→ Winggy:曾老師這篇是要戰防毒還是戰雲端 ? 看不懂喔 06/03 11:35
一般的筆記本電腦如果遺失, 機器上的 HDD 可以被拔下來到另一台電腦讀取,
重要的資訊也就被偷了. 所以防竊就可利用加密鎖住整個資料區. 但加密的資
料(含軟體)也是要解開來執行, 在解開使用的過程就要有防護傘護住使用區,
使之不會受感染, 這應該是防毒入侵的能力範圍. 此時就是要做到 "隔離".
如果這一區的資料用的時候才到防護區解開執行, 放回去時就是加密過, 對想
偷看的來說, 就等於被隔離, 因為只能看到加密的資料, 而加密資料也會防竄
改. 若有備援的加密區就能復原被破壞的部份.
假如把 HDD 連同 OS 與個人資料變成網路資料移到雲端虛擬機上跑, 此時
送上雲端的虛擬硬碟可以是加密的, 但卻有個更有威力的操作管理員可以在雲
端機器上偷竊. 在個人單機上管理員就是自己, 不存在偷竊問題, 但單機上並
非每個儲存體的資料都有做加密隔離防竄改, 也就存在著有入侵偷竊的惡意軟
體的可能性, 這狀況跟移到雲端執行是沒兩樣的.
個人機通常使用 TPM 當保險櫃與特定運作的隔離防護區, 通常存 SRK 在
內永不出示, 但也據之在內造出解密金鑰, 接著藉助 不會受感染的 TXT Bios
ROM 可以解加密的硬碟開機, 這跟老式的掃瞄開機區確保無毒後再開機有異曲
同工之妙. 開機以後的任何程式執行, 若是有可驗明的 signature 就當無毒害
軟體可被執行.
在雲端虛擬機的開機過程這一段則是虛擬(軟體)的 TPM, TXT Bios, 開機以後
整個虛擬機的儲存體空間, 若不在重要資訊的地方借助隔離與加密就有被操作
管理員偷竊的可能.
偷竊就是借助於惡意的掃描軟體先定位再取出. 而防毒不就是在防惡意入
侵竄改後由降服的軟體來行偷竊?
正常的掃毒防毒軟體不是企圖建立一個清潔安全的空間? 怎會弄得跟惡意
入侵掃瞄難以區分? 加密的硬碟可以防遺失洩密也能被感染竄改後復原, 其受
信任的情況顯然比只重掃毒無法防偷竊又無法協助復原的防毒來得好.
→ iincho:重要資料自己壓一奮起來加密.. 06/03 14:01
→ Winggy:企業也是有管理員 並不是不放到雲端就沒這個問題 06/03 14:31
→ Winggy:如果你這麼不信任 cloud service, 可以自己搞個加密目錄 06/03 14:32
→ Winggy:或是搞全系統加密 06/03 14:32
→ Winggy:後面又扯防毒只是模糊焦點而已 06/03 14:33
→ Winggy:結論是 老師需要去找資管系的教授們多了解企業環境 06/03 14:35
→ Winggy:喔 忘記補充 保險櫃你如果只放東西進去不拿出來.. 當然OK 06/03 14:44
→ Winggy:但是正常人要的可是放得進去又方便拿出來的喔 06/03 14:45
→ Winggy:顯然老師得想想怎麼方便拿進拿出 又防其他人未授權存取 06/03 14:46
→ Winggy:加密如果是終極解決方案 資料安全這個問題就不會還在炒了 06/03 14:49
推 luciferii:你怎麼知道加密廠商不會偷傳一份回去? :P 06/03 18:16
把分區的某一硬碟加密, 該硬碟不怕遺失時洩密.
要被執行的可信任程式都經加密簽證, 簽章的比對核驗都來自單一的 TPM.
使用時進駐記憶體的解密程式經 TPM 指示位置從加密碟取出, 解密的金鑰來
自TPM. 經開機解密取出而來的程式可假設就是未受感染的程式, 也就不怕開
機時因隨意接觸, 會被其他非安全儲存體裡的病毒掛碼, 由之偷窺洩密.
在雲端虛擬機上就是多一個要求:其虛擬機記憶體的實質空間對 host system
言, 也是加密隔離的, 對其他虛擬機則是以虛擬空間隔離, 這就使得虛擬機不
怕雲端操作人員從 host system 偷窺. 此時原實機的 TPM 就可延伸出一個虛
擬機上的 vTPM 做為該虛擬機運作所需的金鑰來源.
掃毒的程式只掃瞄從其他無法信任的儲存體或外網路將置入執行的程式, 也就
是比對特徵或做完整一體性核驗.
掃毒程式當然需先得使用者的認可才能成為被信任, 才能存進加密碟被取出執
行. 要從雲端下載特徵碼, 該雲端來源顯然需得使用者認可由 TPM 簽證才能
由雙方防中間竄改地安全進行.
讀寫磁碟的加解密, 讀寫其他虛擬機實體記憶體空間的加解密(或對應隔離)都
用不到網路或其他資源, 是否會經網路洩密是可以被實地查驗的, 拔除網路線
就能簡易發現是否潛藏有不當異常行為的可能.
推 luciferii:把雲端虛擬機的網路線拔掉?mmm...的確是個好主意 06/03 21:01
在PC機上的硬碟讀寫加解密軟體, 拔除網路線就能確認是否會從網
路洩密. 當租用雲端時, 這個硬碟讀寫的加解密程式是由租用者帶
上去跑的, 可信用度當然不會有問題. 租用者傳送上去的程式當然
要跟雲端上租用的虛擬機間建立加解密的安全通道以防入侵.
還沒開機前的虛擬機是由VM Mornitor 在授權給租用者的範圍內協
助租用者進行安裝或提供對虛擬機硬碟的讀寫加解密軟體. 如果雲
端系統操作人員對 VM mornitor 的權限無法越過已分權給租用者對
管理其租用的虛擬機所屬部份的 VM mornitor 權限, 租用者就能
透過對其所屬的部份 VM Mornitor 權限阻擋操作員的竊聽.
推 luciferii:什麼是"VM Mornitor"? 早安員? 06/03 23:44
→ luciferii:有沒有對雲端一知半解喜歡亂套名詞,還通篇拼錯的八卦? 06/03 23:44
→ askeing:是說 VMM 吧? 06/03 23:45
→ askeing:看了一下,對於VM上的記憶體要加密那段很好奇… 06/04 00:01
→ askeing:那這樣要怎樣使用記憶體內的資訊…解開來嗎? 06/04 00:02
→ askeing:解開來,還是要放記憶體,Hypervisor就又看到了阿?? 06/04 00:02
Virtual Machine Monitor
不過, Google 還是可見到一堆 LCD Mornitor 表達 "監視器" "監督器"
這種設備, 或許是日本人拼的, 以前就是這意思, 也用這字拼. 大概就像
color 也有用 corlor 拼的, 但也有 colour 拼的. 記憶已定型此字太久
看見 monitor 反而怪怪的. 害您查字典糾正了.
現在的 VMware VM 不像早期的 IBM System VM 是用微碼(micro-code)做
在最底層, 其上所有 VM 是隔離的. 現在的 XEN 或 VMware 藉助 host OS
提供硬體 driver, 所以 host os 有特權可以看到所有實體的記憶體內容.
防可操控 host os 的管理人員偷竊的辦法之一就是讓 host os 看到已分
配給虛擬機的實體記憶體空間是經由 VMM 隔離對應(mapping)或由 VMM 攔
截後加密才給 host os. 所以 VMM(或 Hypervisor)要隨之分權限或依對
象(host 或 guest 或 other guest)做對應的加密或不加密.
VMM 分權以後, 對應虛擬機的VMM 部份是歸租用者在其範圍操控, 除非租用
者同意, 其內容是無法不加密取出的.
→ askeing:您有提到Host OS是Host-Based的虛擬化,像workstation這種 06/04 02:02
→ askeing:在這層的確可以作手腳,作一些加密讓Host OS看不懂 06/04 02:03
→ askeing:但是業界很多都用Xen或ESX,這種虛擬化直接就是Hypervisor 06/04 02:03
→ askeing:上面就是VM了,硬體直接讓Hypervisor管,driver則各有方法 06/04 02:05
→ askeing:可放Dom0、Driver Domain、直接放Hypervisor都可 06/04 02:05
→ askeing:對這種情況,要怎樣使VM可對底下的Hypervisor隱藏資訊呢? 06/04 02:06
→ askeing:我目前想的方法是必須對VM的Kernel做手腳,回到半虛擬那套 06/04 02:09
推 luciferii:老師一直誤以為雲端是租人家VMware workstation然後讓人 06/04 12:20
→ luciferii:用戶進去開VM.... 06/04 12:20
→ Winggy:這個問題不是一個單純的虛擬化問題? 拿來牽扯整個雲安全... 06/04 14:38
XEN 的 Domain 0 就是相當於 VMware 的 host system.
Hypervisor 就是掌管了所有共用的硬體, 要讓其上的VM將資訊對
Hypervisor隱藏是不可能的, 方法之一是要求 Hypervisor 針對操作
管理員(Dom0)或租用者(DomU)的記憶體讀寫請求依分權管轄範圍做出
該加密或不加密的結果反應.
雲端為了服務的負載平衡與方便管理, 多數會採用虛擬機技術, 一
個協助各虛擬機隔離, 也支援 host os 與 各虛擬機加密隔離以防
沒必要的 host manager 洩密是必要的.
防毒軟體的掃毒是否由 host machine 對各租用者的儲存體空間掃
瞄也將隨是否完全隔離而有不同的做法. 而最重要的資訊將存於一
個完全隔離的區域則是有必要的.
→ askeing:Dom0 跟 Host OS 不同吧! 06/04 17:48
那麼 Dom0 跟 DomU 的差別是甚麼? host OS 與 guest OS 各在那
個 kernel/user space ?
推 luciferii:果然老師觀念還繼續停在 Host OS... XD 06/04 18:00
→ Winggy:再強調一次 你在說的是虛擬環境碰到的問題 06/04 18:53
→ Winggy:只是雲端安全問題的一個 大部分CIO甚至不會關心這種細節 06/04 18:54
→ Winggy:雲端服務也不見得會建置在虛擬環境上 別再瞎子摸象了 06/04 18:55
回到問的問題好嗎?
租用雲端的虛擬機跑需要 license key 的 CADtool, license key 在雲端虛擬
機上會不會被管雲端的 操作管理人員 用 "惡意掃瞄軟體" 掃(偷看)走?
掉了 license key 可能被供應方查處, 變得不能用了. 重要的 secrect key
那更是不用說了!
→ Winggy:問題怎麼又變了... 一開始是冒充軟體,現在是惡意掃描軟體.. 06/05 07:16
→ Winggy:你先定義一下什麼叫做惡意掃描軟體好了 06/05 07:17
→ Winggy:不然等等又變成怎樣防止駭客入侵 06/05 07:17
→ Winggy:還有掉 key 被供應商查處.. 原廠要停 key 沒這麼簡單 06/05 07:21
如果沒中毒, 一般都不會去掃毒. 加密碟與隔離空間, 甚至加密記憶體讀寫,
以防操作管理人員偷虧, 防惡意掃瞄軟體等, 都是安全防衛的需求.
在釣魚網站盛行的當下, 偽稱中毒, 使用戶在恐慌下, 自行下載掃毒, 或騙
過管理人員以特殊權限掃毒, 再由網路藉以竊走機密資訊, 本就可能存在.
就用戶的立場, 認為該掃時卻掃不到, 認為不必掃時卻會到處亂掃, 甚至告
知不明下又會擅自搜集資訊上網回報, 這就容易陷入不被使用者信任的情況.
使用者想要有一個保證隔離不受偷窺掃瞄的空間, 本就是合理的需求. 掃毒
業者不可能越過這種分界, 還強說掃瞄不會發生嚴重後果. 機密的東西本就
沒看見沒事, 看了可能就惹來不必要的事, 終究這是個信任問題.
※ 編輯: ggg12345 來自: 140.115.5.45 (06/05 09:23)
→ Winggy:所以你現在在說的是 rogueware 的防治? 06/05 11:55
→ askeing:至於Dom0跟DomU的不同,在於起來的時間、權限、還有kernel 06/05 22:00
→ askeing:而且問題在於,如果無法對VMM隱藏資訊,那根本就沒有用 06/05 22:01
→ askeing:因為只要能控制VMM,一切就都被看光了~ 06/05 22:02
→ askeing:而不管是Dom0(Native)還是Host OS(Hosted)都可以控制VMM 06/05 22:02
→ askeing:而且像是以Xen的模式,DomU對外連線好了,封包進進出出 06/05 22:04
→ askeing:是跟front end driver,實際去跟硬體講是back end driver 06/05 22:04
→ askeing:Back end不論放在Dom0還是Driver Domain,都能看到資訊 06/05 22:05
→ askeing:這些一目了然的寫入記憶體之後,再轉過去DomU 06/05 22:06
→ askeing:中間似乎沒有加密的機會? 06/05 22:06
→ askeing:而XenBus跟Event Channel的溝通更不用說了,各自加密就是 06/05 22:07
→ askeing:互相都不能溝通 O_Oa 06/05 22:07
→ askeing:還是老師講的是對雲端公司的一般管理人員隱藏資訊即可? 06/05 22:17
→ askeing:畢竟不對VMM隱藏資訊,只要有權限控制VMM都能進去撈 06/05 22:20