飛天項目的整體架構���,最底層基礎架構是由通用服務器組成的Linux集群����,沒有使用高端的服務器和存儲。飛天提供功能的方式是通過服務的方式����,下圖中所有藍色的框(指各類云計算服務)都是對外提供服務的窗口,但這里藍色的框并不代表所有阿里云提供的服務����,還有許多其他的服務沒有包括。最上層���,飛天項目是阿里云整個產(chǎn)品和服務的技術基礎,上面是各種各樣的應用���。
飛天平臺上強調的是做多租戶���,因為眾所周知云計算帶來的好處就是彈性,另外一個就是需要幫助大家降低成本����。
下面這張圖是飛天的體系結構介紹���。整個的飛天系統(tǒng),最基礎的兩大系統(tǒng)��,盤古和伏羲���。如果大家之前了解過這方面的資料��,應該對這張圖非常熟悉����。飛天基礎系統(tǒng)上承載著多個云產(chǎn)品��,ECS/SLB���、OSS���、OTS、OSPS���、包括ODPS的系統(tǒng)��。安全機制在飛天及飛天承載的云產(chǎn)品中起著至關重要的作用���。
主要的工作包括幾個方面�,一個是訪問控制機制另一方面是安全沙箱.訪問控制機制包括從盤古文件的訪問�、讀取和認證機構,還有ODPS�����、OTS�����、OSS等系統(tǒng)基于飛天做��,飛天會幫它們做所有上層的安全措施基礎機制支撐工作�����。尤其是ODPS系統(tǒng)�,其所有的訪問控制機制和安全沙箱的系統(tǒng)���,都是由飛天安全提供機制來支持的��。
今天我們要講的議題��,首先會從攻擊者的角度看一下云上的計算系統(tǒng)有哪些Attack Surfaces可以利用.然后看一下目前開源的產(chǎn)品����,比較著名的產(chǎn)品從這個角度來看是如何解決安全問題的。以及l(fā)inux系統(tǒng)提供了那些安全機制可供安全沙箱使用����。最后,我們具體了解一下飛天安全沙箱的方案���。
首先�,我們看一下典型的云計算環(huán)境中����,為支撐用戶代碼的運行,從上到下的結構����。通常為了讓用戶代碼能夠執(zhí)行高級語言,我們都會有一層高級語言的虛擬機,比如JVM,Cpython��。我們以后有些系統(tǒng)會跑JS�����,這里對應的是V8。這些虛擬器通常是C語言來開發(fā)的�,相對來說是一個獨立的系統(tǒng),再下一層是Libc的庫��,這個對應的是C語言的so��。再往下一層是LinuxKernel���。再往下其實還有��,如果是說這個系統(tǒng)用的是虛機���,往下還會有物理機,本次分享不討論這個問題�����。對于這樣的系統(tǒng)來說���,如果User code的惡意代碼�����,為了拿到Linux Kernel的root權限需要一步步的滲透���。入侵者如果想要到達最終目標,首先要突破高級語言虛擬機的安全防護��,比如Java的SecurityManager機制�。不過根據(jù)最近幾年的漏洞情況判斷, JVM安全沙箱對入侵來說是并沒有太大的難度�����,可以假定一定會被突破��。通過JVM提供的Navtive調用�,它可以直接調用到Libc。Libc對入侵者來說���,主要目的是要拿到當前進程的權限���。最后一層是Linux Kernel,我們在云計算平臺上來說��,跑用戶代碼的進程不會是root�����,大家想像一下也知道,root不會給最終用戶區(qū)跑這個代碼的����。當入侵者真的通過前基層的安全防護機制,并成功攻破root權限����,那么這臺機器已經(jīng)被他控制在手里了。我們可以想像一下���,在云計算這樣一個集群里面���,我們通常來說會跑成千上萬的實例,如果我們把這個實例數(shù)放到最大���,這樣的代碼被執(zhí)行完之后���,是不是整個集群所有機器的權限都可以拿到了。這是非?��?膳碌氖虑?�。就算我們在某一方面可以控制用戶提交數(shù)量��,云計算平臺上通常會使用相同一臺機器同時處理多個用戶��,如果有一臺機器被用戶集權到root�����,上面的所有數(shù)據(jù)和密鑰��,對于入侵者來說都是可見的了��。
接下來我們看一下���,業(yè)內(nèi)有一些做得比較好的安全產(chǎn)品,在安全方面沙箱方面如何解決的用戶隔離問題�����。
首先我們看一下Docker目前使用哪些機制���,這張圖主要是使用了三個緯度�����,有兩個緯度產(chǎn)生了LXC��,使用了Namespaces���,Namespaces它可以在多個方面實現(xiàn)一定的隔離能力�����。這個能力需要在2.6.x以后才能部分開始使用����。Cgroups機制保證操作系統(tǒng)資源的合理管理����。另外,Docker啟用了AUSF的分層文件系統(tǒng)���。傳統(tǒng)文件系統(tǒng)�����,我們可以認為是縱向的文件系統(tǒng)�,你寫哪個文件����,這個文件一直到硬件���,而AUSF是可以進行疊加的。一層層的文件夾疊加�,會映射成一個相同的文件夾。Docker里面�,最下面的image用來做系統(tǒng)環(huán)境���,中間會做APP��,最上面是用戶運行期的東西��,這些東西會被Docker封裝成一層層���,實現(xiàn)了類似于集裝箱式的部署能力。
對于Docker來說����,對一個攻擊者來說,眼中看到的Docker應用有哪些東西�?從剛才的圖上也是類似的,整個系統(tǒng)有一個Docker container�����,右邊是DockerEngine。如果你在Docker上直接部署C進程�����,下面兩層就是C的程序�����。對于惡意用戶來說�,如果想得到所在機器的root權限,要突破你在Iibc上做的措施�,還需要突破kernel中seccomp-bpf,這是kernel提供的一個安全機制�����,允許你定義某一個進程所能進行的系統(tǒng)過濾��。第
第三層攻破�,seccomp-bpf可以進行額外的安全判斷。你如果把這個也突破了��,其實這臺機器也直接root掉了�。
接下來我們看google chrome的沙箱�����。Chrome使用過SUID/Namespaces sandbox,這也是對linx container機制的利用����。使用過seccomp-legacy��。在沒有seccomp-bpf之前google使用seccomp-legacy�。seccomp-legacy使用限制非常大。也同樣使用過seccomp-bpf��。
我們剛才看了兩個業(yè)內(nèi)的安全產(chǎn)品�,可以簡單的總結一下�����,對于沙箱來說�����,我們有哪些安全機制可以使用�?參考這張圖,首先對于JVM來說����,我們可以用Java security Manager 以及 Classloader機制�。如果是Linux Kernel��,那么我們還可以直接利用Kernel Namespaces�,Cgroup ,Chroot�、umount。這些東西在LXC已經(jīng)封裝好了可以用��,而且通常它們在一起使用才可以產(chǎn)生比較好的效果�。然后是aufs,2.6才開始支持��。Seccomp-bpf是3.5��,如果版本不夠你就要使用其他方案來做內(nèi)核層的一些過濾了��。
另外一個角度����,對云計算上的安全沙箱來說有哪些層次可以做防御?JVM內(nèi)的防御是否有必要��?Java的安全沙箱攻破的難度不是很大,它是不是不要了�?剛才我們說了,安全沙箱沒有絕對安全的設計�,如何在安全上做到盡可能可靠的防護?多層防御可以有效提高安全防護能力���。
第二是進層隔離�,用于提供安全機制�����。
第三層要在kernel space里面要有安全過慮�����。
前面做完了���,基于現(xiàn)有的安全機制來說,至少可以認為在目前�,可以直接使用的防護措施就這些了。
剛才我們看到了一些安全機制��,接下來看看飛天安全在沙箱方面使用哪些機制�����?其實前面我們說的這些,該用的都用到了���。
飛天安全沙箱���,是這樣的一個系統(tǒng)。簡單來看�,這張圖和我們之前的兩張圖有相似的地方。最終的方案����,我們方案融合了前兩個的優(yōu)點。我們這一層的User code可以放到C語言下進行�,Iibc可以有一些攔截。這個地方是基于IPC的���,所以你在當前進程要做的破壞或者說做的事情�,是無法影響到另一個進程的���。最后是Linux container��,我們有一層內(nèi)核過濾機制來保證�。
我們今天的分享還是比較聚焦的,就是講沙箱和安全機制�。我們看了一些業(yè)內(nèi)主要的安全產(chǎn)品實現(xiàn),以及它使用的安全機制���。最后針對一個具體的案例-飛天安全沙箱��,我們了解了該如何實現(xiàn)融合多種安全機制來實現(xiàn)與著名安全產(chǎn)品相同等級防護能力的安全沙箱����。
