In che modo i grandi provider cloud proteggono dagli attacchi di escape della VM?

21

Penso che sia praticamente inattaccabile dire che il cloud computing, così come lo conosciamo, dipende dal concetto di robustezza delle macchine virtuali. Dove si può fare affidamento sulla sicurezza delle macchine virtuali, consentono ai carichi di lavoro di più clienti di un provider cloud di funzionare in sicurezza su hardware condiviso, garantendo al contempo che se la sicurezza di qualcosa all'interno della VM di un cliente viene compromessa, il sistema operativo host & il firmware del server del provider non sarà interessato. Se sei Amazon, Microsoft, Google, IBM o qualsiasi altro fornitore di servizi cloud di qualsiasi dimensione, assicurandoti che l'isolamento VM delle risorse di ciascun cliente rimanga intransigente è di vitale importanza per le tue operazioni e per i clienti che continuano a fidarsi delle tue offerte di servizi.

Tuttavia, come sappiamo VM sono non a prova di escape . Le vulnerabilità di sicurezza sono state rilevate periodicamente in tutte le principali tecnologie delle macchine virtuali a cui posso pensare. VENOM per Xen VMs è probabilmente il più famoso di questi, ma Hyper V , Prodotti VMware , e così via sono stati anche afflitti da vulnerabilità. Naturalmente, questi difetti noti possono essere corretti dai fornitori. Ma ci sono indubbiamente altri difetti là fuori, in attesa di essere scoperti e (potenzialmente) sfruttati dagli aggressori. Di fatto, si presume che gli attaccanti dotati di risorse adeguate - cioè quelli in grado di sviluppare nuove vulnerabilità e amp; sfrutta internamente o acquistando preziosi mercati grigi / oscuri - avrebbe un strong incentivo a dedicare una buona quantità di tempo / impegno / denaro alla ricerca o all'acquisto di nuovi strumenti che consentissero di rompere le VM utilizzate dai principali fornitori di servizi cloud. Soprattutto dato il ruolo sempre crescente che il cloud computing gioca nell'infrastruttura tecnologica di così tante aziende & organizzazioni che sono, a loro volta, tutti obiettivi potenzialmente succosi (per vari motivi) a sofisticati aggressori.

Quindi, come Amazon, Microsoft, ecc. si guardano dalla minaccia che un aggressore sofisticato (sia APT sponsorizzati dallo stato, crimine organizzato di alto livello o qualsiasi altra cosa) possa sviluppare per acquistare nuovi exploit di escape VM e usarli contro il infrastruttura e clienti del fornitore? L'unica ovvia misura che mi viene in mente è l'esecuzione di sistemi di rilevamento delle intrusioni su base host su tutti i server cloud per cercare di catturare gli eventi di escape della VM come / quando accadono, ma come sappiamo tutti ormai HIDS non è affatto infallibile. Quali altre misure potrebbero / devono fare i fornitori di servizi cloud per rilevare, prevenire o mitigare il pericolo di violazioni del contenimento delle VM?

    
posta mostlyinformed 17.07.2016 - 02:04
fonte

2 risposte

15

Hypervisor altamente personalizzati e patchati, sandbox attorno a detti hypervisor per mitigare i breakouts e monitoraggio pesante. Ovviamente, un dato server ospita solo così tante macchine virtuali, quindi un breakout è fondamentalmente limitato a un numero finito di ospiti, se è in grado di superare le protezioni esterne all'hypervisor. Ad esempio, QEMU può essere compilato con una toolchain indurita, isolata usando chroot, modalità 2 seccomp, controlli di accesso obbligatori. Può essere patchato per essere reso più sicuro, utilizzando filtri seccomp personalizzati, disabilitando il codice in eccesso o funzionalità, aggiungendo driver personalizzati e temprati. I kernel personalizzati possono essere configurati e rafforzati per limitare la capacità di un guest di escape di compromettere il kernel e sfuggire ai controlli di accesso obbligatori.

Sfortunatamente, la risposta alla domanda può essere parzialmente risolta con "loro no". Molti fornitori di servizi cloud vengono regolarmente compromessi, semplicemente non lo sanno o non lo rivelano. Lo vedo accadere periodicamente, e non è carino. A volte vengono utilizzati 0 giorni e talvolta vengono sfruttati i problemi pubblici poco conosciuti con i provider. Ad esempio, la dedistanza più alta di Amazon non si arresta quando si cambia cliente, facendo sì che le GPU non cancellino la VRAM, lasciando che il prossimo cliente veda quello che stava facendo (rubando segreti in OpenCL, tutto ciò che è stato inviato su VNC o con l'inoltro X11, eccetera). Il team di sicurezza di Amazon lo sa, ma non lo ha ancora risolto. Non dicono questo ai loro clienti. Ciò dimostra una mancanza di impegno nella sicurezza e una mancanza di consapevolezza riguardo ai problemi di sicurezza esistenti. Con qualcosa del genere che si penserebbe sarebbe diventato noto a poche persone da poche persone, non sorprende che gli attacchi su larga scala o avanzati contro i fornitori di cloud possano accadere senza che il pubblico generale ne sia consapevole. La mancanza di consapevolezza e notizie di attacchi porta la gente a chiedersi come diavolo queste grandi aziende siano al sicuro. Non lo sono.

Alla mia sinistra c'è una finestra con vim aperto. In esso è il codice con un 0day on utilizzato di recente per uscire da un hypervisor su un determinato provider cloud di medie dimensioni. Nessuna protezione era a posto. Tutto ciò che è successo è stato l'exploit scoppiato e ottenuto l'accesso all'host con i privilegi del processo in cui l'hypervisor era in esecuzione. Non esistevano sandbox o soluzioni di monitoraggio complete. Un singolo syscall obsoleto che causa una vulnerabilità del kernel porta a un kernel compromesso e alla persistenza in memoria (la grsecurity l'avrebbe mitigata, fww), e la successiva estromissione di informazioni. Questa azienda vale centinaia di milioni di dollari. Sono sicuro che innumerevoli persone ci sono state prima. Anche se questa non è una prova concreta e solo la mia esperienza, si spera che questo mostri che i cloud cloud non proteggono affatto le fughe della VM, con le eccezioni menzionate nel primo paragrafo.

    
risposta data 21.07.2016 - 07:31
fonte
1

La difesa primaria contro gli attacchi di escape di vm in particolare è defense-in-depth . Nello specifico, se ci sono vari e difensivi meccanismi difensivi sul posto che un attaccante attiverà abbastanza di loro che il difensore può impedire che accadano cose cattive. Anche se un utente malintenzionato scoppia con successo da un vm in un iper-visore, possono comunque esserci cose che li catturano ( Tripwire , anti- virus, Modsecurity , per esempi). Crea abbastanza livelli che non condividono le vulnerabilità e diventa estremamente difficile se non impossibile da scoppiare.

In molti modi però, la tua domanda colpisce il chiodo sulla testa. Un attaccante esperto e motivato, in grado di costruire un attacco unico a tutte le difese, potrebbe impiantare un hyper-visor rootkit e il l'host non lo saprebbe mai.

Una buona squadra di difensori dovrebbe essere in grado di comprendere e utilizzare un'ampia varietà di strumenti / trucchi per arrestare gli attaccanti. Spero che questo sia sufficiente per iniziare la giusta direzione.

    
risposta data 26.07.2016 - 18:27
fonte

Leggi altre domande sui tag