可信云平台服务运行管理模式初探.docVIP

可信云平台服务运行管理模式初探 　　摘 要 　　随着云计算的推进和发展，云平台的建设由基础设施向高端的软件服务延伸，作为一种平台，云平台允许开发者们或是将写好的服务放在“云”里运行，或是使用“云”里提供的服务，或二者皆是。与此同时，云平台的可信性问题越来越引起业界及用户的关注，构建可信性平台变得越来越重要。云平台除了证明平台自身的可信性之外，还必须保证由第三方提供的、运行在云平台上的服务在云平台运行过程中，不会给云平台引入新的风险和隐患，保证云平台上的服务不会影响云平台的可信性。本文结合与上海证券交易所合作的“证券业云平台研发与运营”课题 ，对可信云平台的服务运行管理模式进行了探讨，结合ITIL规范和本单位参与制订的《可信计算平台可信性度量》系列标准，提出一种对云平台服务在运行阶段的可信性管理的机制。 　　【关键词】可信 云平台 ITIL 威胁模型 防御模型 配置管理 服务部署 　　1 前言 　　云平台允许第三方服务提供商提供的服务放在“云”里运行。云计算的灵魂在于服务，服务的灵魂在于安全可靠，如何打造可信、安全的云平台是云服务商和用户关心的问题。由于云平台对于第三方服务的开放性，打造可信的云平台需要满足：（1）云平台自身具有可信保证机制；（2）云平台上的第三方服务在运行中是可靠的。 　　本文假定云平台是已被证明是可信的，作为本文研究的可信根。云平台提供一套可信服务管理框架，以保证运行在云平台上的服务是可信的。信任云平台的用户可以安全地使用云平台上的。该框架能够实现：（1）防止服务提供商在服务运行过程中篡改程序代码，获取用户数据进行恶意操作；（2）防止服务因其程序依赖的其他程序包和部署环境发现的漏洞而受到攻击。 　　2 威胁模型 　　本节介绍在用户在使用第三方服务的过程中可能遇到的威胁模型，及在可信云平台中通过计算手段克服这些威胁的解决方案，使得信任云平台的用户能够使用可信的服务。在本文中，云服务提供商担任可信根。 　　2.1 来自服务提供商的威胁 　　部署在云平台上的第三方服务在运行过程中主要受到两种来源的威胁，分别来自服务提供商和黑客等外部群体。本节对服务提供商在服务运行过程中篡改服务源码的威胁及防御措施进行介绍。 　　2.1.1 威胁模型 　　图2-1展示了一个用户在使用第三方提供的服务时存在的威胁模型。服务提供商提供了一个恶意服务程序，部署在服务提供商的服务器上，服务提供商对服务进行运行和控制。一个信任这个服务提供商的用户发现了这个服务并访问该服务。该服务能够获取到用户的数据，并有可能不正确地使用用户数据，或在用户未知的情况下，将用户数据泄露给其他的恶意服务。但在此模型中，用户想要使用该服务，只能相信服务提供商，此外并无其他选择。 　　2.1.2 防御模型 　　图2-2展示了针对威胁模型1的防御模型。云平台提供商作为中立的第三方可信平台，对发布在云平台上的服务进行严格的验证，并对服务实例进行封装，防止实例被篡改。验证主要包括服务是否存在漏洞，是否存在恶意代码等进行全方面的检查。封装即保证一旦实例运行起来后就不能被修改。在云平台，云服务提供商将服务封装在虚拟机镜像中，以实例的方式运行服务，使得实例被隔离并防止服务提供商对实例的修改。这样，在云服务提供商将服务部署到云平台之后，服务提供商无法在其中增加恶意代码，也无法获取用户数据。 　　通过上述措施，信任云平台的用户可以放心的使用云平台中部署的第三方服务。 　　2.2 来自外部的攻击 　　除了前文介绍的来自服务提供商的威胁，服务还可能因其程序依赖的程序包或者部署环境存在漏洞而受到黑客等外部群体的攻击。本节对该类威胁模型和针对该类威胁的防御模型进行介绍。 　　2.2.1 威胁模型 　　图2-3展示了服务在运行过程中存在的漏洞威胁模型。2013年7月17日的Struts2高危漏洞事件造成了大规模的信息泄露。利用漏洞，黑客能够发起远程攻击，轻则窃取网站数据信息，严重的可取得网站服务器控制权，构成信息泄露和运行安全威胁，无数的网民受其影响。7.17事件只是我们的漏洞威胁模型中的一个案例。服务实例在运行过程中，可能会因为程序依赖的包（如Struts2的Jar包）或部署环境（如操作系统、数据库等）存在的漏洞而受到攻击，在这种情况下，用户的信息可能会泄露而造成损失。 　　2.2.2 防御模型 　　图2-4描述了针对漏洞威胁模型的防御模型，云平台构建漏洞预防机制。云平台通过爬虫实时获得互联网上公布的漏洞信息，对安全信息库进行不断更新。可心服务检测引擎监测安全信息库中的漏洞，并发现漏洞可能影响的运行在云平台中的服务实例，并将发现的潜在风险通知云平台提供商，以采取预防措施，防止服务受到攻击，也防止第三方服务将风险引入云平台。 　　3 解决方案