Защита облачных вычислений от атак на средства виртуализации тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат наук Никольский, Алексей Валерьевич

ВВЕДЕНИЕ

В настоящее время облачные технологии интенсивно развиваются и внедряются во многие коммерческие компании и государственные организации, поэтому обеспечение информационной безопасности систем облачных вычислений (СиОВ) является критически важной задачей. Как правило, защита СиОВ обеспечивается с помощью межсетевых экранов, криптографических средств и других механизмов, не учитывающих возможности внутреннего нарушителя, который является пользователем систем облачных вычислений.

В Российской Федерации существуют особые требования к безопасности компьютерных систем, в первую очередь для тех систем, которые используются в государственных структурах. Поэтому в случае использования облачных технологий в государственных структурах вопросы безопасности обработки данных стоят особенно остро. В то же время внедрение облачных технологий в работу государственных организаций необходимо для решения сложных современных задач.

Технология облачных вычислений в первую очередь рассчитана на предоставление широкого спектра сервисов для пользователей, что обеспечивает массовость и публичность СиОВ. Таким образом, среди пользователей может оказаться и нарушитель.

Любая облачная система состоит из нескольких типовых компонентов, среди которых особое место занимают средства виртуализации, которые контролируют и поддерживают работу множества виртуальных машин (ВМ), функционирующих в облаке. Именно при помощи концепции виртуальной машины облако обеспечивает бесперебойную и экономически выгодную работу большого числа пользователей, эффективно используя имеющиеся аппаратные ресурсы в системе.

Таким образом, основой для построения систем облачных вычислений являются средства виртуализации (гипервизоры). Нарушители, имеющие доступ к ВМ, могут совершать атаки на средства виртуализации путем эксплуатации уязвимостей (например, CVE-2011-1751 в KVM и CVE-2012-0217 в Хеп), список которых пополняется каждый год [1]. Пользователи обладают разными правами доступа к ресурсам СиОВ, однако гипервизоры назначают всем ВМ одинаковые привилегии, причем эти привилегии чаще всего избыточны. Кроме того, гипервизоры обладают исключительными привилегиями во внутренней инфраструктуре СиОВ, что открывает нарушителю, в случае успешной атаки на гипервизор, доступ практически ко всем информационным ресурсам СиОВ. Следовательно, для обеспечения безопасности облачных вычислений необходимо контролировать привилегии не только пользователя, но и компонентов гипервизора, обрабатывающих запросы ВМ, а также процесс их обработки во внутренней инфраструктуре СиОВ.

Из вышеизложенного следует актуальность постановки задачи по разработке методов построения гипервизоров для облачных вычислений, позволяющих нейтрализовать атаки на средства виртуализации, обусловленные успешной эксплуатацией уязвимостей. Актуальность подтверждается и приказом ФСТЭК № 21 от 18 февраля 2013 г [2].

Тема работы соответствует пунктам 6 и 13 паспорта специальности 05.13.19 «Методы и системы защиты информации, информационная безопасность».

Степень разработанности темы исследования. Известными отечественными и зарубежными учеными, занимающимися проблемами безопасности облачных вычислений и моделированием безопасности распределенных систем, являются В.Е. Козюра, В.А. Курбатов, В.И. Будзко, B.C. Заборовский, Ф. Мартинелли, Р.Б. Ли, Р. Сэйлер и С. Вогл.

В современных работах защиту гипервизоров предлагается обеспечить с помощью средств мандатного контроля доступа (проект sHype [3]) или

криптографических средств (проект Terra [4]). Таким образом, в этих работах решаются задачи изоляции ВМ друг от друга и защиты ВМ от воздействий со стороны гипервизоров, но не учитываются особенности атак на средства виртуализации.

Целью работы является защита систем облачных вычислений от атак, направленных на средства виртуализации, с использованием мультидоменного гипервизора, обеспечивающего монотонное убывание привилегий в ходе обработки запросов пользователей. Для достижения поставленной цели в работе решались следующие задачи:

1. Разработка модели угроз для гипервизоров в системах облачных вычислений, учитывающей атаки на средства виртуализации.

2. Создание формальной модели атак на средства виртуализации и разработка оценки степени устойчивости гипервизоров к атакам.

3. Разработка архитектуры мультидоменного гипервизора, обеспечивающего защиту от атак на средства виртуализации.

4. Построение формальной модели обработки запросов в СиОВ.

5. Разработка методики обеспечения безопасной обработки запросов в СиОВ на основе принципа наименьших привилегий путем монотонного убывания привилегий в ходе обработки запросов.

6. Создание опытного образца мультидоменного гипервизора и его апробация в СиОВ.

Научная новизна диссертационной работы состоит в следующем:

- обоснована необходимость распределения компонентов гипервизора по доменам с различными привилегиями, что обеспечивает защиту от

атак на средства виртуализации, в соответствии с разработанной формальной моделью атаки;

- предложена оценка степени устойчивости гипервизоров к атакам;

- впервые предложена архитектура мультидоменного гипервизора, обеспечивающая защиту от атак на средства виртуализации;

- разработана формальная модель безопасной обработки запросов, позволившая сформулировать принцип монотонного убывания привилегий;

- разработана методика обеспечения монотонности убывания привилегий при обработке запросов.

Практическая значимость результатов определяется возможностью использования предложенных моделей и методики для сравнительной оценки устойчивости гипервизоров различной архитектуры к атакам внутреннего нарушителя и для практической реализации мультидоменного гипервизора, обеспечивающего защиту СиОВ от атак на средства виртуализации.

Результаты работы представляют практическую ценность для разработчиков защищенных систем облачных вычислений и средств виртуализации.

Внедрение результатов исследований. Предложенный подход к построению гипервизоров для СиОВ, защищенных от атак на средства виртуализации, нашёл применение при разработке методов работы программно-конфигурируемых сетей в рамках НИР «Анализ и разработка методов и алгоритмов управления сетевыми ресурсами и потоками данных в программно-конфигурируемых компьютерных сетях» (шифр «2012-1.4-07-514-0021-025») по государственному контракту от 14 июня 2013 г. №07.514.11.4151.

Предложенная модель атаки на средства виртуализации и методика практического использования мультидоменного гипервизора использовались в рамках НИОКР «Управление-Контроль» ООО «РОСРЕЧИНФОКОМ»; оценка степени устойчивости гипервизора к атакам и архитектура мультидоменного гипервизора использовались при разработке распределенной вычислительной системы в ЗАО «РНТ», что подтверждается соответствующими актами об использовании. Разработанная модель безопасности обработки запросов в СиОВ и предложенный принцип мультидоменности для обработчиков запросов использовались при проведении теоретических и практических занятий по дисциплине «Безопасность систем распределенных облачных вычислений» на кафедре «Информационная безопасность компьютерных систем» ФГБОУ ВПО «СПбГПУ» в рамках направлений 090900 «Информационная безопасность» и 090300 «Информационная безопасность вычислительных, автоматизированных и телекоммуникационных систем».

Методология и методы исследования. Для решения поставленных задач использовались системный анализ, теория графов, теория множеств, теория автоматов и методы математического моделирования.

Положения, выносимые на защиту:

1. Формальная модель атаки на средства виртуализации, доказывающая необходимость понижения привилегий эмуляторов устройств в гипервизорах.

2. Оценка степени устойчивости гипервизора к атакам со стороны ВМ, позволяющая сравнить различные реализации гипервизоров.

3. Архитектура мультидоменного гипервизора, обеспечивающая защиту от атак на средства виртуализации.

4. Теорема о монотонности убывания привилегий в ходе обработки запроса пользователя как достаточном условии защищенности от атак на средства виртуализации.

5. Методика обеспечения монотонного убывания привилегий, использующая архитектуру мультидоменного гипервизора.

Степень достоверности научных положений диссертации определяется теоретическим обоснованием предлагаемого аналитического аппарата и результатами их апробации при практическом воплощении.

Апробация результатов работы. Основные теоретические и практические результаты диссертационной работы обсуждались на конференциях:

- VI Международной конференции «МММ-АСЫ8-2012»;

- XXI научно-технической конференции «Методы и технические средства обеспечения безопасности информации» 24 - 29 июня 2012 г.;

- XIV, XV всероссийской конференции «РусКрипто-2012/2013»;

- Санкт-Петербургской межрегиональной конференции «Информационная безопасность регионов России 2011»;

- XIV Национальном форуме информационной безопасности «ИНФОФОРУМ-2012».

Публикации. По теме диссертации опубликовано 10 научных работ, 4 из которых опубликованы в рецензируемых журналах ВАК РФ.

Объем и структура. Диссертация состоит из введения, четырех глав, заключения и списка источников из 72 наименований.

ГЛАВА 1. АНАЛИЗ БЕЗОПАСНОСТИ СРЕДСТВ ВИРТУАЛИЗАЦИИ В СИСТЕМАХ ОБЛАЧНЫХ ВЫЧИСЛЕНИЙ

Роль СиОВ в современном мире информационных технологий трудно переоценить. За счет своей экономической эффективности они внедряются во все большее количество областей человеческой деятельности.

Облака сочетают в себе множество технологий аппаратного и программного обеспечения и в совокупности представляют собой сложную систему, которая содержит большое количество уязвимостей. Поскольку облачные системы в своем составе имеют привычные операционные системы и шеЬ-сервисы, то для облаков присущи уязвимости типичные для этих систем. Помимо типичных уязвимостей облака обладают целым рядом уязвимостей, специфичных только для них.

Ключевая технология для облачных сред — виртуализация. Именно она создает ту самую характеризующую облака свободу, позволяя перемещать работающие приложения с одного сервера на другой, причем без прекращения работоспособности всего приложения. Облачная система, как правило, состоит из нескольких узлов, каждый из которых может располагаться в различных центрах обработки данных, в том числе и у других провайдеров. Провайдеры облачных сервисов могут не иметь собственных центров обработки данных (ЦОД), а арендовать серверы или стойки у нескольких провайдеров уже сетевой инфраструктуры. В результате элементы реальной инфраструктуры могут быть самыми разнообразными. Атаке могут подвергнуться как элементы сетевой инфраструктуры провайдера, который предоставляет облачные услуги, так и сама среда виртуализации [5].

Актуальность исследования уязвимостей в системах облачных вычислений и средств виртуализации обосновывается множественными инцидентами безопасности имевших место в недавней истории. Далее приводится краткое описание наиболее существенных из них:

- Декабрь 2009. Неизвестные злоумышленники смогли получить

несанкционированный доступ к публичному облачному сервису Amazon Elastic Compute Cloud, а также к закрытой консоли для управления им. Злоумышленники первоначально взломали не сам сервис Amazon как таковой, а один из сайтов, размещенных на его мощностях, а уже через взломанный сайт получили доступ и к самому сервису Amazon. После взлома был создан виртуальный экземпляр операционной системы, в которой было размещено программное обеспечение Zeus для ^создания и управления ботнетами [6].

- Апрель 2011. Сбои в работе провайдера облачных сервисов Amazon Web

Services. Отсутствие работоспособности наблюдалось пользователями нескольких Availability Zones в регионе EAST-1 на восточном побережье США [7,8].

- Апрель 2011. Атакованы сервера Sony Computer Entertainment расположенные в информационном центре AT&T в Сан Диего. В результате проникновения в систему хакеров сервис Play Station Network был отключен на несколько недель. Sony официально сообщила пользователям, что их личные данные, включая номера кредитных карт, возможно, были похищены злоумышленниками. Информация касалась владельцев 10 миллионов учетных записей. Компания Sony понесла огромные финансовые и репутационные потери [7]. Злоумышленники осуществили взлом системы, используя уязвимость в старой версии Apache, который был установлен на одном из серверов в системе и давно не обновлялся [9].

- Март 2011. Отказ в работе популярной облачной PaaS платформы Heroku

[7, Ю].

- Март 2011. Проблемы в работе и временный отказ в обслуживании сервисов GoGrid - одного из лидеров на рынке сервисов IaaS, специализирующегося на облачных инфраструктурных решениях [7, 11].

- Январь 2011. Часть клиентов испытывали проблемы с доступом к пакету Microsoft Business Productivity Online Suite, новое название этого сервиса - Office 365. Сервисами Microsoft Business Productivity Online Suite пользуются крупнейшие мировые компании, в том числе департамент сельского хозяйства США, который планирует перевести 120 ООО сотрудников на облачные сервисы Microsoft Microsoft Business Productivity Online Suite [7, 12].

- Январь 2012. Крупный облачных хостинг, включающий сервисы дискового хранилища был атакован, в результате чего учетные данные пользователей были доступны нарушителям. Компания сообщила клиентам о необходимости сменить пароли [13].

- Апрель 2013. Twitter аккаунт крупного американского издательства Associated Press был взломан, в результате чего в сети появилось дезинформационное сообщение об атаке на Белый Дом в США [14].

Как можно видеть из приведенных примеров, уязвимости в системах облачных вычислений могут приносить непоправимый ущерб и быть причиной захвата управления всем облаком. За последние несколько лет уже накопились сотни подобных инцидентов, каждый из которых стал причиной финансовых потерь для компаний провайдеров [15].

1.1 Анализ безопасности систем облачных вычислений

Указанные инциденты безопасности связаны с атаками рядовых пользователей сервисов облака на его внутреннюю инфраструктуру. При этом чаще атаке подвергались web-сервисы, через которые злоумышленники получали доступ к данным СиОВ. С точки зрения архитектуры систем облачных

вычислений у/еЬ-сервисы располагаются на верхнем уровне (рисунок 1), сразу после которого идет подсистема виртуализации. Пользовательские шеЬ-сервисы функционируют внутри ВМ, а они, в свою очередь, работают под управлением гипервизора. Описанные инциденты безопасности указывают на то, что верхний архитектурный уровень СиОВ может быть успешно атакован нарушителями, после чего безопасность СиОВ будет зависеть от безопасности гипервизоров.

Прикладное программное обеспечение (\Л/еЬ-сервисы) Виртуальная инфраструктура (виртуальные машины и сети) Средства виртуализации (гипервизоры) Система управления облаком Сетевая инфраструктура

Рисунок 1 - Обобщенная архитектура программного обеспечения СиОВ.

За последние годы вместе с ростом популярности и распространенности систем виртуализации, таких как Хеп, КУМ, Е8Х и Нурег-У, наблюдается и рост количества найденных уязвимостей в этих системах [1]. Некоторые из этих уязвимостей позволяют нарушителю из ВМ, нарушив ее изоляцию, получить доступ во внутреннюю инфраструктуру облака, при этом подобные действия останутся не обнаруженными существующими системами защиты. Вследствие постоянного появления новых и наличия существующих на данных момент уязвимостей в гипервизорах вопрос обеспечения безопасности систем облачных вычислений остается открытым. Нарушив изоляцию ВМ один раз, пользователь СиОВ сможет получить доступ к любым данным во всей системе облачных вычислений. Таким образом, проблема обеспечения безопасности работы гипервизора в облаке является актуальной.

После успешной атаки на средства виртуализации нарушитель способен расширить список доступных ему компонентов системы и ресурсов посредством дальнейших атак на другие элементы инфраструктуры облака. В случае компрометации гипервизора нарушитель имеет значительно больше направлений для атак (включая исполнение произвольного кода на повышенных привилегиях), получая доступ к следующим компонентам облака [16]:

- аппаратным ресурсам хоста, на котором работает скомпрометированный гипервизор;

- виртуальным машинам других пользователей, контролируемым скомпрометированным гипервизором;

- другим гипервизорам, работающим в облаке;

- узлам управления в рамках интерфейса сопряжения с рабочими узлами.

В подтверждение этого тезиса можно привести следующий пример: при создании облачной инфраструктуры Ubuntu Enterprise Cloud все сетевые узлы снабжаются сервисами SSH для осуществления удаленного управления ими, при этом имя пользователя и пароль администратора автоматически устанавливаются одинаковыми для всех узлов [17]. Таким образом, получив возможность выполнять код, используя права администратора системы на одном узле в СиОВ, нарушитель имеет возможность атаковать остальные узлы облака, используя локально хранящийся хэш пароля и сертификаты.

Основными особенностями использования средств виртуализации в системах облачных вычислений являются:

- использование аппаратных технологий виртуализации, включая технологии прямого управления аппаратным обеспечением из ВМ;

- наличие централизованного управления всеми гипервизорами в облаке по сети [18];

- динамическое распределение ВМ между серверами и периодическая миграция ВМ между ними [19];

- доступ пользователей облака к гипервизорам напрямую по сети;

- наличие изолированных виртуальных локальных сетей, распределенных между несколькими гипервизорами;

- размещение всех образов ВМ на отделенных от гипервизоров специализированных хранилищах.

Этими особенностями могут пользоваться нарушители, создавая тем самым различные угрозы безопасности. Пользователи СиОВ с разными привилегиями работают с программным обеспечением внутри ВМ, которые могут выполняться в рамках одного гипервизора. Это означает, что ВМ пользователей также наделяются различными привилегиями, которые необходимо контролировать, поэтому основным недостатком в структуре современных средств виртуализации, использующихся в облаках, является наличие одинаковых повышенных привилегий у всех ВМ в рамках одного гипервизора. Тенденции таковы, что разработчики современных промышленных гипервизоров нацелены в первую очередь на повышение производительности, а вопросам обеспечения безопасности уделяется незначительное внимание или же системы защиты вообще не применяются.

Таким образом, в СиОВ появляется принципиально новый канал атаки: атаки на средства виртуализации и внутреннюю инфраструктуру облака изнутри ВМ. Этот новый канал атак связан с уязвимостями средств виртуализации.

1.2 Уязвимости средств виртуализации в облаках

За последние несколько лет наблюдается постоянный рост числа уязвимостей в гипервизорах [1] (рисунок 2). По данным IBM XForce более 500 уязвимостей в гипервизорах было найдено в средствах виртуализации.

1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011

Рисунок 2. Количество найденных уязвимостей в средствах виртуализации по годам.

Все известные уязвимости можно классифицировать по четырем различным группам [20]:

- воздействие на гипервизор. Нарушение работы гипервизора, нарушение работы виртуальной машины;

- выход за пределы виртуальной машины. Нарушение изоляции виртуальной машины, внедрение кода в другие виртуальные машины или гипервизор;

- воздействие на гостевую операционную систему. Нарушение работы гостевой операционной системы, внедрение кода в гостевую операционную систему;

- прочие. Нарушение работы средств управления, нарушение работы вспомогательных программ.

Для иллюстрации каждой группы уязвимостей далее приводятся краткие описания и примеры реально существующих уязвимостей.

Воздействие на гипервизор

Примером уязвимости из этой группы может служить СVE-2011-1872, которая позволяет нарушить работу гипервизора Hyper-V [21]. Уязвимость связана с ошибкой в драйвере устройства vmswitch.sys, расположенного в хостовой системе Windows Server. Ошибка связана с неверной интерпретацией данных, поступающих от виртуальной машины по пара-виртуализованному каналу VMBus, который служит средством быстрого обмена данными между ВМ в рамках одного гипервизора. Уязвимость приводит к тому, что обычный пользователь IaaS может сформировать вредоносный пакет и отправить его в канал VMBus, что приведет через несколько минут к отказу работы гипервизора. Иллюстрация этой уязвимости в схематичном виде приведена на рисунке 4.

Хост Hyper-V

Гипервизор

Рисунок 3. Отказ в обслуживании хоста Hyper-V при обработке вредоносного пакета от виртуальной машины.

Проведенные автором исследования показывают, что на гипервизор можно влиять не только изнутри ВМ. В некоторых облачных системах пользователи из внешней сети получают доступ к рабочим узлам, что позволяет повысить производительность системы, но вместе с этим и создать дополнительные угрозы безопасности. Поэтому в качестве еще одного примера уязвимости, позволяющей воздействовать на гипервизор, можно привести СУЕ-2010-3609 в гипервизоре УМшаге Е8Х [22]. Эта уязвимость так же приводит к отказу в обслуживании системы, и так же как и предыдущая уязвимость связана с ошибкой в обработке пакета, но на этот раз сетевого. Для управления гипервизорами УМ\уаге уСеп1ег использует специальный протокол, который включает структуру сетевых 8ЬР пакетов. Если сформировать такой БЬР пакет, который будет содержать циклически связанные между собой блоки, то при его обработке гипервизор ЕБХ будет загружать процессор на максимум, что со временем приводит к отказу в обслуживании хоста с гипервизором. Наибольшую опасность представляет тот факт, что такой 8ЬР пакет можно отправить, не проходя никакой авторизации на гипервизоре. Схематично эта уязвимость проиллюстрирована на рисунке 4.

Рисунок 4. Отказ в обслуживании хоста УМчуаге ЕБХ при обработке вредоносного сетевого пакета.

Выход за пределы виртуальной машины

Эта группа уязвимостей несет наибольшую опасность, поскольку позволяет внедрять вредоносный код в гипервизор и нарушитель выполняет действия во внутренней сети облака. Наиболее ярким примером такой уязвимости является CVE-2011-4127 в гипервизоре KVM [23]. Уязвимостью нарушитель может воспользоваться только в случае определенной настройки ВМ: часть жесткого диска гипервизора должна быть доступна пользователю ВМ. Из-за ошибки в реализации эмулятора блочного устройства, нарушитель из ВМ имеет возможность читать и записывать любые сектора на всем жестком диске рабочего узла в облаке. Для того чтобы воспользоваться уязвимостью достаточно сформировать сигнал SG_IO к виртуальному устройству с определенными параметрами. Это действие можно выполнить, используя привычную командную строку Linux. Уязвимость схематично проиллюстрирована на рисунке 5.

Хост Ubuntu

Локальный диск

Гипервизор KVM

Рисунок 5. Запись и чтение данных с блочных устройств рабочего узла из

ВМ.

Еще один пример уязвимости из этой категории - уязвимость гипервизора КУМ СУЕ-2011-1751 [24]. Эта уязвимость демонстрирует реальность угроз безопасности современных гипервизоров, поскольку она позволяет написать программу, запускаемую внутри ВМ, позволяет получить интерактивную консоль

управления гипервизором с правами администратора. Уязвимость связана с наличием ошибки в эмуляторе системной шины компьютера. Ошибка позволяет нарушителю удалить из системы виртуальный таймер, а затем при помощи специального сетевого пакета заменить этот таймер вредоносным кодом, который будет исполняться в рамках гипервизора за пределами ВМ. Код, созданный нарушителем, при следующем вызове обработчика системного таймера, будет выполняться на правах администратора всего рабочего узла в облаке. Используя эту уязвимость, нарушитель может получить доступ ко всем ресурсам облака, будучи всего лишь рядовым пользователем 1аа8. Уязвимость схематично проиллюстрирована на рисунке 6.

Рисунок 6. Внедрение кода в гипервизор КУМ.

Последней уязвимостью из этой категории, которую стоит упомянуть является уязвимость CVE-2012-0217 [25], обнаруженная в марте 2012 года сразу во множестве систем, включая Windows, Linux и гипервизор Хеп. Уязвимость позволяет выполнить код в контексте гипервизора. Уязвимость присутствует в 64-битых системах, которые используют технологию пара-виртуализации. Эта

уязвимость связана с тем, что в системе отсутствует проверка на каноничность адреса возврата из системного вызова, в результате чего у нарушителя есть возможность выполнить код обработчика исключения #GP (General Protection) с вредоносным стеком, что позволяет выполнить вредоносный код в контексте гипервизора на самых высоких привилегиях в системе. Иллюстрация уязвимости приведена на рисунке 7.

Хост Xen Cloud Platform

DomO

Выполнение кода

а к

#GP

DomU BM

SYSCALL

Гипервизор Xen

Неканонический адрес

Рисунок 7. Внедрение кода в гипервизор Xen.

Воздействие на гостевую операционную систему

Для иллюстрации этой группы уязвимостей можно рассмотреть уязвимость, возникающую сразу на нескольких облачных платформах: Microsoft Private Cloud, Xen Cloud Platform и VMware vSphere. При осуществлении живой миграции ВМ с одного рабочего узла на другой, оперативная память этой ВМ передается по сети в незащищенном виде. Эта особенность дает нарушителю возможность внедрить в ВМ свой код и изменить поведение операционной системы в ней. Например, нарушитель может заменить всего несколько байт в коде SSH сервера,

СПИСОК ИСПОЛЬЗОВАННЫХ источников

1. IBM X-Force 2010 Mid-year Trend and Risk Report [Текст] / IBM Corp, IBM Global Services, 2010

2. Приказ об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных [Текст] / ФСТЭК России от 18.02.2013 N 21 - Зарегистрировано в Минюсте России 14 мая 2013 г. N 28375

3. Sailer R. [и др.]. sHype: Secure Hypervisor Approach to Trusted Virtualized Systems [Электронный ресурс] / Sailer R. [и др.]. - IBM Research Division, Thomas J. Watson Research Center, февраль 2005г. - Режим доступа: http://domino.watson.ibm.com/library/cyberdig.nsf/papers/265C8E3A6F95CA8D85256 FA1005CBF0F/$File/rc23511.pdf -Яз. англ. (дата обращения 01.06.2013)

4. Garfinkel Т., Pfaff В., Chow J., Rosenblum М., Boneh D. Terra: a virtual machine-based platform for trusted computing [Электронный ресурс] / Garfinkel Т., Pfaff В., Chow J., Rosenblum M., Boneh D. - SIGOPS, October 19-22, 2003, Bolton Landing, New York, USA - Режим доступа: http://suif.stanford.edu/papers/sosp03-terra.pdf -Яз. англ. (дата обращения 01.06.2013)

5. Баранов А.П «Можно ли защитить в «облаке» конфиденциальную информацию?» [Текст] // Системы высокой доступности, 2012. Т. 8. № 2. -С. 12—15

6. С. Young, Federal Guidance Needed to Address Control Issues with Implementing Cloud Computing [Текст] / GAO-lO-513, Май 2010 - Wasington, DC - C. 3

7. Облачные вычисления, «дырявые» облака и способы защиты данных. [Электронный ресурс] / Группа компаний 4x4, 2011 - Электрон, дан. - Режим доступа: http://4by4.ru/ru/analytics/oblachnye-vychisleniya-dyryavye-oblaka-i-sposoby-zashchity-dannyh, свободный. - Загл. с экрана (дата обращения 01.06.2013).

8. Summary of the Amazon EC2 and Amazon RDS Service Disruption in the US East Region [Электронный ресурс] / Amazon Inc, 2011 - Электрон, дан. - Режим

доступа: http://aws.amazon.com/message/65648/, свободный. - Загл. с экрана (дата обращения 01.06.2013).

9. Arthur W. Page, Stoppage of Play: The Sony PlayStation Network Crash [Электронный ресурс] / Arthur W. Page, 2011 - Электрон, дан. - Режим доступа: http://www.awpagesociety.com/wp-content/uploads/2012/03/Sony-PSN-Case-Al 1 .pdf, свободный. - Загл. с экрана (дата обращения 01.06.2013).

10.Heroku status, [Электронный ресурс] / Herocu Inc, 2011 - Электрон, дан. - Режим доступа: https://status.heroku.com/incidents/144, свободный. - Загл. с экрана (дата обращения 01.06.2013).

11.М. A. Delaney, GoGrid [Электронный ресурс] / Department of Justice, OAG, 2011 -Электрон. дан. - Режим доступа: http://doj.nh.gov/consumer/security-breaches/documents/gogrid-20110401.pdf, свободный. - Загл. с экрана (дата обращения 01.06.2013).

12.Microsoft apologises for yet another BPOS outage. [Электронный ресурс] / WinBeta, 2011 - Электрон, дан. - Режим доступа: http://www.winbeta.org/news/microsoft-apologises-yet-another-bpos-outage, свободный. - Загл. с экрана (дата обращения 01.06.2013).

13.Dre Armeda, DreamHost Security Issue Prompts FTP Password Resets [Электронный ресурс] / Sucuri, 2012 - Электрон. дан. - Режим доступа: http://blog.sucuri.net/2012/01/dreamhost-security-issue-prompts-ftp-password-resets.html, свободный. - Загл. с экрана (дата обращения 01.06.2013).

14.Dre Hackers compromise АР Twitter account [Электронный ресурс] / The Associated Press, 2013 - Электрон, дан. - Режим доступа: http://bigstory.ap.org/article/hackers-compromise-ap-twitter-account, свободный. - Загл. с экрана (дата обращения 01.06.2013).

15.Cloud Computing Vulnerability Incidents: A Statistical Overview [Электронный ресурс] / Cloud Security Alliance, 2012 - Электрон, дан. - Режим доступа: http://www.cert.uy/wps/wcm/connect/975494804fdf89eaabbdabl805790cc9/Cloud_Co mputing_Vulnerability_Incidents.pdf, свободный. - Загл. с экрана (дата обращения 01.06.2013).

16.Д.П. Зегжда, Каретников, A.B. Безопасность облачных вычислений. Проблемы и перспективы [Текст] // Журнал "Проблемы информационной безопасности. Компьютерные системы". — СПб.: Изд-во Политехи, ун-та, 2011.— № 4. — С. 717.

17.Eucalyptus Beginner's Guide - UEC Edition [Электронный ресурс] / WordPress , 2010, Режим доступа: http://cssoss.files.wordpress.corn/2010/06/book_eucalyptus_beginners_guide_uec_editi onl.pdf (дата обращения 01.06.2013)

18.Джонс, М. Т. Анатомия инфраструктуры облачного хранилища [Электронный ресурс] / М. Т. Джонс; IBM ноябрь 2010 - Режим доступа: http://www.ibm.com/developerworks/cloud/library/cl-cloudstorage/cl-cloudstorage-pdf.pdf, свободный. - Систем, требования: Acrobat Reader 10 - Загл. с экрана. - Яз. англ. (дата обращения 01.06.2013)

19.Кларк, К. Живая миграция виртуальных машин [Электронный ресурс] / К. Кларк и [и др.]; Компьютерная лаборатория университета Кембридж 2005 - Режим доступа: http://www.cl.cam.ac.uk/research/srg/netos/papers/2005-nsdi-migration.pdf, свободный. - Систем, требования: Acrobat Reader 10 - Загл. с экрана. - Яз. англ. (дата обращения 01.06.2013)

20.Д.П. Зегжда, Никольский, A.B. Модель угроз гипервизора в системах облачных вычислений [Текст] // Журнал "Системы высокой доступности". — Москва: Изд-во Радиотехника, 2013.— № 4. —С. 70-79.

21.CORE-2011-0203 - MS HyperV Persistent DoS Vulnerability [Электронный ресурс] / derkeiler, 2011 - Режим доступа: http://www.derkeiler.com/pdf/Mailing-Lists/Full-Disclosure/201 l-06/msg00312.pdf-Яз. англ. (дата обращения 01.06.2013)

22.Vulnerability Summary for CVE-2010-3609 [Электронный ресурс] / National Cyber Awareness System. - Режим доступа: http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-3609 - Яз. англ. (дата обращения 01.06.2013).

23.Jones R. CVE-2011-4127: privilege escalation from qemu. KVM guests [Электронный ресурс] / Jones, R. - Режим доступа: http://rwmj.wordpress.com/2011/12/22/cve-

2011-4127-privilege-escalation-from-qemu-kvm-guests/ Загл. с экрана, (дата обращения 01.06.2013).

24.Elhage N. Virtunoid: Breaking out of KVM [Электронный ресурс] / Elhage, N. -Black Hat: USA 2011. - Режим доступа: http://media.blackhat.com/bh-us-11/Elhage/BH US 11 Elhage Virtunoid_Slides.pdf. (дата обращения 01.06.2013).

25.Gruskovnjak J. Advanced Exploitation of Xen Hypervisor Sysret VM Escape Vulnerability [Электронный ресурс] / Gruskovnjak, J. - Security Researcher VUPEN: 2012. Режим доступа: http:// www.vupen.com/blog/ 20120904. Advanced_Exploitation_of_Xen_Sysret_VM_Escape_CVE-2012-0217.php. (дата обращения 01.06.2013).

26.0berheide J. Empirical Exploitation of Live Virtual Machine Migration [Электронный ресурс] / Jon Oberheide E. Cooke, Jahanian F. University of Michigan: Electrical Engineering and Computer Science Department, Ann Arbor, MI 48109. Режим доступа:

http://www.vupen.com/blog/20120904.Advanced_Exploitation_of_Xen_Sysret_VM_Es cape_CVE-2012-0217.php. (дата обращения 01.06.2013).

27.Stealing VM The Nmap way (CVE-2009-3733 exploit) [Электронный ресурс] / SkullSecurity: 2010. Режим доступа: http://www.skullsecurity.org/blog/2010/how-to-install-an-nmap-script - Яз. англ. (дата обращения 01.06.2013).

28.Vladimir Zaborovsky, Alexey Lukashin, Sergey Kupreenko, Vladimir Mulukha. Dynamic Access Control in Cloud Services. [Текст] // IEEE International Conference on Systems, Man and Cybernetics, 2011, Anchourage, Alaska.

29.B.C. Заборовский, A.A. Лукашин. Сетицентрическая модель и методы контроля доступа к информационным ресурсам в среде облачных вычислений. [Текст] // Научно-технические ведомости СПбГПУ. Информатика, Телекоммуникации, Управление. №2 (145) 2012. - СПб.: Изд-во Политехи. Ун-та, 2012 - 183 с.

30.VMware vSphere key features [Электронный ресурс] / VMware Inc, Режим доступа: http://www.vmware.com/files/pdf/key_features_vsphere.pdf (дата обращения 01.06.2013)

31 .vShield Administration Guide [Электронный ресурс] / VMware Inc, Режим доступа: http://www.vmware.com/pdf/vshield_41_admin.pdf (дата обращения 01.06.2013)

32.Каретников, A.B. Использование технологии виртуализации при построении защищенных операционных систем [Текст] // Материалы VII Санкт-Петербургской межрегиональной конференции "Информационная безопасность регионов России (ИБРР-2011)" —СПб., 2011. — С. 169-170.

33.Vogl S. Secure Hypervisors [Электронный ресурс] / Vogl S. - Fakultat fur Informatik, Technische Universität München - Режим доступа: http://www.sec.in.tum.de/assets/lehre/ss09/seminar_virtualisierung/Secure_Hypervisors _S-Vogl.pdf - Загл. с экрана. - Яз. англ (дата обращения 01.06.2013)

34.Karger P., Zurko M., Bonin D., Mason A., Kahn, С. A vmm security kernel for the vax architecture. [Электронный ресурс] / Karger P., Zurko M., Bonin D., Mason A., Kahn, С. - IEEE Computer Society Symposium on Security and Privacy, May 1990 - Режим доступа: http://www.scs.stanford.edu/nyu/02sp/sched/vmm.pdf - Яз. англ. (дата обращения 01.06.2013)

35.Szefer J., Lee R. Architectural Support for Hypervisor-Secure Visualization [Электронный ресурс] / Szefer J., Lee R. - ASPLOS, Март 2012, London, England, UK - Режим доступа: http://palms.princeton.edu/system/files/asplos2012_wfooter.pdf -Яз. англ. (дата обращения 01.06.2013)

36.Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных [Текст] // Федеральная служба по техническому и экспортному контролю, 2008

37.3егжда Д.П., Ивашко A.M., Основы безопасности информационных систем [Текст] / М.: Горячая Линия - Телеком, 2000.

38.D. Chappell, A short introduction to cloud platforms [Текст] / D. Chappell -DavidChappell&Associates: 2009.

39.Коркин И.Ю., Петрова T.B., Тихонов А.Ю. Метод обнаружения аппаратной виртуализации в компьютерных системах. В сб. научных трудов 17-й Всероссийской конференции «Проблемы информационной безопасности в системе высшей школы». М.:, 2010, - с. 114-115 .

40.А. И. Печенкин, А. В. Никольский, Архитектура масштабируемой системы фаззиига сетевых протоколов на многопроцессорном кластере [Текст] / А. И. Печенкин, А. В. Никольский // Журнал "Проблемы информационной безопасности. Компьютерные системы". -СПб.: Изд-во Политехи, ун-та, 2013. -№2. - С. 73-80.

41.Александр Александров, Спирали аппаратной виртуализации [Текст] // Журнал «Открытые системы», № 03, 2007 —Москва: Изд-во «Открытые системы».

42.Intel® 64 and IA-32 Architectures Software Developer's Manual Combined Volumes: 1, 2A, 2B, 2C, ЗА, 3B, and ЗС [Электронный ресурс] / Intel Corp., Режим доступа: http://www.intel.com/content/dam/www/public/us/en/documents/manuals/64-ia-32-architectures-software-developer-manual-325462.pdf (дата обращения 01.06.2013)

43. AMD64 Architecture Programmer's Manual Volume 2: System Programming [Электронный ресурс] / AMD Corp., Режим доступа: http://developer.amd.com/wordpress/media/2012/10/24593_APM_v21 .pdf (дата обращения 01.06.2013)

44.TW Burger, Intel® Visualization Technology for Directed I/O (VT-d): Enhancing Intel platforms for efficient visualization of I/O devices [Электронный ресурс] / Intel Corporation - Электрон, дан. - Режим доступа: http://software.intel.com/en-us/articles/intel-virtualization-technology-for-directed-io-vt-d-enhancing-intel-platforms-for-efficient-virtualization-of-io-devices, свободный. - Загл. с экрана (дата обращения 01.06.2013).

45.Rafal Wojtczuk, Joanna Rutkowska, Following the White Rabbit: Software attacks against Intel VT-d technology [Электронный ресурс] / Invisible Things Lab. 2011 -Электрон. дан. - Режим доступа: http://www.invisiblethingslab.com/resources/201 l/Software%20Attacks%20on%20Inte l%20VT-d.pdf, свободный. - Загл. с экрана (дата обращения 01.06.2013).

46.Intel Trusted Execution Technology (Intel TXT). [Электронный ресурс] / Intel Corporation - Электрон. дан. - Режим доступа:

http://www.intel.com/content/dam/www/public/us/en/documents/guides/intel-txt-

software-development-guide.pdf, свободный. - Загл. с экрана (дата обращения 01.06.2013).

47.Никольский, A.B. Формальная модель для кибер-атак на средства виртуализации и мера уязвимости гипервизоров [Текст] / A.B. Никольский // Журнал "Проблемы информационной безопасности. Компьютерные системы". — СПб.: Изд-во Политехи, ун-та, 2013.— № 3. —С. 40^8.

48.What is Хеп Hypervisor [Электронный ресурс] / Хеп Ltd.,, Режим доступа: http://www.xen.org/files/Marketing/WhatisXen.pdf. (дата обращения 01.06.2013)

49.Users' Manual Хеп v3.3 [Электронный ресурс] / Режим доступа: http://bits.xensource.com/Xen/docs/user.pdf. (дата обращения 01.06.2013)

50.1. Pop, Хеп @ Google [Материалы конференции] / Хеп Summit Asia: 2011

51.Берранге, Д. Используя все преимущества QEMU в пользовательском пространстве Хеп [Электронный ресурс] / Д. П. Берранге; конф. Хеп Summit ноябрь 2007 - Режим доступа: http://people.redhat.com/berrange/xen-summit-2007-sj/xen-summit-xenite-report.pdf, свободный. - Систем, требования: Acrobat Reader 10 - Загл. с экрана. - Яз. англ. (дата обращения 01.06.2013)

52.Hyper-V Architecture. [Электронный ресурс] / Microaoft Corp, 2013 - Электрон, дан. - Режим доступа: http://msdn.microsoft.com/en-us/library/cc768520%28v=bts.l0%29.aspx, свободный. - Загл. с экрана (дата обращения 01.06.2013).

53.Hyper-V Cloud Deployment Guides [Электронный ресурс] / Microsoft Corp., Режим доступа: http://download.microsoft.eom/download/D/9/6/D9688623-02EE-4546-9996" 640DBA4543DA/HV C_Deployment_Guides_Module_l-Architecture.pdf (дата обращения 01.06.2013)

54.Rik van Rie, Virtualization Architecture & KVM [Электронный ресурс] / Red Hat, Inc, - Encuentro Linux 2012, Режим доступа: http://www.surriel.com/svstem/files/KVM-Architecture-Chile-2012.pdf (дата обращения 01.06.2013)

5 5. Никольский, A.B. Архитектура безопасного гипервизора для построения защищенных систем облачных вычислений [Текст] / A.B. Никольский,

Д.П. Зегжда// Сб. материалов 21-й научно-технической конференции "Методы и технические средства обеспечения безопасности информации" — СПб.: Изд-во Политехи, ун-та, 2012. —С. 102-105.

56.Никольский, А.В. Контроль потоков данных во внутри облачных сетях и при взаимодействии кластеров в составе грид-систем [Текст] / А.В. Никольский, Е.А. Таранин, А.Ю.Чернов // Сб. материалов 21-й научно-технической конференции "Методы и технические средства обеспечения безопасности информации" — СПб.: Изд-во Политехи, ун-та, 2012. — С. 114-117.

57.Cloud Security Alliance, Security Guidance for Critical Areas of Focus in Cloud Computing V2.1 [Текст] / Cloud Security Alliance Ltd., Режим доступа: https://cloudsecurityalliance.org/csaguide.pdf (дата обращения 01.06.2013)

58.П.Д. Зегжда, Д.П. Зегжда, А.В. Каретников, Безопасность систем облачных вычислений. Проблемы и перспективы [Текст] // Материалы XIV Национального форума информационной безопасности "ИНФОФОРУМ-2011" —Москва: Изд-во МИФИ, 2011.—С. 116-118.

59.R. Buyya, J. Broberg, Cloud Computing Principles and Paradigms [Текст] / R. Buyya, J. Broberg, A. M. Goscinski, - Wiley: 2011

60.Kepes, B. Understanding the cloud computing dtack SaaS, Paas, IaaS [Электронный рксурс] / Kepes, В. - Diversity Limited: 2011 (дата обращения 01.06.2013)

61.M. Ahronovitz, Cloud Computing Use Cases [Текст] / M. Ahronovitz, и соавторы, -Cloud Computing Use Case Discussion Group: 2010

62.Introduction to VMware vSphere [Электронный ресурс] / VMware Inc, Режим доступа: http://www.vmware.com/pdf/vsphere4/r40/vsp_40_intro_vs.pdf (дата обращения 01.06.2013)

63.Ubuntu Enterprise Cloud Architecture [Электронный ресурс] / By Simon Wardley, Etienne Goyer & Nick Barcet - August 2009 / Cannonical Ltd., , Режим доступа: http://www.canonical.com/sites/default/files/active/Whitepaper-UbuntuEnterpriseCloudArchitecture-vl.pdf (дата обращения 01.06.2013)

64.Implementing a Microsoft private cloud on HP VirtualSystem with Microsoft System Center 2012 [Электронный ресурс] / Microsoft Corp., Режим доступа:

http://h20195 .www2.hp.com/V2/GetPDF.aspx%2F4AA4-0935ENW.pdf (дата

обращения 01.06.2013)

65.Citrix XenServer ® 6.0 Quick Start Guide [Электронный ресурс] / Citrix Inc., Режим доступа: http://support.citrix.com/servlet/KbServlet/download/28752-102-664876/XenServer-6.0.0-quickstartguide.pdf (дата обращения 01.06.2013)

66.Виенман, Д. Аксиоматика теории облаков [Электронный ресурс] / Д. Виенман; раб. док. июль 2011 - Режим доступа: http://www.joeweinman.com/Resources/Joe_Weinman_Axiomatic_Cloud_Theory.pdf, свободный. - Систем, требования: Acrobat Reader 10 - Загл. с экрана. - Яз. англ. (дата обращения 01.06.2013)

67.Чан, В. К. Моделирование и тестирование облачных приложений [Текст] / В. К. Чан, Л. Меи, 3. Жанг; IEEE APSCC 2009 Сингапур

68.Ли, И. Модель CPN происхождения рабочего процесса: на пути диагностики в облаке [Электронный ресурс] / И. Ли, О. Букелма; Лаборатория научной информации и системной области Университета Сан-Жаром 13397 CEDEX 20 -Режим доступа: http://ceur-ws.org/Vol-789/paper6.pdf, свободный. - Систем, требования: Acrobat Reader 10 - Загл. с экрана. - Яз. англ. (дата обращения 01.06.2013)

69.Ma, X. Формальная модель взаимодействия в обслуживающих облаках [Электронный ресурс] / X. Ma, К. Счеве, Б. Талхейм, К. Ванг; ISSN: 1863-2386 Springer SOCA сентябрь 2012, том 6, выпуск 3 - Режим доступа: http://cdcc.faw ,jku.at/pdf/get.php?f=FM_Cloud.pdf&d=/public/publications, свободный. - Систем, требования: Acrobat Reader 10 - Загл. с экрана. - Яз. англ. -189 с. (дата обращения 01.06.2013)

70.Д.П. Зегжда, Никольский, A.B. Формальная модель безопасности гипервизоров виртуальных машин в системах облачных вычислений [Текст] // Журнал "Проблемы информационной безопасности. Компьютерные системы". — СПб.: Изд-во Политехи, ун-та, 2013.— № 1. —С. 7-18.

71.Никольский, A.B. Using graph theory for cloud system security modeling [Текст] / П.Д. Зегжда, Д.П. Зегжда, A.B. Никольский // Сб. материалов Шестой

Международной конференции "Математические методы, модели и архитектуры для защиты компьютерных сетей" (MMM-ACNS-2012). — Берлин: Изд-во Springer-Verlag Berlin Heidelberg, 2012. — С. 309-318.

72.Никольский, A.B. Использование технологии виртуализации для обеспечения защиты платежной информации в системах совершения электронных платежей [Текст] / А.В.Никольский, М.К.Поляков // Сб. материалов 21-й научно-технической конференции "Методы и технические средства обеспечения безопасности информации" — СПб.: Изд-во Политехи, ун-та, 2012. — С. 116-118.