面对日益严峻的云安全环境,一些主要的云供应商正试图通过一系列举措,来减少对虚拟机和云应用容器的威胁,例如,通过强化虚拟机的操作系统镜像,以及使用“机密计算”模型防止底层机器操作系统提供访问权限等等。但是,目前来说,这些方式都需要对应用程序或者容器进行特别构建,以便其能够在“可信任”的环境中运行,而且它们在保护所有的云应用程序中并不能发挥实际的作用。
为了更好地应对这一系列挑战,近日,谷歌推出VM加固服务项目“Shielded VMs”的Beta版,为虚拟机提供了“防篡改”机制,防止在虚拟机上安装rootkits和其它顽固恶意软件,以及防御会导致数据泄露的其它攻击,并会提醒用户其在运行时状态的变化。Shielded VMs只能在最初部署的环境之下运行,换句话说,它能够防止虚拟机通过“快照”(snap-shotting)或复制的方式泄露数据。
现在,谷歌正在发布有关该Shielded VMs如何保护云免受攻击媒介侵扰的详细信息,这些攻击媒介包括guest系统固件,通过恶意guest-VM内核或用户模式漏洞的guest操作系统,以及恶意客户内部人员篡改guest-VM映像等。当受感染的VM启动时,在其中安装的固件rootkits或其它顽固恶意软件等威胁通常将无法检测到。
虚拟保护
一些主要的云供应商试图通过一些方式,如通过强化虚拟机的操作系统镜像,以及使用“机密计算”模型防止底层机器操作系统提供访问权限,来减少对虚拟机和云应用容器的威胁。
微软和谷歌都发布了机密计算技术,微软的Azure Confidential Compute于去年9月份发布,谷歌的Asylo框架Beta版于今年5月份发布。这些平台在“可信任的执行环境”中运行应用容器,这一环境能够防止运行在底层操作系统或者虚拟环境下的程序访问这些平台的数据。
但是这些方式当前需要对应用程序或者容器进行特别构建,以便可以在可信任的环境中运行,并且它们在保护所有的云应用程序中并不能发挥实际的作用。直接远程攻击平台上的虚拟机的实例,如Amazon Web Services、Microsoft Azure、和利用操作系统开发的Google Cloud Platform (GCP),虽然有可能发生,但还是很罕见的。但是,通过发起网络钓鱼攻击来盗取管理凭据,如之前民主党全国委员会攻击事件,使黑客很容易就能够进入到这一系统之中。
云安全公司UpGuard网络风险研究主管Chris Vickery指出,人为错误和系统配置错误会成为攻击者进入系统的垫脚石。Vickery说:“一种常见的情况是,某个人将AWS凭据发布在Github repo上,但是忘记了对这些凭据设置权限。”“有了这些凭据,攻击者就会创建一个虚拟机快照或者存储快照,然后将这些快照转移到攻击者拥有的账户下,用于实施盗窃。”他说道。还有一种方法是,他们会获取虚拟机的访问权限,在这些虚拟机上安装rootkits或其它恶意软件,并赋予他们永久的权限。
最新的证据出现在特别律师Robert Mueller于本月早期发布的诉状书中,这一诉状书描述了之前未提及过的俄罗斯对民主党全国委员会使用的云服务进行国家攻击事件。来自俄罗斯军方情报机构总参谋部情报总局(GRU)的黑客能够获取民主党全国委员会用于分析开发的虚拟机的访问权限,然后对虚拟服务器快照进行保存,允许他们克隆虚拟服务器,以及在同一云服务中创建另一个虚拟服务器,并在服务器空闲的时候提取数据。
锁定数据
为了防止这类攻击,Shielded VMs使用了基于固件的UEFI Secure Boot(UEFI安全启动)和virtual Trusted Platform Module(虚拟可信任平台模块)vTPM,这一模块能够生成和存储加密秘钥。这些秘钥能够用于安全启动,保证虚拟机只能运行经过认证的软件,以及Measured Boot(测量启动)能够检查之前的虚拟机配置基线,以便在启动虚拟机之前,对虚拟机的完整性进行更好地控制。
Secure Boot和Measured Boot(安全启动和测量启动)能够防止操作系统在启动过程中运行rootkits,以及运行内核级别的恶意软件。Measured Boot能够通过StackDriver和谷歌的虚拟机监控工具对虚拟机在运行状态下的完整性进行检测。
vTPM也能够用于存储驱动加密秘钥,如果无法获取访问权限,那么就难以访问虚拟机驱动内容,除非操作系统在“已知”状态下启动。如果虚拟机的操作系统、Bootloader(引导装载程序)或者固件镜像受到损害,那么系统就不会启动,因此攻击者将无法加密虚拟磁盘。如果攻击者将虚拟机快照转移到不同的环境之下,也会发生同样的情况。
谷歌为其容器环境也使用了类似保护完整性的技术,如Google Kubernetes Engine。未来将会发布Beta版本的Binary Authorization(二进制授权),允许用户在部署这些容器镜像之前,要求对容器镜像的签名进行认证,这一管理特征旨在终结通常和DevOps类型云环境相关的“YOLO”部署方法。Binary Authorization签名能够通过创建成为开发和测试管线的一部分,即在部署之前的最后保障,并且使用了GCP Container Registry Vulnerability Scanning(Ubuntu、Debian和基于Alpine Linux的镜像)来在部署之前进行安全检查。
谷歌云高级产品经理Nelly Porter和Google云安全技术项目经理Sergey Simakov,在近日发布的博客文章中解释称,Shielded VMs具有安全功能,能够保护云中的代码。据悉,Shielded VMs使用了基于固件的UEFI Secure Boot(UEFI安全启动),且该固件是基于UEFI 2.3.1的,取代了传统的BIOS子系统。
Shielded VMs还使用了虚拟可信任平台模块(virtual Trusted Platform Module,简称vTPM),这一模块能够验证guest VM预启动的完整性,并生成和存储加密秘钥。这些秘钥能够用于安全启动,保证虚拟机只能运行经过认证的软件,以及允许guest操作系统创建和保护密钥及敏感数据。此外,vTPM还需要启动Measured Boot(测量启动)来检查之前的虚拟机配置基线,以便在启动虚拟机之前对虚拟机的完整性进行更好地控制。
“vTPM服务的目标,是为guest VM实例提供兼容TPM2.0和FIPS 140-2 L1认证的TPM功能。”而谷歌软件工程师Josh Zimmerman在另一篇文章中又进一步扩展了vTPM的安全功能:vTPM的工作方式类似于TPM(可信任平台模块),它使用平台配置寄存器(PCR)来记录系统状态。通过使用TPM的密钥,vTPM可以提供一个PCR值的“引用(quote)”,以便远程服务器可以验证系统的状态。而且TPM可以保护敏感数据 - 例如,驱动解密密钥,因此只有在系统状态有效时才能访问它们。
总结来说,Secure Boot(安全启动)和Measured Boot(测量启动)有助于防止guest操作系统在启动过程中运行rootkits,以及运行内核级别的恶意软件。此外,这两者还能确保用户的VM启动的是“已知的”固件和内核软件资源。其中,“安全启动”可以确保系统运行合法软件;而“测量启动”则能够验证系统软件和VM启动过程的完整性。
最后,用户可以通过StackDriver访问Shielded VM的完整性报告;如果报告指出他们的VM不符合其安全标准,他们也可以制定自己的策略,甚至自定义操作。
内容来源:安全牛、信息化观察网
