مجازی سازی امن برای رایانش ابری (مقاله ترجمه شده)

چکیده

تصویب و انتشار محاسبات ابری جزء موارد امنیتی حل نشده است که ارائه‌دهنده و کاربران ابر را تحت تاثیر قرار می‌دهد. در این مقاله، نشان می‌دهیم که چگونه مجازی‌سازی می‌تواند با حفاظت از یکپارچگی ماشین‌های مجازی مهمان و اجزای زیرساخت‌ ابری باعث افزایش امنیت محاسبات ابری شود. به طور خاص، یک معماری جدید، سیستم پیشرفته‌ی حفاظت از ابر(ACPS)، را پیشنهاد می‌کنیم که باعث تضمین افزایش امنیت در منابع ابر می‌شود. ACPS می‌تواند به‌طور موثر یکپارچگی مهمان و زیرساخت قطعات را نظارت کند، در حالی که هنوز به‌طورکامل به ماشین‌های مجازی و به کاربران ابر شفاف نیست. ACPS به صورت محلی می‌تواند به نقض امنیت به عنوان یک لایه بیشتر در مدیریت امنیت از چنین رویدادهایی واکنش نشان ‌دهد. یک نمونه اولیه از پیشنهاد ما این است که ACPS به طور کامل در دو راه‌حل متن باز در حال اجرا است: Eucalyptus و OpenECP.  نمونه اولیه در برابر اثربخشی و عملکرد تست شده است. به‌طور خاص: (الف) اثر نمونه‌ی آزمایش ما در برابر حملات شناخته شده نشان داده شده است؛ (ب) ارزیابی عملکرد نمونه اولیه ACPS تحت انواع مختلف از حجم کار انجام شده است. نتایج نشان می‌دهد که پیشنهاد ما در برابر حملات انعطاف پذیر است و سربار در مقایسه با امکانات ارائه شده کوچک است.

معرفی

اینترنت در کنار انقلاب‌های دیگراست، که در آن منابع در سطح جهان شبکه شده است و به‌راحتی می‌توان به اشتراک گذاشت. پردازش ابری جزء اصلی از این دیاگرام است، که یک مخزن بزرگ از اینترنت را ارائه می‌کند که در آن منابع برای هر کسی به عنوان سرویس در دسترس است. به‌طور خاص، گره‌های ابر به طور فزاینده‌ای محبوب هستند اگرچه امنیت و حریم خصوصی مسائل حل نشده موجب کم شدن سرعت پذیرش و موفقیت آن شده است. در واقع، صداقت، محرمانه بودن و نگرانی در دسترس بودن، هنوز هم از مشکلات باز است که نیاز به پاسخ و راه‌حل‌های کارآمد و موثر می‌باشد. گره ابر ذاتا به حملات اینترنتی نسبت به راه‌حل‌های سنتی، اندازه‌ی آنها و خدمات مربوط به پیچیدگی که به ارمغان می‌آورد، آسیب‌پذیرتر است. در واقع، ابر اینترنتی با تمام جوانب مثبت و منفی یک سیستم فراگیر است. در نتیجه، افزایش حفاظت گره‌های ابر یک کار چالش برانگیز است. بنابراین به رسمیت شناختن تهدیدات  برای ایجاد فرآیندهای امنیتی برای محافظت از خدمات و سیستم‌عامل‌های میزبان حملات بسیار مهم است.

محاسبات ابری در حال حاضر از اهرم مجازی‌سازی برای بار تعادل از طریق تأمین پویا و مهاجرت ماشین‌ مجازی (VM یا مهمان) در میان گره‌های فیزیکی استفاده می‌کند. ماشین‌های مجازی در اینترنت به انواع بسیاری از فعل و انفعالات که در معرض تکنولوژی مجازی‌سازی هستند می‌تواند کمک کند در حالی که فیلتر اطمینان درجه بالاتری از امنیت است. به‌طور خاص، مجازی‌سازی می‌تواند به عنوان یک جزء امنیتی استفاده شود. به عنوان مثال، ارائه‌ی نظارت بر ماشینهای مجازی، مدیریت آسان بر امنیت خوشه‌های پیچیده، مزارع سرور و زیرساخت محاسبات ابری. با این‌حال، فن‌آوری‌های مجازی همچنین نگرانی‌های بالقوه‌ی جدیدی را با توجه به امنیت ارائه می‌کنند، همانطور که در بخش 4 خواهیم دید.

کارهای مرتبط

اگر چه مسائل خصوصی در رایاتش ابری توسط پیرسون شرح داده شده است (2009)، اما امنیت محیط رایانش ابری در گذشته کمتر مورد بحث قرار گرفته است. برخی از مسائل جالب امنیت در سال 2009 توسط Siebenlist بحث شده است. یک مقاله جامع در قالب بررسی جامع راه‎کارهای امنیت به وسیله Cachin و همکارانش ارائه شده است. یک ابر امن برای ارزیابی ریسک به تازگی توسط ENISA در سال 2009 ارائه شده است. همچنین پیشنهادی توسط Armbrust و همکارانش ارائه شده است که ارزش خواندن را دارا می‎باشد. این مقالات نقطه شروع کار ما شده است و ما برای تعریف مسئله و بیان مشکل و همچنین بهبود مشکلات این راه‏کارها به آن‎ها رجوع کرده‎ایم.

پیش زمینه

ابر (Vaquero و همکاران، 2009) یک استخر از منابع مجازی در سراسر اینترنت است که به دنبال یک مدل پرداخت به ازای هر استفاده است و می تواند به صورت پویا پیکربندی مجدد گردد تا بتواند درخواست کاربر را برآورده سازد. محاسبات ابری یک مدل سرویس برای تامین نیازمندی ‎های IT است که غالبا بر اساس تکنولوژی مجازی سازی و محاسبات توزیع شده و محاسبات بهره ‎وری است (Lenk و همکارانش در سال 2009). روش‎های محاسبات ابری برای محاسبات توزیع شده استفاده از ایده محاسبات توری و محاسبات توزیع شده است. تفاوت اهداف این دو تکنولوژی در روش پیاده ‏سازی و تمرکز آن‎ها است. از یک جهت با توجه به تکنولوژی گرید، کاربران محاسبات ابری کنترل کمی روی مکان داده و محاسبات دارند. به عبارت دیگر هزینه مدیریت رایانش ابری کمتر و مدیریت کمتر دست و پاگیر است. در ادامه به مولفه ‎های زیرساخت ابری به عنوان middleware می‎پردازیم.

مسائل امنیتی ابر

یکی از مسائل کلیدی محاسبات ابری (نگاه کنید به شکل 1) از دست دادن کنترل است. به عنوان یک مثال اول، کاربر خدمات (SU) نمی‌داند که اطلاعات آن در ابر دقیقا کجا ذخیره و پردازش می‌شود. محاسبات و داده‌های تلفن همراه است و می‌تواند به سیستم‌هایی مهاجرت کند که SU قادر به کنترل مستقیم آن نیست. بر روی اینترنت، عبور از مرزهای بین‌المللی برای داده‌ها رایگان است و این می‌تواند باعث افزایش تهدیدات امنیتی شود. مثال دوم از دست دادن کنترل این است که ارائه دهنده‌ی ابر (CP) می شود برای اجرای یک سرویسی که جزئیاتش را نمی‌داند هزینه پرداخت می‌کند. این، یک قسمت تاریک از مدل ''زیرساخت به عنوان سرویس'' از دیگر رویکردهای یک سرویس است. تا به امروز، مشکلات تمایل دارند که با یک قرارداد خدمات کار کنند، که در آن توافق باید توسط ابزار کنترل اجرا و نظارت شود (هابرلین، 2009). برخی از مسائل امنیتی ابر در زیر آمده است (فاستر و همکاران، 2009):

مدل امنیت ابر

شکل2 که سناریوی ارائه شده در این مقاله را نشان می‌دهد. ارائه‌دهنده‌ی خدمات

(SP) یک یا چند نمونه از خدمات (SI) را در ابر اجرا می‌کند، که می‌تواند توسط یک گروه از کاربران نهایی (SU) دیده شود. برای این منظور، SP منابعی از ارائه‌دهنده‌ی ابر (CS) را کرایه می‌کند. این است که SU و SP هیچ‌گونه کنترل فیزیکی بر روی ماشین ابر، که وضعیتش قابل مشاهده نیست، ندارند. SU و CP به یک سطح سرویس وارد می‍شوند که توضیح می‌دهد چگونه ابر سرویس SI را اجرا خواهد کرد.

سیستم پیشرفته‌ی محافظت از ابر

سیستم پیشرفته‌ی حفاظت از ابر پیشنهاد شده (ACPS) به طور فعال به حفاظت از یکپارچگی مهمان VM ها می‌پردازد و از میان محاسبات توزیع شده، به میزبان اجازه‌ی نظارت ماشین‌های مجازی مهمان و اجزای زیرساخت‌هارا می‌دهد. پیشنهاد ما روش KvmSec را (لومباردی و دی‌پیترو، 2009) برای محافظت از اجزای نظارت در برابر مزاحمان و حملات مانند کرم‌ها و ویروس‌ها گسترش داده است.

مدل تهدید

در مدل ارائه شده، می‌توانیم بر تمامیت گروه‌ها تکیه کنیم، زیرا فرض بر این است که میزبان بخشی از محاسبات پایه‌ی مورد اعتماد (TCB) است (هومود و همکاران، 2004). زمانی که تصویر VM توسط یک نهاد مورد اعتماد ارائه می‌شود، صداقت مهمان در زمان راه‌اندازی با فرض در معرض تهدید قرار گرفتن VM مستقر شده، است. در واقع، مهمان می‌تواند هدف حملاتی از نوع سایبری و نفوذ به شبکه مانند ویروس‌ها، تزریق کد، و سرریز بافر شود. در مورد تصویر ارائه شده‌ی مهمان توسط کاربر، اعتماد VM را نمی‌توان تضمین کرد و اقدامات مهمان باید برای ردیابی مخرب احتمالی فعالیت‌ها بررسی شود. در مدل ارائه شده، مهاجمان می‌تواند کاربران ابر (SP) و یا برنامه‌های کاربردی کاربران ابر (SU) باشند، در حالی که قربانیان می‌تواند ارائه‌دهندگان خدمات در حال اجرا در ابر (CAT2، CAT4)، زیرساخت‌های خود ابر (CAT1، CAT3) و یا کاربران دیگر (CAT5) باشد. تهدید سنتی زمانی است که یک مهاجم سعی در اجرای بهره‌برداری از راه دور از آسیب‌پذیری های نرم‌افزار در سیستم مهمان (CAT2) دارد. برخی از حملات با استفاده از خدمات ممکن ابر ساخته شده است (CAT1-CAT2)، زیرا یک بدافزار از نظر قانونی می‌تواند موارد دیگر در درون ابر را همانطور که قبلا مشخص شده است به‌کار ببرد، همچنین می‌تواند یادگیری اطلاعات محرمانه را مدیریت کند (CAT5) (مراجعه کنید به 2009).

اجرا

ما ACPS را بر روی اکالیپتوس و OpenECP (REQ5) اجرا کردیم. اجزای سیستم سطح بالای اکالیپتوس به عنوان وب سرویس اجرا می‌شوند. اکالیپتوس (نورمی و همکاران، 2009) تشکیل شده است از: یک کنترل گره (NC) که اجرا، بازرسی و VM را بر روی میزبانی که در آن اجرا می‌شود کنترل می‌کند. کنترل خوشه (CC) که اطلاعاتی در مورد VM جمع‌آوری می‌کند و اجرای VM را بر روی کنترل گره خاص برنامه‌ریزی می‌کند؛ همچنین شبکه را به عنوان مثال مجازی مدیریت می‌کند؛ کنترل ذخیره‌سازی (SC) Walrus یک سرویس ذخیره‌سازی است که یک مکانیزم برای ذخیره‌سازی و دسترسی به تصاویر VM و داده‌های کاربر ارائه می‌کند؛ یک کنترل‌کننده‌ی ابر (CLC)، وب سرویس‌هایی های برای ورود کاربران و مدیران ارائه می‌کند که باعث تصمیمات برنامه‌ریزی سطح بالا می‌شود.

اثربخشی-ACPS مورد حمله

در این بخش نشان می‌دهیم که چگونه پیشنهاد ما از عهده‌ی حملات ابر در محیط‌های واقعی می‌تواند بر بیاید. به‌طورخاص، آزمایشهای عملی برای ارزیابی انجام انعطاف‌پذیری از معماری ارائه شده گزارش می‌کنیم و همچنین بحثی در مورد این‌که چگونه نیازهای کلیدی آورده شده در بخش‌های قبلی در پیشنهاد ما مشاهده شده است، ارائه می‌کنیم.

قابلیت‌های تشخیص (جدول3) سیستم ما ارزیابی در برابر تکنیک‌های حمله‌ی شناخته شده است (جدول2). اما، از آنجا‌که کد منبع برای بسیاری از حملات در دسترس عموم نیست، تست ما با شبیه‌سازی مراحل حمله انجام می‌شود.

کارآیی

در این بخش ما، نتایج حاصل از آزمایش با هدف ارزیابی عملکرد ACPS که در حال اجرا بر روی راه‌حل‌های ابر پیاده‌سازی می‌شوند، بیان می‌کنیم. پیکربندی سخت‌افزار/ نرم افزار برای این آزمون در جدول 4 به تصویب رسیده است. سیستم عامل‌های میهمان به تصویر کشیده86 با اعمال نفوذ Centos 5.2 و یک CPU مجازی ویک گیگابایت رم است. مجازی‌سازی سخت‌‎افزار بر روی میزبان فعال شد. مهمان سیستم‌عامل‌های 32 بیتی را اجرا می‌کند درحالی‌که میزبان سیستم‌عامل 64 بیتی را اجرا می‌کند. دیسک مجازی مهمان از یک فایل تصویری ساخته شده بر روی میزبان استفاده می‌کند.

نتیجه‌ گیری

در این مقاله، ما کمک‌های زیادی برای فراهم کردن امنیت ابرها از طریق مجازی‌سازی انجام دادیم. ابتدا، یک معماری پیشرفته‌ی (ACPS ) را برای محافظت از ابر پیشنهاد دادیم که می تواند بر هر دو مهمان و صداقت میان‌افزار نظارت کند و از آنها در بسیاری از انواع حمله محافظت کند درحالی‌که هنوز به طور کامل برای کاربران خدمات و به ارائه‌دهنده‌ی خدمات شفاف نیست. ACPS بر روی پیاده‌سازی‌های مختلف ابر طراحی و مستقر شده است و قادر است به‌صورت محلی به نقض امنیت و آگاه ساختن لایه مدیریت امنیت هنگام وقوع واکنش نشان دهد. ثانیا، معماری ارائه شده به‌طور کامل در راه‌حل‌های متن‌باز اجرا شده است و هر دو اثر حفاظت و نتایج کارآیی، جمع‌آوری و تجزیه و تحلیل شده است. نتایج نشان می‌دهد که روش پیشنهادی موثر است و فقط یک پنالتی کوچک از کارآیی را معرفی می‌کند.

این مقاله ISI در سال 2011 در نشریه الزویر و در مجله برنامه های کاربردی شبکه و کامپیوتر، توسط شورای ملی تحقیقات منتشر شده و در سایت ای ترجمه جهت دانلود ارائه شده است. در صورت نیاز به دانلود رایگان اصل مقاله انگلیسی و ترجمه آن می توانید به پست دانلود ترجمه مقاله مجازی سازی امن برای رایانش ابری در سایت ای ترجمه مراجعه نمایید.