分布式系統安全之?資源協調類–基礎結構視圖
資源協調類–基礎結構視圖
這類“虛擬化資源訪問”主要處理一組計算和通信資源的協調,以提供一組高度可用、高度可靠的“平臺”。向用戶共享資源。這是一個基礎架構(與應用程序)視圖,用戶在其中指定所需服務的操作要求(例如,計算能力、虛擬機數量(虛擬機)、存儲、帶寬限制等)但與提供對資源、可伸縮性、物理特征和基礎資源的地理位置/分布的按需訪問的實際機制無關。
總體而言,此協調模型的關鍵特征是提供對資源的高可靠性、高可用性訪問。基本資源復制僅提供一個資源池來支持高可用性訪問。但是,資源復制架構僅提供支持在其上執行的服務“功能”。完整性與服務規范相對應。例如,虛擬機需要提供指定級別的隔離,而不會泄露信息。同樣,Web服務器通常會跨計算機復制,以提高可靠性和低延遲的本地化地理分散訪問。每個復制的服務器都有相同的數據集,每當更新數據時,都會在復制的服務器上更新一個副本,以提供數據的一致性。服務的性質(在資源平臺上執行)決定了所需協調的類型,可能是一致性(強、弱、最終、因果)。這將是稍后討論的服務協調類的基礎。
我們簡要介紹云和客戶端-服務器模型,它們構成了分布式資源類的突出示例。
云模型
云的所有表現形式都代表了資源協調模型,本質上是服務執行的“資源平臺”。有多種類型的云提供各種類型的服務,包括強調高性能、低延遲訪問或高可用性以及許多其他屬性。它是由所需服務的規范決定的特定資源協調模式,云“平臺”基于該模式提供對云資源的結構化訪問。所選的協調架構相應地支持所需功能的類型,例如,訪問專用計算資源和/或資源容器(如物理機或虛擬機),每個容器在容器之間提供不同的隔離保證。用戶指定的服務在云資源上執行,這些資源由云服務提供商管理。協調架構作為集中式或分布式資源管理器,處理任務到資源的映射和調度、調用虛擬機、資源的運行狀況監視、故障處理失敗的資源,以便用戶根據云上指定的合同服務級別協議(SLA)透明地獲得對資源的持續訪問資源。基礎設施即服務(IaaS)和平臺即服務(PaaS)的ENISA、NIST和ISO規范是“支持服務的資源/平臺/基礎設施”的表示。實踐中存在的眾多云模型、架構和服務使得很難預測單一的云安全概念。每個特定的資源協調模型都以云模型中的資源類型、計算架構的類型以及云中所需的功能。這些包括,作為非詳盡的列表,所需的資源錯誤處理類型,處理服務突發的選擇方法,實現的模式類型用于資源聯合和遷移、任務編排、調度、所需的并發訪問程度、支持的多租戶級別等。
但是,從安全角度來看,將云解構為其體系結構和功能組件非常有用,這些組件會導致需要考慮云的攻擊面。類似于數據中心的基礎架構視圖是計算和存儲資源的聚合,云是用戶按需可用的地理分散資源的聚合。用戶可以透明地訪問高度可擴展、高可用性、高度可靠的資源和服務虛擬化,與資源位置和資源組合無關。用戶將感興趣的操作屬性(稱為服務級別目標)指定為(a)性能規范,(b)可靠性,(c)復制和隔離特征作為類型和VM的數量,(d)延遲,(e)作為計算或通信級別的加密級別/程度和其他機制的安全性,以及(f)交付的成本參數或未以稱為服務水平協議的合同形式提供服務。資源的確切組成、位置或整理聚合資源的機制對用戶是透明的。云的功能塊包括身份驗證、訪問控制、準入控制、資源代理、VM調用、調度程序、監視器、重新配置機制、負載均衡器、PaaS和IaaS范式下的通信基礎設施、用戶界面、存儲和許多其他功能。這些功能塊、物理云資源以及它們之間的接口直接構成了云的攻擊面。
客戶端-服務器模型
資源組,其中一組專用實體(服務器-服務提供商)提供指定的服務(例如,Web服務-文件系統服務器、名稱服務器、數據庫、數據挖掘者、網絡爬蟲等)到一組數據使用者(客戶端)。通信基礎結構(如公共Internet、本地網絡或其組合)將服務器鏈接到客戶端。這可以是整體式、分層或分層的。復制服務器和客戶端以提供特征性的集體分布式服務或容錯。請注意,我們將客戶端-服務器體系結構稱為資源平臺或基礎結構,而不是客戶端-服務器服務本身。客戶端-服務器基礎結構的功能派生自使用客戶端-服務器模型的服務規范和必要的協調架構在它下面。
可攻擊性對資源協調的影響(和緩解方法)
我們現在概述了云的一些示例場景,盡管它們同樣適用于客戶端-服務器和其他資源模型。讀者可以參考[71,72],以對云中的安全性和功能問題進行有見地的討論。
- 資源泄露:此類攻擊會影響基本資源的可用性。
緩解:可以使用訪問控制方案(包括防火墻)來限制對服務和網絡資源的外部訪問,從而獲得保護。為授予權限設置了授權流程以及驗證實際訪問權限的訪問控制機制[73]。其他資源保護方法包括沙盒資源或具有執行協調處理的防篡改可信計算庫(TCB)[2,3]并強制實施資源訪問。雖然資源類主要考慮對基礎結構的攻擊,但靜態或動態數據(如數據存儲設施中)也可以被視為資源。因此,可以使用加密等技術對其進行保護。由于分布式服務的規范包括對提供服務的數據的使用正常和異常行為的規范,此保護被視為在服務類下。
資源攻擊的其他表現形式(包括通信通道)旨在對資源(和覆蓋服務)進行分區。此處的含義是資源的可用性和服務完整性。
- 訪問/準入控制泄露:這包括偽裝、欺騙和ID管理攻擊的廣泛類別。對資源的影響是可用性,盡管數據/服務的完整性和機密性都會受到影響。在發生DoS攻擊的情況下,后果取決于資源可用性。
緩解:入侵檢測系統(IDS)構成了典型的緩解方法。這些由定期或隨機ID身份驗證查詢補充。系統狀態的定期檢查用于建立ID的健全性。
- VM的入侵:典型的表現是通過隱蔽通道攻擊或側信道攻擊或類似攻擊從VM泄漏信息。其后果是違反了VM預配的服務的完整性和機密性。
緩解:需要考慮三個方面:泄漏的檢測、泄漏發生的系統級別以及泄漏的處理。污點分析是一種強大的數據級別檢測技術。由于隱蔽/側信道攻擊通常發生在硬件級別并受到調度程序的影響,因此使用采用硬件性能計數器的檢測器是一種常用的技術。VM泄露的系統級處理通常從收緊信任假設的規范并使用分析、正式或實驗壓力技術驗證它們是否得到維護的級別開始。虛擬機管理程序通常用于強制實施VM操作。
調度程序的危害:這種攻擊有兩種表現形式。當計劃程序受到影響并導致異常任務或資源分配時,可以通過Access檢測此類偏差(在不正確的資源分配上)控制。在惡意接管調度程序的情況下,系統狀態或資源任務綁定之間可能導致的不一致可以通過協調架構進行過濾,協調架構的工作是保持一致的狀態。此類攻擊通常會影響可用性和完整性。保密性不被破壞。
緩解:如攻擊描述中所述,訪問控制和協調構造用于檢查系統狀態的一致性,以發現與合法或允許的資源分配集不匹配。這可用于識別調度程序的損壞。
- 代理泄露:在云資源管理器/代理或云間代理中,這種情況主要影響資源可用性。
緩解:此處使用類似于計劃程序泄露緩解的方法。如果備份代理是設計的一部分,那就是典型的回退,否則,系統停止通常是解決方案。
- 溝通妥協:由于溝通是實現資源協調的核心功能,這對保持協調的資源有很強的影響,并直接影響可用性。隨之而來的無法支持復制、資源到任務分配等,從根本上損害了系統的功能。
緩解:網絡安全CyBOK知識領域[10]中介紹了各種通信保護技術。其中包括重試、基于ACK/NACK的方案、加密安全通道等。
- 監控和記帳方面的妥協:如果有關系統和/或服務狀態的信息不正確,這可能會導致機密性、完整性和可用性受到損害。
緩解:狀態一致性方案是此處使用的典型機制。值得一提的是,第4節和第4.4節中提出的復制和協調概念構成了緩解方法的基礎。復制管理的真正目的是獲得一致的系統狀態以規避中斷。
