共有ディスクはいつ他のVMにデータを「リーク」し、それはどのように軽減されますか?
この答え に触発されて、共有ストレージインフラストラクチャを介してデータが別のVMから他に漏洩するのを防ぐために使用されるいくつかの一般的な脅威と緩和技術は何ですか?.
考えられる脆弱なシナリオには、
- IOPSに基づいてSATAからFLASHにデータを昇格/降格するEMC SAN
- 安全な消去を試みるサーバーは、昇格されたデータの両方の場所を消去しない場合があります
- 拡大するVMDKにオンデマンドでスペースを割り当てるVM
- Rawパーティションを読み取ることができるネイティブOS API
- シークレットを公開するOracleとして機能するIOエラー
- 暗号化されたデータとキーを同じに保存するVM(Bitlocker)
- バリアント 行ハンマー(共有メモリエクスプロイト) for disk IO Blocks
可能な緩和策には、
- 構造化されたRESTインターフェースを使用したサーバーで、微妙なIOエラーを非表示にします(たとえば、AzureクラウドまたはページBLOBがこれを公開する方法を考えることができません)
- OS(Bitlocker)によって管理されるディスク暗号化
- ホストのリリース時にデータを自動的にゼロ化するハイパーバイザー
私の目標は、ビッグネーム(Azure、Amazon、Rackspace、Google Apps、EMCなど)だけでなく、ロングテールシナリオの独立したニッチショップの両方を調査できるように、ある種のチェックリストを用意することです。
クラウドプロバイダーは単一のテナントハードウェアを提供できるため、VMは他の顧客やクライアントから分離されます。多くの金融規制当局は、クラウドに保存されたときに機密データや規制対象のデータに対してこれが有効になることを期待しています。
たとえば、Amazon AWSには「専用インスタンス」( link )の概念があります。
このオプションを選択した場合、EC2インスタンスはアカウント専用のハードウェア上にあり、OSレベルで共有インフラストラクチャに対するサイドチャネル攻撃を削減できるという利点があるこのサービスに割増料金を支払います。
ストレージシステムによっても異なります。
たとえば、重複除外がある場合、ゲストVMは既知のデータブロックがすでに保存されているかどうかを確認できる場合があります。たとえば、次のようになります。(1)VMを作成し、10,000個の参照ファイルを保存します。 (2)別のVMを作成し、(A)VM 1、(B)10,000の新しい参照ファイルに10,000の参照ファイルを置き換えずにサンプリングして30,000のファイルを保存する、および(C)10,000のテストファイル;(3)書き込みの時間を観察する;(4)読み取り、繰り返しの時間を観察する;(5)観察された書き込みおよび読み取り時間からクラスAまたはBのメンバーシップを予測するモデルを学習する;( 6)モデルを適用してセットCのファイルを予測します。クラスAに属すると予測されるファイルはすでにストレージシステムにある可能性が高く、クラスBに属すると予測されるファイルは新しいファイルである可能性があります。
緩和:
- 最初のレベルのブロックストレージのサイズを増やして、ステップ4の後でのみ重複除外が開始されるようにします。
- この攻撃からコンテンツを保護する必要があるVMに暗号化(または重複除外のオプトアウト)を提供する
- 信頼できないVMを暗号化(または重複除外から除外)して、この方法で他のVMを攻撃できないようにする