻擊得逞的根本原因在于當前云計算虛擬架構缺乏對租客虛擬機全生命周期提供安全保護，可以讓攻擊者輕易獲得租客虛擬機文件中所含租客的關鍵秘密。但是業(yè)界正在努力！Gartner預測：在2012年，60%的虛擬機服務器不如物理服務器安全，至2015年，該數(shù)字將降至30%XenSource 創(chuàng)始人 Simon Crosby，Ian Pratt與前Phoenix的CTO Gaurav Banga于今年7月成立了Bromium，專攻云虛擬架構安全問題Daoli Company All Rights Reserved 2011Daoli Company

4、All Rights Reserved 2011云計算虛擬架構為什么必須可信？云計算虛擬架構為什么必須可信？攻擊界面攻擊成功注入多租客數(shù)據(jù)中心可信嗎？多租客數(shù)據(jù)中心可信嗎？l數(shù)據(jù)中心軟件系統(tǒng)可信嗎？l數(shù)據(jù)中心系統(tǒng)管理員可信嗎？硬盤加密？硬盤加密？l密鑰在哪里？l加密和解密過程在哪里進行？你的數(shù)據(jù)有備份嗎？你的數(shù)據(jù)有備份嗎？l備份到哪里去了？l安全策略的執(zhí)行環(huán)境是否安全？當前可信虛擬架構方法Where HROT = Hardware with Root of Trust TCB = Trusted Computing Base, more likely in software Verifiers

5、 = Tenant, Auditor, Regulator, Certifier, , any party who cares for data security in the cloud data centerDaoli Company All Rights Reserved 2011HROTE.g., TCM / TPM / TXTTCB, e.g., a hypervisor,Measured and reported to verifiers by HROTTenant isolated spacee.g., VMTenant isolated spacee.g., VMTenant

6、isolated spacee.g., VM可信計算（云虛擬架構）當前應用狀況TCM, TPM：靜態(tài)信任根，需要建立信任鏈目前商用案例還局限于客戶端平臺，但囿于客戶端平臺管理能力，已知此類應用更局限于將TCM/TPM視為OS以上的一個外設，如密碼模塊，與“U盾”類似，用于保護密鑰（如eCryptfs）此類用法屬于“馬（TCM）在車（OS）后推車”，應用層編程而已，不是可信計算TXT: Intel 的 Trusted Execution Technology：動態(tài)信任根可信計算方法TCB = hypervisor, 度量后可做平臺報告，又叫做MLE（Measured Launch Environ

7、ment）Roswell項目：Intel, VMWare, RSA與Archer (2010), 一個概念證明原型，證明云服務策略合規(guī)，如：有TXT支持虛擬架構上的虛擬機不可遷移至無TXT支持情況進一步商業(yè)開發(fā)工作：Hytrust (2011)Daoli Company All Rights Reserved 2011Daoli Company All Rights Reserved 2011通常的虛擬機監(jiān)控器通常的虛擬機監(jiān)控器VMMVMM并不可信并不可信虛擬化軟件代碼行數(shù)不斷增長攻擊面不斷擴大設計、編碼的正確性無法有效檢查動態(tài)代碼，無法有效度量45KXen-2.0121KXen-3.0270

8、KXen-4.04,136KLinux-2.6.94,807KLinux-2.6.167,560K = 7百50萬Linux-2.6.31圖中數(shù)字為代碼行數(shù)目Daoli Company All Rights Reserved 2011關于代碼度量：重審關于代碼度量：重審TCGTCG“信任鏈信任鏈”度量系統(tǒng)代碼，即：對二進制執(zhí)行代碼取哈希值負載均衡容災備份重復數(shù)據(jù)刪除虛擬機遷移Web服務 磁盤熱插拔 技術問題：許多代碼都含有動態(tài)連接庫部分（如 dll）代碼在執(zhí)行過程中會不斷變化，怎么辦？本質(zhì)問題：本質(zhì)問題：度量這些與安全無關的業(yè)務有何意義？BIOS MeasuresROMsMeasuresMea

9、suresMeasuresSends ValueSends ValueSends ValueOS LoaderOSComponentsComponentsComponentsComponentsOS ComponentsBuilding Chain of TrustAppsSends ValueMeasuresDaoli Company All Rights Reserved 2011VM_EntryVM_EntryVM_ExitVM_Exit可信云計算解決方案（復旦大學）可信云計算解決方案（復旦大學）創(chuàng)新性應用嵌套式虛擬化技術Cloud Visor (CV, 道里安全管理器)，僅僅負責虛擬化

10、（許多）任務中的硬件隔離硬件隔離子任務CV跑在最高特權級確保租客VM不被非法入侵VMM被降權至普通VM的低特權級，仍然可以處理與隔離無關的（許多）其它虛擬化任務由于任務簡單，CV可以做成一個極小、靜態(tài)模塊，易檢查，可度量Cloud Visor (CV)硬件HardwareTXT / TCM / TPMVMAPPOSVMM成果已被全球頂尖操作系統(tǒng)學術會議錄用23rd ACM Symposium on OperatingSystems Principles（ACM SOSP11）Daoli Company All Rights Reserved 2011可信計算的創(chuàng)新實現(xiàn)：無信任鏈可信計算可信計算

11、的創(chuàng)新實現(xiàn)：無信任鏈可信計算CV運行在軟件最高特權層，任何破壞隔離的攻擊企圖都會造成指令流自動下陷至CV，被阻擋VM1與CV之間的系統(tǒng)軟件部件無需被信任，排除在可信基之外因此無需建立“信任鏈”CV實際上有效實現(xiàn)了Intel TXT中的“度量過的啟動環(huán)境”MLECVCV硬件資源硬件資源HardwareTXT/TCM/TPMVMMVMMVM1VM2VMn。攻擊會造成指令流下陷Daoli Company All Rights Reserved 2011用例用例1 1：清華大學可信校園云存儲：清華大學可信校園云存儲清華大學可信校園云存儲系統(tǒng)清華大學可信校園云存儲系統(tǒng)CORSAIRCORSAIR部署情況

12、：100TBytes 的總存儲空間3個數(shù)據(jù)中心出口帶寬1.2Gpbs（一個千兆口、2個百兆口）開設了攻擊課程可以隨意篡改虛擬機監(jiān)控器Xen或管理虛擬機Dom0可以在Xen或Dom0中植入木馬或病毒目標：獲取用戶虛擬機中處理的數(shù)據(jù)結果：無CV時成功，有CV時失敗下載次數(shù)下載次數(shù)97410注冊用戶注冊用戶10015注冊社區(qū)注冊社區(qū)516數(shù)據(jù)流量數(shù)據(jù)流量70TB日流量日流量1.1TB/日日使用頻率（人次使用頻率（人次/日）日）3100/日日Daoli Company All Rights Reserved 2011用例用例2 2：網(wǎng)絡存儲工業(yè)協(xié)會（：網(wǎng)絡存儲工業(yè)協(xié)會（SNIA)SNIA)云存儲標準云

13、存儲標準lSNIA云存儲標準 CDMI（Cloud Data Management Interface）l應用了 Intel 最新技術 IOV，均勻分布云存儲數(shù)據(jù)處理任務，各虛擬機可直接應用本地IO驅(qū)動器，從而大大提高了IO效率l云存儲數(shù)據(jù)“集裝箱”化管理l安全負載均衡l安全重復數(shù)據(jù)刪除l高可用系統(tǒng)安全異地備份 本地存儲 網(wǎng)絡存儲 客戶端冗余磁盤SSLPlatformAttestationCV硬件資源硬件資源TXT/TCM/TPM管理管理工具工具VMMVMVMVMCDMI作為作為SaaS應用應用RESTWindows FSLinux FS SOAP客戶端客戶端Daoli Company All

14、 Rights Reserved 2011用例用例3 3：安全遠程虛擬桌面：安全遠程虛擬桌面VMVMVMCV硬件資源硬件資源TXT/TCM/TPM網(wǎng)絡加密網(wǎng)絡加密PlatformAttestation管理管理工具工具VMM安全遠程虛擬桌面TCM/TPM的硬件抗攻擊性被虛擬為軟件環(huán)境的不可入侵性不可入侵的軟件環(huán)境在客戶端呈現(xiàn)為遠程桌面，由用戶獨自使用Daoli Company All Rights Reserved 2011CVCV的實現(xiàn)與性能的實現(xiàn)與性能5000行代碼，是一個非常小的可信計算基；不依托特定軟件，透明支持Xen，也可支持其他廠商的VMM，如微軟的Hyper-V，Vmware的ES

15、X，開源社區(qū)的KVM等；可以運行于未經(jīng)修改的現(xiàn)有主流操作系統(tǒng)，如Windows和Linux服務器；支持國產(chǎn)TCM可信計算標準。系統(tǒng)執(zhí)行效益比較100100111.6102.7050100150Linux VMWindows VM100%CV + XenXen結論結論嵌套式虛擬化，使安全管理器CV位于軟件棧底層，具有最高管理權限，專門負責硬件隔離由于任務簡單，所以可將CV做成一個極小可信計算基商用成功的VMM被降權，仍然管理平臺虛擬化任務，這是道里技術達到商業(yè)應用成熟的關鍵提出并實現(xiàn)了一個可信計算技術的新方法：首創(chuàng)無信任鏈方法，已被全球頂尖學術論壇錄取：23rd ACM Symposium on Operating Systems Principle (SOSP11) A new way to realize the TCG Technology: Trust-Chain-Less Method, Accepted by the top