我撰写过一些关于安全性的文章,因此我对“云服务”或者“分时转化”很感兴趣,我的前辈们是否认为它们是安全的呢。几乎从一开始,在不断地有人说云服务如何如何便利,于是乎云服务引起了我的关注。
从什么时候开始便利成为坏事了呢?这很不正常,但是在数字世界里,当前的意识形态对于便利和安全是相对立的两极。我把它比喻成水和油的混合。用力的摇动后,它们会混合成在一起,但是过段时间后,它们会分离开。
我经常被请求一下对于云服务的观点。但是,对任何关于当前云服务支持和反对的言论,我都婉言拒绝了,因为讨论安全和云服务是毫无实际意义的。到目前为止,两者没有获得任何有力支持的证据。
首要的缺陷
正如我所提到的,我一直在寻找关于云服务安全性的所有线索。到目前为止,这些线索的调查已经遇到了死胡同。我从一个调查小组了解到,他们发现了一个可以被利用的漏洞;如果其驻留在云服务中就会威胁到数据的安全性。
我很担心这是真实的情况。该小组成员Ari Juels (RSA安全实验室),AlinaOprea (RSA安全实验室),Michael Reiter (北卡罗来纳大学教堂山分校),Thomas Ristenpart (美国威斯康星大学麦迪逊分校)和Yinqian Zhang (北卡罗来纳大学教堂山分校) 已经做了足够多的研究以便支持他们所发表的多篇学术论文,并且证明他们有能力从云服务中获取私人密钥。(“HomeAlone软件:通过旁道攻击方法对云服务中的共存检测分析”和“跨虚拟旁道攻击方法且利用其获取私人密钥”)。
我不打算让这样的机会就这样溜走。我与Juels博士取得了联系,并且他同意了回答我所提出的问题。但是,首先,我要思考如何对云服务做出最恰当的定义(参考维基百科):
云计算服务是基于网络(通常指互联网),利用计算机资源(硬件和软件)作为一种服务的方式。这个名字使用云状符号作为一种抽象的概念,在这个系统图形中它包含了复杂的基础架构。云计算用于托管用户的数据,软件和计算服务。
Kassner: Juels博士,云服务涵盖了很多领域。为了让我们了解您的研究成果,请阐述一下您所关注的是什么呢?
Juels博士: 我认为这个词被定义的相当广义,但是关于安全性的问题应该值得强调。许多云计算应用的安全问题源于将资源托管到第三方的客户,而在过去这些第三方是能被控制的。
可控和可见性丧失的结果导致大范围的安全问题。其他的安全威胁来自于云服务建立起来的集中化,这导致了大量的攻击者被吸引到云计算。但是,集中化也并不是没有任何好处。
Kassner: 对于经济可行性来说,在一台物理服务器上使用多个虚拟机(VM)是一个重要的原因。 在您一开始的意见和研究论文中,谈到在一台物理服务器上共享被认为是自寻烦恼。这是为什么呢?
Juels博士: 虚拟机在邻里之间创建了一个相对隔离的环境。这是一个具有抽象性的便利,但是它掩盖了一个重要的现实:共享硬件意味着在无意间也会共享信息。对于低安全性的应用程序来说,这可能不是问题,但是客户需要了解这种架构的风险。
Kassner: 为了验证服务器上的虚拟机是否存在风险,您和您的团队创建了一个HomeAlone软件。关于HomeAlone软件,研究论文中指出:
HomeAlone 的核心思想是将旁道攻击的应用进行反转。而不是利用旁道攻击的漏洞作为一个攻击源,HomeAlone 使用一个旁道(在L2缓存中)作为一个新型的,具有防御性的检测工具。
什么是旁道?可以请您解释一下HomeAlone的工作原理吗?
Juels博士: 所谓旁道是源于系统设计的副产品,它能够造成信息的泄露,而不是一个自身具有的功能。例如,如果两个虚拟机共享一个高速缓存,其中一个虚拟机能够通过检测另一个虚拟机的痕迹推断出相关信息。尽管这个缓存没有被设计成在虚拟机之间传输信息,但是这样做是可行的。
Kassner: 似乎没有人相信旁道攻击的严重性。为此,您创建了一次攻击以此证明。结果是什么呢?
Juels博士: 长期以来,安全专家推测在虚拟机边界之间一些敏感信息会被泄露,但并没有去积极地证明这种情况。我们已经证明了他们的直觉敏感度。在正常情况下,我们已经证明了存在于同一服务器中的一个虚拟机具可以利用攻击软件从另一个虚拟机窃取加密密钥。换句话说,攻击软件可以破坏虚拟机之间的隔离边界,并且严重损害受害者的利益。
Kassner: 我们总被告之一件事情,实验室中所建立和证明的事情,与实际情况完全不同。这种说法能够被人理解吗?您赞同这种说法吗?实际的情况是什么呢?
Juels博士: 我们所展示的这种攻击是很难去实现的。Yinqian Zhang同学完成这个操作,他对于在虚拟环境下的旁道攻击有更深入的理解;并且花费了大量的时间和创造性以完成这个工作。概括地说,如果你不是对旁道攻击有更直接的了解,你可能需要做好保护计算机资源安全的工作。
那么,我猜测旁道攻击具有破坏国家安全的能力,这种攻击很容易被忽视。此外,一旦得到这种攻击工具,这种工具就会成为商业化。随着震网(Stuxnet)蠕虫病毒的发展,可能需要一个资深的专业团队去解决它,恶意软件的编写者从中会了解到很多东西,并且采用了其中的技术。旁道攻击就是一个现实的问题,并且已经采用了其中的某些技术,例如,智能卡。
Kassner: 如果你为一家公司安装一个云服务,您期望云服务提供商应该做些什么呢?您会给那些对云服务感兴趣的公司任何其它的建议吗?
Juels博士: 这一刻可以称为霍布森选择 (Hobson’s choice: 毫无选择余地)。我会呼吁行业内出台更好的标准和程序来实现可见性和控制。类似由美国注册会计师协会(AICPA)制定的针对服务机构向客户提供服务的内部控制、安全保障、及稽核监督措施的审核标准的SSAE 16认证(Statement on Standards for Attestation Engagements No. 16)对于云服务提供商提出的所谓安全担保来说是远远不够的。
客户需要的是对于云安全来说实时的,高可信度的服务,而不是仅仅在数据中心的写字板上偶尔浏览一下检查表。 客户对于安全的更强烈的需求与保证越来越多集中及重要云服务基础设施安全的新技术发展的结合将会使整个行业受益。
Kassner: Juels博士,我想听听您的意见。对于如何保证云服务的安全常常被讨论到。您对其已经做了深入研究。对于该话题,您的感受是什么呢?
Juels博士: 最重要的一点是没有人真正了解到问题的严重性。正如我所提到的,云服务提供商并不需要或准备对它们所提供的服务安全做出保证,而这本身应该是它们所应承担的相应责任。我的印象是大多数的云服务提供商对于保证安全性都是十分认真的,但是仅仅有一个模糊的态度是不够的。
通常每个新的行业都需要彻底了解它的前辈在安全方面的经验教训,并且将安全性作为事后处理。我看好云计算服务的原因是,相比许多之前的例子,安全性从一开始就备受关注。
结语
这似乎看起来就是一层窗户纸一捅就破。类似于许多其他复杂的攻击软件,很快就会被货币化,看似不错的选择。我想重申一下Juels博士提到的:
云服务提供商并不需要或准备对它们所提供的服务安全做出保证,而这本身应该是它们所应承担的相应责任。
简单来说,它是另种情况下的“顾客谨慎为上”。
我要感谢研究团队所作出的努力,特别感谢Juels博士抽出宝贵的时间解释该团队所作出的结论。