資源協(xié)調類–基礎結構視圖

這類“虛擬化資源訪問”主要處理一組計算和通信資源的協(xié)調，以提供一組高度可用、高度可靠的“平臺”。向用戶共享資源。這是一個基礎架構（與應用程序）視圖，用戶在其中指定所需服務的操作要求（例如，計算能力、虛擬機數(shù)量（虛擬機）、存儲、帶寬限制等）但與提供對資源、可伸縮性、物理特征和基礎資源的地理位置/分布的按需訪問的實際機制無關。

總體而言，此協(xié)調模型的關鍵特征是提供對資源的高可靠性、高可用性訪問?；举Y源復制僅提供一個資源池來支持高可用性訪問。但是，資源復制架構僅提供支持在其上執(zhí)行的服務“功能”。完整性與服務規(guī)范相對應。例如，虛擬機需要提供指定級別的隔離，而不會泄露信息。同樣，Web服務器通常會跨計算機復制，以提高可靠性和低延遲的本地化地理分散訪問。每個復制的服務器都有相同的數(shù)據(jù)集，每當更新數(shù)據(jù)時，都會在復制的服務器上更新一個副本，以提供數(shù)據(jù)的一致性。服務的性質（在資源平臺上執(zhí)行）決定了所需協(xié)調的類型，可能是一致性（強、弱、最終、因果）。這將是稍后討論的服務協(xié)調類的基礎。

我們簡要介紹云和客戶端-服務器模型，它們構成了分布式資源類的突出示例。

云模型

云的所有表現(xiàn)形式都代表了資源協(xié)調模型，本質上是服務執(zhí)行的“資源平臺”。有多種類型的云提供各種類型的服務，包括強調高性能、低延遲訪問或高可用性以及許多其他屬性。它是由所需服務的規(guī)范決定的特定資源協(xié)調模式，云“平臺”基于該模式提供對云資源的結構化訪問。所選的協(xié)調架構相應地支持所需功能的類型，例如，訪問專用計算資源和/或資源容器（如物理機或虛擬機），每個容器在容器之間提供不同的隔離保證。用戶指定的服務在云資源上執(zhí)行，這些資源由云服務提供商管理。協(xié)調架構作為集中式或分布式資源管理器，處理任務到資源的映射和調度、調用虛擬機、資源的運行狀況監(jiān)視、故障處理失敗的資源，以便用戶根據(jù)云上指定的合同服務級別協(xié)議（SLA）透明地獲得對資源的持續(xù)訪問資源?；A設施即服務（IaaS）和平臺即服務（PaaS）的ENISA、NIST和ISO規(guī)范是“支持服務的資源/平臺/基礎設施”的表示。實踐中存在的眾多云模型、架構和服務使得很難預測單一的云安全概念。每個特定的資源協(xié)調模型都以云模型中的資源類型、計算架構的類型以及云中所需的功能。這些包括，作為非詳盡的列表，所需的資源錯誤處理類型，處理服務突發(fā)的選擇方法，實現(xiàn)的模式類型用于資源聯(lián)合和遷移、任務編排、調度、所需的并發(fā)訪問程度、支持的多租戶級別等。

但是，從安全角度來看，將云解構為其體系結構和功能組件非常有用，這些組件會導致需要考慮云的攻擊面。類似于數(shù)據(jù)中心的基礎架構視圖是計算和存儲資源的聚合，云是用戶按需可用的地理分散資源的聚合。用戶可以透明地訪問高度可擴展、高可用性、高度可靠的資源和服務虛擬化，與資源位置和資源組合無關。用戶將感興趣的操作屬性（稱為服務級別目標）指定為（a）性能規(guī)范，（b）可靠性，（c）復制和隔離特征作為類型和VM的數(shù)量，（d）延遲，（e）作為計算或通信級別的加密級別/程度和其他機制的安全性，以及（f）交付的成本參數(shù)或未以稱為服務水平協(xié)議的合同形式提供服務。資源的確切組成、位置或整理聚合資源的機制對用戶是透明的。云的功能塊包括身份驗證、訪問控制、準入控制、資源代理、VM調用、調度程序、監(jiān)視器、重新配置機制、負載均衡器、PaaS和IaaS范式下的通信基礎設施、用戶界面、存儲和許多其他功能。這些功能塊、物理云資源以及它們之間的接口直接構成了云的攻擊面。

客戶端-服務器模型

資源組，其中一組專用實體（服務器-服務提供商）提供指定的服務（例如，Web服務-文件系統(tǒng)服務器、名稱服務器、數(shù)據(jù)庫、數(shù)據(jù)挖掘者、網(wǎng)絡爬蟲等）到一組數(shù)據(jù)使用者（客戶端）。通信基礎結構（如公共Internet、本地網(wǎng)絡或其組合）將服務器鏈接到客戶端。這可以是整體式、分層或分層的。復制服務器和客戶端以提供特征性的集體分布式服務或容錯。請注意，我們將客戶端-服務器體系結構稱為資源平臺或基礎結構，而不是客戶端-服務器服務本身?？蛻舳?服務器基礎結構的功能派生自使用客戶端-服務器模型的服務規(guī)范和必要的協(xié)調架構在它下面。

可攻擊性對資源協(xié)調的影響（和緩解方法）

我們現(xiàn)在概述了云的一些示例場景，盡管它們同樣適用于客戶端-服務器和其他資源模型。讀者可以參考[71，72]，以對云中的安全性和功能問題進行有見地的討論。

- 資源泄露：此類攻擊會影響基本資源的可用性。

緩解：可以使用訪問控制方案（包括防火墻）來限制對服務和網(wǎng)絡資源的外部訪問，從而獲得保護。為授予權限設置了授權流程以及驗證實際訪問權限的訪問控制機制[73]。其他資源保護方法包括沙盒資源或具有執(zhí)行協(xié)調處理的防篡改可信計算庫（TCB）[2，3]并強制實施資源訪問。雖然資源類主要考慮對基礎結構的攻擊，但靜態(tài)或動態(tài)數(shù)據(jù)（如數(shù)據(jù)存儲設施中）也可以被視為資源。因此，可以使用加密等技術對其進行保護。由于分布式服務的規(guī)范包括對提供服務的數(shù)據(jù)的使用正常和異常行為的規(guī)范，此保護被視為在服務類下。

資源攻擊的其他表現(xiàn)形式（包括通信通道）旨在對資源（和覆蓋服務）進行分區(qū)。此處的含義是資源的可用性和服務完整性。

- 訪問/準入控制泄露：這包括偽裝、欺騙和ID管理攻擊的廣泛類別。對資源的影響是可用性，盡管數(shù)據(jù)/服務的完整性和機密性都會受到影響。在發(fā)生DoS攻擊的情況下，后果取決于資源可用性。

緩解：入侵檢測系統(tǒng)（IDS）構成了典型的緩解方法。這些由定期或隨機ID身份驗證查詢補充。系統(tǒng)狀態(tài)的定期檢查用于建立ID的健全性。

- VM的入侵：典型的表現(xiàn)是通過隱蔽通道攻擊或側信道攻擊或類似攻擊從VM泄漏信息。其后果是違反了VM預配的服務的完整性和機密性。

緩解：需要考慮三個方面：泄漏的檢測、泄漏發(fā)生的系統(tǒng)級別以及泄漏的處理。污點分析是一種強大的數(shù)據(jù)級別檢測技術。由于隱蔽/側信道攻擊通常發(fā)生在硬件級別并受到調度程序的影響，因此使用采用硬件性能計數(shù)器的檢測器是一種常用的技術。VM泄露的系統(tǒng)級處理通常從收緊信任假設的規(guī)范并使用分析、正式或實驗壓力技術驗證它們是否得到維護的級別開始。虛擬機管理程序通常用于強制實施VM操作。

調度程序的危害：這種攻擊有兩種表現(xiàn)形式。當計劃程序受到影響并導致異常任務或資源分配時，可以通過Access檢測此類偏差（在不正確的資源分配上）控制。在惡意接管調度程序的情況下，系統(tǒng)狀態(tài)或資源任務綁定之間可能導致的不一致可以通過協(xié)調架構進行過濾，協(xié)調架構的工作是保持一致的狀態(tài)。此類攻擊通常會影響可用性和完整性。保密性不被破壞。

緩解：如攻擊描述中所述，訪問控制和協(xié)調構造用于檢查系統(tǒng)狀態(tài)的一致性，以發(fā)現(xiàn)與合法或允許的資源分配集不匹配。這可用于識別調度程序的損壞。

- 代理泄露：在云資源管理器/代理或云間代理中，這種情況主要影響資源可用性。

緩解：此處使用類似于計劃程序泄露緩解的方法。如果備份代理是設計的一部分，那就是典型的回退，否則，系統(tǒng)停止通常是解決方案。

- 溝通妥協(xié)：由于溝通是實現(xiàn)資源協(xié)調的核心功能，這對保持協(xié)調的資源有很強的影響，并直接影響可用性。隨之而來的無法支持復制、資源到任務分配等，從根本上損害了系統(tǒng)的功能。

緩解：網(wǎng)絡安全CyBOK知識領域[10]中介紹了各種通信保護技術。其中包括重試、基于ACK/NACK的方案、加密安全通道等。

- 監(jiān)控和記帳方面的妥協(xié)：如果有關系統(tǒng)和/或服務狀態(tài)的信息不正確，這可能會導致機密性、完整性和可用性受到損害。

緩解：狀態(tài)一致性方案是此處使用的典型機制。值得一提的是，第4節(jié)和第4.4節(jié)中提出的復制和協(xié)調概念構成了緩解方法的基礎。復制管理的真正目的是獲得一致的系統(tǒng)狀態(tài)以規(guī)避中斷。