클라우드 서비스 보안 이야기: 측면-도 공격 위협

"클라우드 서비스" 또는 "시분할"에 관심이 있어요 그래서 내 전임자 줄 알았는데 그들은 안전 보안에 대 한 몇 가지 기사를 작성 했습니다. 거의 처음부터, 클라우드 서비스, 어떻게의 지속적인 대화와 클라우드 서비스 내 관심을 끌었다.

언제 그것을 편리 하 게 나쁜 것은 이후? 이것은 정상, 하지만 디지털 세계에서 현재 이데올로기 편의 보안의 두 채의 반대 이다. 나는 물과 오일의 혼합물에 그것을 비유. 그들은 하드 악수 후 함께 섞어 것입니다 하지만 잠시 후 그들은 분리 될 것 이다.

나는 종종 클라우드 서비스를 보려면 질문입니다. 그러나, 정중 하 게 진짜 지점 보안 및 클라우드 서비스를 논의에 있기 때문에 현재 클라우드 서비스 지원 및 반대에 대 한 어떤 의견을 거부. 지금까지 두 강력한 지원 증거를 받지 못한.

첫 번째 결함

내가 언급 했 듯이, 나 클라우드 서비스의 보안에 대 한 모든 단서에 대 한 찾고 있 었 어. 지금까지 이러한 단서 조사 죽은 끝에 왔다. 취약점을 악용 될 수 있습니다, 그리고 클라우드 서비스에 거주 하는 경우 데이터의 보안을 위협 것 발견 하는 수 사관의 팀에서 배웠습니다.

나는 이것이 실제 상황 걱정 해요.입니다. 팀 구성원이 아리 Juels (RSA 보안 연구소), Alinaoprea (RSA 보안 연구소), 마이클 라이터 (대학 노스캐롤라이나 채 플 힐), 토마스 Ristenpart (위스콘신-매디슨 대학) 그리고 Yinqian 장 (노스캐롤라이나 대학교 채 플 힐에서) 많은 학술 논문 출판 하 고 클라우드 서비스에서 개인 키를 얻기 위해 그들의 능력을 지원 하기 위해 충분 한 연구를 할. ("HomeAlone 소프트웨어: 사이드 채널 공격 방법을 통해 구름에 동시 사용 탐지의 분석 서비스" 및 "크로스 가상 측면-경로 메서드를 공격 하 고 개인 키에 대 한 액세스").

난 이렇게 멀리이 기회를 놓 하지 않을 것 이다. 나는 박사 Juels 연락 있고, 그는 내가 질문을 대답 했다. 하지만 먼저, (위키백과 참조) 클라우드 서비스의 가장 적절 한 정의 만드는 방법에 대해 생각 하 고 싶습니다.

클라우드 컴퓨팅 서비스 제공의 방법으로 컴퓨터 자원 (하드웨어 및 소프트웨어)을 사용 하 여 네트워크 (보통 인터넷)을 기반으로 합니다. 이름이 시스템 그래프에서 복잡 한 인프라를 포함 하는 추상적인 개념으로 클라우드 기호를 사용 합니다. 클라우드 컴퓨팅, 소프트웨어, 데이터를 호스트 하는 데 사용 하 고 컴퓨팅 사용자를 위한 서비스.

박사 Kassner:juels, 클라우드 서비스는 다양 한 분야를 커버. 있도록 우리 연구 결과 알고, 당신에 대 한 우려는 설명 하십시오?

박사 Juels: 난 용어는 매우 광범위 하 게 정의 하지만 보안의 문제를 강조 한다. 다양 한 클라우드 컴퓨팅 응용 프로그램의 보안 문제는 과거에 제어할 수 있다 타사 클라이언트 자원의 호스팅에서 발생 한다.

제어 및 표시 손실의 결과 다양 한 보안 문제 발생. 기타 보안 위협 클라우드 서비스, 클라우드 컴퓨팅에 매료 되 고 공격자의 많은 수를 주도 집중에서 왔습니다. 하지만 집중 없는 것은 아니다.

Kassner: 하나의 물리적 서버에 여러 가상 컴퓨터 (VM)을 사용 하 여 하는 것은 경제 생존 능력에 대 한 중요 한 이유 이다. 첫 번째 의견에 연구 논문, 실제 서버에서 공유에 대 한 이야기는 간주 문제. 왜일까요?

박사 Juels: 가상 컴퓨터 이웃 간의 상대적으로 고립 된 환경을 만듭니다. 이것은 추상 편의 하지만 그것은 중요 한 현실 마스크: 실수로 정보를 공유 하는 것을 의미 하드웨어를 공유. 이 낮은 보안 응용 프로그램에 대 한 문제가 되지 않을 수 있습니다 하지만 고객이이 아키텍처의 위험을 이해 해야 합니다.

Kassner: 확인 서버에 가상 컴퓨터 위험에는, 당신과 당신의 팀 만들었습니다 homealone 소프트웨어. HomeAlone 소프트웨어에 대 한 연구 논문 아웃 포인트:

HomeAlone의 핵심 아이디어는 반대로 사이드 채널 공격 응용 프로그램입니다. 공격 소스로 우회 공격 취약점을 악용 하는 대신 HomeAlone (L2 캐시)에서 우회 새, 방어 탐지 도구 사용 합니다.

측면의 길은 무엇 인가? 당신은 하시기 바랍니다 HomeAlone가 어떻게 작동 하는지 설명할 수?

Dr. Juels: 소위 우회 정보 누출, 아니라 그것의 자신의 기능을 일으킬 수 있는 시스템 디자인의 부산물입니다. 예를 들어 캐시를 공유 하는 두 개의 가상 컴퓨터 다른 가상 컴퓨터의 흔적을 감지 하 여 정보를 추론할 수 있습니다 가상 컴퓨터 중 하나. 이 캐시는 가상 컴퓨터 간에 정보를 전송 하도록 설계 되지 않았습니다, 하지만이 가능 하다.

Kassner: 아무도 측면도로 공격의 심각성을 믿는 것으로 보인다. 이렇게 하려면, 그것을 증명 하기 위해 공격을 만들었습니다. 결과 무엇 인가?

박사 Juels: 오랜 시간에 대 한 보안 전문가 들은 추측 가상 컴퓨터 경계 간에 일부 중요 한 정보가 노출 될 수 있습니다, 하지만 그것은 적극적으로 시연 하지 했다. 우리는 그들의 직관적인 감도 증명 하고있다. 정상적인 상황에서 우리는 동일한 서버에 있는 가상 컴퓨터를 다른 VM에서 암호화 키를 훔치는 공격 소프트웨어를 사용할 수 있습니다 설명 했다. 즉, 공격 소프트웨어 수 있는 가상 컴퓨터 사이의 격리 경계 하 고 피해자의 관심사를 심각 하 게 손상 됩니다.

Kassner: 우리는 항상 비난 하는 것 중 하나, 실험실에서 설립 되 고 입증 하는 것은 완전히 다릅니다 실제 상황. 이 이해 될 수 있다? 당신은이 진술에 동의 합니까? 실제 상황 이란 무엇입니까?

박사 Juels: 공격 우리가 보기의 종류를 달성 하기 어렵다. 이 작업을 완료 하는 Yinqian 장, 그 가상 환경에서 사이드 채널 공격에 대 한 깊은 이해는 하 고 많은 시간 작업을 완료 하는 창의력을 보낸다. 간단히 말해서, 당신이 없는 경우 사이드 채널 공격에 대 한 더 직접적인 이해, 컴퓨터의 자원 확보에 작동 하도록 할 수 있습니다.

용의자, 다음, 측면도로 공격 국가 안보, 쉽게 간과 될 수 있는 공격을 훼손 하는 기능이 있다. 또한, 일단이 공격 도구를 사용할 수 있는 도구 상용화 된다. 지진 네트워크 (Stuxnet) 벌레의 개발, 수석 전문 팀, 그것을 해결 하기 위해 필요할 수 있습니다 고 맬웨어 작성자는 그것 으로부터 많은 것을 배울 기술을 사용. 사이드 채널 공격은 진짜 문제, 그리고 이러한 기술 중 일부는 채택 되었다, 스마트 카드 등.

Kassner: 만약 당신이 회사에 대 한 구름 서비스를 설치 하려면, 당신이 예상할 무슨 할 클라우드 서비스 공급자? 기업 클라우드 서비스에 관심이 다른 조언을 줄 것 이라고?

Dr. Juels:이 순간 Hobson의 선택 호출 될 수 있습니다 (Hobson의 선택: 선택의 여지가). 난 더 나은 표준 및 가시성 및 제어를 달성 하기 위해 업계에서 프로시저를 호출 합니다. 내부 통제, 보호, 및 서비스 제공 업체 (성명 인증에 대 한 기준에 의해 고객에 게 제공 하는 서비스에 대 한 감사 기준에 대 한 공인 회계사 (AICPA)의 미국 협회에 의해 SSAE 16 인증 비슷합니다 계약 번호 16는 클라우드 서비스 공급자가 제공 하는 소위 보안 보증에 대 한 충분 한 거리가 멀다.

그냥 데이터 센터의 워드 패드에 검사 목록 검색, 대신 고객 클라우드 보안에 대 한 실시간, 신뢰할 수 있는 서비스를 필요 합니다. 더 많은 되도록 보안 및 새로운 기술의 조합에 대 한 강력한 고객 수요 집중 하 고 중요 한 클라우드 서비스 인프라 전체 산업에 도움이 됩니다.

박사 Kassner:juels, 귀하의 의견을 듣고 싶습니다. 그것는 종종 클라우드 서비스의 보안을 확인 하는 방법을 설명 합니다. 당신은 그것의 깊이 있는 연구를 했을. 어떤 주제에 대해 어떻게 생각 하십니까?

박사 Juels: 가장 중요 한 것은 아무도 진짜로 문제의 심각성을 이해 한다. 내가 언급 했 듯이, 클라우드 서비스 공급자 필요 하지 않습니다 또는 자체에 있는 가정 합니다 해당 책임 되어야 제공 하는 서비스의 보안을 보장 하는 준비 된다. 나의 느낌은 대부분 클라우드 서비스 공급자는 보안, 보안에 대 한 심각한 하지만 모호한 태도를 단지 충분 하지 않습니다.

종종 모든 새로운 산업 철저 하 게 그것의 전임자의 보안 수업을 이해 하 고 군더더기로 보안을 처리 해야 합니다. 나 클라우드 컴퓨팅 서비스에 낙관적인 이유 보안 많은 이전 예제에 비해 처음부터 우려 하고있다.

결론

그것은 한 물건 나누기 창 종이의 레이어를 것으로 보인다. 다른 많은 정교한 공격 소프트웨어와 마찬가지로, 그것은 곧 것입니다 수익 창출, 겉보기 좋은 선택. 박사 Juels 언급 되풀이 하 고 싶습니다.

클라우드 서비스 제공자 필요 하지 않습니다 또는 자체에 있는 가정 합니다 해당 책임 되어야 제공 하는 서비스의 보안을 보장 하는 준비 된다.

간단히 말해서, 그것은 "신중함 고객"의 또 다른 사건입니다.

특히, 박사 Juels 팀의 결론을 설명 하기 위해 시간을 내어 주셔서 감사 합니다, 그리고 그들의 노력에 대 한 연구 팀을 감사 하 고 싶습니다.