最近，一群多個(gè)大學(xué)的研究員和RSA實(shí)驗(yàn)室一種隱匿的邊信道攻擊方法，即一臺(tái)虛擬機(jī)可以在一個(gè)云環(huán)境中用來對(duì)抗另外的一臺(tái)虛擬機(jī)，目標(biāo)VM的加密密鑰最終被盜用。

這項(xiàng)研究會(huì)產(chǎn)生什么影響呢?任何已經(jīng)用目標(biāo)虛擬機(jī)(VM)密鑰加密的敏感數(shù)據(jù)將會(huì)被盜用，對(duì)于一個(gè)堅(jiān)定的攻擊者，這將使一座潛在的巨大寶藏。

盡管企業(yè)云計(jì)算[注]用戶應(yīng)該擔(dān)憂這項(xiàng)研究，但是如果有一些合適的措施還是能夠減輕并對(duì)抗這樣的邊信道攻擊的。這也正是我們這條技巧文章所要探討的內(nèi)容。

交叉VM邊信道攻擊詳解

需要指出的是這項(xiàng)研究并不是成功的基于云的邊信道工具的第一份文檔案例。在2009年，加利福尼亞大學(xué)和MIT的研究員就已經(jīng)發(fā)布了《Hey, You, Get Off of My Cloud: Exploring Information Leakage in Third-Party Compute Clouds》，這篇論文揭露了基于云的VM的映射位置，通過稱之為云制圖的網(wǎng)絡(luò)掃描策略實(shí)現(xiàn)。他們故意放置了一個(gè)惡意VM在相同的物理hypervisor平臺(tái)上，隨后訪問共享硬件和緩存位置，執(zhí)行各種邊信道工具，包括拒絕服務(wù)(DoS)、硬件利用率檢測、通過定時(shí)推理進(jìn)行遠(yuǎn)程鍵入監(jiān)控。這篇論文具體參考了邊信道攻擊的使用，抽取密碼關(guān)鍵字，但是指出研究員使用的這種方法那會(huì)并不能足以訪問那個(gè)目標(biāo)密鑰。

快速回到現(xiàn)在，研究員有了新的努力，其文檔名為《In Cross-VM Side Channels and Their Use to Extract Private Keys》，已經(jīng)使用類似的邊信道攻擊成功命中密碼關(guān)鍵字。為了實(shí)現(xiàn)這個(gè)復(fù)雜的攻擊，研究員在VM和加載滿數(shù)據(jù)的緩存之間利用一個(gè)共享的硬件緩存攻擊機(jī)器。目標(biāo)VM重寫一些自己的數(shù)據(jù)，包括密碼關(guān)鍵字的信息。數(shù)據(jù)重寫的方式允許研究員最終截獲4096位蓋默爾加密密鑰，這些密鑰使用GNU Privacy Guard應(yīng)用。

對(duì)于安全和運(yùn)營團(tuán)隊(duì)的好消息就是這種類型的攻擊盡管不切實(shí)際，除了最尖端的攻擊者。壞消息是這種類型的攻擊在正確的條件下可能發(fā)生。由于缺少技術(shù)細(xì)節(jié)，很多從云提供商接收技術(shù)和架構(gòu)的企業(yè)都位于提供商環(huán)境中，真正的邊信道攻擊可能難以實(shí)現(xiàn)。

預(yù)防邊信道攻擊

IT安全和運(yùn)營專家在這一點(diǎn)上要問兩個(gè)問題：“這種類型的攻擊可能出現(xiàn)在我的環(huán)境中嗎?”和“我怎樣做來減輕這種威脅?”第一個(gè)問題的答案是“NO”。沒有關(guān)于這個(gè)環(huán)境非常詳細(xì)的細(xì)節(jié)，部分細(xì)節(jié)和控制整個(gè)hypervisor基礎(chǔ)加固和這些平臺(tái)使用的VM，攻擊者很難發(fā)動(dòng)邊信道攻擊，尤其是更加復(fù)雜的種類，比如密碼關(guān)鍵字劫持。然而，有一些基本的步驟企業(yè)需要關(guān)心，從而幫助減少可能的邊信道攻擊風(fēng)險(xiǎn)。

首先，盡可能鎖定操作系統(tǒng)(OS)圖像和應(yīng)用實(shí)例。盡管這未必是預(yù)防邊信道攻擊的，但這些步驟可以協(xié)助企業(yè)對(duì)任何授權(quán)的廠商在其環(huán)境中妥協(xié)。第二，花時(shí)間協(xié)調(diào)和收集云系統(tǒng)本地流程監(jiān)控?cái)?shù)據(jù)和日志。特別的，密切關(guān)注任何對(duì)于本地內(nèi)存的重復(fù)訪問，以及系統(tǒng)對(duì)于任何hypervisor流程或者共享硬件緩存的訪問。除了這些步驟，唯一且完全能阻止這種邊信道攻擊的方法就是編碼你的應(yīng)用，甚至是OS組件(在可能的地方)，以這樣的方式他們可以訪問共享資源，就像在一種一貫且可預(yù)測的方式中訪問內(nèi)存緩存。這樣就能預(yù)防攻擊者鉆空子，比如時(shí)間統(tǒng)計(jì)和其他行為屬性。

邊信道攻擊潛在風(fēng)險(xiǎn)探討

邊信道攻擊很可能在共享計(jì)算環(huán)境中繼續(xù)被發(fā)現(xiàn)。對(duì)于云用戶，這是一種在云端執(zhí)行敏感工作負(fù)載必須考慮的一種風(fēng)險(xiǎn)。我建議同你的云提供商探討這些風(fēng)險(xiǎn)和可能的對(duì)抗措施。盡管在今天這樣的環(huán)境中成功實(shí)現(xiàn)這種攻擊極為不可能，但是最好還是做好準(zhǔn)備。