一、背景介紹

    這張圖是飛天的體系結(jié)構(gòu)介紹。整個的飛天系統(tǒng)，最基礎(chǔ)的兩大系統(tǒng)，盤古和伏羲。如果大家之前了解過這方面的資料，應(yīng)該對這張圖非常熟悉。飛天基礎(chǔ)系統(tǒng)上承載著多個云產(chǎn)品，ECS/SLB、OSS、OTS、OSPS、包括ODPS的系統(tǒng)。安全機(jī)制在飛天及飛天承載的云產(chǎn)品中起著至關(guān)重要的作用。

    主要的工作包括幾個方面，一個是訪問控制機(jī)制另一方面是安全沙箱。訪問控制機(jī)制包括從盤古文件的訪問、讀取和認(rèn)證機(jī)構(gòu)，還有ODPS、OTS、OSS等系統(tǒng)基于飛天做，飛天會幫它們做所有上層的安全措施基礎(chǔ)機(jī)制支撐工作。尤其是ODPS系統(tǒng)，其所有的訪問控制機(jī)制和安全沙箱的系統(tǒng)，都是由飛天安全提供機(jī)制來支持的。

    今天我們要講的議題，首先會從攻擊者的角度看一下云上的計算系統(tǒng)有哪些Attack Surfaces可以利用。然后看一下目前開源的產(chǎn)品，比較著名的產(chǎn)品從這個角度來看是如何解決安全問題的。以及l(fā)inux系統(tǒng)提供了那些安全機(jī)制可供安全沙箱使用。最后，我們具體了解一下飛天安全沙箱的方案。

    首先，我們看一下典型的云計算環(huán)境中，為支撐用戶代碼的運(yùn)行，從上到下的結(jié)構(gòu)。通常為了讓用戶代碼能夠執(zhí)行高級語言，我們都會有一層高級語言的虛擬機(jī)，比如JVM,Cpython。我們以后有些系統(tǒng)會跑JS，這里對應(yīng)的是V8。這些虛擬器通常是C語言來開發(fā)的，相對來說是一個獨(dú)立的系統(tǒng)，再下一層是Libc的庫，這個對應(yīng)的是C語言的so。再往下一層是LinuxKernel。再往下其實(shí)還有，如果是說這個系統(tǒng)用的是虛機(jī)，往下還會有物理機(jī)，本次分享不討論這個問題。對于這樣的系統(tǒng)來說，如果User code的惡意代碼，為了拿到Linux Kernel的root權(quán)限需要一步步的滲透。入侵者如果想要到達(dá)最終目標(biāo)，首先要突破高級語言虛擬機(jī)的安全防護(hù)，比如Java的SecurityManager機(jī)制。不過根據(jù)最近幾年的漏洞情況判斷， JVM安全沙箱對入侵來說是并沒有太大的難度，可以假定一定會被突破。通過JVM提供的Navtive調(diào)用，它可以直接調(diào)用到Libc。Libc對入侵者來說，主要目的是要拿到當(dāng)前進(jìn)程的權(quán)限。最后一層是Linux Kernel，我們在云計算平臺上來說，跑用戶代碼的進(jìn)程不會是root，大家想像一下也知道，root不會給最終用戶區(qū)跑這個代碼的。當(dāng)入侵者真的通過前基層的安全防護(hù)機(jī)制，并成功攻破root權(quán)限，那么這臺機(jī)器已經(jīng)被他控制在手里了。我們可以想像一下，在云計算這樣一個集群里面，我們通常來說會跑成千上萬的實(shí)例，如果我們把這個實(shí)例數(shù)放到最大，這樣的代碼被執(zhí)行完之后，是不是整個集群所有機(jī)器的權(quán)限都可以拿到了。這是非常可怕的事情。就算我們在某一方面可以控制用戶提交數(shù)量，云計算平臺上通常會使用相同一臺機(jī)器同時處理多個用戶，如果有一臺機(jī)器被用戶集權(quán)到root，上面的所有數(shù)據(jù)和密鑰，對于入侵者來說都是可見的了。

    接下來我們看一下，業(yè)內(nèi)有一些做得比較好的安全產(chǎn)品，在安全方面沙箱方面如何解決的用戶隔離問題。

    首先我們看一下Docker目前使用哪些機(jī)制，這張圖主要是使用了三個緯度，有兩個緯度產(chǎn)生了LXC，使用了Namespaces，Namespaces它可以在多個方面實(shí)現(xiàn)一定的隔離能力。這個能力需要在2.6.x以后才能部分開始使用。Cgroups機(jī)制保證操作系統(tǒng)資源的合理管理。另外，Docker啟用了AUSF的分層文件系統(tǒng)。傳統(tǒng)文件系統(tǒng)，我們可以認(rèn)為是縱向的文件系統(tǒng)，你寫哪個文件，這個文件一直到硬件，而AUSF是可以進(jìn)行疊加的。一層層的文件夾疊加，會映射成一個相同的文件夾。Docker里面，最下面的image用來做系統(tǒng)環(huán)境，中間會做APP，最上面是用戶運(yùn)行期的東西，這些東西會被Docker封裝成一層層，實(shí)現(xiàn)了類似于集裝箱式的部署能力。

    對于Docker來說，對一個攻擊者來說，眼中看到的Docker應(yīng)用有哪些東西？從剛才的圖上也是類似的，整個系統(tǒng)有一個Docker container，右邊是DockerEngine。如果你在Docker上直接部署C進(jìn)程，下面兩層就是C的程序。對于惡意用戶來說，如果想得到所在機(jī)器的root權(quán)限，要突破你在Iibc上做的措施，還需要突破kernel中seccomp-bpf，這是kernel提供的一個安全機(jī)制，允許你定義某一個進(jìn)程所能進(jìn)行的系統(tǒng)過濾。第二、第三層攻破，seccomp-bpf可以進(jìn)行額外的安全判斷。你如果把這個也突破了，其實(shí)這臺機(jī)器也直接root掉了。

    接下來我們看googlechrome的沙箱。Chrome使用過SUID/Namespaces sandbox,這也是對linx container機(jī)制的利用。使用過seccomp-legacy。在沒有seccomp-bpf之前google使用seccomp-legacy。seccomp-legacy使用限制非常大。也同樣使用過seccomp-bpf。

    我們剛才看了兩個業(yè)內(nèi)的安全產(chǎn)品，可以簡單的總結(jié)一下，對于沙箱來說，我們有哪些安全機(jī)制可以使用？參考這張圖，首先對于JVM來說，我們可以用Java security Manager 以及 Classloader機(jī)制。如果是Linux Kernel，那么我們還可以直接利用Kernel Namespaces，Cgroup ，Chroot、umount。這些東西在LXC已經(jīng)封裝好了可以用，而且通常它們在一起使用才可以產(chǎn)生比較好的效果。然后是aufs，2.6才開始支持。Seccomp-bpf是3.5，如果版本不夠你就要使用其他方案來做內(nèi)核層的一些過濾了。

    另外一個角度，對云計算上的安全沙箱來說有哪些層次可以做防御？JVM內(nèi)的防御是否有必要？Java的安全沙箱攻破的難度不是很大，它是不是不要了？剛才我們說了，安全沙箱沒有絕對安全的設(shè)計，如何在安全上做到盡可能可靠的防護(hù)？多層防御可以有效提高安全防護(hù)能力。

    第二是進(jìn)層隔離，用于提供安全機(jī)制。

    第三層要在kernel space里面要有安全過慮。

    前面做完了，基于現(xiàn)有的安全機(jī)制來說，至少可以認(rèn)為在目前，可以直接使用的防護(hù)措施就這些了。

    剛才我們看到了一些安全機(jī)制，接下來看看飛天安全在沙箱方面使用哪些機(jī)制？其實(shí)前面我們說的這些，該用的都用到了。

    飛天安全沙箱，是這樣的一個系統(tǒng)。簡單來看，這張圖和我們之前的兩張圖有相似的地方。最終的方案，我們方案融合了前兩個的優(yōu)點(diǎn)。我們這一層的User code可以放到C語言下進(jìn)行，Iibc可以有一些攔截。這個地方是基于IPC的，所以你在當(dāng)前進(jìn)程要做的破壞或者說做的事情，是無法影響到另一個進(jìn)程的。最后是Linux container，我們有一層內(nèi)核過濾機(jī)制來保證。

    我們今天的分享還是比較聚焦的，就是講沙箱和安全機(jī)制。我們看了一些業(yè)內(nèi)主要的安全產(chǎn)品實(shí)現(xiàn)，以及它使用的安全機(jī)制。最后針對一個具體的案例-飛天安全沙箱，我們了解了該如何實(shí)現(xiàn)融合多種安全機(jī)制來實(shí)現(xiàn)與著名安全產(chǎn)品相同等級防護(hù)能力的安全沙箱。

在不久的將來，云計算一定會徹底走入我們的生活，有興趣入行未來前沿產(chǎn)業(yè)的朋友，可以收藏云計算，及時獲取人工智能、大數(shù)據(jù)、云計算和物聯(lián)網(wǎng)的前沿資訊和基礎(chǔ)知識，讓我們一起攜手，引領(lǐng)人工智能的未來！

標(biāo)簽： Google linux ssl 安全 大數(shù)據(jù) 代碼 漏洞 權(quán)限 云計算 云計算安全 云計算平臺

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。