云计算中虚拟机安全评估

云计算中虚拟机的安全评估AleksandarDonevski,SaskoRistovandMarjanGusevSs.CyrilandMethodiusUniversity,FacultyofInformationSciencesandComputerEngineering,Skopje,MacedoniaEmail:aleksandar.donevski@outlook.com,sashko.ristov@finki.ukim.mk,marjan.gushev@finki.ukim.mk摘要——一个公司的安全边界是如果虚拟机迁移到云的前提下受损。尽管云服务提供商（CSP）迁移的虚拟机提供了一定的保障水平，主要是从外部云，但是云服务消费者现在正受到新兴的挑战，由于多租户模式，即受到其他合租托管的虚拟机主机的威胁。CSP也面临着云租户的威胁。CSP和租户都可能因云的脆弱性而受到拖累。这篇论文中我们分析由其他租户和外部云造成的虚拟机安全威胁。同时，我们比较最常见的开源云提供给特定虚拟机的安全水平。虚拟机的安全评估在不同的操作系统上实现。关键词：云计算，OpenStack云，安全评估，虚拟化。1.介绍云计算市场持续增长，为客户提供各式各样的功能。例如，客户可以将他们的数据、虚拟机或备份数据外包给存储空间无限大的云。无论他们使用的是什么类型的云和调度模型，云服务提供商必须保证访问控制权和确保删除。一种可能的解决方法就是将安全作为一种服务来实现和维持对云的保护，从而满足客户提出的安全水平。云中的虚拟机实例应当不仅能防御外部的攻击，同时也要抵抗合租的租户，无论他们是来自相同的云中的物理机还是不同的云。除了传统的性能/成本效益的资源消耗，电信运营商也应该包括在虚拟机配置由客户指定的安全要求。选择一个私有云提供了一种可能性来控制系统的安全性，但它缺乏可扩展性和弹性特征。从一方面来说，公共云的使用提供了高扩展性和弹性，但从另一个方面是受安全由于大部分的控制已经转移到CSP。这个问题主要是由于多租户，虚拟化，数据和第三方应用程序转移。因此，适当的安全评估是必要的，也是客户最关心的。在这篇文章中，我们主要研究OpenStack，其作为一个开放源代码的可扩展的解决方案，有60多家企业参与开发。为了应对虚拟机实例从内部和外部可能产生的攻击，我们对OpenStack云的安全漏洞进行分析。目的是检验以下假设的有效性：假设1分割网络将会增加OpenStack云提供商内部云的安全漏洞风险；假设2分割网络不会对租户的内部云的安全漏洞风险造成影响；假设3对于租户和云服务提供商来说，当进行网络分割时，外部云的安全漏洞风险不变。2.相关工作3.OPENSTACK的软件架构4.安全评估方法论安全评估方法是基于OpenStack云部署在单节点上的两种不同的网络部署：•一个网络——相同的公网IP地址用于浮动和使用于某些虚拟机实例或云服务器的固定IP地址；•两个网络——两个不同的IP地址用于浮动和某些虚拟机实例或云服务器的固定IP地址。即，内部服务被分隔在单独的专用网络。安全性从内部和物理OpenStack的服务器和虚拟机实例的外部进行评估。其主要目标是确定对于不同的网络配置OpenStack的服务器和多个虚拟机实例的安全漏洞。A.评估域该研究领域是基于两个方面漏洞的安全评估。所述第一地址的OpenStack节点组件的评估和实例化虚拟机上的第二操作系统评估。可能出现在物理OpenStack服务器构件上的漏洞将被评估为计算和控制器模块，与Ubuntu12.04服务器（64位）操作系统一起安装。操作系统基于漏洞的评估将于托管在云四个虚拟机实例进行，每个实例有下列操作系统之一进行：1）的Windows2008R2标准（64位）；2）的CentOS6.3（64位）；3）Fedora的17（64位）；和4）的Ubuntu10.04服务器版（64位）。所有虚拟机实例都使用默认配置，以检测所有可能存在的漏洞，并提出措施，改善安装。B．测试数据安全性将从内部和OpenStack来自公共网络隔离/非隔离云服务对可能出现从云内漏洞的外部进行评估。要执行两个不同的评估，我们使用Nessus5漏洞和配置评估扫描仪[26]与外部网络扫描的政策。每个漏洞是根据相关的常见漏洞评分系统（CVSS）[27]得分额定：•如果CVSS评分为0，则为0资讯;•如果CVSS分数∈{1，2，3}，则为低;•如果CVSS评分∈{4，5，6}，则为中;•如果CVSS评分∈{7，8，9}，则为高;•如果CVSS分数是10，则为关键。B.测试用例1）一个网络（公共）的安全性评估部署：图2描绘图2描绘用于仅在公共网络进行OpenStack云部署安全性评估的测试环境。W表示Windows操作系统，而C，F和U代表的基于Linux的操作系统的CentOS，Fedora和Ubuntu的分别。测试用例1是基于漏洞从云内的安全评估。Nessus的客户机被部署在Ubuntu12.04服务器操作系统上的一个虚拟机实例，进行内部安全评估，它的目的是扫描托管在云中的所有四个虚拟机实例，以及部署在物理的OpenStack服务器上的OpenStack的服务。测试用例1的目标是评估由云的多租户而引起的漏洞。OpenStack的服务，客户端和虚拟机实例只通过一个公共网络进行相互通信。测试用例2是基于云外漏洞的安全评估。Nessus客户端被部署在工OpenStack云外的工作站上，其目的则是要扫描的被托管在云中的相同的四个虚拟机实例，以及OpenStack服务器。2）两个隔离网络（公共和私人）的安全性评估部署：本节描述OpenStack云的其它测试环境，如，在图3中描绘的同时部署于两个分开网络的情况。测试用例3类似于测试用例1，也就是说，它是基于云内安全漏洞的安全评估，不同的是，OpenStack服务，客户机和虚拟机实例彼此使用各自专用网络进行相互通信。测试用例4类似于测试案例2，也就是说，它是基于云外漏洞的安全评估，不同的是，浮动网络仅用于与外界通信。5.OPENSTACK组件的缺陷在本节中，我们提出的OpenStack服务器上的所有四个测试用例安全评估的结果。我们目前只提出中，低两种安全漏洞，因为在安全评估中我们还没有发现高和关键漏洞，并且CVSS评分为0的漏洞信息丰富，不是真正的漏洞。A．OpenStack服务器来自内部的漏洞图4描绘了用两种不同网络部署进行的OpenStack服务器云内的安全性评估结果，如，测试例1和例3的OpenStack服务。两个测试用例均检测到相同的1个低等漏洞和12个中等漏洞，6个”WebServerGenericXSS”和6个“WebServerGenericCookieInjection”TCP端口：5000，8773，8774，8775，8776，和35357，均为中等漏洞，而“Web服务器使用明文验证表单”在TCP端口80的为低漏洞。这些常见的漏洞不能通过重构来解决。中漏洞意味着它承载云Web服务的Web服务器很容易出现跨站脚本攻击和cookie注入攻击。OpenStack云软件[7]（卖方）应该针对这些漏洞提供一个补丁。供应商必须重建云以传输那些使用安全HTTPS协议的用户的敏感数据。结果证明假设H1，与测试用例1的OpenStack云服务相比较，测试用例3多检测到1个中等和2个低等漏洞。在UDP端口12217的“DNS服务器缓存侦听远程信息披露”即为增加的中等漏洞，即DNS服务器很容易受到高速缓存窥探攻击。该DNS软件供应商应该修复此漏洞。UDP端口67上“DHCP服务器检测”和TCP端口9191上“Web服务器的HTTP标头的内部IP披露”是两个增加的低漏洞。施加过滤将使信息与网络隔离，并减轻所述增加的第一个低风险，而第二个不是一个真正意义上的漏洞，因为公网IP地址将在现实世界中的云中。A.来自OpenStack的服务器外部的漏洞图4描绘了用两种不同网络部署进行的OpenStack服务器云外的安全性评估结果，如，测试例2和例4的OpenStack服务。我们观察到，这两个测试用例发现了同样的中，低的漏洞，这证明假设H3的OpenStack的云服务。更有甚者，这和测试用例1OpenStack的云服务检测到的中、低漏洞相同。6.OPENSTACK实例的缺陷在本节中，我们提出就托管在OpenStack的云虚拟机实例的所有四个测试用例的安全性评估的结果。因为我们还没有发现基于Linux的虚拟机实例的任何安全漏洞，我们提出和分析Windows2008R2虚拟机实例的评估结果。我们省略CVSS得分为0的评估结果，因为它们信息丰富，不属于真正的漏洞。在评估未发现关键漏洞，因此在结果中也省略了该项漏洞。A．来自内部的虚拟机实例漏洞图6描绘托管在OpenStack有两个不同的网络部署在Windows虚拟机实例的内部安全评估的汇总结果，即测试例1和3的Windows虚拟机实例。在例1和例3中检测到同样的1个高，1个低和4个中等漏洞，这证明了假设H2。让我们来解释他们的详细信息，并提出相应改进方法。在TCP端口3389上的高漏洞“在远程桌面中的漏洞可能允许远程执行代码”允许执行任意代码。这个漏洞可以通过修补Windows来解决。第一个中漏洞——TCP端口3389的“终端服务加密级别中或低”允许攻击者能很容易地窃听通信。这个漏洞可以通过将RDP加密级别更改到“高”或“符合FIPS标准”来解决。第二个中漏洞——在端口3389上的“微软Windows远程桌面协议服务器文中的中间人弱点”允许未经授权即可访问远程Windows。它可以通过使用SSL作为传输层，对Windows重新配置来可以解决。第三中漏洞——3389端口“终端服务不使用网络级身份验证（NLA）”允许这方面的中间人攻击和保护远程计算机免受恶意用户和软件的骚扰。它可以通过远程桌面协议（RDP）服务器上启用网络级身份验证（NLA）来解决。最后中等漏洞TCP端口445上的“服务器消息块（SMB）签名禁用”允许中间人针对SMB服务器进行攻击，并且可以通过在Windows主机配置实施消息签名来解决。低漏洞——在端口3389上的“终端服务加密级别不是FIPS-140标准”可通过改变RDP加密级别为“符合FIPS标准”来解决。我们可以得出结论，尽管在Windows虚拟机实例可检测许多到高，中，低的漏洞，人们仍然可以通过重新配置和安装最新的补丁来降低风险。A．来自外部的虚拟机实例漏洞图7描绘了托管在OpenStack的有两个不同的网络部署，即测试用例2和4的Windows虚拟机实例在Windows虚拟机实例外部安全评估的结果摘要。当仅部署一个网络时，我们没有检测到来自云外部的任何安全漏洞，但是当部署两个网络时，可检测到来自云外部的1个高和1个中漏洞。这两个漏洞已在上文进行解释，即在端口3389上的高漏洞“在远程桌面中的漏洞可能允许远程执行代码”和中漏洞“终端服务不使用网络级身份验证（NLA）”。虽然上述结果否定假设H3云租户（Windows虚拟机实例），Windows虚拟机实例存在相同的漏洞，因为它们是从内侧为网络部署检测。7.结论和将来的工作我们已经意识到的OpenStack云计算安全评估与两个不同的网络部署。实验讨论了OpenStack的云服务的安全漏洞，并使用不同操作系统CentOS，Fedora，Ubuntu和Windows，从内部和OpenStack的云外，对四个虚拟机实例进行讨论分析。评估的结果证明了假设H1和H2，即在OpenStack中，分离网络仅从CSP内部造成新的安全漏洞风险，但是保持了不变的租户。CSP外部来自OpenStack云的安全漏洞风险是相同的，这部分地证明了假说H3。然而，在OpenStack中隔离网络可以增加使用Windows虚拟机实例住户的安全漏洞的风险。两个网络部署无论是从外部还是内部，均未检测到基于Linux操作系统的漏洞。但是，虽然基于Windows虚拟机实例检测到安全漏洞风险，它们可以通过执行现有补丁或重新配置降低风险。OpenSta