一種面向云計算環(huán)境下虛擬機的威脅建模方法

摘要：針時(shí)云計算環(huán)境中虛擬機平臺存在的弱點(diǎn)和漏洞，分析研究了虛擬機可能面臨的威脅和攻擊，基于STRIDE建模技術(shù)構建了云計算環(huán)境下虛擬機平臺的安全威脅模型。并對威脅發(fā)生的可能性和嚴重程度進(jìn)行量化，從而進(jìn)一步評估整個(gè)云計算系統面臨的安全威脅。
關(guān)鍵詞：云計算；虛擬機；STRIDE威脅建模

0 引言
云計算是一種基于互聯(lián)網(wǎng)服務(wù)的新型計算模式，通過(guò)彈性動(dòng)態(tài)分配虛擬化資源給用戶(hù)帶來(lái)全新的計算體驗，讓用戶(hù)從繁重且昂貴的運營(yíng)與維護中解脫出來(lái)。虛擬化技術(shù)是實(shí)現云計算最重要的技術(shù)基礎，實(shí)現了物理資源的邏輯抽象和統一表示，解決了資源的動(dòng)態(tài)可重構、監控和自動(dòng)化部署問(wèn)題。在云計算技術(shù)飛速發(fā)展的同時(shí)，云計算系統的安全問(wèn)題也不斷暴露出來(lái)。全球綜合性網(wǎng)絡(luò )安全信息解決方案供應商安博士公司基于網(wǎng)絡(luò )安全監控平臺與安全威脅趨勢，發(fā)布了2011年七大網(wǎng)絡(luò )安全威脅報告，其中指出，針對云計算及虛擬化技術(shù)漏洞的攻擊所占比重越來(lái)越大。
云計算的安全問(wèn)題引起了廣泛的關(guān)注。Chen Qian，Jia Tiejun，J．Schiffman等人分別研究了云計算模型、云安全、云服務(wù)基礎架構安全與挑戰等問(wèn)題。張紅斌等人研究建立了內部威脅云模型，實(shí)現了基于云模型的內部威脅感知算法。本文擬通過(guò)分析研究云計算環(huán)境下虛擬機平臺所面臨的常見(jiàn)安全威脅，建立威脅模型來(lái)確定和評估云計算系統的安全威脅及系統漏洞嚴重程度，有助于制定完整的安全策略來(lái)對抗云計算系統所面臨的威脅。

1 虛擬機威脅建模流程
STRIDE威脅建模技術(shù)是微軟公司提出的一項技術(shù)，廣泛用于安全系統的威脅建模。STRIDE是6種威脅的首字母縮寫(xiě)：
(1)欺騙標識(Spoofing identity)，使用另一個(gè)用戶(hù)的用戶(hù)名和口令、認證信息等。
(2)篡改數據(Tampering with data)，惡意修改數據。
(3)拒絕履約(Repudiation)，用戶(hù)拒絕從事一項活動(dòng)，而又沒(méi)有辦法證明其拒絕履約。
(4)信息泄漏(Information disclosure)，把信息暴露給無(wú)訪(fǎng)問(wèn)權限的用戶(hù)。
(5)拒絕服務(wù)(Denial of Service)，使合法用戶(hù)得不到服務(wù)。
(6)特權提升(Elevation of Privilege)，使沒(méi)有特權的用戶(hù)獲得特權，從而有足夠的能力損壞或摧毀整個(gè)系統。
云計算環(huán)境下虛擬機STRIDE安全威脅模型建立過(guò)程，可以概括為云系統結構分析、威脅識別、威脅量化評估3個(gè)階段。其中，系統結構分析階段是通過(guò)對云計算系統的架構分析，劃定系統的各個(gè)層面和安全邊界。威脅識別階段通過(guò)分析、識別云計算系統運行的關(guān)鍵節點(diǎn)和數據所面臨的威脅來(lái)構建STRIDE模型。威脅量化評估階段是對識別的威脅進(jìn)行量化，進(jìn)而對整個(gè)云計算系統面臨的安全威脅嚴重程度進(jìn)行評估。

2 云計算環(huán)境下虛擬機架構分析
虛擬機按照實(shí)現架構主要分為I型(Bare-Metal，裸機型)和Ⅱ型(Hosted，宿主型)兩大類(lèi)。I型虛擬機中，虛擬化技術(shù)通過(guò)直接在硬件平臺上添加一層虛擬機監控器(Virtual Machine Monitor，VMM，也稱(chēng)Hyper-visor)程序，實(shí)現對CPU、內存管理器及I／O系統等的虛擬化管理，并負責對硬件資源的調度、所有虛擬機(Virtual machine，VM)的管理并響應虛擬機的請求。I型虛擬機主要應用于服務(wù)器虛擬化。Ⅱ型虛擬機通過(guò)在寄主操作系統中構建一個(gè)虛擬化管理層實(shí)現對虛擬機的管理，該型虛擬機主要應用于桌面虛擬化。在云計算環(huán)境下，參照I型虛擬機架構，可以將提供云服務(wù)的虛擬化平臺分為用戶(hù)層、應用層、系統層、監控層、硬件層等五個(gè)層面，如圖1所示。

虛擬化技術(shù)的引入也帶來(lái)了新的安全威脅與挑戰，主要表現為以下幾個(gè)方面：
(1)虛擬機監控器引入新的安全威脅。當VMM本身存在的潛在漏洞或配置錯誤被攻擊時(shí)，極易造成虛擬機溢出，也稱(chēng)為虛擬機逃逸，即攻擊者可以獲得對虛擬機監控器或虛擬機管理系統的控制。
(2)虛擬機遷移引入新的安全威脅。虛擬機實(shí)時(shí)遷移技術(shù)可以使虛擬機在不中斷應用的情況下在不同的物理主機之間實(shí)時(shí)進(jìn)行遷移，對于分布式數據中心、集群的負載均衡和災難恢復有重大意義。虛擬機實(shí)時(shí)遷移過(guò)程中，攻擊者可能對遷移控制層、遷移數據層、遷移模塊等發(fā)動(dòng)攻擊，這對虛擬機的可靠運行帶來(lái)了安全挑戰。
(3)虛擬機共享機制引入的安全威脅。為了保證應用層服務(wù)能夠相對平等高效地共享底層硬件，虛擬化技術(shù)提供了大量的共享資源，而這些共享資源則成為隱蔽通道發(fā)生的源泉。另外數據殘留也有可能造成敏感信息泄露。
(4)新增的網(wǎng)絡(luò )監管障礙。在虛擬化數據中心中采用了新的網(wǎng)絡(luò )模型，幾十個(gè)操作系統或應用程序以虛擬機的形式同時(shí)部署在物理服務(wù)器上，這些虛擬機同時(shí)共享該服務(wù)器的硬件資源，虛擬機間的網(wǎng)絡(luò )流量不經(jīng)過(guò)傳統的硬件防火墻、IDS和IPS等網(wǎng)絡(luò )安全設備，這顯然是網(wǎng)絡(luò )安全防護中的盲點(diǎn)。當一臺虛擬機發(fā)生問(wèn)題時(shí)，安全威脅就會(huì )通過(guò)網(wǎng)絡(luò )蔓延至其他的虛擬機。