十年前,我從大學(xué)畢業(yè)并獲得計(jì)算機(jī)科學(xué)學(xué)位��,這之后一直有兩個(gè)問(wèn)題困擾著我�。首先,經(jīng)常有人問(wèn)我 “你能修好我的電腦嗎�?” 在這個(gè)問(wèn)題之后,偶爾還會(huì)接著問(wèn)到下面的問(wèn)題�����,“你知道怎么做網(wǎng)站嗎����?” 后一個(gè)問(wèn)題直接導(dǎo)致我在業(yè)余時(shí)間內(nèi)為朋友與親戚創(chuàng)建了一些小網(wǎng)站。當(dāng)然��,我需要為這些網(wǎng)站提供主機(jī)服務(wù),解決方法是顯而易見(jiàn)的�����,我求助了一家來(lái)自云的虛擬機(jī) (VM) 提供商���。在眾多提供商中進(jìn)行選擇很容易�����,對(duì)我而言��,最重要的兩點(diǎn)考慮是成本(我是免費(fèi)為他人做網(wǎng)站的)和可靠性���,確保這些網(wǎng)站始終可用。為了達(dá)到一個(gè)合理的速率�����,他們提供了一個(gè)服務(wù)器切片供我運(yùn)行網(wǎng)站���。對(duì)于我這種業(yè)余愛(ài)好者���,很容易做出使用云這個(gè)低成本的決定。
對(duì)于公司����,無(wú)論規(guī)模大小,都很難做出這種決定���。盡管在全球范圍內(nèi)�����,對(duì)云計(jì)算的優(yōu)點(diǎn)已經(jīng)達(dá)成廣泛共識(shí)����,但安全性是妨礙它大規(guī)模推廣的主要原因之一���。如果委托第三方為生產(chǎn)功能或機(jī)密數(shù)據(jù)提供主機(jī)服務(wù)����,可能導(dǎo)致服務(wù)中斷�����、數(shù)據(jù)丟失或敏感信息泄露方面的擔(dān)憂���。誰(shuí)敢說(shuō)云提供商沒(méi)有為客戶提供增加了某些設(shè)備的虛擬機(jī)���,從而竊取客戶的機(jī)密數(shù)據(jù)呢�����!當(dāng)需要保證可用性���、硬件可靠性、規(guī)章合規(guī)性與數(shù)據(jù)私密性時(shí)���,委托第三方來(lái)照看硬件�����、數(shù)據(jù)與網(wǎng)絡(luò)流量顯然不是什么好主意�����。
獲得保證有很多種方式:監(jiān)察機(jī)構(gòu)��、證書(shū)��、定期檢查或?qū)彶槎加兄诮?duì)云提供商的信任��,但它們無(wú)法提供持續(xù)性和權(quán)威性的證據(jù)來(lái)證明一切都沒(méi)有偏離正常軌道��。在考慮屬于自己 VM 的磁盤(pán)鏡像—您如何能肯定地知道 VM 是從正確的設(shè)備引導(dǎo)的����,而且磁盤(pán)鏡像從未被篡改過(guò)嗎����?當(dāng)然,云的本質(zhì)決定了這是一個(gè)必須遠(yuǎn)程回答的問(wèn)題���,這又帶來(lái)了其他難題:
- 我如何確定正在與我通信的是正確的計(jì)算機(jī)�,而非某個(gè)中間人�����?
- 我如何知道響應(yīng)是可靠的��,而非被操縱����,從而告訴我愿意聽(tīng)到的內(nèi)容?
進(jìn)入可信引導(dǎo)
可信引導(dǎo)是 PowerSC 標(biāo)準(zhǔn)版的一個(gè)組成部分,可以為以上問(wèn)題提供明確的答案��������; Trusted Computing Group 的 Trusted Platform Module (TPM) 技術(shù)�����,可信引導(dǎo)仔細(xì)檢查引導(dǎo)過(guò)程的每個(gè)步驟�,采用了軟件安全量度(加密哈希)并在虛擬 TPM (VTPM) 中記錄數(shù)據(jù)��。在 VTPM 中記錄數(shù)據(jù)是一次性的����,一旦有值被寫(xiě)入,就可以檢索它�����,但不能修改或覆蓋它����。VTPM 沒(méi)有提供撤消按鈕。
VTPM 功能提供對(duì)加密能力的測(cè)量,因此偽造測(cè)量是不可能的�。可信引導(dǎo)為引導(dǎo)過(guò)程的每一步驟都打造了牢不可破的信任鏈����。對(duì)于 Power Systems 而言,這條信任鏈從系統(tǒng)管理程序開(kāi)始��,通過(guò)分區(qū)固件到達(dá) AIX 和應(yīng)用層中�。信任鏈中的每個(gè)鏈接都負(fù)責(zé)測(cè)量下一環(huán)節(jié)����,并將測(cè)量結(jié)果鎖定在無(wú)法篡改的 VTPM 中。對(duì)于 AIX 而言���,這意味著在有機(jī)會(huì)執(zhí)行自己代碼的指令之前���,它已經(jīng)被拆開(kāi)并被“監(jiān)視”,而測(cè)量結(jié)果被放在它無(wú)法觸及的地方�����。如果有人修改了磁盤(pán)上的引導(dǎo)鏡像����,可信引導(dǎo)立刻就會(huì)知道�����。
圖 1 . 可信引導(dǎo)示意圖
![]()
在 AIX 引導(dǎo)鏡像有機(jī)會(huì)執(zhí)行之前�����,PowerVM 系統(tǒng)管理程序會(huì)對(duì)其進(jìn)行審查�����。
AIX 已經(jīng)包含可信執(zhí)行(Trusted Execution)這種保護(hù)用戶空間二進(jìn)制不被修改的方法�����?尚乓龑(dǎo)通過(guò)測(cè)量可信執(zhí)行數(shù)據(jù)庫(kù)本身進(jìn)一步加強(qiáng)了這一點(diǎn)��?尚乓龑(dǎo)與可信執(zhí)行聯(lián)合為用戶提供遠(yuǎn)程主機(jī)中的高級(jí)別信任��,因?yàn)閷?duì)系統(tǒng)上受監(jiān)控文件所做的任何修改都將被檢測(cè)到����。
將測(cè)量結(jié)果與證書(shū)傳遞給第三方檢驗(yàn)器是 Open Platform Trust Services (OpenPTS) 的任務(wù)��。OpenPTS 是由 IBM Tokyo Research Labs 開(kāi)發(fā)的一項(xiàng)開(kāi)源技術(shù)��,已經(jīng)移植到 AIX for PowerSC 上��。在筆記本電腦或單獨(dú)的 AIX 分區(qū)上�����,遠(yuǎn)程用戶可以證實(shí)他們的計(jì)算機(jī)正在運(yùn)行正確的鏡像�����。引導(dǎo)過(guò)程中記錄的測(cè)量數(shù)據(jù)和一些其他重要屬性會(huì)一起發(fā)送給檢驗(yàn)器。這種交換包含了 VTPM 的唯一私有簽名���,可防止任何人模仿您特定的計(jì)算機(jī)�����。每個(gè)證實(shí)請(qǐng)求都會(huì)交換一個(gè)唯一編號(hào)�����,從根本上消除重放以前成功驗(yàn)證的可能性����。基于這些標(biāo)準(zhǔn)�,OpenPTS 軟件仔細(xì)研究提供給它的測(cè)量信息,如果剛剛收到的信息與它保存的參考信息之間存在不匹配的地方����,用戶會(huì)收到來(lái)源不一致的警告��?尚乓龑(dǎo)不會(huì)基于完整性檢查的結(jié)果進(jìn)行干預(yù)或采取行動(dòng)��,而是讓用戶根據(jù) OpenPTS 提供的信息自行決定����。
圖 2.OpenPTS 示意圖
![]()
OpenPTS 遠(yuǎn)程檢驗(yàn)器驗(yàn)證多個(gè) LPAR 中引導(dǎo)鏡像的完整性。
當(dāng)然�����,操作系統(tǒng)鏡像并非靜態(tài)的����,而是需要經(jīng)常進(jìn)行更新、升級(jí)和打補(bǔ)丁����。如果在進(jìn)行計(jì)劃內(nèi)維護(hù)時(shí)���,數(shù)據(jù)中心內(nèi)的所有計(jì)算機(jī)都突然發(fā)出警告說(shuō)有地方存在問(wèn)題,那么這一定是一件讓人討厭的事情���。AIX 知道可信引導(dǎo)何時(shí)運(yùn)行����,如果已經(jīng)應(yīng)用更新�����,而且測(cè)量數(shù)據(jù)在下一次引導(dǎo)時(shí)可能會(huì)發(fā)生變化�����,那么它會(huì)向用戶發(fā)出警告���。進(jìn)行驗(yàn)證以接受或拒絕這些新測(cè)量,這是用戶的責(zé)任���。OpenPTS 驗(yàn)證器可以從命令行運(yùn)行�,讓管理員能夠?qū)⑺诂F(xiàn)有腳本和常規(guī)安全檢查中。 有一個(gè)選項(xiàng)支持自動(dòng)接受更新���,但有先見(jiàn)之明的管理員應(yīng)該始終檢查偽更新是否存在��。檢驗(yàn)器維護(hù)一個(gè)包含最新值和未決值的集合�����,以便進(jìn)行比較��,因此可以在更新遠(yuǎn)程系統(tǒng)的同時(shí)保持信任鏈完全不受影響�。
克服安全障礙
現(xiàn)在��,由于在技術(shù)��、經(jīng)濟(jì)與生態(tài)方面的優(yōu)點(diǎn)���,云計(jì)算正變得越來(lái)越流行���。它允許企業(yè)脫離其 IT 基礎(chǔ)架構(gòu),從而集中精力于主要活動(dòng)�,而且為交付計(jì)算資源(如即付即用資源)提供了新的途徑。云計(jì)算的用戶范圍非常廣泛�����,從希望限制初始資金投入的入門(mén)用戶,到擁有重要處理需求的政府����。當(dāng)然,這種不斷增長(zhǎng)的要求也代表著令人驚訝的機(jī)遇�����。借助可信引導(dǎo)與 PowerSC 的其他組件���,IBM 正在解決妨礙云計(jì)算發(fā)展的關(guān)鍵障礙�,并在云安全性方面處于領(lǐng)先地位���。
關(guān)于作者
David Haikney 是來(lái)自 IBM 英國(guó)曼徹斯特實(shí)驗(yàn)室的一名項(xiàng)目經(jīng)理����,他主要負(fù)責(zé)和 Power Systems 以及 System Storage 相關(guān)的工作�����,最近他參與了 PowerSC 中 Trusted Boot 和 Trusted Logging 組件的開(kāi)發(fā)工作���。
http://www.ibm.com/developerworks/cn/aix/systemmaga/8/New_Way_Secure_Cloud/index.html
免費(fèi)注冊(cè)
發(fā)表于 2012-01-19 10:57