雲端運算:虛擬資料中心中的信任管理
在虛擬架構中保護系統安全以及設立有系統的資料中心,有一些特殊的考量。
黃啟、 傑克唐加拉、 傑佛瑞 · 福克斯
改編自"分散式和雲計算: 從並行處理到互聯網的事情"(Syngress,Elsevier 的烙印)
虛擬的體系結構和雲計算安全性和存取控制時,引起了一些獨特的擔憂。 虛擬機器管理器 (VMM) 更改整個圖片的電腦體系結構。 它提供了一層之間的單個物理平臺上創建一個或多個虛擬機器 (Vm) 的作業系統和系統硬體的軟體。
VM 完全封裝來賓作業系統,它承載的狀態。 您可以複製和通過網路共用封裝的機狀態並刪除它像一個正常的檔。 這會造成整個層次的其他虛擬機器安全面臨的挑戰。
一般情況下,VMM 可以提供安全隔離。 VM 通過 VMM,控制訪問硬體資源,所以 VMM 是虛擬的系統安全的基礎。 通常情況下,一個 VM 是採取作為虛擬機器管理控制許可權,如創建、 暫停、 恢復或刪除一個虛擬機器。
一旦駭客成功進入 VMM 或管理虛擬機器,危害整個系統。 更微妙的問題出現在依賴他們亂數字源生成工作階段金鑰"新鮮"的協定。 考慮一個虛擬機器的工作原理,回滾到一個點,選擇了一個亂數字後,但之前一直使用它,繼續執行。 亂數,必須是"新鮮"為安全起見,然後重複使用。
流加密,用兩個不同的純文字可以根據相同的金鑰流進行加密。 如果他們有足夠的冗余,這反過來,可以公開兩種純文字。 非加密協定依賴于新鮮也有風險。 例如,重複使用 TCP 初始序號可以提高的可能性和嚴重性 TCP 劫持攻擊。
基於虛擬機器的入侵偵測
入侵將某台電腦的本地或網路使用者未經授權的訪問。 入侵偵測用於識別任何未經授權的訪問。 入侵偵測系統 (IDS) 建基於作業系統,並基於入侵行動的特點。
一個典型的 ID 可列為 hid 基於主機的 IDS (設備) 或基於網路的 IDS (NIDS),取決於資料來源。 在被監視的系統上,您可以實現徒然。 當被監視的系統遭駭客攻擊時,徒然還面臨攻擊的風險。 網路入侵偵測系統基於無法檢測到的假動作的網路通信流。
基於虛擬化的入侵偵測可以隔離在相同的硬體平臺上的來賓 Vm。 甚至一些虛擬機器進行成功的入侵,但他們永遠不會影響其他虛擬機器。 這是類似的網路入侵偵測系統運作的方式。 此外,VMM 監視和審核的硬體和系統軟體,它可以避免假動作的訪問請求。 VMM 因此有一些類似的品質,徒然。
有兩種不同的方法,實施一個基於 VM 的 ID:
- ID 是一個獨立的過程,在每個虛擬機器或高特權 VM 上 VMM。
- ID 集成到 VMM,,VMM 相同的硬體存取權限。
基於虛擬機器的 ID 包含一個策略引擎和策略模組。 政策框架可以監視作業系統介面庫通過不同的來賓 Vm 中的事件。 PTrace 指示跟蹤到安全監視主機的政策。 很難預測和防止所有入侵都毫不遲延地。 因此後入侵, 的入侵行為的分析是極為重要的。
大多數電腦系統使用日誌分析攻擊行動,但很難確保日誌的公信力和完整性。 ID 日誌服務基於作業系統內核。 因此,當作業系統攻擊者的入侵,日誌服務應不受影響。
除了使用全面的 ID,您還會發現蜜罐和入侵偵測系統中常用的蠕蟲。 他們吸引,並為了保護真實系統向攻擊者提供一個假的系統視圖。 您也可以以後,分析攻擊,並使用這方面的知識來構建一個更安全的 ID。
蜜罐是故意損壞的系統類比作業系統,欺騙和監視攻擊者的行動。 您可以將蜜罐分成物理和虛擬的形式。 訪客作業系統和應用程式在其上運行構成一個虛擬機器。 主機作業系統和 VMM 必須得到保證,以防止從虛擬蜜罐中虛擬機器的攻擊。
受信任的區域
您可用於生成安全中介軟體的信任管理分散式的系統和私有雲的行業解決方案。 受信任的區域概念成立作為虛擬基礎架構的一部分 (請參見圖 1)。
圖 1 的功能及相互作用的受信任的區域。
創建受信任的區域,調配在單獨的虛擬環境中虛擬叢集 (多個應用程式和作業系統為每個租客)。 物理基礎結構顯示在底部,並標記為雲供應商。 虛擬叢集或基礎設施上的框中顯示兩個租戶。 在頂部的全球使用者社區與相關公共雲計算。
安全功能和供應商為使用者從四個層面採取的行動的飛快的框放在左側,箭頭和分區框之間的簡短說明。 四個框之間的小圓圈請參閱使用者自己以及使用者和供應商之間的相互作用。 飛快的框右邊是功能和應用之間的租客環境、 提供程式和全球社區的行動。
幾乎所有的可用對策 — — 防病毒、 蠕蟲病毒遏制、 入侵偵測、 加密和解密的機制 — — 在這裡適用于隔離的受信任的區域和私人住戶隔離的虛擬機器。
這裡主要的創新是建立信任的區域之間的虛擬集群。 最終結果是跨不同租戶專用虛擬叢集的端到端視圖的安全事件和法規遵從性。
**黃凱**是教授的電腦工程的南加利福尼亞大學和來訪的講座教授,清華大學,中國。 他獲得了博士學位 在從美國加州柏克萊大學本科生。 他已廣泛發表電腦體系結構,數位算術、 並行處理、 分散式的系統、 互聯網安全和雲計算。
**傑克唐加拉**是大學電氣工程的傑出教授和傑出的研究人員在橡樹嶺國家實驗室和車削的曼徹斯特大學研究員田納西大學電腦科學。 唐加拉超級電腦基準、 數值分析、 線性代數帶頭人和高性能計算、 等領域的先驅,並已在這些領域廣泛發佈。
**傑佛瑞 · 福克斯**尊敬的資訊學教授、 計算物理學和研究生院副院長的研究和在學校的資訊學和印第安那大學計算研究。 他接獲博士學位 從劍橋大學、 英國 狐狸以他的全面工作和並行體系結構、 分散式的程式設計、 網格計算、 web 服務和互聯網應用中的廣泛發佈聞名。
© 2011 Elsevier 公司 版權所有。 列印許可權從 Syngress,Elsevier 的烙印。 2011 年版權。 "分散式和雲計算: 從並行處理事情的互聯網"黃啟、 傑克唐加拉、 傑佛瑞 · 福克斯。 此標題和其他類似的書的詳細資訊,請訪問 elsevierdirect.com。