粮食云安全管控<br/>——云计算机内部威胁

粮食云安全管控
——云计算机内部威胁

2017-06-28李庐刘川意

中国粮食经济 2017年4期

关键词：内部人员管理员密码

文/李庐刘川意

粮食云安全管控
——云计算机内部威胁

文/李庐刘川意

云计算由于其敏捷、弹性、紧密贴合业务的特点，在粮食信息化中获得越来越广泛的应用。作为云计算的重要特性，安全性也备受关注：云计算的安全威胁有哪些？如何在云架构中获得比传统架构更好的安全特性？粮食云的实践中，有哪些安全要素需要特别关注和管控？

为了回答这些问题，本栏目将刊登《粮食云安全管控》系列文章，探讨粮食云安全的不同侧面。这些内容来自IT行业的研究成果，以及粮食云的实施经验。

一、什么是内部威胁

内部威胁是云计算安全面临最严重挑战之一。2013年斯诺登事件即内部人员公开内部数据给媒体引起广泛关注，但这只是内部威胁安全的冰山一角。SailPoint安全公司曾做过一个安全调查，受访者中20%的人表示只要价钱合适会出卖自己的工作账号和密码；美国计算机安全协会（CSI）和联邦调查局（FBI）在2008年的报告中指出内部安全事件所造成的损失明显高于外部安全事件；2015年普华永道的调查指出中国大陆与香港地区的企业信息安全事件中50%以上是由内部人员造成的。

根据计算机安全响应组（CERT）的定义，内部威胁是指一个或多个现在或以前的公司员工、外包商或合作伙伴，具有对网络、系统或数据的访问权限，故意滥用或误用自己的权限损害公司信息或信息系统保密性、完整性、可用性。2016年2月，云安全联盟（CSA）在报告中列举了云计算模式下的十二大风险，其中恶意内部人员威胁赫然在列（Malicious Insiders）。对比传统模式下应对内部威胁的典型方法，云计算模式的引入带来了很多新的安全问题和挑战，亟需找到有效的解决办法。

1.云恶意管理员

在云环境下恶意管理员，包括云平台管理员、虚拟镜像管理员、系统管理员、应用程序管理员等，可利用自己的特权窃取用户隐私数据，由于本身属于防范边界内受信任的实体，传统的安全策略难以防范，如云平台管理员转储虚拟机内存并分析其中的用户数据。

2.利用使用云带来的漏洞

图1 威胁模型

图2 修改linux虚拟机密码

内部人员了解云的组织结构和应用程序特点，可利用其中的漏洞实施恶意攻击。如部署在云环境下不同区域的多服务器程序同步消息时，一般情况下同步过程比传统的处于同一区域的本地服务器程序要慢，恶意内部人员可利用这一时间差作恶，窃取数据或获取利益。

3.复杂的数据资源和访问接口

在云环境下用户和资源的关系是动态变化的，云服务提供商和用户往往并不在相同的安全域中，用户使用的访问终端也是多种多样的，需要动态访问控制。基于传统的安全认证并不能防止内部人员作恶，如上述恶意管理员可偷窥到用户正在访问的虚拟机的统一资源定位符（URL）并可直接利用此URL进入虚拟机。

4.使用云作恶

云环境的引入也为内部人员作恶带来了便利，如恶意内部人员利用云服务的计算处理能力来破解密码文件，或利用云相对便宜、轻松配置的特性发动分布式拒绝服务攻击等。

二、内部威胁的案例

为揭示云计算模式内部威胁问题，我们真实实现了恶意内部人员窃取用户数据的攻击实例。实例中内部人员可利用自己的特权成功得到用户的隐私数据，例如云管理员可通过修改Linux或Windows用户虚拟机登录密码侵入虚拟机，制作虚拟机镜像时安装后门程序，利用内存分析工具将虚拟机内存导出并分析，截获虚拟机的访问会话进入虚拟机等手段窃取用户隐私数据，如图1所示。

1.云管理员删除虚拟机登录密码

用户放在云上的Linux虚拟机，其Root密码是用户自己设定的，防止别人入侵。但云管理员可直接对Linux虚拟机磁盘文件进行修改绕过检测，登入虚拟机窃取数据。如图2所示，大致过程如下。

（1）在OpenStack云平台（同时适用于其它云平台）下，云管理员登录云平台后，获取云主机ID。

（2）云管理员登录运行该云主机的物理机，拷贝一个云主机实例（instance），并将其挂载到另一个操作系统中。

（3）编辑用户密码文件，将含有登录用户名和密码的一行删除，绕过用户虚拟机的密码登录环节。

（4）云管理员启动该云主机，可无需密码直接登录该云主机，对云主机进行操作，如图2所示。

2.云管理员篡改虚拟机登录密码

对于主流云平台上的Windows虚拟机，同样存在着被入侵的风险。如图3所示，大致过程为以下4点。

（1）在主流云平台下，云管理员将安装光盘挂载到虚拟机，并以安装盘启动虚拟机。

（2）选择修复计算机，在系统恢复选项中，运行命令提示符。在system32目录下，用cmd.exe替换其他可执行程序。

（3）重新启动虚拟机，执行被替换的程序，此时实际执行cmd. exe的命令。

（4）使用命令行方式修改管理员登录密码，如图3所示。

3.云管理员制作带有后门或木马的虚拟机镜像

云平台一般拥有大量的计算节点，不可能一个个安装，而是利用虚拟机镜像启动虚拟机。如果镜像由云平台内部管理人员制作，则云管理员可在镜像中轻松植入后门或木马程序。如图4所示，在使用该镜像生成用户虚拟机时，系统中将会留下后门，使得云管理员轻松获取虚拟机运行中生成的数据，如图4所示。

图3 修改windows虚拟机密码

图4 植入后门程序到虚拟机

三、内部威胁防范方法

针对云计算的内部威胁，需要有多重方法进行防范。主要包括用户行为分析、云管理权限划分和数据加密。

1.用户行为分析

用户在使用云平台服务时，会留下大量的日志信息和行为轨迹，一般称之为“用户行为数据”。这些数据一定程度上反映出了用户的个人特征和使用意图。用户的行为数据包括以下4点。

（1）用户的认证信息：用户在接入云服务时用于确认用户身份的基本信息，包括用户标志、用户密码、用户指纹等。更进一步地采集用户所在的位置（IP地址）、用户的权限等级、用户的物理地址也属于直接认证的范畴。

（2）网络数据信息：用户在使用云服务的过程中，会在网络上留下大量的数据信息，如网站接入信息、云主机记录、网络输出记录、网站访问记录、防火墙信息、DNS记录等，深入分析这些信息可以及时发现内部危险行为并进行预警。采集这些细节的网络数据信息，可以从根本上对内部入侵进行防护。

（3）用户的活动日志：用户在使用系统时系统对用户具体操作进行的详细记录。用户日志详尽地描述了用户进行的一系列活动，例如Web服务器日志、活动目录日志数据、用户使用Unix命令日志等。因此，它被广泛的用于检测组织内部人员的可疑活动。

（4）用户的生物学行为特征：用户在使用终端进行操作时，硬件可以采集的用户使用模式特征或固有特性。如用户使用键盘和鼠标的最常用的使用习惯信息、用户的指纹或虹膜信息等。分析这类数据可以准确的判断操作者是否为本人，从而及时发现用户账号密码被窃取情况。

2.云管理权限划分

主要针对云系统中资源或数据制定细粒度权限划分；或是在硬件层或虚拟机管理器层对用户数据的访问进行执行时验证，使管理员即使拥有系统权限也无法得到客户的真实数据。

在虚拟化平台中，虚拟机管理器（VMM）是云平台最有权限的软件，可以访问包括用户虚拟机（VM）的所有资源。特权域（Dom0）是用户VM管理域，管理和复用硬件资源，管理客户虚拟机，比客户虚拟机拥有更多特权。传统的VMM赋予Dom0的权限太大，致使恶意的内部管理员可以利用Dom0的权限侵害用户数据隐私，如云管理员可利用虚拟机管理域导出虚拟机内存窃取用户数据。

自服务云计算模型（SSC）利用隔离虚拟机、分割Dom0特权来防止特权域对用户隐私造成威胁，VMM将原有Dom0的权限分离，以防止用户数据受到来自管理域的攻击威胁。SSC中的虚拟机管理器将原有管理域的权限分离，并提供了两类管理域。（1）由云管理员使用的解除特权的系统管理域。（2）基于用户的管理域，用户可以使用该管理域管理自身虚拟机。这种新型权限模型阻止了恶意的内部管理员去监听或者修改用户虚拟机状态，并且使用户更加灵活地控制自己的虚拟机。

3.用户可控的数据加密

前文主要是针对如何管控云端的管理权限，但云模式的实质是数据的所有权和控制权分离了，用户失去了对其数据的直接管理。因此，用户的最后杀手锏即是把数据加密以后再存储到云端。若用户密钥也在云中存储和使用，则云管理员可通过特权域得到密钥进而窃取用户数据。所以数据最好在客户端加密再上传到云服务器，解密密钥在用户手里，而服务商只能看到密文，数据控制权完全在用户手中。一般把这种思路称为“用户可控的数据加密”。进一步从是否依赖云服务商的角度可将现有工作分为不依赖云服务提供商的用户数据加密和依赖云服务提供商的用户数据加密。