雲服務安全談：旁道攻擊威脅

我撰寫過一些關於安全性的文章，因此我對「雲服務」或者「分時轉化」很感興趣，我的前輩們是否認為它們是安全的呢。 幾乎從一開始，在不斷地有人說雲服務如何如何便利，於是乎雲服務引起了我的關注。

從什麼時候開始便利成為壞事了呢?這很不正常，但是在數位世界裡，當前的意識形態對於便利和安全是相對立的兩極。 我把它比喻成水和油的混合。 用力的搖動後，它們會混合成在一起，但是過段時間後，它們會分離開。

我經常被請求一下對於雲服務的觀點。 但是，對任何關於當前雲服務支援和反對的言論，我都婉言拒絕了，因為討論安全和雲服務是毫無實際意義的。 到目前為止，兩者沒有獲得任何有力支援的證據。

首要的缺陷

正如我所提到的，我一直在尋找關於雲服務安全性的所有線索。 到目前為止，這些線索的調查已經遇到了死胡同。 我從一個調查小組瞭解到，他們發現了一個可以被利用的漏洞;如果其駐留在雲服務中就會威脅到資料的安全性。

我很擔心這是真實的情況。 該小組成員Ari Juels (RSA安全實驗室)，AlinaOprea (RSA安全實驗室)，Michael Reiter (北卡羅來納大學教堂山分校)，Thomas Ristenpart (美國威斯康星大學麥迪森分校) 和Yinqian Zhang (北卡羅來納大學教堂山分校) 已經做了足夠多的研究以便支援他們所發表的多篇學術論文，並且證明他們有能力從雲服務中獲取私人金鑰。 (「HomeAlone軟體:通過旁道攻擊方法對雲服務中的共存檢測分析」和「跨虛擬旁道攻擊方法且利用其獲取私人金鑰」)。

我不打算讓這樣的機會就這樣溜走。 我與Juels博士取得了聯繫，並且他同意了回答我所提出的問題。 但是，首先，我要思考如何對雲服務做出最恰當的定義(參考維琪百科)：

雲計算服務是基於網路(通常指互聯網)，利用電腦資源(硬體和軟體)作為一種服務的方式。 這個名字使用雲狀符號作為一種抽象的概念，在這個系統圖形中它包含了複雜的基礎架構。 雲計算用於託管使用者的資料，軟體和計算服務。

Kassner：Juels博士，雲服務涵蓋了很多領域。 為了讓我們瞭解您的研究成果，請闡述一下您所關注的是什麼呢?

Juels博士：我認為這個詞被定義的相當廣義，但是關於安全性的問題應該值得強調。 許多雲計算應用的安全問題源于將資源託管到協力廠商的客戶，而在過去這些協力廠商是能被控制的。

可控和可見度喪失的結果導致大範圍的安全問題。 其他的安全威脅來自于雲服務建立起來的集中化，這導致了大量的攻擊者被吸引到雲計算。 但是，集中化也並不是沒有任何好處。

Kassner：對於經濟可行性來說，在一台物理伺服器上使用多個虛擬機器(VM)是一個重要的原因。 在您一開始的意見和研究論文中，談到在一台物理伺服器上共用被認為是自尋煩惱。 這是為什麼呢?

Juels博士：虛擬機器在鄰里之間創建了一個相對隔離的環境。 這是一個具有抽象性的便利，但是它掩蓋了一個重要的現實：共用硬體意味著在無意間也會共用資訊。 對於低安全性的應用程式來說，這可能不是問題，但是客戶需要瞭解這種架構的風險。

Kassner：為了驗證服務器上的虛擬機器是否存在風險，您和您的團隊創建了一個HomeAlone軟體。 關於HomeAlone軟體，研究論文中指出：

HomeAlone 的核心思想是將旁道攻擊的應用進行反轉。 而不是利用旁道攻擊的漏洞作為一個攻擊源，HomeAlone 使用一個旁道(在L2緩存中)作為一個新型的，具有防禦性的偵查工具。

什麼是旁道?可以請您解釋一下HomeAlone的工作原理嗎?

Juels博士：所謂旁道是源于系統設計的副產品，它能夠造成資訊的洩露，而不是一個自身具有的功能。 例如，如果兩個虛擬機器共用一個快取記憶體，其中一個虛擬機器能夠通過檢測另一個虛擬機器的痕跡推斷出相關資訊。 儘管這個緩存沒有被設計成在虛擬機器之間傳輸資訊，但是這樣做是可行的。

Kassner：似乎沒有人相信旁道攻擊的嚴重性。 為此，您創建了一次攻擊以此證明。 結果是什麼呢?

Juels博士：長期以來，安全專家推測在虛擬機器邊界之間一些敏感資訊會被洩露，但並沒有去積極地證明這種情況。 我們已經證明了他們的直覺敏感度。 在正常情況下，我們已經證明了存在於同一伺服器中的一個虛擬機器具可以利用攻擊軟體從另一個虛擬機器竊取加密金鑰。 換句話說，攻擊軟體可以破壞虛擬機器之間的隔離邊界，並且嚴重損害受害者的利益。

Kassner：我們總被告之一件事情，實驗室中所建立和證明的事情，與實際情況完全不同。 這種說法能夠被人理解嗎?您贊同這種說法嗎?實際的情況是什麼呢?

Juels博士：我們所展示的這種攻擊是很難去實現的。 Yinqian Zhang同學完成這個操作，他對於在虛擬環境下的旁道攻擊有更深入的理解;並且花費了大量的時間和創造性以完成這個工作。 概括地說，如果你不是對旁道攻擊有更直接的瞭解，你可能需要做好保護電腦資源安全的工作。

那麼，我猜測旁道攻擊具有破壞國家安全的能力，這種攻擊很容易被忽視。 此外，一旦得到這種攻擊工具，這種工具就會成為商業化。 隨著震網(Stuxnet)蠕蟲病毒的發展，可能需要一個資深的專業團隊去解決它，惡意軟體的編寫者從中會瞭解到很多東西，並且採用了其中的技術。 旁道攻擊就是一個現實的問題，並且已經採用了其中的某些技術，例如，智慧卡。

Kassner：如果你為一家公司安裝一個雲服務，您期望雲服務提供者應該做些什麼呢?您會給那些對雲服務感興趣的公司任何其它的建議嗎?

Juels博士：這一刻可以稱為霍布森選擇 (Hobson’s choice: 毫無選擇餘地)。 我會呼籲行業內出臺更好的標準和程式來實現可見度和控制。 類似由美國註冊會計師協會(AICPA)制定的針對服務中心向客戶提供服務的內部控制、安全保障、及稽核監督措施的審核標準的SSAE 16認證(Statement on Standards for Attestation Engagements No. 16)對於雲服務提供者提出的所謂安全擔保來說是遠遠不夠的。

客戶需要的是對於雲安全來說即時的，高可信度的服務，而不是僅僅在資料中心的寫字板上偶爾流覽一下檢查表。 客戶對於安全的更強烈的需求與保證越來越多集中及重要雲服務基礎設施安全的新技術發展的結合將會使整個行業受益。

Kassner：Juels博士，我想聽聽您的意見。 對於如何保證雲服務的安全常常被討論到。 您對其已經做了深入研究。 對於該話題，您的感受是什麼呢?

Juels博士：最重要的一點是沒有人真正瞭解到問題的嚴重性。 正如我所提到的，雲服務提供者並不需要或準備對它們所提供的服務安全做出保證，而這本身應該是它們所應承擔的相應責任。 我的印象是大多數的雲服務提供者對於保證安全性都是十分認真的，但是僅僅有一個模糊的態度是不夠的。

通常每個新的行業都需要徹底瞭解它的前輩在安全方面的經驗教訓，並且將安全性作為事後處理。 我看好雲計算服務的原因是，相比許多之前的例子，安全性從一開始就備受關注。

結語

這似乎看起來就是一層窗戶紙一捅就破。 類似于許多其他複雜的攻擊軟體，很快就會被貨幣化，看似不錯的選擇。 我想重申一下Juels博士提到的:

雲服務提供者並不需要或準備對它們所提供的服務安全做出保證，而這本身應該是它們所應承擔的相應責任。

簡單來說，它是另種情況下的「顧客謹慎為上」。

我要感謝研究團隊所作出的努力，特別感謝Juels博士抽出寶貴的時間解釋該團隊所作出的結論。