本周,谷歌发布了一些新的云安全技术,旨在让公共云变得更加安全。其中有一个叫“Shielded VMs”,该谷歌云平台的特征是防止在虚拟机上安装rootkits和其它顽固恶意软件,以及防御会导致数据泄露的其它攻击。
Shielded VMs使用了一种密码保护的测量VM镜像基线,并于今天发布了Beta版,它为虚拟机提供了“防篡改”机制,会提醒用户其在运行时状态的变化。Shielded VMs只能在最初部署的环境之下运行,换句话说,它能够防止虚拟机通过“快照”(snap-shotting)或复制的方式泄露数据。
虚拟保护
一些主要的云供应商试图通过一些方式,如通过强化虚拟机的操作系统镜像,以及使用“机密计算”模型防止底层机器操作系统提供访问权限,来减少对虚拟机和云应用容器的威胁。
微软和谷歌都发布了机密计算技术,微软的Azure Confidential Compute于去年9月份发布,谷歌的Asylo框架Beta版于今年5月份发布。这些平台在“可信任的执行环境”中运行应用容器,这一环境能够防止运行在底层操作系统或者虚拟环境下的程序访问这些平台的数据。
但是这些方式当前需要对应用程序或者容器进行特别构建,以便可以在可信任的环境中运行,并且它们在保护所有的云应用程序中并不能发挥实际的作用。直接远程攻击平台上的虚拟机的实例,如Amazon Web Services、Microsoft Azure、和利用操作系统开发的Google Cloud Platform (GCP),虽然有可能发生,但还是很罕见的。但是,通过发起网络钓鱼攻击来盗取管理凭据,如之前民主党全国委员会攻击事件,使黑客很容易就能够进入到这一系统之中。
云安全公司UpGuard网络风险研究主管Chris Vickery指出,人为错误和系统配置错误会成为攻击者进入系统的垫脚石。Vickery说:“一种常见的情况是,某个人将AWS凭据发布在Github repo上,但是忘记了对这些凭据设置权限。”“有了这些凭据,攻击者就会创建一个虚拟机快照或者存储快照,然后将这些快照转移到攻击者拥有的账户下,用于实施盗窃。”他说道。还有一种方法是,他们会获取虚拟机的访问权限,在这些虚拟机上安装rootkits或其它恶意软件,并赋予他们永久的权限。
最新的证据出现在特别律师Robert Mueller于本月早期发布的诉状书中,这一诉状书描述了之前未提及过的俄罗斯对民主党全国委员会使用的云服务进行国家攻击事件。来自俄罗斯军方情报机构总参谋部情报总局(GRU)的黑客能够获取民主党全国委员会用于分析开发的虚拟机的访问权限,然后对虚拟服务器快照进行保存,允许他们克隆虚拟服务器,以及在同一云服务中创建另一个虚拟服务器,并在服务器空闲的时候提取数据。
锁定数据
为了防止这类攻击,Shielded VMs使用了基于固件的UEFI Secure Boot(UEFI安全启动)和virtual Trusted Platform Module(虚拟可信任平台模块)vTPM,这一模块能够生成和存储加密秘钥。这些秘钥能够用于安全启动,保证虚拟机只能运行经过认证的软件,以及Measured Boot(测量启动)能够检查之前的虚拟机配置基线,以便在启动虚拟机之前,对虚拟机的完整性进行更好地控制。
Secure Boot和Measured Boot(安全启动和测量启动)能够防止操作系统在启动过程中运行rootkits,以及运行内核级别的恶意软件。Measured Boot能够通过StackDriver和谷歌的虚拟机监控工具对虚拟机在运行状态下的完整性进行检测。
vTPM也能够用于存储驱动加密秘钥,如果无法获取访问权限,那么就难以访问虚拟机驱动内容,除非操作系统在“已知”状态下启动。如果虚拟机的操作系统、Bootloader(引导装载程序)或者固件镜像受到损害,那么系统就不会启动,因此攻击者将无法加密虚拟磁盘。如果攻击者将虚拟机快照转移到不同的环境之下,也会发生同样的情况。
谷歌为其容器环境也使用了类似保护完整性的技术,如Google Kubernetes Engine。未来将会发布Beta版本的Binary Authorization(二进制授权),允许用户在部署这些容器镜像之前,要求对容器镜像的签名进行认证,这一管理特征旨在终结通常和DevOps类型云环境相关的“YOLO”部署方法。Binary Authorization签名能够通过创建成为开发和测试管线的一部分,即在部署之前的最后保障,并且使用了GCP Container Registry Vulnerability Scanning(Ubuntu、Debian和基于Alpine Linux的镜像)来在部署之前进行安全检查。
原文作者:SEAN GALLAGHER
