信息化觀察網(wǎng)

本周，谷歌發(fā)布了一些新的云安全技術(shù)，旨在讓公共云變得更加安全。其中有一個(gè)叫“Shielded VMs”，該谷歌云平臺(tái)的特征是防止在虛擬機(jī)上安裝rootkits和其它頑固惡意軟件，以及防御會(huì)導(dǎo)致數(shù)據(jù)泄露的其它攻擊。

Shielded VMs使用了一種密碼保護(hù)的測(cè)量VM鏡像基線，并于今天發(fā)布了Beta版，它為虛擬機(jī)提供了“防篡改”機(jī)制，會(huì)提醒用戶其在運(yùn)行時(shí)狀態(tài)的變化。Shielded VMs只能在最初部署的環(huán)境之下運(yùn)行，換句話說(shuō)，它能夠防止虛擬機(jī)通過(guò)“快照”（snap-shotting）或復(fù)制的方式泄露數(shù)據(jù)。

虛擬保護(hù)

一些主要的云供應(yīng)商試圖通過(guò)一些方式，如通過(guò)強(qiáng)化虛擬機(jī)的操作系統(tǒng)鏡像，以及使用“機(jī)密計(jì)算”模型防止底層機(jī)器操作系統(tǒng)提供訪問(wèn)權(quán)限，來(lái)減少對(duì)虛擬機(jī)和云應(yīng)用容器的威脅。

微軟和谷歌都發(fā)布了機(jī)密計(jì)算技術(shù)，微軟的Azure Confidential Compute于去年9月份發(fā)布，谷歌的Asylo框架Beta版于今年5月份發(fā)布。這些平臺(tái)在“可信任的執(zhí)行環(huán)境”中運(yùn)行應(yīng)用容器，這一環(huán)境能夠防止運(yùn)行在底層操作系統(tǒng)或者虛擬環(huán)境下的程序訪問(wèn)這些平臺(tái)的數(shù)據(jù)。

但是這些方式當(dāng)前需要對(duì)應(yīng)用程序或者容器進(jìn)行特別構(gòu)建，以便可以在可信任的環(huán)境中運(yùn)行，并且它們?cè)诒Ｗo(hù)所有的云應(yīng)用程序中并不能發(fā)揮實(shí)際的作用。直接遠(yuǎn)程攻擊平臺(tái)上的虛擬機(jī)的實(shí)例，如Amazon Web Services、Microsoft Azure、和利用操作系統(tǒng)開(kāi)發(fā)的Google Cloud Platform (GCP)，雖然有可能發(fā)生，但還是很罕見(jiàn)的。但是，通過(guò)發(fā)起網(wǎng)絡(luò)釣魚(yú)攻擊來(lái)盜取管理憑據(jù)，如之前民主黨全國(guó)委員會(huì)攻擊事件，使黑客很容易就能夠進(jìn)入到這一系統(tǒng)之中。

云安全公司UpGuard網(wǎng)絡(luò)風(fēng)險(xiǎn)研究主管Chris Vickery指出，人為錯(cuò)誤和系統(tǒng)配置錯(cuò)誤會(huì)成為攻擊者進(jìn)入系統(tǒng)的墊腳石。Vickery說(shuō)：“一種常見(jiàn)的情況是，某個(gè)人將AWS憑據(jù)發(fā)布在Github repo上，但是忘記了對(duì)這些憑據(jù)設(shè)置權(quán)限。”“有了這些憑據(jù)，攻擊者就會(huì)創(chuàng)建一個(gè)虛擬機(jī)快照或者存儲(chǔ)快照，然后將這些快照轉(zhuǎn)移到攻擊者擁有的賬戶下，用于實(shí)施盜竊。”他說(shuō)道。還有一種方法是，他們會(huì)獲取虛擬機(jī)的訪問(wèn)權(quán)限，在這些虛擬機(jī)上安裝rootkits或其它惡意軟件，并賦予他們永久的權(quán)限。

最新的證據(jù)出現(xiàn)在特別律師Robert Mueller于本月早期發(fā)布的訴狀書(shū)中，這一訴狀書(shū)描述了之前未提及過(guò)的俄羅斯對(duì)民主黨全國(guó)委員會(huì)使用的云服務(wù)進(jìn)行國(guó)家攻擊事件。來(lái)自俄羅斯軍方情報(bào)機(jī)構(gòu)總參謀部情報(bào)總局（GRU）的黑客能夠獲取民主黨全國(guó)委員會(huì)用于分析開(kāi)發(fā)的虛擬機(jī)的訪問(wèn)權(quán)限，然后對(duì)虛擬服務(wù)器快照進(jìn)行保存，允許他們克隆虛擬服務(wù)器，以及在同一云服務(wù)中創(chuàng)建另一個(gè)虛擬服務(wù)器，并在服務(wù)器空閑的時(shí)候提取數(shù)據(jù)。

鎖定數(shù)據(jù)

為了防止這類攻擊，Shielded VMs使用了基于固件的UEFI Secure Boot（UEFI安全啟動(dòng)）和virtual Trusted Platform Module（虛擬可信任平臺(tái)模塊）vTPM，這一模塊能夠生成和存儲(chǔ)加密秘鑰。這些秘鑰能夠用于安全啟動(dòng)，保證虛擬機(jī)只能運(yùn)行經(jīng)過(guò)認(rèn)證的軟件，以及Measured Boot（測(cè)量啟動(dòng)）能夠檢查之前的虛擬機(jī)配置基線，以便在啟動(dòng)虛擬機(jī)之前，對(duì)虛擬機(jī)的完整性進(jìn)行更好地控制。

Secure Boot和Measured Boot（安全啟動(dòng)和測(cè)量啟動(dòng)）能夠防止操作系統(tǒng)在啟動(dòng)過(guò)程中運(yùn)行rootkits，以及運(yùn)行內(nèi)核級(jí)別的惡意軟件。Measured Boot能夠通過(guò)StackDriver和谷歌的虛擬機(jī)監(jiān)控工具對(duì)虛擬機(jī)在運(yùn)行狀態(tài)下的完整性進(jìn)行檢測(cè)。

vTPM也能夠用于存儲(chǔ)驅(qū)動(dòng)加密秘鑰，如果無(wú)法獲取訪問(wèn)權(quán)限，那么就難以訪問(wèn)虛擬機(jī)驅(qū)動(dòng)內(nèi)容，除非操作系統(tǒng)在“已知”狀態(tài)下啟動(dòng)。如果虛擬機(jī)的操作系統(tǒng)、Bootloader（引導(dǎo)裝載程序）或者固件鏡像受到損害，那么系統(tǒng)就不會(huì)啟動(dòng)，因此攻擊者將無(wú)法加密虛擬磁盤。如果攻擊者將虛擬機(jī)快照轉(zhuǎn)移到不同的環(huán)境之下，也會(huì)發(fā)生同樣的情況。

谷歌為其容器環(huán)境也使用了類似保護(hù)完整性的技術(shù)，如Google Kubernetes Engine。未來(lái)將會(huì)發(fā)布Beta版本的Binary Authorization（二進(jìn)制授權(quán)），允許用戶在部署這些容器鏡像之前，要求對(duì)容器鏡像的簽名進(jìn)行認(rèn)證，這一管理特征旨在終結(jié)通常和DevOps類型云環(huán)境相關(guān)的“YOLO”部署方法。Binary Authorization簽名能夠通過(guò)創(chuàng)建成為開(kāi)發(fā)和測(cè)試管線的一部分，即在部署之前的最后保障，并且使用了GCP Container Registry Vulnerability Scanning（Ubuntu、Debian和基于Alpine Linux的鏡像）來(lái)在部署之前進(jìn)行安全檢查。

原文作者：SEAN GALLAGHER