автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Защита облачных вычислений от атак на средства виртуализации

кандидата технических наук
Никольский, Алексей Валерьевич
город
Санкт-Петербург
год
2013
специальность ВАК РФ
05.13.19
цена
450 рублей
Диссертация по информатике, вычислительной технике и управлению на тему «Защита облачных вычислений от атак на средства виртуализации»

Автореферат диссертации по теме "Защита облачных вычислений от атак на средства виртуализации"

На правах рукописи , 1

Никольский Алексей Валерьевич

ЗАЩИТА ОБЛАЧНЫХ ВЫЧИСЛЕНИЙ ОТ АТАК НА СРЕДСТВА ВИРТУАЛИЗАЦИИ

Специальность 05.13.19

Методы и системы защиты информации, информационная безопасность

Автореферат диссертации на соискание ученой степени кандидата технических наук

г 1 ноя 2013

005539082

Санкт-Петербург - 2013

005539082

Работа выполнена в Федеральном государственном бюджетном образовательном учреждении высшего профессионального образования «Санкт-Петербургский государственный политехнический университет»

Научный руководитель:

Зегжда Дмитрий Петрович, доктор технических наук, профессор

Официальные оппоненты:

Баранов Александр Павлович, доктор физико-математических наук, профессор, зав. каф. информационной безопасности, НИУ ВШЭ

Красов Андрей Владимирович, кандидат технических наук, профессор кафедры ИБТС, ГОУ ВПО «Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-

Бруевича»

Ведущая организация: ФГОУ ВПО «Петербургский государственный

университет путей сообщения»

Защита состоится «/ ^ » декабря 2013 г. в часов

на заседании диссертационного совета Д 212.229.27 при ФГБОУ ВПО «Санкт-Петербургский государственный политехнический университет» (по адресу 195251, Санкт-Петербург, ул. Политехническая, д.29/1, ауд. 175 главного здания)

С диссертационной работой можно ознакомиться в Фундаментальной библиотеке ФГБОУ ВПО «Санкт-Петербургский государственный политехнический университет».

Автореферат разослан ноября 2013г.

Ученый секретарь диссертационного совета

4 Платонов Владимир Владимирович

Общая характеристика работы

Актуальность темы исследования. В настоящее время облачные технологии интенсивно развиваются и внедряются во многие коммерческие компании и государственные организации, поэтому обеспечение информационной безопасности систем облачных вычислений (СиОВ) является критически важной задачей. Как правило, защита СиОВ обеспечивается с помощью межсетевых экранов, криптографических средств и других механизмов, не учитывающих возможности внутреннего нарушителя.

Основой для построения систем облачных вычислений являются средства виртуализации (гипервизоры), которые обеспечивают работу виртуальных машин (ВМ) в СиОВ. Нарушители, имеющие доступ к ВМ, могут совершать атаки на средства виртуализации путем эксплуатации уязвимостей (таких как, СУЕ-2011-1751 в КУМ и СУЕ-2012-0217 в Хеп), список которых пополняется каждый год. Пользователи обладают разными правами доступа к ресурсам СиОВ, однако гипервизоры назначают всем ВМ одинаковые привилегии, причем эти привилегии чаще всего избыточны. Кроме того, гипервизоры обладают исключительными привилегиями во внутренней инфраструктуре СиОВ, что открывает нарушителю, в случае успешной атаки на гипервизор, доступ практически ко всем информационным ресурсам СиОВ. Следовательно, для обеспечения безопасности облачных вычислений необходимо контролировать привилегии не только пользователя, но и компонентов гипервизора, обрабатывающих запросы ВМ, а также процесс их обработки во внутренней инфраструктуре СиОВ.

Из вышеизложенного следует актуальность постановки задачи по разработке методов построения гипервизоров для облачных вычислений, позволяющих нейтрализовать атаки на средства виртуализации, обусловленные успешной эксплуатацией уязвимостей. Актуальность подтверждается и приказом ФСТЭК № 21 от 18 февраля 2013 г.

Тема работы соответствует пунктам 6 и 13 паспорта специальности 05.13.19 «Методы и системы защиты информации, информационная безопасность».

Степень разработанности темы исследования. Известными отечественными и зарубежными учеными, занимающимися проблемами безопасности облачных вычислений и моделированием безопасности

распределенных систем, являются В.Е. Козюра, В.А. Курбатов, В.И. Будзко, B.C. Заборовский, Ф. Мартинелли, Р.Б. Ли, Р. Сэйлер и С. Вогл.

В современных работах защиту гипервизоров предлагается обеспечить с помощью средств мандатного контроля доступа (проект sHype) или криптографических средств (проект Terra). Таким образом, в этих работах решаются задачи изоляции ВМ друг от друга и защиты ВМ от воздействий со стороны гипервизоров, но не учитываются особенности атак на средства виртуализации.

Целью работы является защита систем облачных вычислений от атак, направленных на средства виртуализации, с использованием мультидоменного гипервизора, обеспечивающего монотонное убывание привилегий в ходе обработки запросов пользователей. Для достижения поставленной цели в работе решались следующие задачи:

1. Разработка модели угроз для гипервизоров в системах облачных вычислений, учитывающей атаки на средства виртуализации.

2. Создание формальной модели атак на средства виртуализации и разработка оценки степени устойчивости гипервизоров к атакам.

3. Разработка архитектуры мультидоменного гипервизора, обеспечивающего защиту от атак на средства виртуализации.

4. Построение формальной модели обработки запросов в СиОВ.

5. Разработка методики обеспечения безопасной обработки запросов в СиОВ на основе принципа наименьших привилегий путем монотонного убывания привилегий в ходе обработки запросов.

6. Создание опытного образца мультидоменного гипервизора и его апробация в СиОВ.

Научная новизна диссертационной работы состоит в следующем:

- обоснована необходимость распределения компонентов гипервизора по доменам с различными привилегиями, что обеспечивает защиту от атак на средства виртуализации, в соответствии с разработанной формальной моделью атаки;

- предложена оценка степени устойчивости гипервизоров к атакам;

- впервые предложена архитектура мультидоменного гипервизора, обеспечивающая защиту от атак на средства виртуализации;

- разработана формальная модель безопасной обработки запросов, позволившая сформулировать принцип монотонного убывания привилегий;

- разработана методика обеспечения монотонности убывания привилегий при обработке запросов.

Практическая значимость результатов определяется возможностью использования предложенных моделей и методики для сравнительной оценки устойчивости гипервизоров различной архитектуры к атакам внутреннего нарушителя и для практической реализации мультидоменного гипервизора, обеспечивающего защиту СиОВ от атак на средства виртуализации.

Результаты работы представляют практическую ценность для разработчиков защищенных систем облачных вычислений и средств виртуализации.

Внедрение результатов исследований. Предложенный подход к построению гипервизоров для СиОВ, защищенных от атак на средства виртуализации, нашёл применение при разработке методов работы программно-конфигурируемых сетей в рамках НИР «Анализ и разработка методов и алгоритмов управления сетевыми ресурсами и потоками данных в программно-конфигурируемых компьютерных сетях» (шифр «2012-1.4-07-5140021-025») по государственному контракту от 14 июня 2013 г. № 07.514.11.4151.

Предложенная модель атаки на средства виртуализации и методика практического использования мультидоменного гипервизора использовались в рамках НИОКР «Управление-Контроль» ООО «РОСРЕЧИНФОКОМ»; оценка степени устойчивости гипервизора к атакам и архитектура мультидоменного гипервизора использовались при разработке распределенной вычислительной системы в ЗАО «РНТ», что подтверждается соответствующими актами об использовании. Разработанная модель безопасности обработки запросов в СиОВ и предложенный принцип мультидоменности для обработчиков запросов использовались при проведении теоретических и практических занятий по дисциплине «Безопасность систем распределенных облачных вычислений» на кафедре «Информационная безопасность компьютерных систем» ФГБОУ ВПО «СПбГПУ» в рамках направлений 090900 «Информационная безопасность» и 090300 «Информационная безопасность вычислительных, автоматизированных и телекоммуникационных систем».

Методология и методы исследования. Для решения поставленных задач использовались системный анализ, теория графов, теория множеств, теория автоматов и методы математического моделирования.

Положения, выносимые на защиту:

1. Формальная модель атаки на средства виртуализации, доказывающая необходимость понижения привилегий эмуляторов устройств в гипервизорах.

2. Оценка степени устойчивости гипервизора к атакам со стороны ВМ, позволяющая сравнить различные реализации гипервизоров.

3. Архитектура мультидоменного гипервизора, обеспечивающая защиту от атак на средства виртуализации.

4. Теорема о монотонности убывания привилегий в ходе обработки запроса пользователя как достаточном условии защищенности от атак на средства виртуализации.

5. Методика обеспечения монотонного убывания привилегий, использующая архитектуру мультидоменного гипервизора.

Степень достоверности научных положений диссертации определяется теоретическим обоснованием предлагаемого аналитического аппарата и результатами их апробации при практическом воплощении.

Апробация результатов работы. Основные теоретические и практические результаты диссертационной работы обсуждались на конференциях:

- VI Международной конференции «МММ-АСЫ8-2012»;

- XXI научно-технической конференции «Методы и технические средства обеспечения безопасности информации» 24 - 29 июня 2012 г.;

- XIV, XV всероссийской конференции «РусКрипто-2012/2013»;

- Санкт-Петербургской межрегиональной конференции «Информационная безопасность регионов России 2011»;

- XIV Национальном форуме информационной безопасности «ИНФОФОРУМ-2012».

Публикации. По теме диссертации опубликовано 10 научных работ, 4 из которых опубликованы в рецензируемых журналах ВАК РФ.

Объем и структура. Диссертация состоит из введения, четырех глав, заключения и списка источников из 72 наименований.

Основное содержание работы

Во введении обосновывается актуальность темы диссертации, определяется цель, формулируются задачи исследования, описывается структура диссертационной работы.

В первой главе представлены результаты анализа безопасности современных средств виртуализации в системах облачных вычислений, результаты анализа уязвимостей гипервизоров, приведено описание разработанной модели угроз для гипервизоров, которая конкретизирует и дополняет базовую модель угроз ФСТЭК, формулируется задача обеспечения безопасности гипервнзора.

Основным недостатком современных гипервизоров является возможность атаки со стороны нарушителя, имеющего доступ к ВМ, на внутреннюю инфраструктуру СиОВ, что подтверждается практическими исследованиями существующих уязвимостей гипервизоров. Для современных гипервизоров базовая модель угроз ФСТЭК является недостаточной. С появлением новых угроз безопасности, обусловленных использованием средств виртуализации, её потребовалось адаптировать и детализировать. В дополнение к базовой модели угроз ФСТЭК в работе предложен новый класс угроз, связанных с преднамеренными или непреднамеренными действиями лиц, имеющих доступ к ВМ (таблица 1). Адекватность предложенной модели подтверждается результатами практических исследований известных уязвимостей (например, СУЕ-2011-1751 и СУЕ-2012-0217) средств виртуализации, которые могут служить средством реализации указанных в модели угроз. Защита облачных вычислений от атак на средства виртуализации может быть обеспечена путем минимизации привилегий компонентов гипервнзора, уязвимости которых позволяют реализовать подобные атаки. При понижении привилегий уязвимых компонентов гипервнзора до минимально допустимых нарушитель не сможет получить преимущества от успешного использования уязвимостей в средствах виртуализации.

Таблица 1 — Угрозы средствам виртуализации в системах облачных

вычислений

Угроза Возможные последствия

Угроза выхода за пределы ВМ Получение несанкционированного доступа к ресурсам средства виртуализации

Угроза несанкционированного доступа к ресурсам ВМ пользователем другой ВМ Распространение вредоносного ПО в СиОВ Получение несанкционированного доступа к данным

Угроза несанкционированного доступа к внутренней инфраструктуре СиОВ пользователем ВМ Получение несанкционированного доступа к данным

Во второй главе описана разработанная формальная модель атаки на средства виртуализации в СиОВ, предложена оценка степени устойчивости гипервизора к атакам, сформулировано условие нейтрализации атак на средства виртуализации и описана архитектура мультидоменного гипервизора.

Анализ известных уязвимостей гипервизоров показал, что класс угроз, связанных с атаками на средства виртуализации, реализуется путем воздействия на эмуляторы устройств, которые создают виртуальную аппаратуру ВМ. При успешной реализации уязвимости хотя бы один эмулятор переходит в состояние, не соответствующее спецификации устройства, в результате чего нарушитель получает возможность влиять на работу гипервизора, используя привилегии уязвимого эмулятора.

Для формулирования условия успешной атаки на гипервизор была разработана формальная модель атак на средства виртуализации. В модели гипервизор представлен как множество конечных автоматов - эмуляторов устройств, а атака на средства виртуализации - это последовательность событий, сгенерированных ВМ. В рамках модели гипервизор Н - это множество эмуляторов [и], обрабатывающих события из множества V. Множество событий V состоит из двух непересекающихся подмножеств: Уд -множество событий, генерируемых ВМ, — множество событий,

генерируемых компонентами гипервизора. Эмуляторы устройств располагаются в компонентах с = ({uc},Adc, Lvlc) гипервизора, обладающих единым адресным пространством Adc и уровнем привилегий Lvlc. Каждый эмулятор описывается конечным автоматом, для которого определен уровень привилегий и функция допустимости состояния: и = (Vu,Su,s0,Tru,Squ,Lvlu), где Fu£¥ - входной алфавит (множество событий), Su - множество состояний эмулятора, Sq - начальное состояние эмулятора при старте ВМ, Tru:Su X Vu -» Su - функция перехода между состояниями эмулятора, Squ: Su -> {true, false} -функция допустимости состояния, представляющая собой конъюнкцию предикатов, которые характеризуют состояние эмулятора как допустимое или недопустимое, Lvlu - уровень привилегий эмулятора. В модели рассматривается три уровня привилегий для эмуляторов: УЗ соответствует ядру операционной системы, У2 - администратору системы, У1 — непривилегированным компонентам в гипервизоре. Внутренний нарушитель использует для осуществления атаки только события из множества Vq, что подтверждается анализом существующих эксплуатации уязвимостей гипервизоров. Атака на средства виртуализации представляет собой последовательность из m событий i = 1 ,—,т, которая переводит хотя бы один эмулятор и в гипервизоре Н в недопустимое состояние, в результате чего нарушитель повышает своп привилегии в системе до уровня Lvl':

Attack = ({Vi^.Lvl'.s^.Vi €Vg,3u€ H:Sq(Tr(st+m,vm)) = false, Lvl' = Lvlu.

Из модели следует, что устойчивость гипервизора к атакам на средства виртуализации определяется мощностью множества Vg и уровнем привилегий эмуляторов, обрабатывающих события из этого множества. Для каждого события из множества Vg эмуляторы устройств содержат блоки кода, которые отвечают за его обработку. В работе введено понятие артефакта - блока кода, переводящего хотя бы один эмулятор в другое состояние. Таким образом, каждая атака на средства виртуализации основана на уязвимости в артефакте, но не каждый артефакт содержит уязвимость. Следовательно, множество артефактов в средстве виртуализации сюръективно отображается на множество

уязвимостей в гипервизоре, используя которые нарушитель может совершать атаки на внутреннюю инфраструктуру СиОВ. Количество артефактов /?1( в эмуляторе и может быть получено путем анализа исходного кода гипервизора или путем подсчета таких событий из множества Уд, при обработке которых состояние эмулятора изменяется. Поскольку артефакты в эмуляторах, располагающихся в одном компоненте, увеличивают подверженность этого компонента атакам, то оценку степени устойчивости каждого компонента к атакам предлагается вычислять так:

(с = = ЪиеЫлРи/ЪшенРи,-

В качестве оценки степени устойчивости гипервизора к атакам предлагается использовать наименьшее среди компонентов с артефактами и самым высоким уровнем привилегий значение

С учетом предложенной оценки степени устойчивости гипервизоров к атакам сформулировано условие нейтрализации атак на средства виртуализации: каждый компонент с 1 должен обладать привилегиями, не превышающими минимально необходимые для его работы. Поскольку эмуляторы устройств в компонентах гипервизора требуют различных привилегий, был предложен принцип мультидоменности: эмуляторы должны быть распределены по доменам так, чтобы каждый домен содержал только эмуляторы с одинаковым множеством привилегий. Принцип мультидоменности и принцип наименьших привилегий положены в основу разработанной архитектуры мультидоменного гипервизора (рисунок 1), которая позволяет повысить оценку степени устойчивости гипервизора путем распределения множества эмуляторов по максимальному числу доменов, таким образом, чтобы каждый эмулятор обладал минимально необходимым для его работы множеством привилегий. Предлагаемая архитектура требует, чтобы все эмуляторы находились на уровне привилегий У1. Минимально необходимый набор привилегий эмуляторов определяется ролью гипервизора во внутренней инфраструктуре СиОВ, которая, в свою очередь, обусловлена участием гипервизора в обработке запросов пользователя ВМ.

(а)

Эмуляторы:

Уровни привилегий

ВМ 1

я

У1

н

РНВ

У2

(б)

УЗ

шщш

Домены: ||||| Компоненты:

____I

Рисунок 1 - Архитектуры гипервизоров: (а) — традиционного, (б) -мультидоменного

В третьей главе описана разработанная формальная модель безопасной обработки запросов в СиОВ, формализована задача обеспечения безопасности СиОВ и сформулирован принцип наименьших привилегий для обработчиков запросов в СиОВ.

Запросы пользователя СиОВ передаются для обработки сетевым сервисам, приложениям, эмуляторам и другим программам, которые располагаются на различных узлах СиОВ: гипервизоры, ВМ, хранилища, центры управления. В ходе обработки запроса обработчик может сгенерировать новый запрос, направленный другому обработчику, поэтому между запросами в СиОВ существует отношение вложенности, которое описывает их логическую последовательность (рисунок 2).

Рисунок 2 - Три последовательных запроса д0, <?/, с обработчиками ап, а,, а2,

аз, а4

Уровни

В результате анализа работы различных платформ облачных вычислений структура обработки запросов была формализована в виде ориентированного графа, вершинами которого являются обработчики запросов, а дуги соответствуют маршрутам, по которым отправляются запросы другим обработчикам в СиОВ. Разработанная формальная модель обработки запросов в СиОВ представлена в таблице 2. В рамках модели привилегии рассматривались как множество прав доступа, необходимых для выполнения определенных действий.

Таблица 2 - Элементы формальной модели обработки запроса в СиОВ

Множество пользователей системы облачных вычислений и

Множество вершин графа. Каждая вершина описывается узлом аПо5( и экземпляром программы аргод на нем А = {{avrog, ahost)}

Множество дуг L = А X А

Множество привилегий обработчиков запросов Р

Маркировочная функция для вершин графа, ставящая в соответствие обработчику запроса множество его привилегий РИА ->У(Р) У(Р) - множество подмножеств

Маркированный ориентированный граф обработки запросов в СиОВ С = (АД ,Р1)

Множество всех запросов в СиОВ Q

Множество запросов, доступных пользователю СиОВ Svc:U->:P(Q)

Функция, определяющая для каждого запроса вершину, к которой направлен запрос Dest: <Q> -> А

Функция, для каждого запроса определяющая вершину, которая сгенерировала запрос Source: Q -* A

Функция, определяющая для каждого запроса множество вложенных запросов Sub: <Q> -> P(Q)

Функция, сопоставляющая запросу минимально необходимые для его выполнения привилегии Pm: Q -» T{P)

Функция, определяющая для заданного множества привилегий множество запросов, которые могут быть отправлены с использованием этих привилегий Req: !P(P) -»

Для обработки заданного запроса обработчик должен обладать необходимым множеством привилегий, включающим привилегии необходимые для отправки вложенных запросов, если это необходимо. Поэтому для каждой

дуги в графе определено значение функции Trans, отображающей множество привилегий вершины щ в множество эффективных привилегий для связанной вершины а.], использующихся для обработки запросов из исходной вершины, которые допустимы множеством привилегий Р:

Trans: Т(Р) X L -» Р(Р), Trans ( Р, (ai(a;)) = Р', р' = Uq^ReqCP) Pm(<7,) : Source(qi) = ai.Destdqi) = а,-.

Значение функции Trans определяет минимально необходимое множество привилегий для обработки запросов на заданном маршруте. Тогда вычислимо эффективное множество привилегий обработчика, включающее привилегии на вершинах из подграфа:

pt(p, а) = (Р П Pl(a)) U I [J Pt(Trans(P П Р1(а), (а, а')), а') J.

\а'ег-(а) /

ВМ, которые получают запросы непосредственно от пользователя, были названы первичными, поскольку маршруты вложенных запросов от них формируют все остальные подграфы. Для первичной ВМ а минимально необходимое множество привилегий Ps(a) определяется как

I I I I Dest{q) = а,

Ma) = U (J ( 0j Ве5тФа.

U6U q£Svc(u)

В работе применялся принцип наименьших привилегий в СиОВ: в ходе обработки запросов привилегии обработчиков не должны превышать привилегии пользователей, инициирующих запросы. В случае соблюдения принципа наименьших привилегий использование уязвимостей в средствах виртуализации не дает нарушителю дополнительных возможностей по доступу к ресурсам облака. Для определения множества минимально необходимых привилегий для обработчиков запросов была доказана теорема:

Теорема 1. Достаточным условием защищенности СиОВ от атак на средства виртуализации является монотонность убывания функции f(a) = Р1(Р1(а),а) по всем маршрутам графа обработки запросов, начинающимся в каждой первичной ВМ а0, и минимизация привилегий первичных ВМ -РЦао) = Р5(а0).

Монотонное убывание для привилегий означает, что функция f{a) для любой последовательности вершин, составляющих путь в графе от первичной ВМ а0 до ВМ а, образует цепь подмножеств, для которых определена частичная упорядоченность на операторе включения. Для обеспечения свойства монотонности убывания необходимо выполнить преобразование графа обработки запросов, не нарушая работы СиОВ.

В четвертой главе приводится разработанная методика обеспечения монотонного убывания привилегий в СиОВ и результаты апробации созданного опытного образца мультидоменного гипервизора.

На основе разработанной модели безопасности обработки запросов предложен алгоритм вычисления множества привилегий доменов, включающих минимально необходимые привилегии для заданного обработчика а: вычислить множество привилегий Т = {Рг}, где Pi = Тгапз{Р1{а{), (о,,а)), ^ £ Д, а й = Г+(а); вычислить не содержащее одинаковых элементов множество £) £ Т привилегий доменов.

Предложенный алгоритм вычисления множества доменов применим для определения минимально допустимого набора привилегий для эмуляторов в мультидоменном гипервизоре, поскольку учитывает действия, необходимые для обработки событий ВМ, которые требуется совершить компонентам гипервизора в СиОВ.

Для апробации предлагаемого подхода к построению защищенных гипервизоров был создан опытный образец мультидоменного гипервизора (ООМГ) для СиОВ, использующий для контроля привилегий доменов систему безопасности защищенной операционной системы Фебос. Оценки степени устойчивости для ООМГ и других гипервизоров приведены в таблице 3.

Таблица 3 - Значения оценок степени устойчивости гипервизоров к атакам

Гипервизор Уровни Число Максимальное Минимальное Итоговая

привилегии компонентов на уровне рс на уровне на уровне оценка

Хеп УЗ 1 194 0,6 0,6

У2 1 254 0,5

У1 0 - -

УМшаге УЗ 1 450 0,3 0,3

Е8Х1 У2 0 - -

У1 0 - -

ООМГ УЗ 1 0 1 0,8

У2 0 - -

У1 5 72 0,8

Для того чтобы система облачных вычислений сохранила работоспособность, к графу обработки запросов должны применяться только следующие преобразования: дублирование вершин и их связей; понижение привилегий вершин до минимально допустимых, определяемых функцией Рт; удаления дуг, которые не являются необходимыми. Указанные преобразования позволяют выполнить декомпозицию обработчиков: вычислить множество О = {с/,} привилегий доменов для вершины а; создать |0| дубликатов вершины а и ее связей: Л = {с^}, |0| = |Л|; каждой вершине щ назначить привилегии с^ домена с номером ¿; из каждой вершины а; удалить дуги, для которых За,- £

А\Trans (а,,= ф. Разработанная методика состоит в том, что для

обеспечения монотонности убывания привилегий в ходе обработки запросов в системе облачных вычислений необходимо выполнить преобразование графа обработки запросов, соответствующего СиОВ:

1. Построить граф обработки запросов для заданной СиОВ.

2. Вычислить число доменов с минимально необходимыми привилегиями для обработчиков, соответствующих эмуляторам устройств в гипервизорах.

3. Распределить эмуляторы устройств по доменам мультидоменного глпервизора, используя полученное множество доменов.

4. Для каждого обработчика запросов, нарушающего монотонность убывания привилегий в ходе обработки запросов, применить алгоритм декомпозиции обработчика.

Для проверки устойчивости гипервизора к атакам на средства виртуализации была проведена серия практических экспериментов (рисунок 3), имитирующих атаки на средства виртуализации с последующими попытками осуществить несанкционированный доступ (НСД) к ресурсам гипервизора и инфраструктуре СиОВ.

Для осуществления атаки на гипервизор были сымитированы уязвимости в каждом компоненте разработанного ООМГ и традиционного гипервизора. В результате проведенных экспериментов на обычном гипервизоре действия нарушителя по НСД к ресурсам СиОВ были успешными. На ООМГ все попытки НСД были пресечены, поскольку для совершения НСД требовалось осуществить действия, выходящие за границы доменов.

В заключении приведены результаты и выводы, полученные автором в ходе выполнения работы.

Заключение

В работе получены следующие основные результаты:

1. Построена модель угроз средствам виртуализации в СиОВ, включающая угрозы, связанные с атаками на средства виртуализации.

2. Построена формальная модель атаки на средства виртуализации и предложена оценка степени устойчивости гипервизоров к этим атакам.

3. Разработана архитектура мультидоменного гипервизора, обеспечивающая защиту от атак на средства виртуализации.

4. Разработана формальная модель безопасной обработки запросов в СиОВ и доказана теорема о достаточным условии защищенности СиОВ от класса атак на средства виртуализации.

5. Создана методика обеспечения монотонного убывания привилегий в ходе обработки запросов в СиОВ.

6. Создан опытный образец мультидоменного гипервизора и выполнена его успешная апробация в системе облачных вычислений.

Перспективы дальнейшей разработки темы диссертации заключаются в расширении области применения предложенной мультидоменной архитектуры и разработанной методики для защиты других классов распределенных и вычислительных систем.

Список работ, опубликованных автором по теме диссертации:

1. Никольский, A.B. Формальная модель безопасности гипервизоров виртуальных машин в системах облачных вычислений [Текст] / A.B. Никольский, Д.П. Зегжда // Журнал "Проблемы информационной безопасности. Компьютерные системы". — СПб.: Изд-во Политехи, ун-та, 2013,— №1. — С. 7-18.

2. Никольский, A.B. Модель угроз гипервизора в системах облачных вычислений [Текст] / A.B. Никольский, Д.П. Зегжда // Журнал "Системы высокой доступности". — Москва: Изд-во Радиотехника, 2013.— № 4. — С. 70-79.

3. Никольский, A.B. Формальная модель для кибер-атак на средства виртуализации и мера уязвимости гипервизоров [Текст] / A.B. Никольский // Журнал "Проблемы информационной безопасности. Компьютерные системы".—СПб.: Изд-во Политехи, ун-та, 2013.—№ 3. — С. 40-48.

4. Каретников, A.B. Безопасность облачных вычислений. Проблемы и перспективы [Текст] / A.B. Каретников, Д.П. Зегжда // Журнал "Проблемы информационной безопасности. Компьютерные системы". — СПб.: Изд-во Политехи, ун-та, 2011.— № 4. — С. 7-17.

5. Каретников, A.B. Использование технологии виртуализации при построении защищенных операционных систем [Текст] / A.B. Каретников // Материалы VII Санкт-Петербургской межрегиональной конференции "Информационная безопасность регионов России (ИБРР-2011)" —СПб., 2011. — С.169-170.

6. Каретников, A.B. Безопасность систем облачных вычислений. Проблемы и перспективы [Текст] / П.Д. Зегжда, Д.П. Зегжда, A.B. Каретников // Материалы XIV Национального форума информационной безопасности "ИНФОФОРУМ-2011" — Москва: Изд-во МИФИ, 2011. — С. 116-118.

7. Никольский, A.B. Архитектура безопасного гипервизора для построения защищенных систем облачных вычислений [Текст] / А.В.Никольский, Д.П. Зегжда// Сб. материалов 21-й научно-технической конференции "Методы и технические средства обеспечения безопасности информации" — СПб.: Изд-во Политехи, ун-та, 2012. — С. 102-105.

8. Никольский, A.B. Контроль потоков данных во внутри облачных сетях и при взаимодействии кластеров в составе грид-систем [Текст] / A.B. Никольский, Е.А. Таранин, А.Ю.Чернов // Сб. материалов 21-й научно-технической конференции "Методы и технические средства обеспечения безопасности информации" — СПб.: Изд-во Политехи, ун-та, 2012. — С. 114117.

9. Никольский, A.B. Использование технологии виртуализации для обеспечения защиты платежной информации в системах совершения электронных платежей [Текст] / A.B. Никольский, М.К. Поляков // Сб. материалов 21-й научно-технической конференции "Методы и технические средства обеспечения безопасности информации" — СПб.: Изд-во Политехи, ун-та, 2012. —С. 116-118.

10. Никольский, A.B. Using graph theory for cloud system security modeling [Текст] / П.Д. Зегжда, Д.П. Зегжда, A.B. Никольский // Сб. материалов Шестой Международной конференции "Математические методы, модели и архитектуры для защиты компьютерных сетей" (MMM-ACNS-2012). — Берлин: Изд-во Springer-Verlag Berlin Heidelberg, 2012. — С. 309-318.

Подписано в печать 12.11.2013. Формат 60x84/16. Печать цифровая. Усл. печ. л. 1,0. Тираж 100. Заказ 1 1228Ь.

Отпечатано с готового оригинал-макета, предоставленного автором, в типографии Издательства Политехнического университета. 195251, Санкт-Петербург, Политехническая ул., 29. Тел.:(812)550-40-14 Тел./факс: (812)297-57-76

Текст работы Никольский, Алексей Валерьевич, диссертация по теме Методы и системы защиты информации, информационная безопасность

Государственное образовательное учреждение высшего профессионального образования "Санкт-Петербургский государственный политехнический университет"

ЗАЩИТА ОБЛАЧНЫХ ВЫЧИСЛЕНИЙ ОТ АТАК НА СРЕДСТВА

ВИРТУАЛИЗАЦИИ

Специальность:

05.13.19 - Методы и системы защиты информации, информационная безопасность

На правах рукописи

04201454113

Никольский Алексей Валерьевич

Диссертация на соискание ученой степени кандидата технических наук

Научный руководитель: доктор технических наук, профессор Зегжда Дмитрий Петрович

Санкт-Петербург — 2013

ОГЛАВЛЕНИЕ

ВВЕДЕНИЕ.............................................................................................................4

ГЛАВА 1. АНАЛИЗ БЕЗОПАСНОСТИ СРЕДСТВ ВИРТУАЛИЗАЦИИ В СИСТЕМАХ ОБЛАЧНЫХ ВЫЧИСЛЕНИЙ......10

1.1 Анализ безопасности систем облачных вычислений...............................12

1.2 Уязвимости средств виртуализации в облаках.........................................15

1.3 Традиционные средства защиты в облаках...............................................23

1.3.1 Использование межсетевых экранов в облаках..................................24

1.3.2 Использование антивирусных средств в облаке................................26

1.3.3 Использование систем обнаружения вторжений в облаке................28

1.3.4 Современные защищенные гипервизоры............................................29

1.4 Модель угроз средствам виртуализации в системах облачных вычислений...................................................................................................33

1.5 Постановка задачи........................................................................................41

1.6 Выводы к первой главе................................................................................42

ГЛАВА 2. АРХИТЕКТУРА ЗАЩИЩЕННОГО ГИПЕРВИЗОРА.........43

2.1 Аппаратная технология виртуализации.....................................................44

2.2 Архитектура современных гипервизоров..................................................53

2.2.1 Архитектура гипервизора Хеп.............................................................56

2.2.2 Архитектура гипервизора Hyper-V......................................................60

2.2.3 Архитектура гипервизора KVM...........................................................63

2.2.4 Архитектура гипервизора VMware ESXi............................................66

2.3 Формальная модель атаки на средства виртуализации............................70

2.4 Оценка степени устойчивости гипервизоров к атакам............................81

2.5 Архитектура мультидоменного гипервизора............................................86

2.6 Выводы ко второй главе..............................................................................91

ГЛАВА 3. БЕЗОПАСНАЯ ОБРАБОТКА ЗАПРОСОВ В СИСТЕМАХ ОБЛАЧНЫХ ВЫЧИСЛЕНИЙ.........................................................................92

3.1 Архитектура современных облачных платформ......................................94

3.1.1 Архитектура VMware vSphere..............................................................97

3.1.2 Архитектура Ubuntu Enterprise Cloud..................................................99

3.1.3 Архитектура Microsoft Private Cloud.................................................100

3.1.4 Архитектура Xen Cloud Platform........................................................102

3.1.5 Моделирование систем облачных вычислений................................103

3.2 Обработка запросов в системах облачных вычислений........................105

3.3 Формальная модель безопасной обработки запросов............................114

3.4 Достаточное условие защищенности систем облачных вычислений от атак на средства виртуализации...............................................................120

3.5 Выводы к третьей главе.............................................................................123

ГЛАВА 4. ОБЕСПЕЧЕНИЕ МОНОТОННОСТИ УБЫВАНИЯ

ПРИВИЛЕГИЙ В СИСТЕМАХ ОБЛАЧНЫХ ВЫЧИСЛЕНИЙ............125

4.1 Методика обеспечения монотонного убывания привилегий в ходе обработки запросов....................................................................................125

4.2 Опытный образец мультидоменного гипервизора.................................128

4.3 Выводы к четвертой главе.........................................................................136

ЗАКЛЮЧЕНИЕ.................................................................................................137

УСЛОВНЫЕ ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ..................................138

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ...................................139

ВВЕДЕНИЕ

В настоящее время облачные технологии интенсивно развиваются и внедряются во многие коммерческие компании и государственные организации, поэтому обеспечение информационной безопасности систем облачных вычислений (СиОВ) является критически важной задачей. Как правило, защита СиОВ обеспечивается с помощью межсетевых экранов, криптографических средств и других механизмов, не учитывающих возможности внутреннего нарушителя, который является пользователем систем облачных вычислений.

В Российской Федерации существуют особые требования к безопасности компьютерных систем, в первую очередь для тех систем, которые используются в государственных структурах. Поэтому в случае использования облачных технологий в государственных структурах вопросы безопасности обработки данных стоят особенно остро. В то же время внедрение облачных технологий в работу государственных организаций необходимо для решения сложных современных задач.

Технология облачных вычислений в первую очередь рассчитана на предоставление широкого спектра сервисов для пользователей, что обеспечивает массовость и публичность СиОВ. Таким образом, среди пользователей может оказаться и нарушитель.

Любая облачная система состоит из нескольких типовых компонентов, среди которых особое место занимают средства виртуализации, которые контролируют и поддерживают работу множества виртуальных машин (ВМ), функционирующих в облаке. Именно при помощи концепции виртуальной машины облако обеспечивает бесперебойную и экономически выгодную работу большого числа пользователей, эффективно используя имеющиеся аппаратные ресурсы в системе.

Таким образом, основой для построения систем облачных вычислений являются средства виртуализации (гипервизоры). Нарушители, имеющие доступ к ВМ, могут совершать атаки на средства виртуализации путем эксплуатации уязвимостей (например, CVE-2011-1751 в KVM и CVE-2012-0217 в Хеп), список которых пополняется каждый год [1]. Пользователи обладают разными правами доступа к ресурсам СиОВ, однако гипервизоры назначают всем ВМ одинаковые привилегии, причем эти привилегии чаще всего избыточны. Кроме того, гипервизоры обладают исключительными привилегиями во внутренней инфраструктуре СиОВ, что открывает нарушителю, в случае успешной атаки на гипервизор, доступ практически ко всем информационным ресурсам СиОВ. Следовательно, для обеспечения безопасности облачных вычислений необходимо контролировать привилегии не только пользователя, но и компонентов гипервизора, обрабатывающих запросы ВМ, а также процесс их обработки во внутренней инфраструктуре СиОВ.

Из вышеизложенного следует актуальность постановки задачи по разработке методов построения гипервизоров для облачных вычислений, позволяющих нейтрализовать атаки на средства виртуализации, обусловленные успешной эксплуатацией уязвимостей. Актуальность подтверждается и приказом ФСТЭК № 21 от 18 февраля 2013 г [2].

Тема работы соответствует пунктам 6 и 13 паспорта специальности 05.13.19 «Методы и системы защиты информации, информационная безопасность».

Степень разработанности темы исследования. Известными отечественными и зарубежными учеными, занимающимися проблемами безопасности облачных вычислений и моделированием безопасности распределенных систем, являются В.Е. Козюра, В.А. Курбатов, В.И. Будзко, B.C. Заборовский, Ф. Мартинелли, Р.Б. Ли, Р. Сэйлер и С. Вогл.

В современных работах защиту гипервизоров предлагается обеспечить с помощью средств мандатного контроля доступа (проект sHype [3]) или

криптографических средств (проект Terra [4]). Таким образом, в этих работах решаются задачи изоляции ВМ друг от друга и защиты ВМ от воздействий со стороны гипервизоров, но не учитываются особенности атак на средства виртуализации.

Целью работы является защита систем облачных вычислений от атак, направленных на средства виртуализации, с использованием мультидоменного гипервизора, обеспечивающего монотонное убывание привилегий в ходе обработки запросов пользователей. Для достижения поставленной цели в работе решались следующие задачи:

1. Разработка модели угроз для гипервизоров в системах облачных вычислений, учитывающей атаки на средства виртуализации.

2. Создание формальной модели атак на средства виртуализации и разработка оценки степени устойчивости гипервизоров к атакам.

3. Разработка архитектуры мультидоменного гипервизора, обеспечивающего защиту от атак на средства виртуализации.

4. Построение формальной модели обработки запросов в СиОВ.

5. Разработка методики обеспечения безопасной обработки запросов в СиОВ на основе принципа наименьших привилегий путем монотонного убывания привилегий в ходе обработки запросов.

6. Создание опытного образца мультидоменного гипервизора и его апробация в СиОВ.

Научная новизна диссертационной работы состоит в следующем:

- обоснована необходимость распределения компонентов гипервизора по доменам с различными привилегиями, что обеспечивает защиту от

атак на средства виртуализации, в соответствии с разработанной формальной моделью атаки;

- предложена оценка степени устойчивости гипервизоров к атакам;

- впервые предложена архитектура мультидоменного гипервизора, обеспечивающая защиту от атак на средства виртуализации;

- разработана формальная модель безопасной обработки запросов, позволившая сформулировать принцип монотонного убывания привилегий;

- разработана методика обеспечения монотонности убывания привилегий при обработке запросов.

Практическая значимость результатов определяется возможностью использования предложенных моделей и методики для сравнительной оценки устойчивости гипервизоров различной архитектуры к атакам внутреннего нарушителя и для практической реализации мультидоменного гипервизора, обеспечивающего защиту СиОВ от атак на средства виртуализации.

Результаты работы представляют практическую ценность для разработчиков защищенных систем облачных вычислений и средств виртуализации.

Внедрение результатов исследований. Предложенный подход к построению гипервизоров для СиОВ, защищенных от атак на средства виртуализации, нашёл применение при разработке методов работы программно-конфигурируемых сетей в рамках НИР «Анализ и разработка методов и алгоритмов управления сетевыми ресурсами и потоками данных в программно-конфигурируемых компьютерных сетях» (шифр «2012-1.4-07-514-0021-025») по государственному контракту от 14 июня 2013 г. №07.514.11.4151.

Предложенная модель атаки на средства виртуализации и методика практического использования мультидоменного гипервизора использовались в рамках НИОКР «Управление-Контроль» ООО «РОСРЕЧИНФОКОМ»; оценка степени устойчивости гипервизора к атакам и архитектура мультидоменного гипервизора использовались при разработке распределенной вычислительной системы в ЗАО «РНТ», что подтверждается соответствующими актами об использовании. Разработанная модель безопасности обработки запросов в СиОВ и предложенный принцип мультидоменности для обработчиков запросов использовались при проведении теоретических и практических занятий по дисциплине «Безопасность систем распределенных облачных вычислений» на кафедре «Информационная безопасность компьютерных систем» ФГБОУ ВПО «СПбГПУ» в рамках направлений 090900 «Информационная безопасность» и 090300 «Информационная безопасность вычислительных, автоматизированных и телекоммуникационных систем».

Методология и методы исследования. Для решения поставленных задач использовались системный анализ, теория графов, теория множеств, теория автоматов и методы математического моделирования.

Положения, выносимые на защиту:

1. Формальная модель атаки на средства виртуализации, доказывающая необходимость понижения привилегий эмуляторов устройств в гипервизорах.

2. Оценка степени устойчивости гипервизора к атакам со стороны ВМ, позволяющая сравнить различные реализации гипервизоров.

3. Архитектура мультидоменного гипервизора, обеспечивающая защиту от атак на средства виртуализации.

4. Теорема о монотонности убывания привилегий в ходе обработки запроса пользователя как достаточном условии защищенности от атак на средства виртуализации.

5. Методика обеспечения монотонного убывания привилегий, использующая архитектуру мультидоменного гипервизора.

Степень достоверности научных положений диссертации определяется теоретическим обоснованием предлагаемого аналитического аппарата и результатами их апробации при практическом воплощении.

Апробация результатов работы. Основные теоретические и практические результаты диссертационной работы обсуждались на конференциях:

- VI Международной конференции «МММ-АСЫ8-2012»;

- XXI научно-технической конференции «Методы и технические средства обеспечения безопасности информации» 24 - 29 июня 2012 г.;

- XIV, XV всероссийской конференции «РусКрипто-2012/2013»;

- Санкт-Петербургской межрегиональной конференции «Информационная безопасность регионов России 2011»;

- XIV Национальном форуме информационной безопасности «ИНФОФОРУМ-2012».

Публикации. По теме диссертации опубликовано 10 научных работ, 4 из которых опубликованы в рецензируемых журналах ВАК РФ.

Объем и структура. Диссертация состоит из введения, четырех глав, заключения и списка источников из 72 наименований.

ГЛАВА 1. АНАЛИЗ БЕЗОПАСНОСТИ СРЕДСТВ ВИРТУАЛИЗАЦИИ В СИСТЕМАХ ОБЛАЧНЫХ ВЫЧИСЛЕНИЙ

Роль СиОВ в современном мире информационных технологий трудно переоценить. За счет своей экономической эффективности они внедряются во все большее количество областей человеческой деятельности.

Облака сочетают в себе множество технологий аппаратного и программного обеспечения и в совокупности представляют собой сложную систему, которая содержит большое количество уязвимостей. Поскольку облачные системы в своем составе имеют привычные операционные системы и шеЬ-сервисы, то для облаков присущи уязвимости типичные для этих систем. Помимо типичных уязвимостей облака обладают целым рядом уязвимостей, специфичных только для них.

Ключевая технология для облачных сред — виртуализация. Именно она создает ту самую характеризующую облака свободу, позволяя перемещать работающие приложения с одного сервера на другой, причем без прекращения работоспособности всего приложения. Облачная система, как правило, состоит из нескольких узлов, каждый из которых может располагаться в различных центрах обработки данных, в том числе и у других провайдеров. Провайдеры облачных сервисов могут не иметь собственных центров обработки данных (ЦОД), а арендовать серверы или стойки у нескольких провайдеров уже сетевой инфраструктуры. В результате элементы реальной инфраструктуры могут быть самыми разнообразными. Атаке могут подвергнуться как элементы сетевой инфраструктуры провайдера, который предоставляет облачные услуги, так и сама среда виртуализации [5].

Актуальность исследования уязвимостей в системах облачных вычислений и средств виртуализации обосновывается множественными инцидентами безопасности имевших место в недавней истории. Далее приводится краткое описание наиболее существенных из них:

- Декабрь 2009. Неизвестные злоумышленники смогли получить

несанкционированный доступ к публичному облачному сервису Amazon Elastic Compute Cloud, а также к закрытой консоли для управления им. Злоумышленники первоначально взломали не сам сервис Amazon как таковой, а один из сайтов, размещенных на его мощностях, а уже через взломанный сайт получили доступ и к самому сервису Amazon. После взлома был создан виртуальный экземпляр операционной системы, в которой было размещено программное обеспечение Zeus для ^создания и управления ботнетами [6].

- Апрель 2011. Сбои в работе провайдера облачных сервисов Amazon Web

Services. Отсутствие работоспособности наблюдалось пользователями нескольких Availability Zones в регионе EAST-1 на восточном побережье США [7,8].

- Апрель 2011. Атакованы сервера Sony Computer Entertainment расположенные в информационном центре AT&T в Сан Диего. В результате проникновения в систему хакеров сервис Play Station Network был отключен на несколько недель. Sony официально сообщила пользователям, что их личные данные, включая номера кредитных карт, возможно, были похищены злоумышленниками. Информация касалась владельцев 10 миллионов учетных записей. Компания Sony понесла огромные финансовые и репутационные потери [7]. Злоумышленники осуществили взлом системы, используя уязвимость в старой версии Apache, который был установлен на одном из серверов в системе и давно не обновлялся [9].

- Март 2011. Отказ в работе популярной облачной PaaS платформы Heroku

[7, Ю].

- Март 2011. Проблемы в работе и временный отказ в обслуживании сервисов GoGrid - одного из лидеров на рынке сервисов IaaS, специализирующегося на облачных инфраструктурных решениях [7, 11].

- Январь 2011. Часть клиентов испытывали проблемы с доступом к пакету Microsoft Business Productivity Online Suite, новое название этого сервиса - Office 365. Сервисами Microsoft Business Productivity Online Suite пользуются крупнейшие мировые компании, в том числе департамент сельского хозяйства США, который планирует перевести 120 ООО сотруднико�