另外就是针对可信虚机快照的安全保护,主要是将可信虚机的文件模块化,指定对应VTPM的实例模块,加入到快照库里面,对快照信息进行一个安全可信的度量,也是为了防止被篡改。
针对可信虚机销毁的流程,包括对应的VTPM的实例、删除VTPM的实例以及相应的度量值,另外就是删除虚拟机内核的度量信息等等,通过一系列的操作,使得我们虚拟机删除的时候没有留下这些可能会影响到信息泄露的数据。
还有一个很重要的就是虚拟机的迁移,我们通过把可信计算和虚拟机迁移的行为进行结合,创建一套方法,适合于虚拟机静态迁移和动态迁移的应用场景,并且要确保虚拟机迁移前后数据是完整可信的,要确保虚拟机数据在迁移过程当中的传输安全,还有就是在迁移前后它的安全策略必须一致。因为我们的每一个虚机在它不同的物理机上面有自己的运行环境,而且它都有自己的安全策略。这时候就要保证当你的虚机发生迁移的时候,迁移前后的安全策略必须一致,而且这部分工作与Openstack相结合,实现虚拟机自动迁移。主要分成了六个方面的阶段,我就不细讲了。
刚才讲的是虚拟机从它的全生命周期里面我们可信计算的技术如何进行相应的安全防护,来对它的各种运行状态进行可信验证。我们还需要做的一件事情就是掌握可信虚机的运行状态,避免TPM和VTPM出现故障的时候,你的虚机还在工作,这就导致我的整个安全状态不一致了。所以这里涉及到对于物理可信根和虚拟可信根的状态收集,还有就是对它们的状态进行相应的验证,保证这些状态没有虚假地去更新。另外就是可信虚机安全调度的问题。
作为云计算平台上,针对可信的这些资源要实施统一的管理,包括可信根的信息采集和可信根的信息验证,以及可信虚机的安全调度,这部分工作把云平台的管理人员的功能,整个平台上会增加这个模块,使得所有基于可信计算实现的这些安全措施和云平台有机结合。
我刚才介绍的内容是针对云计算平台上我们如何基于可信计算来建立对虚拟机全生命周期的安全防护,这套解决方案我们现在已经全部实现,而且已经跟国内的公司合作以后进行产业化了。同时,这里面有一些关键的技术我们现在也在考虑把它进行开源以后给开源社区进行提交。
我要介绍的第二个方面的工作是关于云计算服务安全能力,这就是我刚才提到的,我们线了云计算服务提供商都会提我会集成相应的安全措施。但实际上我们在一些真实场景下发现,有很多时候这个安全措施有些是没有启用的,而且有些安全策略也是有问题的。所以这种情况下,我们如何通过自动化的方式去发现云计算平台上是否存在一些安全问题。
这个背景实际上也是因为我们在牵头制定国家的云计算服务安全指南和云计算服务安全能力要求这两项国家标准,这两项标准已经发布了。在这个过程中,我们就在考虑如何通过一些自动化的方式提供我们的评估安全能力的手段。
我们现在已经完成了一些工具,还有一些在研发当中,完成的工具我简单介绍一下。首先就是针对虚拟机的隐藏进程的检测工具。因为我们要对云计算服务商的安全能力进行检测,就不像以前了,以前大家在做第三方测评的时候,为什么我们说对云的测试难度很大?因为以前做第三方测评工作的时候,都是人家把产品系统给你拿过来,你就在自己的环境下进行测试。但云是一个生产环境,而且如果它离开它的那个环境,这个时候实际上很多东西已经无法测了,所以就意味着你必须要在生产环境下测试,但是这时候你又不能对它的生产环境进行实时修改,所以在这样的前提下我们研发了这样的工具。
这个虚拟机隐藏进程检测工具,我们有一个思路,就是看云服务商有没有能力检测一些恶意的进程。当我们的一个虚机在运行时,它有可能来自外部的攻击和恶意的进程,在隐藏过程当中,我们在云平台上能不能够进行有的检测?这就是我们这个工具要做的,所以实际上我们只需要部署一台虚机,在这个虚机上我们会通过Rootkit进行检测。我们的解决思路就是首先你不能修改Hypervisor上的代码,这时候我们要做的就是通过用户进程、内核进程链表和CPU运行队列进行交叉分析对比。现在在很多地方都在用,但是把这三类的进程信息进行交叉对比的也是我们首次提出来的。