CTI論壇（ctiforum）10月30日消息（記者 李文杰）:10月25日，阿里云課堂第二期在上海開(kāi)課，“云安全架構(gòu)設(shè)計(jì)與實(shí)踐”主題分享在眾多朋友的期待下精彩上演，現(xiàn)場(chǎng)觀眾再次爆滿(mǎn)。本次活動(dòng)中，李雪峰（花名：虛舟）和楊孟哲（花名：孟哲）兩位安全專(zhuān)家為大家獻(xiàn)上了精彩演講，并在OpenSpace環(huán)節(jié)與觀眾展開(kāi)討論，積極互動(dòng)。應(yīng)廣大用戶(hù)要求，我們將云課堂講師現(xiàn)場(chǎng)分享內(nèi)容全文整理出來(lái)，供大家參考。阿里云課堂會(huì)繼續(xù)在全國(guó)各地陸續(xù)開(kāi)課，歡迎大家繼續(xù)支持！

　　以下為講師李雪峰（虛舟）的分享內(nèi)容：

　　一、背景介紹

　　這張圖是飛天的體系結(jié)構(gòu)介紹。整個(gè)的飛天系統(tǒng)，最基礎(chǔ)的兩大系統(tǒng)，盤(pán)古和伏羲。如果大家之前了解過(guò)這方面的資料，應(yīng)該對(duì)這張圖非常熟悉。飛天基礎(chǔ)系統(tǒng)上承載著多個(gè)云產(chǎn)品，ECS/SLB、OSS、OTS、OSPS、包括ODPS的系統(tǒng)。安全機(jī)制在飛天及飛天承載的云產(chǎn)品中起著至關(guān)重要的作用。

　　主要的工作包括幾個(gè)方面，一個(gè)是訪問(wèn)控制機(jī)制另一方面是安全沙箱。訪問(wèn)控制機(jī)制包括從盤(pán)古文件的訪問(wèn)、讀取和認(rèn)證機(jī)構(gòu)，還有ODPS、OTS、OSS等系統(tǒng)基于飛天做，飛天會(huì)幫它們做所有上層的安全措施基礎(chǔ)機(jī)制支撐工作。尤其是ODPS系統(tǒng)，其所有的訪問(wèn)控制機(jī)制和安全沙箱的系統(tǒng)，都是由飛天安全提供機(jī)制來(lái)支持的。

　　今天我們要講的議題，首先會(huì)從攻擊者的角度看一下云上的計(jì)算系統(tǒng)有哪些Attack Surfaces可以利用。然后看一下目前開(kāi)源的產(chǎn)品，比較著名的產(chǎn)品從這個(gè)角度來(lái)看是如何解決安全問(wèn)題的。以及l(fā)inux系統(tǒng)提供了那些安全機(jī)制可供安全沙箱使用。最后，我們具體了解一下飛天安全沙箱的方案。

　　首先，我們看一下典型的云計(jì)算環(huán)境中，為支撐用戶(hù)代碼的運(yùn)行，從上到下的結(jié)構(gòu)。通常為了讓用戶(hù)代碼能夠執(zhí)行高級(jí)語(yǔ)言，我們都會(huì)有一層高級(jí)語(yǔ)言的虛擬機(jī)，比如JVM,Cpython。我們以后有些系統(tǒng)會(huì)跑JS，這里對(duì)應(yīng)的是V8。這些虛擬器通常是C語(yǔ)言來(lái)開(kāi)發(fā)的，相對(duì)來(lái)說(shuō)是一個(gè)獨(dú)立的系統(tǒng)，再下一層是Libc的庫(kù)，這個(gè)對(duì)應(yīng)的是C語(yǔ)言的so。再往下一層是LinuxKernel。再往下其實(shí)還有，如果是說(shuō)這個(gè)系統(tǒng)用的是虛機(jī)，往下還會(huì)有物理機(jī)，本次分享不討論這個(gè)問(wèn)題。對(duì)于這樣的系統(tǒng)來(lái)說(shuō)，如果User code的惡意代碼，為了拿到Linux Kernel的root權(quán)限需要一步步的滲透。入侵者如果想要到達(dá)最終目標(biāo)，首先要突破高級(jí)語(yǔ)言虛擬機(jī)的安全防護(hù)，比如Java的SecurityManager機(jī)制。不過(guò)根據(jù)最近幾年的漏洞情況判斷， JVM安全沙箱對(duì)入侵來(lái)說(shuō)是并沒(méi)有太大的難度，可以假定一定會(huì)被突破。通過(guò)JVM提供的Navtive調(diào)用，它可以直接調(diào)用到Libc。Libc對(duì)入侵者來(lái)說(shuō)，主要目的是要拿到當(dāng)前進(jìn)程的權(quán)限。最后一層是Linux Kernel，我們?cè)谠朴?jì)算平臺(tái)上來(lái)說(shuō)，跑用戶(hù)代碼的進(jìn)程不會(huì)是root，大家想像一下也知道，root不會(huì)給最終用戶(hù)區(qū)跑這個(gè)代碼的。當(dāng)入侵者真的通過(guò)前基層的安全防護(hù)機(jī)制，并成功攻破root權(quán)限，那么這臺(tái)機(jī)器已經(jīng)被他控制在手里了。我們可以想像一下，在云計(jì)算這樣一個(gè)集群里面，我們通常來(lái)說(shuō)會(huì)跑成千上萬(wàn)的實(shí)例，如果我們把這個(gè)實(shí)例數(shù)放到最大，這樣的代碼被執(zhí)行完之后，是不是整個(gè)集群所有機(jī)器的權(quán)限都可以拿到了。這是非常可怕的事情。就算我們?cè)谀骋环矫婵梢钥刂朴脩?hù)提交數(shù)量，云計(jì)算平臺(tái)上通常會(huì)使用相同一臺(tái)機(jī)器同時(shí)處理多個(gè)用戶(hù)，如果有一臺(tái)機(jī)器被用戶(hù)集權(quán)到root，上面的所有數(shù)據(jù)和密鑰，對(duì)于入侵者來(lái)說(shuō)都是可見(jiàn)的了。