云計算環(huán)境中的虛擬機同駐問題

云計算環(huán)境中的虛擬機同駐問題

1提高了生產(chǎn)能力云計算具有動態(tài)云計算、需求服務(wù)自助、網(wǎng)絡(luò)中心、服務(wù)計量、資源池和透明等特點。它不僅節(jié)省了應(yīng)用成本，而且提高了工作效率，降低了能源消耗。目前主流的基礎(chǔ)設(shè)施即服務(wù)(InfrastructureasaService,IaaS)平臺包括:亞馬遜的彈性計算云(ElasticComputeCloud,EC2)在云計算技術(shù)方面,研究者們最初關(guān)注的主要是虛擬機間高效通信問題2攻擊和受害者同駐虛擬機的安全問題是基于這樣一個假設(shè):云平臺的IaaS基礎(chǔ)架構(gòu)和云服務(wù)供應(yīng)商都是可信的,而云服務(wù)的使用者(租戶)之間是互不信任的。攻擊者指的是利用云平臺進行攻擊的惡意租戶,而受害者指的是利用云平臺提供的服務(wù)執(zhí)行某些機密性相關(guān)程序的正常租戶。像其他普通租戶一樣,攻擊者可以在云平臺中開啟并控制多個虛擬機實例,由于云服務(wù)供應(yīng)商對物理資源需要有效利用,可能會將攻擊者的實例與受害者實例分配到同一臺物理機器上,這樣攻擊者就可以利用共享的物理資源(如CPU、內(nèi)存、磁盤和網(wǎng)絡(luò)等)竊取受害者的私密數(shù)據(jù)或者達到拒絕服務(wù)目的等。虛擬機同駐威脅2.1系統(tǒng)的隔離性能盡管虛擬機監(jiān)控器(VirtualMachineMonitor,VMM)對虛擬機提供隔離性,但是當資源爭用時仍然會導致相互干擾,影響性能2.1.1vpu的主機數(shù)量在同一臺物理機器上運行的虛擬機共享CPU資源。每個虛擬機創(chuàng)建時,VMM都會為其分配一個或多個虛擬CPU,即VCPU,并且同時創(chuàng)建的虛擬機數(shù)量可以大于物理CPU核心的數(shù)量。VMM支持靈活的VCPU分配方案,可以將VCPU與物理CPU的任意一個核心進行綁定,不同虛擬機的VCPU也可以共享同一個物理CPU核心針對CPU資源的干擾,研究者2.1.2基于vmm的熱磁提取每個虛擬機都有一個虛擬的磁盤,這些虛擬的磁盤共享實際的物理磁盤,而且VMM控制著每個虛擬機對磁盤的I/O請求,但是目前的虛擬機技術(shù)(如Xen)還不支持磁盤資源的精確分配針對磁盤資源的干擾,研究者2.1.3物理一卡通—網(wǎng)絡(luò)資源同駐的虛擬機也共享物理主機上的網(wǎng)絡(luò)資源,因為它們的網(wǎng)絡(luò)通信都是經(jīng)由VMM管理的網(wǎng)橋連接到外部的物理網(wǎng)卡。VMM提供一種網(wǎng)絡(luò)帶寬管理工具——tc,通過它可以控制每個虛擬機可用的最大網(wǎng)絡(luò)帶寬,嚴格限制每個虛擬機只能使用已分配的帶寬;也可以對帶寬進行靈活設(shè)置,即一旦某個虛擬機需要的帶寬增加而其他虛擬機需要的帶寬較小時,可以將分配給其他虛擬機的帶寬再分配針對網(wǎng)絡(luò)資源的干擾,研究者2.2lc隧道側(cè)信道云平臺中隱蔽通道/側(cè)信道也發(fā)生在虛擬機同駐的條件下。Osvik和Shamir等美國加州大學圣迭戈分校的Ristenpart等2.2.1通信方案LLC隱蔽通道的通信方案2.2.2同駐受害者加強對cache的探測在云平臺上,LLC側(cè)信道有多種應(yīng)用場景。例如,利用LLC探測同駐虛擬機的網(wǎng)絡(luò)負載狀況前兩種將在2.5和3.3節(jié)中介紹,這里重點介紹利用L2Cache側(cè)信道實現(xiàn)的Keystroketiming攻擊。該攻擊的基本思想如下:首先,攻擊者利用L2Cache側(cè)信道技術(shù),探測由同駐受害者鍵入SSH終端密碼等敏感信息而引起的Cache變化;然后,攻擊者利用這些信息恢復出受害者鍵入的敏感信息。具體地,攻擊者首先申請一塊和Cache大小相同的內(nèi)存,并通過訪問這個內(nèi)存填充L2Cache,之后不斷訪問當前物理機器的Cache,當同駐虛擬機上的受害者鍵入敏感信息到shell時,攻擊者就可以探測到自己訪問Cache的時間出現(xiàn)了變化,即探測到了Keystroketiming。這樣攻擊者就可以利用已有的Keystroketiming攻擊技術(shù)恢復受害者鍵入的信息。該方案基于這樣一個假設(shè):在一臺物理機器上,Cache負載上出現(xiàn)的某個峰值就意味著用戶向同駐虛擬機的SSH終端鍵入了一個單詞或者命令。2.3基于vmm的同駐主機攻擊虛擬機同駐安全威脅還包括基于共享資源的拒絕服務(wù)(DenialofService,DoS)。由于在虛擬化環(huán)境下,運行在同一臺物理機器上的虛擬機共享底層物理資源(如CPU、內(nèi)存、網(wǎng)絡(luò)、磁盤等),若攻擊者試圖繞過VMM的管理,就可以使得受害者虛擬機無法正常使用物理資源,破壞同駐虛擬機的可用性,達到拒絕服務(wù)攻擊目的。本文將討論針對網(wǎng)絡(luò)通信的拒絕服務(wù)攻擊2.3.1攻擊平面的動作集美國孟菲斯大學的Bedi等圖2描述了Xen的網(wǎng)絡(luò)架構(gòu)利用博弈論對該問題進行建模,可實現(xiàn)一種防御方案,該模型中有兩個角色:攻擊者和受害者。攻擊者的動作集包括選擇實施攻擊的虛擬機數(shù)量以及每臺虛擬機攻擊時占用的網(wǎng)絡(luò)帶寬;受害者動作集是設(shè)定防火墻的閾值來防止惡意虛擬機對網(wǎng)絡(luò)通信的阻塞。一旦某臺虛擬機使用的網(wǎng)絡(luò)帶寬超過閾值,特權(quán)虛擬機(Domain0)就中斷其網(wǎng)絡(luò)通信,目的是使Domain0能夠選取最優(yōu)閾值以中斷掉盡可能多的惡意虛擬機網(wǎng)絡(luò)帶寬,保護合法用戶對網(wǎng)絡(luò)帶寬的正常使用。2.3.2vcqi拒絕服務(wù)攻擊Xen默認采用基于額度的VCPU調(diào)度算法(CreditScheduler)Credit調(diào)度算法上述Credit算法存在兩個問題2.4資源爆發(fā)攻擊來自美國威斯康星大學麥迪遜分校的Varadarajan等2.4.1網(wǎng)絡(luò)關(guān)聯(lián)效果資源釋放攻擊同駐虛擬機間資源的爭用和干擾是實現(xiàn)資源釋放攻擊的基礎(chǔ)。在同一個物理機器上可能會造成資源爭用的資源有如下幾類:CPU、Cache、磁盤、內(nèi)存以及網(wǎng)絡(luò)。經(jīng)實驗發(fā)現(xiàn),磁盤資源和LLC在發(fā)生競爭時受到的干擾較為明顯。其中,LLC資源在同駐虛擬機運行網(wǎng)絡(luò)密集型程序時受到的干擾最大,所以資源釋放攻擊選取的攻擊程序為LLC密集型應(yīng)用程序,而受害者為運行網(wǎng)絡(luò)密集型應(yīng)用程序的虛擬機。資源釋放攻擊通過修改受害者資源使用情況,使其處于處理網(wǎng)絡(luò)請求的瓶頸狀態(tài),從而提升LLC密集型攻擊程序的性能。2.4.2面向受害者的程序支持圖4中的beneficiary指在攻擊虛擬機上運行的LLC密集型程序;victim指在受害者虛擬機上運行的ApacheWebServer;loadgenerator指處于物理節(jié)點外,向受害者虛擬機發(fā)送靜態(tài)網(wǎng)頁請求的代理終端;helper指處于物理節(jié)點外,向受害者虛擬機發(fā)送公共網(wǎng)關(guān)接口(CommonGatewayInterface,CGI)腳本請求的代理終端。由于受害者虛擬機在處理靜態(tài)網(wǎng)頁請求時搶占了beneficiary與victim共享的LLC,使得beneficiary程序執(zhí)行時間顯著增加,程序性能下降。因此,攻擊者通過使用外部程序helper向受害者虛擬機發(fā)送CGI腳本請求,使受害者處理CGI請求時使用的CPU資源達到瓶頸狀態(tài),導致其所能響應(yīng)的、由loadgenerator產(chǎn)生的正常網(wǎng)頁請求效率顯著下降,從而減少了對物理機器上LLC資源的使用。由于受害者虛擬機資源使用狀況的轉(zhuǎn)移,攻擊程序beneficiary的性能就得以提高。2.5虛擬機負載檢測同駐虛擬機的負載探測也存在著一些安全隱患,如可以估算受害者虛擬機中網(wǎng)頁服務(wù)器的訪問用戶量或探測哪一個頁面被頻繁訪問2.5.1主機負載測試利用2.2節(jié)Cache側(cè)信道,可以探測同駐虛擬機的負載狀況。它通過測量自己訪問Cache映射地址的時間估算出同駐虛擬機的HTTP通信帶寬,具體方法為2.5.2網(wǎng)絡(luò)tcp會議通過網(wǎng)絡(luò)TCP會話的同駐水印技術(shù)3己的虛擬機與受害者虛擬機云平臺中的虛擬機同駐探測,既可以指攻擊者通過已知的探測方法確認自己的虛擬機與受害者虛擬機在同一個物理平臺上運行,也可以指某租戶通過已知的探測手段確認是否與其他租戶的虛擬機在同一臺物理機器上運行。虛擬機同駐探測技術(shù)主要有三種:(1)基于網(wǎng)絡(luò)信息的同駐探測技術(shù)3.1基于物理平臺的同駐研究方法通過網(wǎng)絡(luò)信息探測技術(shù)對于方法(1),在Xen中,每個Guest虛擬機在進行網(wǎng)絡(luò)通信時的第一跳地址是Domain0的IP地址,攻擊者可以據(jù)此確定當前物理平臺上Domain0的IP地址。此外,攻擊者可以利用外部的一臺虛擬機向受害者虛擬機發(fā)送一個TCPSYN追蹤路由,并探測最后一跳的IP地址,通過它即可獲得受害者虛擬機所在物理平臺上Domain0的IP地址。若后者與前者IP地址相同,就說明這兩個虛擬機實例可能是同駐的。對于方法(2),運行在同一物理平臺上的一個虛擬機向另一個虛擬機發(fā)送網(wǎng)絡(luò)包時,由于不需云平臺路由,只需物理機內(nèi)部路由,所以網(wǎng)絡(luò)包的RTTs相比非同駐情況短很多。因此,攻擊者可以通過向不同的虛擬機多次發(fā)送網(wǎng)絡(luò)包,并記錄每次探測的平均包往返時間,其中平均包往返時間最短的那個虛擬機就很有可能是與攻擊者同駐。對于方法(3),由于每個虛擬機實例創(chuàng)建時都會根據(jù)如下算法分配到一個內(nèi)部IP地址:具有相同Domain0IP地址的虛擬機實例的內(nèi)部IP地址按照一定線性遞增順序進行分配。由于具有相同Domain0IP地址的虛擬機是同駐的,這樣在數(shù)字上較為接近的內(nèi)部IP地址的虛擬機可能是同駐的。實際上,為了提高準確率,通常綜合利用以上三種方法:先利用方法(3)比較兩個虛擬機實例的內(nèi)部IP地址,若IP地址數(shù)字接近,再利用方法(1)確定虛擬機的Domain0IP地址,若相同,則說明兩個虛擬機同駐。為了增加探測的準確性,還可以進一步利用方法(2)測量虛擬機間的網(wǎng)絡(luò)包往返時間。3.2基于物理機器的同駐探測技術(shù)在實際云平臺中,云服務(wù)供應(yīng)商可以通過多種方法阻止攻擊者利用網(wǎng)絡(luò)信息進行同駐探測,如設(shè)置Domain0對外部發(fā)起的路由追蹤不作應(yīng)答,在創(chuàng)建虛擬機實例時隨機地分配內(nèi)部IP地址,利用虛擬LAN隔離不同的租戶等。這樣就不得不去尋找更為有效的同駐探測方法,美國俄勒岡大學Bates等假定SERVER是在云平臺中一個物理機器上運行的虛擬機實例,FLOODER是攻擊者為了同駐探測而創(chuàng)建的虛擬機實例,CLIENT是在云平臺外運行、與FLOODER串通好的代理終端。則探測方法如下:首先,CLIENT與已知IP的SERVER建立一個TCP會話。接著,CLIENT周期性地向FLOODER發(fā)送信號,FLOODER接收到信號后去占用物理機器網(wǎng)卡,并向外發(fā)送無意義的UDP包。若FLOODER與SERVER是同駐的,由于它們對同一物理主機網(wǎng)卡的多路復用,就會對正常的CLIENT-SERVER網(wǎng)絡(luò)通信數(shù)據(jù)流帶來一定延時,這個延時即同駐水印。最后,通過收集CLIENT-SERVER每個時間間隔的網(wǎng)絡(luò)包數(shù)量,分析有水印時間間隔和無水印時間間隔收到網(wǎng)絡(luò)包的數(shù)量分布,可以判斷FLOODER與SERVER是否同駐。3.3社區(qū)服務(wù)體系的結(jié)構(gòu)如2.3節(jié)所述,LLC隱蔽通道/側(cè)信道應(yīng)用于秘密傳遞信息。但是,美國北卡羅來納大學和RSA實驗室的Zhang等HomeAlone通過讓租戶在其獨占物理機器上創(chuàng)建一些友好虛擬機實例(friendlyVMs),并約定在某個時間周期內(nèi),它們均不使用選定的Cache區(qū)域映射地址,并測量該周期內(nèi)Cache映射地址的訪問時間,若發(fā)現(xiàn)Cache使用狀況發(fā)生變化,則認為有不期望的虛擬機(foeVM)與租戶的虛擬機發(fā)生同駐。該技術(shù)實現(xiàn)的難點在于準確地區(qū)分friendlyVMs與同駐foeVMs的Cache行為,以及保證friendlyVMs性能不會降低。HomeAlone架構(gòu)如圖5所示,由三個子部件構(gòu)成:運行在用戶態(tài)的coordinator、運行在內(nèi)核態(tài)的addressremapper和co-residencydetector。HomeAlone工具安裝在每個friendlyVMs中,僅需修改friendlyVMs內(nèi)核,無需對hypervisor修改或云服務(wù)供應(yīng)商支持。探測周期開始時,第一個coordinator(稱為initiator)首先啟動,并確定某個染色的Cache集(即在探測周期所有friendlyVMs都要減少訪問的Cache區(qū)域),并將這條命令發(fā)送給其他friendlyVM的coordinator。其他coordinator接收到命令后會調(diào)用addressremapper空出相應(yīng)的Cache集,并盡量少訪問這個區(qū)域。一旦addressremapper完成了Cache集的空出操作,coordinator就向initiator發(fā)送確認信息。Initiator收到所有coordinator發(fā)回的確認信息后創(chuàng)建一個token,并隨機選擇一個friendlyVM,將這個token發(fā)送給它。該friendlyVM(稱為tokenholder)調(diào)用co-residencydetector進行Cache訪問狀況的測量,Tokenholder收集測量結(jié)果r,并將token和r發(fā)送給另一個friendlyVM,如此執(zhí)行n次之后,最后那個虛擬機對收集的結(jié)果進行分析,并對物理平臺上是否存在同駐的foe虛擬機做出判斷。4同駐防御技術(shù)虛擬機同駐可能破壞云平臺中數(shù)據(jù)的機密性和資源的可用性,會產(chǎn)生極大安全威脅問題。為了有效應(yīng)對這類安全問題,本節(jié)將從四個方面討論同駐防御技術(shù):(1)加入安全機制防御云平臺中的LLC隱蔽通道/側(cè)信道;(2)采用斷續(xù)工作型調(diào)度策略增強同駐虛擬機之間的隔離性;(3)借鑒多核心處理器芯片系統(tǒng)(CMPs)實現(xiàn)防干擾的進程調(diào)度算法;(4)硬件協(xié)同防御技術(shù)。4.1虛擬機之間的隱蔽通道和側(cè)信道的保護2.3節(jié)的分析已經(jīng)證明,云平臺中的LLC隱蔽通道/側(cè)信道會破壞多租戶虛擬機之間的隔離性。微軟公司的Raj等4.1.1基于cache的分配算法SMP(SymmetricMulti-Processing)通常是在package層共享LLC,而且許多云計算平臺的服務(wù)器都配置有多個package。這樣,可以利用SMP特性對虛擬機分配處理器核心,使它們互相不共享Cache。具體做法如下:首先,根據(jù)LLC的共享情況,將物理機上的處理器核心進行分組,所有共享同一LLC的處理器核心放入一組;然后,分配算法在為某個虛擬機分配物理CPU時,會從還未分配給任何其同駐虛擬機的組中選擇一個處理器核心進行分配,并且這個組中的其他處理器核心也只允許分配給這個虛擬機的其他VCPU。通過該方案,同駐的虛擬機不再共享LLC,也就不會存在LLC隱蔽通道/側(cè)信道的安全問題。但是這種方案也存在一個致命的缺陷,即物理平臺的CPU資源并沒有得到充分利用。比如一個虛擬機申請的VCPU小于某個組中的處理器核心數(shù)量時,那些未分配的處理器核心將永遠得不到使用。4.1.2主機的擬機性能下降內(nèi)存頁染色技術(shù)該方法并不會造成CPU資源的浪費,但有可能會引起內(nèi)存資源的浪費以及虛擬機性能的下降。比如一臺虛擬機并沒有完全使用分配給它的某一種顏色的內(nèi)存頁,屬于該顏色的其他內(nèi)存頁也不會再分配給其他的虛擬機,那么這些內(nèi)存頁面就會一直得不到使用。另外,