基于OpenStack的云計算平臺的設計基于OpenStack的云計算平臺的設計1緒論1.1引言近年來，云計算在數字圖書館、基于互聯網的教育、商業等領域出現大量應用，學術界相關發文量和文獻遞增速度非常快[1]。2007-2011年CNKI期刊數據庫收錄的核心期刊中，國際國內文獻共同研究的熱點是虛擬化技術、云服務、云計算的計算模式、資源共享、云安全、云計算構架模式等[2]。云計算系統可以根據它提供服務的層次進行分類，主要有提供平臺服務的系統（PaaS），提供軟件服務的系統（SaaS）和提供基礎設施服務的系統（IaaS）[3]。云計算服務本身的質量關系到用戶能否大量使用服務。目前，研究主要集中在底層基礎設施服務的性能分析、優化以及測試研究[4]。云計算平臺是一個強大的“云”網絡，連接了大量并發的網絡計算和服務，可利用虛擬化技術擴展每一個服務器的能力，將各自的資源通過云計算平臺結合起來，提供超級計算和存儲能力[5]。OpenStack是構建私有云和公有云的云框架，但有商業云接口，比如AmazonEC2，可以與它建立混合云[6]。OpenStack框架由以下組件構成：OpenStackCompute(Nova)、OpenStackImageService(Glance)、OpenStackObjectStorage(Swift)、NetworkConnectivity(Quantum)、OpenStackBlockStorage(Cinder)、OpenStackIdentity(Keystone)和OpenStackDashboard(Horizon)。Nova是OpenStack云的核心組件，根據用戶需求啟動和停止虛擬機。Glance是虛擬機的鏡像庫，在Nova服務發出請求時，它發現、檢索和存儲鏡像。Swift使用集群存儲PB級數據。Quantum使用戶能夠創建自己的網絡和連接它們的接口，即提供網絡服務。Cinder為云中的虛擬機鏡像提供持久的塊存儲。Keystone基于PKI(公鑰基礎設施)為云中所有組件提供身份驗證和授權，它還允許多租戶環境，支持組、人、RBAC(基于角色的訪問控制)，以及更好的管理任務授權。Horizon是管理云的web管理接口[7]。1.2背景介紹云計算模式使客戶可以外包他們的數據、應用程序或整個虛擬機，其可伸縮的彈性資源會減少客戶成本。最近，開源云計算框架的使用數量增加了。OpenStack，Eucalyptus，CloudStack，OpenNebula是最常見的開源云計算框架，它們允許客戶建立自己的私人IaaS（基礎設施即服務）云。1.2.1國外研究現狀在許多公司和研究社區中，OpenStack已成為構建私人和公共云首選的開源云計算框架。例如，美國能源部的Magellan云是一個值得關注的OpenStack部署。2008年4月，Hadoop打破世界紀錄，成為最快排序1TB數據的系統。運行著910個節點的集群，Hadoop在209秒內排序了1TB的數據，擊敗了前一年的297秒冠軍。同年11月，谷歌在報告中聲稱，它的MapReduce實現執行1TB數據的排序只用了68秒。2009年5月，有報道宣稱Yahoo的團隊使用Hadoop對1TB的數據進行排序只花了62秒時間[7]。1.2.2國內研究現狀Hadoop從誕生起就與大數據深深地關聯到了一起。眾所周知，大數據多是出現在金融、電信、保險以及一些大型互聯網企業等領域。那么以電信行業為例，Hadoop在這些領域的\t"/382/_blank"應用情況是怎么樣的呢？中國聯通已經構建了一個全國集中的一級架構海量數據存儲和查詢系統[23]，將開源Hadoop、Hbase技術應用搭到商用電信服務系統中來，系統架構包括數據采集、數據入庫、數據存儲、數據查詢和數據分析技術，基本技術采用Hadoop。在實際使用過程中，聯通發現用HBase處理海量數據時，入庫速度和查詢速度都非常迅速，并且系統有存儲6個月以上原始上網記錄和5年以上統計報表的能力。比如，一個用戶的上網記錄可能有幾萬條，而Hadoop檢索幾千億條記錄的時間還不到一秒鐘[8]。簡而言之，Hadoop提供了一個穩定的共享存儲和分析系統。存儲由HDFS實現，分析由MapReduce實現。縱然Hadoop還有其他功能，但這些功能是它的核心所在。1.3研究目的和內容（參考開題答辯oral，好好想一下最后的效果）

2云計算平臺的架構2.1

二級標題序數頂格寫，空一格寫標題，1.5倍行距。2DME均質充量壓燃著火的數值模擬方法二級標題序數頂格寫，空一格寫標題，1.5倍行距。正文一級標題用三號黑體居中，正文一級標題用三號黑體居中，上下各空一行。2.1二級標題正文內容第三級和第四級標題均空兩格書寫序數，空一格寫標題，用小四宋體書寫。2.1.1三級標題第三級和第四級標題均空兩格書寫序數，空一格寫標題，用小四宋體書寫。正文內容正文正文:中文小四號宋體，英文用小四號TimesNewRoman，首行縮進二個字，1.5倍行距。公式應另起一行，正文中的公式、算式或方程式等應編排序號公式應另起一行，正文中的公式、算式或方程式等應編排序號，公式的編號用圓括號括起，序號標注于該式所在行(當有續行時，應標注于最后一行)的行末。公式可按章節順序編號或按全文統一編號。公式序號必須連續，不得重復或跳缺。重復引用的公式不得另編新序號。（2-1）

較長的公式，如必須轉行時，最好在等號處轉行,如做不到這一點,要在+，-，×，÷

較長的公式，如必須轉行時，最好在等號處轉行,如做不到這一點,要在+，-，×，÷等數學符號處轉行。數學符號應寫在轉行處的行首。上下式盡可能在等號“＝”處對齊。表題應寫在表格上方正中，表序寫在表題左方不加標點，空一格寫表題，表題末尾不加標點，表題應寫在表格上方正中，表序寫在表題左方不加標點，空一格寫表題，表題末尾不加標點，全文的表格統一編序，也可以逐章編序，表序必須連續表題用小四號宋體加黑，表題用小四號宋體加黑，表格內中文用小四號宋體，英文用小四號TimesNewRoman字體。表2-1選取組分的熱力學性質組分Hf(kcal/mol)Sf(kcal/mol)Cp(kcal/mol)A1A2A3100100100

續表2－1組分Hf(kcal/mol)Sf(kcal/mol)Cp(kcal/mol)A4A5A6A7A8100100100表題允許下頁接寫，接寫時表題省略，表頭應重復書寫，并在右上方寫表題允許下頁接寫，接寫時表題省略，表頭應重復書寫，并在右上方寫“續表xx”。每幅插圖應有圖序和圖題，全文插圖可以統一編序，也可以逐章單獨編序，圖序必須連續，不得重復或跳缺每幅插圖應有圖序和圖題，全文插圖可以統一編序，也可以逐章單獨編序，圖序必須連續，不得重復或跳缺。圖序和圖題寫在圖的下方，小四號宋體加黑。圖2-1氣缸壓力隨曲軸轉角變化的曲線圖序和圖題寫在圖的下方，小四號宋體加黑。三號黑體居中，上下各空一行。5結論三號黑體居中，上下各空一行。正文內容中文小四號中文小四號宋體，英文用小四號TimesNewRoman，首行縮進二個字，1。5倍行距。三號黑體居中，上下各空一行參考文獻[1]孫雨生，孫倩文，陳衛，付榮榮．國內云計算研究進展可視化分析.數學的實踐與認識，2014，44（6）：259-269[2]黎敏，鐘輝新．近五年國際國內云計算研究進展對比——基于文獻的計量分析和可視化分析．科技管理研究，2013，3：187-191[3]S．Zhang，S．Zhang，X．Chen，andX．Huo，CloudComputingResearchandDevelopmentTrend．IEEEcomputersociety，2010，58：93-97[4]李喬，鄭嘯．云計算研究現狀綜述．計算機科學，2011，4：32-37[5]鄒復民，蔣新華，胡惠淳，朱銓，莊孝昆．云計算研究與應用現狀綜述，2013，11（3）：231-242

三號黑體居中，上下各空一行致謝三號黑體居中，上下各空一行正文內容中文小四中文小四號宋體，英文用小四號TimesNewRoman，首行縮進二個字，單倍行距。譯文及原文OpenStack云安全漏洞評估摘要：將虛擬機從內部系統遷移到云使公司面臨著新的安全挑戰。由于多租戶功能的出現，租用云服務的用戶面臨的潛在威脅不僅是網絡黑客，還有云服務提供商和其他用戶。同理租戶也會威脅到云服務提供商的安全。由于入侵者訪問云的源代碼并分析其漏洞，所以開源云計算部署的安全性是受到挑戰的。在這篇文章中,我們將透徹地評估OpenStack云框架的安全漏洞，OpenStack是現今最常使用的開源云計算框架。我們評估OpenStack服務器節點、虛擬機實例、OpenStackDashboard和web管理接口的漏洞。安全評估表明，OpenStack云存在安全漏洞，需要通過開發補丁。關鍵字：云，OpenStack，安全評估一、引言云計算模式使客戶可以外包他們的數據、應用程序或整個虛擬機，其可伸縮的彈性資源會減少客戶成本。但是，在客戶安全參數以外遷移數據會有新的安全問題出現。云計算是一個多租戶環境，并且提供者和租戶面臨著更多的安全威脅。最近，開源云計算框架的使用數量增加了。OpenStack，Eucalyptus，CloudStack，OpenNebula是最常見的開源云計算框架，它們允許客戶建立自己的私人IaaS（基礎設施即服務）云。在許多公司和研究社區中，OpenStack已成為構建私人和公共云首選的開源云計算框架。例如，美國能源部的Magellan云是一個值得關注的OpenStack部署。在本文中，我們通過分析云服務提供者和租戶，來評估OpenStack云服務器節點和不同操作系統的虛擬機實例的漏洞。我們也評估OpenStackDashboard的安全漏洞。剩下的文章是由以下幾部分組成：第二部分介紹了云計算安全問題、服務、管理、評價和評估的相關工作。在第三部分中，我們簡要描述OpenStack云架構及其組件。安全評估方法將在第四節中解釋，第五節是評估的結果。最后,第六部分提出結論和未來的工作。二、相關工作在本節中，我們提出了云計算安全問題、服務、管理、評價和評估領域的相關工作。2.1安全問題

最近，公司在云上遷移服務時遇到的主要障礙就是安全問題。除了那些在內部系統就存在的安全問題，云又產生了額外的安全問題。我們發現了幾篇解決云計算的安全問題的文件。云安全聯盟(CSA)定義了14個安全域,提出了一組最佳實踐來參與云治理和操作。Kaufman解決了公有云相較于傳統的信息安全來說獨特的安全問題。Bhadauria和Sanyal解決了不同的云部署模型中不同的安全問題。Grobauer等人定義了某一漏洞指標來區分一般安全問題和特殊的云計算安全問題。數據保護、網絡安全、虛擬化安全、應用程序完整性和身份管理是主要的安全威脅類型。傳統的事件管理安全策略應該適用于云。許多法律問題也引發了其他的安全問題。機密性、完整性和可用性在公有云中是客戶面臨的最大的安全問題。Juels和Oprea提出了通過確保完整性和數據高可用性來保證云數據安全的新技術。如果某公司遷移到云上，使用Shamir的秘密共享算法可使多重云服務提供商降低成本，但也會增加可用性和機密性，并將減少安全風險。另一個安全問題是業務連續性。盡管由于分層備份策略和內置地理冗余，云計算可以提供更好的恢復點目標(RPO)和恢復時間目標(RTO)，云服務提供者也許還是沒有達到這些目標或客戶的目標。云服務提供商和他們的公有AMI的客戶可能容易受到未經授權的訪問、惡意軟件感染、敏感信息的損失等安全風險。2.2安全服務一些文件提出一系列云安全服務。開發和構建智能云系統的自主計算法可以大大提高云安全。隱私即服務(PasS)保護了客戶的云數據，將提高云供應商和客戶之間的可信度。機密性服務(CaaS)通過設計和集成到可用的云服務應用程序和工作流中，輕松地結合了數據安全性和可用性。云安全聯盟(CSA)為安全即服務(SECaaS)提供了10個候選區域。入侵檢測系統即安全(IDSaaS)允許云客戶在公有云范圍內為應用程序定義一個虛擬私有區域，由針對應用程序的政策保證安全。Yao等人提出“信任庫”的概念，“信任庫”是一種云存儲服務體系結構，用相應的數據加密算法和協議來保證數據的機密性。他們還用數據完整性服務(DIaaS)擴展信任庫。Bowers等人介紹分布式密碼系統的高可用性和完整性層，使服務器可以向客戶證明文件是完整的，并且可回收使用任意大小的部分文件。Khan等人基于可信平臺模塊體系結構提出了“TrustedEucalyptus云”，保證了云用戶只有在云節點上執行虛擬機實例才能達到高完整性。2.3安全管理Almorsy等人提出了一個基于協作的云計算安全管理框架模型，云服務提供商可以使用該模型來管理云平臺安全，云消費者可以使用該模型來管理云資產安全。公司應該擴大其信息安全管理系統(ISMS)，通過在機構內部控制下安置IAM和秘鑰管理來在內部控制云。云服務提供商應該滿足客戶的安全需求，同樣的，客戶也不應侵犯云服務提供商的安全，例如未經授權訪問另一個云租戶的數據和進程。Albeshri和Caelli介紹了解決這一問題的架構，稱為“共同保護云計算”。2.4安全評價Ristov和Gusev基于ISO27001:2005，為內部系統和云計算的安全評估提出了一種新的方法。他們評估了內部系統ISO27001:2005控制目標的重要性以及三個云服務層(IaaS，PaaS和SaaS)。他們的結論是ISO27001:2005不完全匹配云信息安全系統，并為ISO27001:2005需求提出了一個新的控制目標，稱為虛擬化管理，包括虛擬化和虛擬機控制。此外，國際標準化組織(ISO)正在開發新的指導方針ISO/IECWDTS27017，將推薦相關安全控制來實現云計算的信息安全管理系統。Laszewski等人分析哪些IaaS開源云框架是最適合，以及如何與其它的比較，包括裸機。Ristov和Gusev評估得出開源云計算框架符合ISO27001:2005標準。他們評估得出基于之前的Eucalyptus，OpenNebula和OpenStack，CloudStack符合ISO27001:2005的所有11個控制目標。2.5安全評估幾份文件提及開源云計算的安全評估框架。Ristov等人使用一個網絡配置評估了OpenStack的安全漏洞。他們評估得出OpenStack云多租戶環境使得租戶和OpenStack云提供商在云內部都有新的安全漏洞風險。他們評估得出在云中隔離網絡云引發了新的安全漏洞的風險，但只有內部的云服務提供商需要云軟件供應商的補丁。該漏洞對租戶來說是一樣的。Donevski等人發現Eucalyptus網站管理接口的幾個應該修補的漏洞。在這篇文章中，我們對OpenStack云服務器節點、OpenStack網站前端應用程序管理接口、安裝各種操作系統和虛擬機實例進行完整的安全漏洞評估。他們對商業云的安全性也進行了分析。Tajadod等人比較微軟的Azure平臺和亞馬遜的彈性計算云(EC2)架構的安全性，發現兩大云服務提供商有重大安全問題，而微軟的數據安全級別高于亞馬遜。三、OPENSTACK云測試環境在本節中，我們描述OpenStack云的軟件架構，關注OpenStack提供的網絡功能。3.1OpenStack組件OpenStack是構建私有云和公有云的云框架，但有商業云接口，比如AmazonEC2，可以與它建立混合云。OpenStack框架由以下組件構成：OpenStackCompute(Nova)、OpenStackImageService(Glance)、OpenStackObjectStorage(Swift)、NetworkConnectivity(Quantum)、OpenStackBlockStorage(Cinder)、OpenStackIdentity(Keystone)和OpenStackDashboard(Horizon)。Nova是OpenStack云的核心組件，根據用戶需求啟動和停止虛擬機。Glance是虛擬機的鏡像庫，在Nova服務發出請求時，它發現、檢索和存儲鏡像。Swift使用集群存儲PB級數據。Quantum使用戶能夠創建自己的網絡和連接它們的接口，即提供網絡服務。Cinder為云中的虛擬機鏡像提供持久的塊存儲。Keystone基于PKI(公鑰基礎設施)為云中所有組件提供身份驗證和授權，它還允許多租戶環境，支持組、人、RBAC(基于角色的訪問控制)，以及更好的管理任務授權。Horizon是管理云的web管理接口。我們的測試環境用這七個組件部署。在這項研究中，我們關注它們對虛擬機實例安全和OpenStack云服務器節點的影響。另一個焦點是OpenStackDashboard，因為它是一個客戶和管理員可以訪問的前端應用程序。3.2部署方面OpenStack只能部署在linux操作系統上，比如Ubuntu，CentOS和RedHat。OpenStack云支持所有常見的虛擬機監控程序：KVM、Xen、UML和Hyper-V。OpenStack云的所有組件可以部署在一個物理服務器(單節點)，或在兩個物理服務器(雙節點)，或在不同的服務器上，理論上無限數量的計算節點(多個節點)。為了提高性能，雙節點和多節點部署從云控制器將虛擬機實例分離出來，而單節點部署僅被用來說明理念。因為這項研究的目標是安全漏洞評估，所以在實驗研究中我們在單一節點上部署OpenStack。3.3OpenStack網絡虛擬機實例和OpenStack云服務器主要由兩種類型的IP地址配置，即浮動(公有)或固定(私有)。浮動IP分配給云中的虛擬機實例，它們可以從公共網絡訪問云(互聯網)。固定IP也被分配給虛擬機實例，并用于云組件，運行與公共網絡(互聯網)隔離的虛擬機實例。OpenStack允許客戶只用一個網絡部署云，即虛擬機實例和云服務器節點浮動公共IP地址都應該配置為固定的。在這種情況下，公共網絡（浮動IP）也用于內部云服務通信。我們將OpenStack部署在不同的網絡配置下，因為根據我們的先前的研究，它存在安全漏洞。四、安全評估方法本節描述的安全評估方法，包括識別評估領域，評估工具和測試目標。我們想確定OpenStack云服務器節點(云服務提供商的主機)、虛擬機實例(租戶)和OpenStackDashboard的安全風險。由于那些漏洞包括來自云外的漏洞，所以所有安全評估在私有網絡的云中進行。4.1安全評估領域研究域基于安全漏洞評估三個不同的方面，第一個解決OpenStack節點組件的漏洞評估，第二個是虛擬機實例中的操作系統漏洞，第三個解決所有OpenStack用戶可以訪問的前端應用程序——OpenStackDashboard的評估。我們將在安裝了使用KVM虛擬機監控程序64位Ubuntu12.04的OpenStack物理服務器節點上計算和控制器模塊評估的漏洞。操作系統漏洞將在云上的四個虛擬機實例評估，各自的操作系統為：1)Windows2008R2標準(64位)；2)CentOS6.3(64位)；3)Fedora17(64位)；4)Ubuntu10.04服務器版(64位)。每個操作系統安裝使用默認配置，以檢測所有可能的安全漏洞并提出對策。4.2安全評估工具我們用5Nessus漏洞掃描器和配置評估來評估OpenStack服務器節點和租戶的漏洞，用8.0版的AcunetixWeb漏洞掃描器評估OpenStackDashboard漏洞。1)Nessus評估掃描儀：Nessus5漏洞掃描器有著最大的安全漏洞知識庫。Nessus掃描儀的最重要的特征是識別漏洞，允許遠程攻擊者從目標主機訪問敏感信息，在當前安裝補丁中檢查安全漏洞，檢查是否有新的補丁可以檢測安全漏洞并升級系統，以及可能由系統上所有已安裝服務的不好配置引發的安全漏洞等。使用外部網絡掃描策略，可以掃描目標主機或組上的所有65.535端口。這一政策最大化的使用了Nessus掃描儀的插件，也能檢查目標是否容易出現應用程序層漏洞。每個漏洞評估根據相關的通用漏洞得分系統(CVSS)分級。2)AcunetixWeb漏洞掃描器：使用AcunetixWeb漏洞掃描器對控制面板進行安全評估。Acunetix掃描儀是全球領導者，是用于測試web應用程序安全性的最先進的滲透工具。漏洞被評為高、中、低級別的漏洞類型。高級漏洞是最危險的，網站面臨著黑客攻擊和數據盜竊的最大風險。中級漏洞是服務器錯誤配置和站點代碼缺陷，會引發服務器中斷和入侵。低級漏洞源于缺乏加密的數據流量，或披露目錄路徑。Acunetix執行多個預定義的漏洞檢查：檢查應用程序錯誤消息、文件包含、SQL盲注、完整路徑信息披露、CGI測試、LDAP注入、代碼執行、PHP代碼注入、Cookie操作、遠程XSL包容、CRLF注入、SQL注入、跨框架腳本(XFS)、腳本源代碼公開、跨站點腳本(XSS)、URL重定向檢查、CSRF注入、XPath注入、目錄遍歷和目錄文件檢查。它也是一個端口掃描器，列舉搜索開放服務眾所周知的漏洞。Nessus客戶機部署在Ubuntu12.04系統的虛擬機上。Acunetix安裝在Windows系統的虛擬機上。4.3評估目標我們的目標是評估來自云多租戶的漏洞。目標是評估一下情況的漏洞：一個租戶開啟OpenStack云服務器節點；租戶開啟另一個租戶；OpenStack云服務器開啟租戶；OpenStackDashboard開啟一個租戶。表一、租戶開啟的OPENSTACK云服務器節點安全評估結果匯總高級中級低級漏洞數量0133五、安全漏洞評估結果5.1租戶開啟OpenStack服務器節點的漏洞表一匯總了租戶開啟OpenStack服務器節點的安全評估結果。評估發現13個中級漏洞和3個低級漏洞。讓我們解釋檢測到的漏洞的細節，在TCP端口：5000、8773、8774、8775、8776和353576的6個“通用Web服務器XSS”和6個“通用Web服務器cookie注入”的漏洞是中級漏洞，而“使用純文本身份驗證形式的Web服務器”是一個在TCP端口80屬于低級漏洞。重新配置后也不能保證這些漏洞的安全。中級漏洞意味著運行著云web服務的web服務器容易受到跨站點腳本攻擊和cookie注入攻擊。OpenStack云軟件(供應商)應該提供補丁給這些漏洞。供應商必須重建云來使用安全的HTTPS協議傳輸用戶敏感數據。此外還檢測到了1個中級漏洞和2個低級漏洞。中級漏洞是在UDP端口12217的“DNS服務器緩存窺探遠程信息披露”，所以DNS服務器易受到緩存窺探攻擊。DNS軟件供應商應該修復這個漏洞。低級漏洞分別是在UDP端口67的“DHCP服務器檢測”和TCP端口9191上的“Web服務器的HTTP內部IP頭披露”。用過濾器可以將信息從網絡斷開并緩解第一個低級漏洞，而另一個算不上真正的漏洞因為公共IP地址將被用于真實世界的云。5.2從OpenStack服務器節點進行租戶漏洞評估表二只總結托管在OpenStack的Windows虛擬機的安全評估，因為自評估起未發現Linux虛擬機的任何漏洞。讓我們解釋這些漏洞改進和建議的細節。表二、從OPENSTACK節點(WINDOWS)評估租戶漏洞結果匯總。高級中級低級漏洞數量141TCP端口3389的“遠程桌面云允許遠程代碼執行的漏洞”這一高級漏洞允許執行任意代碼。可通過Windows補丁解決這個漏洞。第一個中級漏洞是TCP端口3389的“中級或低級終端服務加密水平”，易于被攻擊者竊聽通信。這個漏洞可以通過改變RDP加密水平為“高”或“FIPS兼容”來解決。第二個中級漏洞是端口3389的“MicrosoftWindows遠程桌面協議服務器中間人漏洞”，未經授權遠程訪問Windows。它可以通過重新配置Windows來使用SSL作為傳輸層解決。第三個中級漏洞是端口3389上的“不使用網絡等級身份驗證的終端服務”，允許中間人攻擊并保護惡意用戶和軟件的遠程計算機。它可以通過啟用遠程桌面協議服務器上的網絡等級身份驗證來解決。最后的中級漏洞是TCP端口445上的“服務器信息塊簽署禁用”，允許中間人攻擊SMB服務器，可以通過在Windows主機配置執行信息簽名來解決。低級漏洞是3389端口的“終端服務加密水平不兼容FIPS-140”，將RDP加密級別改為“FIPS兼容”即可解決。我們可以得出這樣的結論：盡管在Windows虛擬機實例上發現許多高、中、低級漏洞，仍然可以通過重新配置和安裝最新的補丁來減輕它們的風險。整體的最后結論是，租戶會受到OpenStack云服務提供商的威脅。5.3來自其他租戶的租戶漏洞評估評估的結果展示在表二中。這意味著其他租戶可以檢測到與云服務提供商相同的漏洞。然而，這些漏洞可以擔保，就如之前V-B部分中解釋的。5.4來自租戶的OpenStackDashboard漏洞評估發現13個中級漏洞和4個低級漏洞。接下來，我們對漏洞進行更深層次的分析。表三、OPENSTACK云中級漏洞。漏洞類型漏洞數量應用程序錯誤信息2目錄清單8可能發現的調試參數1以明文形式發送的用戶憑證2總數13表三總結了中級漏洞。web應用程序產生的兩頁以內的錯誤/警告信息會披露敏感信息。云軟件廠商應該修補這些頁面。雖然有8個目錄顯示文件列表（目錄清單），但這是一個假漏洞，因為它不受云軟件的影響，而受配置不當的web服務器的影響。OpenStack開發人員沒有將一個調試參數從Folsom發布平臺移除。發現的最重要的漏洞是在兩頁內以明文形式發送用戶憑證。應該用HTTPS協議將用戶憑證遷到服務器。表四、OPENSTACK云低級漏洞。漏洞類型漏洞數量登陸頁面密碼猜測攻擊1可能敏感的目錄2沒有設置安全標志的會話cookie1總數4表四總結了低幅度的漏洞類型。OpenStackDashboard會受到密碼猜測攻擊，級攻擊者可以嘗試發現弱密碼暴力破解。帳戶鎖定或使用訪問鍵(例如數字證書)會降低這個漏洞的風險。檢測到兩個敏感的目錄，“管理”和“設置”，應該限制對它們的訪問。管理員應該修復這個漏洞。最后，會話cookie標志應設置位可安全訪問的SSL通道。OpenStack開發人員應該修復這個漏洞。六、結論和未來的工作本文評估了云服務提供商、租戶和云管理應用程序的漏洞。我們評估一個租戶的安全漏洞，可以從云服務提供商或其他租戶檢測到，同理，租戶管理云應用程序時的安全漏洞也是如此。我們已經對OpenStack云進行了全面的安全評估。實驗解決了OpenStack云服務器節點、四個不同操作系統的虛擬機實例和OpenStackDashboardweb管理接口的安全漏洞。評估結果表明，租戶和OpenStack云提供商是易受攻擊的。然而，租戶的漏洞是有擔保的，而OpenStack軟件框架必須開發新補丁來修復漏洞。我們將繼續在其它開源云中進行全面的安全評估。SecurityVulnerabilityAssessmentofOpenStackCloudS．Ristov,M．GusevandA．\o""DonevskiIEEE,2014SixthInternationalConferenceonCICSyN:95-100．Abstract:Migratingthevirtualmachinesfromon-premisetocloudraisesnewsecuritychallengesforacompany.PotentialthreatstothetenantsarenotonlytheInternethackers,butalsothecloudserviceproviderandtheotherco-tenants,duetothemulti-tenancyfeature.Thecloudserviceprovider’ssecurityischallengedbythetenants,aswell.Deployingtheopensourcecloudraisesadditionalchallengessincetheintrudershaveaccesstothecloudsourcecodeandcanassessitsvulnerabilities.Inthispaper,wethoroughlyassessthesecurityvulnerabilitiesofOpenStackcloudframework,oneofthemostusedopensourcecloudframeworkstoday.WeassessthevulnerabilitiesofOpenStackservernode,virtualmachineinstancesandOpenStack’sDashboard,thewebmanagementinterface.ThesecurityassessmentshowsthatOpenStackcloudhassecurityvulnerabilitiesthatneedtobesecuredbydevelopingthepatch.Keywords:Cloud,OpenStack,SecurityAssessment.I.INTRODUCTIONThecloudcomputingparadigmoffersitscustomerstooutsourcetheirdata,applicationorthewholevirtualmachines.Itsscalableandelasticresourceswillreducethecustomercost.However,migratingthedataoutsidethecustomersecurityparameterraisesnewsecuritychallenges.Thecloudisamulti-tenantenvironmentandboththeproviderandtenanthavemoresecuritythreats.Theuseofopensourcecloudframeworkshasincreasedlately.OpenStack,Eucalyptus,CloudStack,andOpenNebulaarethemostcommonopensourcecloudframeworksthatallowthecustomerstobuildtheirownprivateIaaS(InfrastructureasaService)cloud.OpenStackhasbecomeapreferredopensourcecloudframeworksolutionforbuildingprivateandpubliccloudswithinalargenumberofcompaniesandtheresearchcommunity.Forexample,theU.S.DepartmentofEnergy’sMagellancloudisanotableOpenStackdeployment.Inthispaper,weassessthevulnerabilitiesofanOpenStackcloudservernodeandvirtualmachineinstanceswithvariousoperatingsystems,byanalyzingthecloudserviceproviderandtenants.WealsoassessthesecurityvulnerabilitiesofOpenStackDashboard.Therestofthepaperisorganizedinthefollowingsections.SectionIIpresentstherelatedworkintheareaofcloudcomputingsecuritychallenges,services,management,evaluationandassessment.InSectionIIIwebrieflydescribetheOpenStackcloudarchitectureanditscomponents.ThesecurityassessmentmethodologyisexplainedinSectionIVandtheresultsoftheassessmentarediscussedinSectionV.Finally,SectionVIpresentsconclusionandfuturework.II.RELATEDWORKInthissection,wepresenttherelatedworkintheareaofcloudcomputingsecuritychallenges,services,management,evaluationandassessment.A.SecurityChallengesRecently,themainobstacleforacompanytomigrateitsservicesonthecloudisthesecurity.Cloudsraiseadditionalsecuritychallengesbesidesthosethatexiston-premise.Wefoundseveralpapersaddressingthesecuritychallengesinthecloud.CloudSecurityAlliance(CSA)defines14securitydomainsandpresentsasetofbestpracticesinvolvedincloudgovernanceandoperation.Kaufmanaddressedpublicclouduniquesecuritycomparedtotraditionalinformationsecurity.BhadauriaandSanyaladdressedthreatstosecurityanddifferentsecurityissuesfordifferentclouddeploymentmodels.Grobaueretal.defineindicatorsifaparticularvulnerabilityiscloudspecifictodistinguishgeneralsecurityissuesfromcloud-specificsecurityissues.Dataprotection,networksecurity,virtualizationsecurity,applicationintegrityandidentitymanagementarethemajortypesofsecuritythreats.Traditionalincidentmanagementsecuritypoliciesshouldbeadaptedtocloud.Manylegalissuesarealsoopenasanothersecuritychallenges.Confidentiality,integrityandavailabilityarethebiggestsecurityconcernsfacedbythecustomersinapubliccloud.JuelsandOpreadescribenewtechniquesthatsecureclouddatabyensuringintegrityandhighdataavailability.UsingShamir’ssecretsharingalgorithmwithmulti-cloudserviceproviderswillreducethecosts,butalsowillincreaseavailabilityandconfidentiality,andwillreducethesecurityrisksifacompanymigratestocloud.Anothersecuritychallengeisthebusinesscontinuity.AlthoughthecloudcanprovidebetterRecoveryPointObjective(RPO)duetolayeredbackupstrategyandalsoRecoveryTimeObjective(RTO)duetobuilt-ingeographicredundancy,theCloudserviceprovidermaybehasnotmatchedtheseorthecustomer’sobjectives.BothcloudserviceprovidersandtheircustomersofpublicAMIsmaybevulnerabletosecurityriskssuchasunauthorizedaccess,malwareinfections,andlossofsensitiveinformation.B.SecurityServicesSeveralpapersproposeasetofsecurityservicesinthecloud.Theautonomiccomputingapproachfordevelopingandbuildingsmartcloudsystemscansubstantiallyimprovethesecurityinthecloud.PrivacyasaService(PasS)willimprovetrustworthinessbetweenthecloudprovidersandcustomersprotectingthecustomerdatainthecloud.ConfidentialityasaService(CaaS)combinesdatasecuritywithusabilitybydesignandintegrateseffortlesslyintoavailablecloudserviceapplicationsandworkflows.CloudSecurityAlliance(CSA)offers10candidatedomainsforSecurity-as-a-Service(SECaaS).IntrusionDetectionSystem-as-a-Service(IDSaaS)allowscloudcustomerstodefineavirtualprivateareawithinthepubliccloudspacefortheirapplicationsthatcanbesecuredwithapplication-specificpolicies.YposeTrustStore,acloudstorageservicearchitectureandcorrespondingdataencryptionalgorithmsandprotocolstoensuredataconfidentiality.TheyalsoextendTrustStorewithDataIntegrityasaService(DIaaS).BroduceadistributedcryptographicsystemHAIL(High-AvailabilityandIntegrityLayer)whichallowstheserverstoprovetheclientsthatthefilesareintactandretrievableusingirrespectivepartoffilesize.Khanetal.presentedaTrustedEucalyptuscloudbasedonTrustedPlatformModulesarchitecturewhichguaranteesthecloudusersthattheirvirtualmachineinstancesareexecutedonlyoncloudnodestoachievehighintegrity.C.SecurityManagementAroducedacollaboration-basedsecuritymanagementframeworkforthecloudcomputingmodelwhichcanbeusedbycloudserviceproviderstomanagecloudplatformssecurity,andbycloudconsumerstomanagecloud-hostedassetssecurity.Thecompanyshouldextenditsinformationsecuritymanagementsystem(ISMS)internalcontrolovercloudbyplacingIAMandkeymanagementunderorganization’sinternalcontrol.Thecloudserviceprovidershouldalwaysmeetthecustomersecurityrequirements,andviseversa,i.e.,thecustomershouldnotviolatethesecurityofthecloudserviceprovider,suchasobtainingunauthorizedaccesstothedataandprocessesofanothercloudtenant.AlbeshriandCaelliintroduceanarchitectureforthisproblemknownas‘MutualProtectionforCloudComputing’.D.SecurityEvaluationRistovandGusevproposedanewmethodologyforsecurityevaluationofon-premisesystemsandcloudcomputingbasedonISO27001:2005.TheyhaveevaluatedISO27001:2005controlobjectivesimportanceforon-premiseandthethreecloudservicelayersIaaS,PaaSandSaaS.TheirconclusionisthatISO27001:2005isnotfullyconformalwithcloudinformationsecuritysystemandproposeanewcontrolobjectiveforISO27001:2005requirements,calledvirtualizationmanagement,withtwocontrolscoveringvirtualizationandvirtualmachinescontrol.Inaddition,theInternationalOrganizationforStandardization(ISO)isdevelopingnewguidelinesISO/IECWDTS27017thatwillrecommendrelevantsecuritycontrolsforISMSimplementationincloudcomputing.Laszewskietal.analyzewhichIaaSopensourcecloudframeworkismostsuitedandhowitcomparestotheothers,butalsotobare-metal.RistovandGusevevaluatedtheopensourcecloudframeworksconformitywithISO27001:2005standard.TheyevaluatedthatCloudStackconformswithall11controlobjectivesfromISO27001:2005thatdependonthecloudframeworkinfrontofEucalyptus,OpenNebulaandOpenStack.E.SecurityAssessmentSeveralpapersrefertosecurityevaluationofopensourcecloudframeworks.Ristovetal.assessedthesecurityvulnerabilitiesofOpenStackusingonenetworkconfiguration.TheyevaluatedthatOpenStackcloudmulti-tenantenvironmentraisesnewsecurityvulnerabilityrisksfrominsidethecloud,bothforthetenantsandtheOpenStackcloudprovider.Theyevaluatedthatsegregatingthenetworksinthecloudrisesnewsecurityvulnerabilityrisks,butonlyforcloudserviceproviderfrominside,whichneedtobepatchedbythecloudsoftwarevendor.Thevulnerabilitiesremainthesameforthetenants.Donevskietal.detectedseveralvulnerabilitiesofEucalyptus’webmanagementinterfacethatshouldbepatched.Inthispaper,weperformcompletesecurityvulnerabilityassessmentoftheOpenStackcloudservernode,theOpenStackwebmanagementinterfaceasthefront-endapplication,andvirtualmachineinstancesinstalledwithvariousoperatingsystems.Thesecurityofthecommercialcloudsisalsoanalyzed.TparetheMicrosoft’sAzureplatformandAmazon’sElasticCompute(EC2)cloudarchitectureswithrespecttosecurityanddeterminedthatbothcloudserviceprovidershaveincludedsignificantsecurityissues,withMicrosoftofferingabetterlevelofdatasecuritythanAmazondoes.III.OPENSTACKCLOUDTESTENVIRONMENTInthissection,wedescribethesoftwarearchitectureoftheOpenStackcloud,focusingonthenetworkingfeaturesthatOpenStackoffers.A.OpenStackComponentsOpenStackisacloudframeworkforbuildingprivateandpublicclouds,butithasinterfacestocommercialclouds,suchasAmazonEC2,whichoffersbuildingahybridcloud.OpenStackframeworkisacollectionofseveralcomponents:OpenStackCompute(Nova),OpenStackImageService(Glance),OpenStackObjectStorage(Swift),NetworkService(Quantum),OpenStackBlockStorage(Cinder),OpenStackIdentity(Keystone)andOpenStackDashboard(Horizon).NovaisthecorecomponentintheOpenStackcloudwhichstartsandstopsvirtualmachineinstancesonuserdemand.Glanceisarepositoryfortheimagesofvirtualmachinesanditdiscovers,retrievesandstorestheimageswhenrequiredbytheNovaservice.Swiftstorespetabytesdatausingclusters.Quantumenablesuserstocreatetheirownnetworksandattachthemtointerfaces,i.e.itoffersNetworkasaService.Cinderprovidespersistentblockstorageforthevirtualmachineimagesinthecloud.KeystoneprovidesauthenticationandauthorizationforallthecomponentsinthecloudbasedonPKI(PublicKeyInfrastructure).Italsoallowsmulti-tenantenvironmentssupportinggroups,persons,RBAC(RoleBasedAccessControls),andbetterdelegationofadministrativetasks.Horizonisawebmanagementinterfaceformanagingthecloud.Ourtestingenvironmentisdeployedwithallthesesevencomponents.InthisresearchwefocusontheirimpacttothesecurityofvirtualmachineinstancesandOpenStackcloudservernode.AnotherfocusistheOpenStackDashboardsinceitisafront-endapplicationaccessibletocustomersandadministrators.B.TheDeploymentAspectsOpenStackcanbedeployedonlyonLinux-basedoperatingsystems,i.e.,Ubuntu,CentOSandRedHat.OpenStackcloudsupportsallmostcommonhypervisors:KVM,Xen,UML,andHyper-V.AllcomponentsoftheOpenStackcloudcanbedeployedononephysicalserver(SingleNode),ontwophysicalservers(DualNode)andonseparateserversandtheoreticallyunlimitednumberofcomputenodes(MultipleNode).TheDualNodeandMultipleNodedeploymentsseparatetheinstantiationofvirtualmachineinstancesfromthecloudcontrollerforperformancesimprovements,whileSingleNodedeploymentisusedonlyasaproofofconcept.Sincethegoalofthisresearchisthesecurityvulnerabilityassessment,intheexperimentalresearchweuseOpenStackclouddeploymentontheSingleNodemode.C.OpenStackNetworkingThevirtualmachineinstancesandOpenStackcloudserverscanbeconfiguredmainlywithtwotypesofIPaddresses,i.e.,Floating(Public)orFixed(Private).TheFloatingIPsareassignedtothevirtualmachineinstancesinthecloudastheycanbeaccessedfromthepublicnetworksoutsideofthecloud(Internet).TheFixedIPsareassignedalsotothevirtualmachineinstancesandareusedforcloudcomponentsandrunningvirtualmachineinstancesisolationfrompublicnetworks(Internet).OpenStackallowsthecustomerstodeploytheircloudwithonlyonenetwork.Thatis,thefloatingpublicIPaddressesofboththevirtualmachineinstancesandthecloudservernodesshouldbeconfiguredasfixed,aswell.Inthiscase,thepublicnetwork(floating)isusedalsoforintracloudservicecommunications.WedeployedOpenStackinseparatenetworkconfigurationssinceitsubsumesthesecurityvulnerabilitiesaccordingtoourpreviousresearch.IV.SECURITYASSESSMENTMETHODOLOGYThissectiondescribesthesecurityassessmentmethodologyincludingidentificationofassessmentdomain,assessmenttoolsandtesttargets.WeareinterestedtodeterminethesecurityriskamongtheOpenStackcloudservernodes(thecloudserviceproviderhostmachines),virtualmachineinstances(thetenants),andOpenStackDashboard.Allsecurityassessmentsareconductedfrominsidethecloudfromtheprivatenetworksincethosevulnerabilitiessubsumethevulnerabilitiesfromoutsideofthecloud.A.SecurityAssessmentDomainTheresearchdomainisbasedonsecurityvulnerabilitiesassessmentofthreedifferentaspects.ThefirstaddressestheassessmentofOpenStacknodecomponents’vulnerabilities,thesecondtheoperatingsysteminstancedonthevirtualmachine,andthethirdaddressestheassessmentofOpenStackDashboardasafront-endapplicationaccessiblebyallOpenStackusers.ThevulnerabilitieswillbeassessedinarchitecturalcomponentsonthephysicalOpenStackservernodeforboththeComputeandControllermodules,installedwithUbuntuServer12.04(64-bit)usingaKVMhypervisor.Operatingsystembasedvulnerabilitieswillbeassessedonfourvirtualmachineinstanceshostedonthecloud,eachwithoneofthefollowingoperatingsystems:1)Windows2008R2Standard(64bit);2)CentOS6.3(64bit);3)Fedora17(64bit);and4)Ubuntu10.04ServerEdition(64bit).Eachoperatingsystemisinstalledwithdefaultconfigurationinordertodetectallpossiblesecurityvulnerabilitiesandproposeacountermeasures.B.SecurityAssessmentToolsWeusetheNessus5vulnerabilityandconfigurationassessmentscannertoassesstheOpenStackservernodeandtenantvulnerabilitiesandAcunetixWebVulnerabilityS