資源協(xié)調(diào)類–基礎(chǔ)結(jié)構(gòu)視圖

這類“虛擬化資源訪問(wèn)”主要處理一組計(jì)算和通信資源的協(xié)調(diào)，以提供一組高度可用、高度可靠的“平臺(tái)”。向用戶共享資源。這是一個(gè)基礎(chǔ)架構(gòu)（與應(yīng)用程序）視圖，用戶在其中指定所需服務(wù)的操作要求（例如，計(jì)算能力、虛擬機(jī)數(shù)量（虛擬機(jī)）、存儲(chǔ)、帶寬限制等）但與提供對(duì)資源、可伸縮性、物理特征和基礎(chǔ)資源的地理位置/分布的按需訪問(wèn)的實(shí)際機(jī)制無(wú)關(guān)。

總體而言，此協(xié)調(diào)模型的關(guān)鍵特征是提供對(duì)資源的高可靠性、高可用性訪問(wèn)?；举Y源復(fù)制僅提供一個(gè)資源池來(lái)支持高可用性訪問(wèn)。但是，資源復(fù)制架構(gòu)僅提供支持在其上執(zhí)行的服務(wù)“功能”。完整性與服務(wù)規(guī)范相對(duì)應(yīng)。例如，虛擬機(jī)需要提供指定級(jí)別的隔離，而不會(huì)泄露信息。同樣，Web服務(wù)器通常會(huì)跨計(jì)算機(jī)復(fù)制，以提高可靠性和低延遲的本地化地理分散訪問(wèn)。每個(gè)復(fù)制的服務(wù)器都有相同的數(shù)據(jù)集，每當(dāng)更新數(shù)據(jù)時(shí)，都會(huì)在復(fù)制的服務(wù)器上更新一個(gè)副本，以提供數(shù)據(jù)的一致性。服務(wù)的性質(zhì)（在資源平臺(tái)上執(zhí)行）決定了所需協(xié)調(diào)的類型，可能是一致性（強(qiáng)、弱、最終、因果）。這將是稍后討論的服務(wù)協(xié)調(diào)類的基礎(chǔ)。

我們簡(jiǎn)要介紹云和客戶端-服務(wù)器模型，它們構(gòu)成了分布式資源類的突出示例。

云模型

云的所有表現(xiàn)形式都代表了資源協(xié)調(diào)模型，本質(zhì)上是服務(wù)執(zhí)行的“資源平臺(tái)”。有多種類型的云提供各種類型的服務(wù)，包括強(qiáng)調(diào)高性能、低延遲訪問(wèn)或高可用性以及許多其他屬性。它是由所需服務(wù)的規(guī)范決定的特定資源協(xié)調(diào)模式，云“平臺(tái)”基于該模式提供對(duì)云資源的結(jié)構(gòu)化訪問(wèn)。所選的協(xié)調(diào)架構(gòu)相應(yīng)地支持所需功能的類型，例如，訪問(wèn)專用計(jì)算資源和/或資源容器（如物理機(jī)或虛擬機(jī)），每個(gè)容器在容器之間提供不同的隔離保證。用戶指定的服務(wù)在云資源上執(zhí)行，這些資源由云服務(wù)提供商管理。協(xié)調(diào)架構(gòu)作為集中式或分布式資源管理器，處理任務(wù)到資源的映射和調(diào)度、調(diào)用虛擬機(jī)、資源的運(yùn)行狀況監(jiān)視、故障處理失敗的資源，以便用戶根據(jù)云上指定的合同服務(wù)級(jí)別協(xié)議（SLA）透明地獲得對(duì)資源的持續(xù)訪問(wèn)資源。基礎(chǔ)設(shè)施即服務(wù)（IaaS）和平臺(tái)即服務(wù)（PaaS）的ENISA、NIST和ISO規(guī)范是“支持服務(wù)的資源/平臺(tái)/基礎(chǔ)設(shè)施”的表示。實(shí)踐中存在的眾多云模型、架構(gòu)和服務(wù)使得很難預(yù)測(cè)單一的云安全概念。每個(gè)特定的資源協(xié)調(diào)模型都以云模型中的資源類型、計(jì)算架構(gòu)的類型以及云中所需的功能。這些包括，作為非詳盡的列表，所需的資源錯(cuò)誤處理類型，處理服務(wù)突發(fā)的選擇方法，實(shí)現(xiàn)的模式類型用于資源聯(lián)合和遷移、任務(wù)編排、調(diào)度、所需的并發(fā)訪問(wèn)程度、支持的多租戶級(jí)別等。

但是，從安全角度來(lái)看，將云解構(gòu)為其體系結(jié)構(gòu)和功能組件非常有用，這些組件會(huì)導(dǎo)致需要考慮云的攻擊面。類似于數(shù)據(jù)中心的基礎(chǔ)架構(gòu)視圖是計(jì)算和存儲(chǔ)資源的聚合，云是用戶按需可用的地理分散資源的聚合。用戶可以透明地訪問(wèn)高度可擴(kuò)展、高可用性、高度可靠的資源和服務(wù)虛擬化，與資源位置和資源組合無(wú)關(guān)。用戶將感興趣的操作屬性（稱為服務(wù)級(jí)別目標(biāo)）指定為（a）性能規(guī)范，（b）可靠性，（c）復(fù)制和隔離特征作為類型和VM的數(shù)量，（d）延遲，（e）作為計(jì)算或通信級(jí)別的加密級(jí)別/程度和其他機(jī)制的安全性，以及（f）交付的成本參數(shù)或未以稱為服務(wù)水平協(xié)議的合同形式提供服務(wù)。資源的確切組成、位置或整理聚合資源的機(jī)制對(duì)用戶是透明的。云的功能塊包括身份驗(yàn)證、訪問(wèn)控制、準(zhǔn)入控制、資源代理、VM調(diào)用、調(diào)度程序、監(jiān)視器、重新配置機(jī)制、負(fù)載均衡器、PaaS和IaaS范式下的通信基礎(chǔ)設(shè)施、用戶界面、存儲(chǔ)和許多其他功能。這些功能塊、物理云資源以及它們之間的接口直接構(gòu)成了云的攻擊面。

客戶端-服務(wù)器模型

資源組，其中一組專用實(shí)體（服務(wù)器-服務(wù)提供商）提供指定的服務(wù)（例如，Web服務(wù)-文件系統(tǒng)服務(wù)器、名稱服務(wù)器、數(shù)據(jù)庫(kù)、數(shù)據(jù)挖掘者、網(wǎng)絡(luò)爬蟲等）到一組數(shù)據(jù)使用者（客戶端）。通信基礎(chǔ)結(jié)構(gòu)（如公共Internet、本地網(wǎng)絡(luò)或其組合）將服務(wù)器鏈接到客戶端。這可以是整體式、分層或分層的。復(fù)制服務(wù)器和客戶端以提供特征性的集體分布式服務(wù)或容錯(cuò)。請(qǐng)注意，我們將客戶端-服務(wù)器體系結(jié)構(gòu)稱為資源平臺(tái)或基礎(chǔ)結(jié)構(gòu)，而不是客戶端-服務(wù)器服務(wù)本身?？蛻舳?服務(wù)器基礎(chǔ)結(jié)構(gòu)的功能派生自使用客戶端-服務(wù)器模型的服務(wù)規(guī)范和必要的協(xié)調(diào)架構(gòu)在它下面。

可攻擊性對(duì)資源協(xié)調(diào)的影響（和緩解方法）

我們現(xiàn)在概述了云的一些示例場(chǎng)景，盡管它們同樣適用于客戶端-服務(wù)器和其他資源模型。讀者可以參考[71，72]，以對(duì)云中的安全性和功能問(wèn)題進(jìn)行有見(jiàn)地的討論。

- 資源泄露：此類攻擊會(huì)影響基本資源的可用性。

緩解：可以使用訪問(wèn)控制方案（包括防火墻）來(lái)限制對(duì)服務(wù)和網(wǎng)絡(luò)資源的外部訪問(wèn)，從而獲得保護(hù)。為授予權(quán)限設(shè)置了授權(quán)流程以及驗(yàn)證實(shí)際訪問(wèn)權(quán)限的訪問(wèn)控制機(jī)制[73]。其他資源保護(hù)方法包括沙盒資源或具有執(zhí)行協(xié)調(diào)處理的防篡改可信計(jì)算庫(kù)（TCB）[2，3]并強(qiáng)制實(shí)施資源訪問(wèn)。雖然資源類主要考慮對(duì)基礎(chǔ)結(jié)構(gòu)的攻擊，但靜態(tài)或動(dòng)態(tài)數(shù)據(jù)（如數(shù)據(jù)存儲(chǔ)設(shè)施中）也可以被視為資源。因此，可以使用加密等技術(shù)對(duì)其進(jìn)行保護(hù)。由于分布式服務(wù)的規(guī)范包括對(duì)提供服務(wù)的數(shù)據(jù)的使用正常和異常行為的規(guī)范，此保護(hù)被視為在服務(wù)類下。

資源攻擊的其他表現(xiàn)形式（包括通信通道）旨在對(duì)資源（和覆蓋服務(wù)）進(jìn)行分區(qū)。此處的含義是資源的可用性和服務(wù)完整性。

- 訪問(wèn)/準(zhǔn)入控制泄露：這包括偽裝、欺騙和ID管理攻擊的廣泛類別。對(duì)資源的影響是可用性，盡管數(shù)據(jù)/服務(wù)的完整性和機(jī)密性都會(huì)受到影響。在發(fā)生DoS攻擊的情況下，后果取決于資源可用性。

緩解：入侵檢測(cè)系統(tǒng)（IDS）構(gòu)成了典型的緩解方法。這些由定期或隨機(jī)ID身份驗(yàn)證查詢補(bǔ)充。系統(tǒng)狀態(tài)的定期檢查用于建立ID的健全性。

- VM的入侵：典型的表現(xiàn)是通過(guò)隱蔽通道攻擊或側(cè)信道攻擊或類似攻擊從VM泄漏信息。其后果是違反了VM預(yù)配的服務(wù)的完整性和機(jī)密性。

緩解：需要考慮三個(gè)方面：泄漏的檢測(cè)、泄漏發(fā)生的系統(tǒng)級(jí)別以及泄漏的處理。污點(diǎn)分析是一種強(qiáng)大的數(shù)據(jù)級(jí)別檢測(cè)技術(shù)。由于隱蔽/側(cè)信道攻擊通常發(fā)生在硬件級(jí)別并受到調(diào)度程序的影響，因此使用采用硬件性能計(jì)數(shù)器的檢測(cè)器是一種常用的技術(shù)。VM泄露的系統(tǒng)級(jí)處理通常從收緊信任假設(shè)的規(guī)范并使用分析、正式或?qū)嶒?yàn)壓力技術(shù)驗(yàn)證它們是否得到維護(hù)的級(jí)別開始。虛擬機(jī)管理程序通常用于強(qiáng)制實(shí)施VM操作。

調(diào)度程序的危害：這種攻擊有兩種表現(xiàn)形式。當(dāng)計(jì)劃程序受到影響并導(dǎo)致異常任務(wù)或資源分配時(shí)，可以通過(guò)Access檢測(cè)此類偏差（在不正確的資源分配上）控制。在惡意接管調(diào)度程序的情況下，系統(tǒng)狀態(tài)或資源任務(wù)綁定之間可能導(dǎo)致的不一致可以通過(guò)協(xié)調(diào)架構(gòu)進(jìn)行過(guò)濾，協(xié)調(diào)架構(gòu)的工作是保持一致的狀態(tài)。此類攻擊通常會(huì)影響可用性和完整性。保密性不被破壞。

緩解：如攻擊描述中所述，訪問(wèn)控制和協(xié)調(diào)構(gòu)造用于檢查系統(tǒng)狀態(tài)的一致性，以發(fā)現(xiàn)與合法或允許的資源分配集不匹配。這可用于識(shí)別調(diào)度程序的損壞。

- 代理泄露：在云資源管理器/代理或云間代理中，這種情況主要影響資源可用性。

緩解：此處使用類似于計(jì)劃程序泄露緩解的方法。如果備份代理是設(shè)計(jì)的一部分，那就是典型的回退，否則，系統(tǒng)停止通常是解決方案。

- 溝通妥協(xié)：由于溝通是實(shí)現(xiàn)資源協(xié)調(diào)的核心功能，這對(duì)保持協(xié)調(diào)的資源有很強(qiáng)的影響，并直接影響可用性。隨之而來(lái)的無(wú)法支持復(fù)制、資源到任務(wù)分配等，從根本上損害了系統(tǒng)的功能。

緩解：網(wǎng)絡(luò)安全CyBOK知識(shí)領(lǐng)域[10]中介紹了各種通信保護(hù)技術(shù)。其中包括重試、基于ACK/NACK的方案、加密安全通道等。

- 監(jiān)控和記帳方面的妥協(xié)：如果有關(guān)系統(tǒng)和/或服務(wù)狀態(tài)的信息不正確，這可能會(huì)導(dǎo)致機(jī)密性、完整性和可用性受到損害。

緩解：狀態(tài)一致性方案是此處使用的典型機(jī)制。值得一提的是，第4節(jié)和第4.4節(jié)中提出的復(fù)制和協(xié)調(diào)概念構(gòu)成了緩解方法的基礎(chǔ)。復(fù)制管理的真正目的是獲得一致的系統(tǒng)狀態(tài)以規(guī)避中斷。