本技術為一安全雲端平台建構方案,涵蓋系統安全、儲存安全、網路安全、與安全測 試等面向,具體可分為以下四個子系統:
多功能容錯分散式儲存系統
全系統層次的惡意程式行為分析
即時雲端環境入侵偵測與反制
基於雲端技術之網路安全實驗觀測平台
所有來自於 Internet 的行為大致上可分為正常存取行為、一般攻擊行為與複雜攻擊 行為三種,這三類行為都會先經過即時雲端環境入侵偵測與反制系統的檢查。其中,屬於 一般攻擊的類型都會在這一個階段被擋下,而正常的存取行為會被導向到容錯分散式儲存 系統。疑似為複雜攻擊的程式,可輸入至全系統層次行為分析系統,進行惡意程式行為分 析。此外,可疑的惡意網路封包亦可利用安全實驗觀測平台進行隔離實驗與觀測。本系統 之架構如下圖:
圖表五:系統架構圖 茲將各子計畫之具體研究目的分述如下:
支援多樣功能之雲端資料安全儲存
本計畫的目的為在考量使用者資料隱私性以及雲端儲存資料安全性下,發展支援多樣 功能之雲端資料安全儲存機制。此部份的研究目的可分為以下三項:
保護隱私的雲端入侵偵測
15
16
本研究的主要要目的旨在探討 IaaS Cloud 中的入侵偵測(IDS)[75]以及入侵防制/
反制(IPS/IRS)[76]技術的研究與開發。對於保護 infrastructure,使用入侵偵測與反制 系統是行之有年的作法。具體而言如一般電腦上所安裝的防毒軟體便是一個入侵偵測 與反制系統的例子(其目的是偵測病毒並將其阻擋)。另外佈建所謂的網路安全閘道來即 時監控含有攻擊性內容的封包與網路連線並予以攔截亦是入侵偵測與反制的另一個例 子。然而當我們面對 IaaS Cloud,所映入眼前的景象已不再是我們所熟悉的實體主機、
網路線、路由器、網路交換機等設備。在眼前的是透過 Internet 存取的一朵雲。這朵雲 背後的機房可能遠在美國、遠在歐洲。以傳統系統管理者角度而言,一個顯然的疑問 是我要怎麼去一朵虛擬的雲上面安裝網路安全匝道器?另一個顯然的問題是一個公司 會考慮選擇使用 IaaS Cloud,而非自建資料中心機房莫過於是為了降低成本。倘若在 資安支出上,採用雲計算所需付出的資安成本是一樣或甚至更高的話,那勢必就會降 低 IaaS Cloud 的吸引力。
VMM (e.g. Xen Hypervisor) Guest OS (e.g.
MS Windows)
Physical Hardware and Network Guest OS (e.g.
Linux) Interrupts
Memory Access I/O (Network, Disk,…)
Inspect Hardware and Network,比如說所謂的網路安全匝道器即是採用後者這種配置方法)。 然而由上圖可看出在 Xen 虛擬化後的環境中,Guest OS 的所有 I/O、中斷、記憶體存 取均會透過 Virtual Machine Monitor (VMM),亦即會透過 Xen Hypervisor 這一層。也因 此對於 IDS 所需要的偵測功能以及 IPS 所需要的反制動作功能,均可以移至 VMM 層 中。這樣子顯然的好處是我們不再需要於 Guest OS 中安裝如防毒軟體之類的工具,亦
17
不需要在實體網路上佈建網路安全匝道器。此構想最早是由 Stanford 大學的 Mendel Rosenblum 教授提出[77]。透過 VMM 監控上層 Guest OS 是一個非常重要且具實際應 用價值的技術。目前仍存在的障礙是只能對底層(實體層)的記憶體、I/O 資訊的存取。
也就是說 VMM 監控所看到的是底層的低階、缺乏結構性的狀態或事件,這與上層應 用中的狀態或事件間存一個 semantic gap,直觀地來說,由於 Hypervisor 掌控了虛擬機 器對底層硬體包括 CPU、記憶體、磁碟機、網路、周邊設備等的存取,所以我們可以 透過 Hypervisor 來達到傳統 IDS/IPS 所進行的偵測、防護以及制動。
基於雲端技術之網路安全實驗觀測平台
本研究著重於將虛擬機技術導入網路安全實驗觀測平台之建構,其具體研究方向 如下:
虛擬機資源管理分析:
此技術將虛擬機技術導入網路測試平台,可依照各別的測試需求自動建立虛擬節 點與網路連結。
虛擬機安全性分析技術:
此技術可確保虛擬節點之間的隔離性,防止運行中的惡意程式污染其他虛擬節點 或是測試平台。
虛擬機安全資源管理機制:
此技術可建立自動化之虛擬機管理機制,測試平台可依照各別測試的需求管理各 虛擬機之資源。
18