我撰寫過一些關(guān)于安全性的文章，因此我對(duì)“云服務(wù)”或者“分時(shí)轉(zhuǎn)化”很感興趣，我的前輩們是否認(rèn)為它們是安全的呢。幾乎從一開始，在不斷地有人說云服務(wù)如何如何便利，于是乎云服務(wù)引起了我的關(guān)注。

從什么時(shí)候開始便利成為壞事了呢?這很不正常，但是在數(shù)字世界里，當(dāng)前的意識(shí)形態(tài)對(duì)于便利和安全是相對(duì)立的兩極。我把它比喻成水和油的混合。用力的搖動(dòng)后，它們會(huì)混合成在一起，但是過段時(shí)間后，它們會(huì)分離開。

我經(jīng)常被請(qǐng)求一下對(duì)于云服務(wù)的觀點(diǎn)。但是，對(duì)任何關(guān)于當(dāng)前云服務(wù)支持和反對(duì)的言論，我都婉言拒絕了，因?yàn)橛懻摪踩驮品?wù)是毫無實(shí)際意義的。到目前為止，兩者沒有獲得任何有力支持的證據(jù)。

首要的缺陷

正如我所提到的，我一直在尋找關(guān)于云服務(wù)安全性的所有線索。到目前為止，這些線索的調(diào)查已經(jīng)遇到了死胡同。我從一個(gè)調(diào)查小組了解到，他們發(fā)現(xiàn)了一個(gè)可以被利用的漏洞;如果其駐留在云服務(wù)中就會(huì)威脅到數(shù)據(jù)的安全性。

我很擔(dān)心這是真實(shí)的情況。該小組成員Ari Juels (RSA安全實(shí)驗(yàn)室)，AlinaOprea (RSA安全實(shí)驗(yàn)室)，Michael Reiter (北卡羅來納大學(xué)教堂山分校)，Thomas Ristenpart (美國(guó)威斯康星大學(xué)麥迪遜分校)和Yinqian Zhang (北卡羅來納大學(xué)教堂山分校) 已經(jīng)做了足夠多的研究以便支持他們所發(fā)表的多篇學(xué)術(shù)論文，并且證明他們有能力從云服務(wù)中獲取私人密鑰。(“HomeAlone軟件:通過旁道攻擊方法對(duì)云服務(wù)中的共存檢測(cè)分析”和“跨虛擬旁道攻擊方法且利用其獲取私人密鑰”)。

我不打算讓這樣的機(jī)會(huì)就這樣溜走。我與Juels博士取得了聯(lián)系，并且他同意了回答我所提出的問題。但是，首先，我要思考如何對(duì)云服務(wù)做出最恰當(dāng)?shù)亩x(參考維基百科)：

云計(jì)算服務(wù)是基于網(wǎng)絡(luò)(通常指互聯(lián)網(wǎng))，利用計(jì)算機(jī)資源(硬件和軟件)作為一種服務(wù)的方式。這個(gè)名字使用云狀符號(hào)作為一種抽象的概念，在這個(gè)系統(tǒng)圖形中它包含了復(fù)雜的基礎(chǔ)架構(gòu)。云計(jì)算用于托管用戶的數(shù)據(jù)，軟件和計(jì)算服務(wù)。

Kassner: Juels博士，云服務(wù)涵蓋了很多領(lǐng)域。為了讓我們了解您的研究成果，請(qǐng)闡述一下您所關(guān)注的是什么呢?

Juels博士: 我認(rèn)為這個(gè)詞被定義的相當(dāng)廣義，但是關(guān)于安全性的問題應(yīng)該值得強(qiáng)調(diào)。許多云計(jì)算應(yīng)用的安全問題源于將資源托管到第三方的客戶，而在過去這些第三方是能被控制的。

可控和可見性喪失的結(jié)果導(dǎo)致大范圍的安全問題。其他的安全威脅來自于云服務(wù)建立起來的集中化，這導(dǎo)致了大量的攻擊者被吸引到云計(jì)算。但是，集中化也并不是沒有任何好處。

Kassner: 對(duì)于經(jīng)濟(jì)可行性來說，在一臺(tái)物理服務(wù)器上使用多個(gè)虛擬機(jī)(VM)是一個(gè)重要的原因。 在您一開始的意見和研究論文中，談到在一臺(tái)物理服務(wù)器上共享被認(rèn)為是自尋煩惱。這是為什么呢?

Juels博士: 虛擬機(jī)在鄰里之間創(chuàng)建了一個(gè)相對(duì)隔離的環(huán)境。這是一個(gè)具有抽象性的便利，但是它掩蓋了一個(gè)重要的現(xiàn)實(shí)：共享硬件意味著在無意間也會(huì)共享信息。對(duì)于低安全性的應(yīng)用程序來說，這可能不是問題，但是客戶需要了解這種架構(gòu)的風(fēng)險(xiǎn)。

Kassner: 為了驗(yàn)證服務(wù)器上的虛擬機(jī)是否存在風(fēng)險(xiǎn)，您和您的團(tuán)隊(duì)創(chuàng)建了一個(gè)HomeAlone軟件。關(guān)于HomeAlone軟件，研究論文中指出：

HomeAlone 的核心思想是將旁道攻擊的應(yīng)用進(jìn)行反轉(zhuǎn)。而不是利用旁道攻擊的漏洞作為一個(gè)攻擊源，HomeAlone 使用一個(gè)旁道(在L2緩存中)作為一個(gè)新型的，具有防御性的檢測(cè)工具。

什么是旁道?可以請(qǐng)您解釋一下HomeAlone的工作原理嗎?

Juels博士: 所謂旁道是源于系統(tǒng)設(shè)計(jì)的副產(chǎn)品，它能夠造成信息的泄露，而不是一個(gè)自身具有的功能。例如，如果兩個(gè)虛擬機(jī)共享一個(gè)高速緩存，其中一個(gè)虛擬機(jī)能夠通過檢測(cè)另一個(gè)虛擬機(jī)的痕跡推斷出相關(guān)信息。盡管這個(gè)緩存沒有被設(shè)計(jì)成在虛擬機(jī)之間傳輸信息，但是這樣做是可行的。

Kassner: 似乎沒有人相信旁道攻擊的嚴(yán)重性。為此，您創(chuàng)建了一次攻擊以此證明。結(jié)果是什么呢?

Juels博士: 長(zhǎng)期以來，安全專家推測(cè)在虛擬機(jī)邊界之間一些敏感信息會(huì)被泄露，但并沒有去積極地證明這種情況。我們已經(jīng)證明了他們的直覺敏感度。在正常情況下，我們已經(jīng)證明了存在于同一服務(wù)器中的一個(gè)虛擬機(jī)具可以利用攻擊軟件從另一個(gè)虛擬機(jī)竊取加密密鑰。換句話說，攻擊軟件可以破壞虛擬機(jī)之間的隔離邊界，并且嚴(yán)重?fù)p害受害者的利益。

Kassner: 我們總被告之一件事情，實(shí)驗(yàn)室中所建立和證明的事情，與實(shí)際情況完全不同。這種說法能夠被人理解嗎?您贊同這種說法嗎?實(shí)際的情況是什么呢?

Juels博士: 我們所展示的這種攻擊是很難去實(shí)現(xiàn)的。Yinqian Zhang同學(xué)完成這個(gè)操作，他對(duì)于在虛擬環(huán)境下的旁道攻擊有更深入的理解;并且花費(fèi)了大量的時(shí)間和創(chuàng)造性以完成這個(gè)工作。概括地說，如果你不是對(duì)旁道攻擊有更直接的了解，你可能需要做好保護(hù)計(jì)算機(jī)資源安全的工作。

那么，我猜測(cè)旁道攻擊具有破壞國(guó)家安全的能力，這種攻擊很容易被忽視。此外，一旦得到這種攻擊工具，這種工具就會(huì)成為商業(yè)化。隨著震網(wǎng)(Stuxnet)蠕蟲病毒的發(fā)展，可能需要一個(gè)資深的專業(yè)團(tuán)隊(duì)去解決它，惡意軟件的編寫者從中會(huì)了解到很多東西，并且采用了其中的技術(shù)。旁道攻擊就是一個(gè)現(xiàn)實(shí)的問題，并且已經(jīng)采用了其中的某些技術(shù)，例如，智能卡。

Kassner: 如果你為一家公司安裝一個(gè)云服務(wù)，您期望云服務(wù)提供商應(yīng)該做些什么呢?您會(huì)給那些對(duì)云服務(wù)感興趣的公司任何其它的建議嗎?

Juels博士: 這一刻可以稱為霍布森選擇 (Hobson’s choice: 毫無選擇余地)。我會(huì)呼吁行業(yè)內(nèi)出臺(tái)更好的標(biāo)準(zhǔn)和程序來實(shí)現(xiàn)可見性和控制。類似由美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)(AICPA)制定的針對(duì)服務(wù)機(jī)構(gòu)向客戶提供服務(wù)的內(nèi)部控制、安全保障、及稽核監(jiān)督措施的審核標(biāo)準(zhǔn)的SSAE 16認(rèn)證(Statement on Standards for Attestation Engagements No. 16)對(duì)于云服務(wù)提供商提出的所謂安全擔(dān)保來說是遠(yuǎn)遠(yuǎn)不夠的。

客戶需要的是對(duì)于云安全來說實(shí)時(shí)的，高可信度的服務(wù)，而不是僅僅在數(shù)據(jù)中心的寫字板上偶爾瀏覽一下檢查表。 客戶對(duì)于安全的更強(qiáng)烈的需求與保證越來越多集中及重要云服務(wù)基礎(chǔ)設(shè)施安全的新技術(shù)發(fā)展的結(jié)合將會(huì)使整個(gè)行業(yè)受益。

Kassner: Juels博士，我想聽聽您的意見。對(duì)于如何保證云服務(wù)的安全常常被討論到。您對(duì)其已經(jīng)做了深入研究。對(duì)于該話題，您的感受是什么呢?

Juels博士: 最重要的一點(diǎn)是沒有人真正了解到問題的嚴(yán)重性。正如我所提到的，云服務(wù)提供商并不需要或準(zhǔn)備對(duì)它們所提供的服務(wù)安全做出保證，而這本身應(yīng)該是它們所應(yīng)承擔(dān)的相應(yīng)責(zé)任。我的印象是大多數(shù)的云服務(wù)提供商對(duì)于保證安全性都是十分認(rèn)真的，但是僅僅有一個(gè)模糊的態(tài)度是不夠的。

通常每個(gè)新的行業(yè)都需要徹底了解它的前輩在安全方面的經(jīng)驗(yàn)教訓(xùn)，并且將安全性作為事后處理。我看好云計(jì)算服務(wù)的原因是，相比許多之前的例子，安全性從一開始就備受關(guān)注。

結(jié)語(yǔ)

這似乎看起來就是一層窗戶紙一捅就破。類似于許多其他復(fù)雜的攻擊軟件，很快就會(huì)被貨幣化，看似不錯(cuò)的選擇。我想重申一下Juels博士提到的:

云服務(wù)提供商并不需要或準(zhǔn)備對(duì)它們所提供的服務(wù)安全做出保證，而這本身應(yīng)該是它們所應(yīng)承擔(dān)的相應(yīng)責(zé)任。

簡(jiǎn)單來說，它是另種情況下的“顧客謹(jǐn)慎為上”。

我要感謝研究團(tuán)隊(duì)所作出的努力，特別感謝Juels博士抽出寶貴的時(shí)間解釋該團(tuán)隊(duì)所作出的結(jié)論。