基于硬件的云计算平台安全架构 上海交通大学 夏虞斌 上海交通大学 · 讲师 上海瓶钵科技 · 创始人 目录 基于硬件的云计算平台安全架构 · 安全：云计算的最大挑战 · 基于硬件虚拟化的安全云架构 · 基于INTEL SGX的云安全能力增强 · 基于ARM TRUSTZONE的可信计算环境 上海瓶钵信息科技 上海交通大学 安全：云计算最大挑战 “用云不信云” 需要从设计保证安全 安全是云计算面临的最大挑战[IDC 2008] 上海交通大学 ·上海瓶钵科技 上海瓶钵信息科技 上海交通大学 云计算引入了新的安全威胁 传统网络服务 黑客攻击 路径单一 上海瓶钵信息科技 上海交通大学 基于云平台的网络服务 通过其他云租户 间接进行攻击 用户失去 对数据的 掌控权 其他不可控 因素 云管理员监守自盗 用户掌控所有数据 上海交通大学 ·上海瓶钵科技 云计算面临的7大威胁 [Gartner 2008] 上海瓶钵信息科技 上海交通大学 • Privileged operator access • Regulatory compliance 特权管理员访问 • Data location • Data segregation • Recovery • Investigative support • Long-term viability 上海交通大学 ·上海瓶钵科技 安全威胁实例：不想作恶的大公司 上海瓶钵信息科技 上海交通大学 ..., 偷窥用户隐私数据，如email、聊天记录、拨 打电话记录达数月之久… 上海交通大学 ·上海瓶钵科技 云计算的安全等级 上海瓶钵信息科技 上海交通大学 安全等级 篡改内容 窃取数据 记录用户活动 最高 不允许 不允许 不允许 高 不允许 不允许 允许 中 不允许 允许 允许 低（现状） 允许 允许 允许 篡改内容：例如，修改用户的算法，使其得出不正确的结果 窃取数据：例如，偷取用户的信用卡账号，银行密码等 记录活动：例如，记录用户什么时候和谁打过电话，但不知 道具体通话内容 上海交通大学 ·上海瓶钵科技 上海瓶钵信息科技 上海交通大学 基于硬件虚拟化的安全云架构 如何防御来自堡垒内部的攻击？ 为什么云服务商需要用户的数据明文？ 上海瓶钵信息科技 上海交通大学 • 不需要明文的例子 – 云存储：Dropbox、各种网盘等 – 用户可将加密后的数据发送至云服务商保存 • 需要明文的例子 – Amazon云虚拟机、大数据分析等 – 对数据进行运算时，必须在内存中解密数据 上海交通大学 ·上海瓶钵科技 恶意管理员如何窃取用户明文数据？ 上海瓶钵信息科技 • 背景介绍：Virtual Machine – 多个用户共享物理主机 – 用户VM间通过虚拟机监控器隔离 – 控制VM和虚拟机监控器有最高权限 上海交通大学 控制 VM 用户 VM 用户 VM 虚拟机监控器 (Hypervisor) • 恶意管理员攻击方式-1 – 管理员通过控制VM来启动、关闭、重启迁移用户VM – 副作用：管理员也可通过控制VM直接读取用户内存 上海交通大学 ·上海瓶钵科技 解决方案：Cloudvisor by IPADS 上海瓶钵信息科技 上海交通大学 • 设计：解耦VM管理和VM安全 – 管理员仍可启动、关闭、迁移用户VM – 管理员无法读取用户VM的内存 • 实现：嵌套虚拟化 – 在Hypervisor底下插入安全层Cloudvisor – 通过安全硬件保证Cloudvisor的安全 上海交通大学 ·上海瓶钵科技 Cloudvisor具体架构 上海瓶钵信息科技 上海交通大学 • 不相信控制VM和虚拟机监控器 – 代码多：百万行代码，可能存在大量漏洞 – 人员多：大量管理员都可操作 • 只相信CloudVisor 控制 VM 其他 用户 VM 安全 用户 VM 虚拟机监控器 – 代码少：5000行代码，出现漏洞的概率低 – 人员少：有权限接触CloudVisor的人非常少 – 权限高：一旦启动，无法被关闭或绕过 Cloudvisor Cloudvisor: retrofitting protection of virtual machines in multi-tenant cloud with nested virtualization, SOSP’11. 上海交通大学 ·上海瓶钵科技 虚拟机自省技术：VM Introspection • VMI的优势 上海瓶钵信息科技 上海交通大学 安全虚拟机 客户虚拟机 • 不用修改客户虚拟机 • 保证杀毒软件自身的安全 • 新的恶意软件检测技术 • 性能损失小 ✗ VMI Tool ✓ Introspect • 在学术界已有十多年积累 • 已集成在VMware套件中 上海交通大学 ·上海瓶钵科技 Hypervisor 恶意软件 恶意管理员如何窃取用户明文数据？ 上海瓶钵信息科技 上海交通大学 • 恶意管理员攻击方式-2：硬件攻击 – 直接在服务器上接入恶意硬件 – 利用物理手段，直接读取内存中所有数据 – 绕过所有软件防御 • 攻击者 – 管理员，或伪装成数据中心的维护人员 – 政府要求获得数据 上海交通大学 ·上海瓶钵科技 上海瓶钵信息科技 上海交通大学 基于 INTEL SGX 的云安全能力增强 最小化可信基 解决方案：HyperCoffer, by IPADS 上海瓶钵信息科技 上海交通大学 • 设计：采用加密处理器 – 所有数据在内存中为加密状态 – 仅当数据从内存进入处理器时才解密 – 前提：攻击者无法直接读取处理器内部数据 • 实现：可部署性 – 用户将虚拟机镜像加密后上传到云服务器运行 – 用户虚拟机本身不需要修改，只需要加密 上海交通大学 ·上海瓶钵科技 HyperCoffer具体架构 上海瓶钵信息科技 上海交通大学 • 不相信内存、硬盘等设备 – 攻击者可物理攻击获取明文 • 只相信安全处理器 – 无法对处理器进行物理攻击 • 云服务商完全没有明文 控制 VM 安全 用户 VM 其他 用户 VM 虚拟机监控器 其他硬件 安全 处理器 – 依然能管理：如开机、关机、迁移等 Architecture Support for Guest-Transparent VM Protection from Untrusted Hypervisor and Physical Attacks, HPCA’13 上海交通大学 ·上海瓶钵科技 Intel SGX 技术 上海瓶钵信息科技 • 基于SGX的硬件隔离 • 代码运行在Enclave中 • 支持多线程并发，可被中断 • 只信任CPU • 完全透明的内存加密 • 18条新指令 • Enclave本身没有特权 • 只能运行在用户态 • 内存保护机制 上海交通大学 ·上海瓶钵科技 上海交通大学 Haven：在SGX中运行原生应用 上海瓶钵信息科技 上海交通大学 • 使用libOS对应用进行封装 • 使用libOS提供系统服务 • 重定向本地系统调用 • 基于Windows实现 • 使用了DrawBridge内核 • 可直接运行SQL Server Shielding applications from an untrusted cloud with haven, OSDI’14. 上海交通大学 ·上海瓶钵科技