摘要：針時云計算環(huán)境中虛擬機平臺存在的弱點和漏洞，分析研究了虛擬機可能面臨的威脅和攻擊，基于STRIDE建模技術(shù)構(gòu)建了云計算環(huán)境下虛擬機平臺的安全威脅模型。并對威脅發(fā)生的可能性和嚴重程度進行量化，從而進一步評估整個云計算系統(tǒng)面臨的安全威脅。
關(guān)鍵詞：云計算；虛擬機；STRIDE威脅建模

0 引言
云計算是一種基于互聯(lián)網(wǎng)服務的新型計算模式，通過彈性動態(tài)分配虛擬化資源給用戶帶來全新的計算體驗，讓用戶從繁重且昂貴的運營與維護中解脫出來。虛擬化技術(shù)是實現(xiàn)云計算最重要的技術(shù)基礎(chǔ)，實現(xiàn)了物理資源的邏輯抽象和統(tǒng)一表示，解決了資源的動態(tài)可重構(gòu)、監(jiān)控和自動化部署問題。在云計算技術(shù)飛速發(fā)展的同時，云計算系統(tǒng)的安全問題也不斷暴露出來。全球綜合性網(wǎng)絡安全信息解決方案供應商安博士公司基于網(wǎng)絡安全監(jiān)控平臺與安全威脅趨勢，發(fā)布了2011年七大網(wǎng)絡安全威脅報告，其中指出，針對云計算及虛擬化技術(shù)漏洞的攻擊所占比重越來越大。
云計算的安全問題引起了廣泛的關(guān)注。Chen Qian，Jia Tiejun，J．Schiffman等人分別研究了云計算模型、云安全、云服務基礎(chǔ)架構(gòu)安全與挑戰(zhàn)等問題。張紅斌等人研究建立了內(nèi)部威脅云模型，實現(xiàn)了基于云模型的內(nèi)部威脅感知算法。本文擬通過分析研究云計算環(huán)境下虛擬機平臺所面臨的常見安全威脅，建立威脅模型來確定和評估云計算系統(tǒng)的安全威脅及系統(tǒng)漏洞嚴重程度，有助于制定完整的安全策略來對抗云計算系統(tǒng)所面臨的威脅。

1 虛擬機威脅建模流程
STRIDE威脅建模技術(shù)是微軟公司提出的一項技術(shù)，廣泛用于安全系統(tǒng)的威脅建模。STRIDE是6種威脅的首字母縮寫：
(1)欺騙標識(Spoofing identity)，使用另一個用戶的用戶名和口令、認證信息等。
(2)篡改數(shù)據(jù)(Tampering with data)，惡意修改數(shù)據(jù)。
(3)拒絕履約(Repudiation)，用戶拒絕從事一項活動，而又沒有辦法證明其拒絕履約。
(4)信息泄漏(Information disclosure)，把信息暴露給無訪問權(quán)限的用戶。
(5)拒絕服務(Denial of Service)，使合法用戶得不到服務。
(6)特權(quán)提升(Elevation of Privilege)，使沒有特權(quán)的用戶獲得特權(quán)，從而有足夠的能力損壞或摧毀整個系統(tǒng)。
云計算環(huán)境下虛擬機STRIDE安全威脅模型建立過程，可以概括為云系統(tǒng)結(jié)構(gòu)分析、威脅識別、威脅量化評估3個階段。其中，系統(tǒng)結(jié)構(gòu)分析階段是通過對云計算系統(tǒng)的架構(gòu)分析，劃定系統(tǒng)的各個層面和安全邊界。威脅識別階段通過分析、識別云計算系統(tǒng)運行的關(guān)鍵節(jié)點和數(shù)據(jù)所面臨的威脅來構(gòu)建STRIDE模型。威脅量化評估階段是對識別的威脅進行量化，進而對整個云計算系統(tǒng)面臨的安全威脅嚴重程度進行評估。

2 云計算環(huán)境下虛擬機架構(gòu)分析
虛擬機按照實現(xiàn)架構(gòu)主要分為I型(Bare-Metal，裸機型)和Ⅱ型(Hosted，宿主型)兩大類。I型虛擬機中，虛擬化技術(shù)通過直接在硬件平臺上添加一層虛擬機監(jiān)控器(Virtual Machine Monitor，VMM，也稱Hyper-visor)程序，實現(xiàn)對CPU、內(nèi)存管理器及I／O系統(tǒng)等的虛擬化管理，并負責對硬件資源的調(diào)度、所有虛擬機(Virtual machine，VM)的管理并響應虛擬機的請求。I型虛擬機主要應用于服務器虛擬化。Ⅱ型虛擬機通過在寄主操作系統(tǒng)中構(gòu)建一個虛擬化管理層實現(xiàn)對虛擬機的管理，該型虛擬機主要應用于桌面虛擬化。在云計算環(huán)境下，參照I型虛擬機架構(gòu)，可以將提供云服務的虛擬化平臺分為用戶層、應用層、系統(tǒng)層、監(jiān)控層、硬件層等五個層面，如圖1所示。

虛擬化技術(shù)的引入也帶來了新的安全威脅與挑戰(zhàn)，主要表現(xiàn)為以下幾個方面：
(1)虛擬機監(jiān)控器引入新的安全威脅。當VMM本身存在的潛在漏洞或配置錯誤被攻擊時，極易造成虛擬機溢出，也稱為虛擬機逃逸，即攻擊者可以獲得對虛擬機監(jiān)控器或虛擬機管理系統(tǒng)的控制。
(2)虛擬機遷移引入新的安全威脅。虛擬機實時遷移技術(shù)可以使虛擬機在不中斷應用的情況下在不同的物理主機之間實時進行遷移，對于分布式數(shù)據(jù)中心、集群的負載均衡和災難恢復有重大意義。虛擬機實時遷移過程中，攻擊者可能對遷移控制層、遷移數(shù)據(jù)層、遷移模塊等發(fā)動攻擊，這對虛擬機的可靠運行帶來了安全挑戰(zhàn)。
(3)虛擬機共享機制引入的安全威脅。為了保證應用層服務能夠相對平等高效地共享底層硬件，虛擬化技術(shù)提供了大量的共享資源，而這些共享資源則成為隱蔽通道發(fā)生的源泉。另外數(shù)據(jù)殘留也有可能造成敏感信息泄露。
(4)新增的網(wǎng)絡監(jiān)管障礙。在虛擬化數(shù)據(jù)中心中采用了新的網(wǎng)絡模型，幾十個操作系統(tǒng)或應用程序以虛擬機的形式同時部署在物理服務器上，這些虛擬機同時共享該服務器的硬件資源，虛擬機間的網(wǎng)絡流量不經(jīng)過傳統(tǒng)的硬件防火墻、IDS和IPS等網(wǎng)絡安全設備，這顯然是網(wǎng)絡安全防護中的盲點。當一臺虛擬機發(fā)生問題時，安全威脅就會通過網(wǎng)絡蔓延至其他的虛擬機。