可調式雲端風險評估系統

Abstract

雲端運算技術提供企業許多的好處，然而雲端的安全性問題卻讓雲端服務難以大眾化。雲端系統可能遭受到的攻擊有很多種，包含資料竄改、阻斷服務攻擊等。 所以越來越多專家學者開始提出一些風險評估的方法，針對雲端系統進行風險估測，以利適時地警告雲端服務提供者，並保護使用者，使其免受攻擊者之侵害。這些研究採用的風險評估方式，大都僅考慮雲端服務提供者或使用者的單方需求，因此，評估結果往往無法同時滿足雲端服務提供者與使用者雙方的需求。所以，在這篇研究中，我們提出一個可調式的雲端風險評估系統，Adjustable Cloud Risk Assessment systeM （簡稱 ACRAM），同時考量雲端服務提供者和使用者對其系統與服務的安全性需求，並在服務提供者提供雲端服務給使用者之前，能先對當下的系統進行風險評估，如此，雲端服務提供者便可依據雙方的安全性需求，提供使用者適切的雲端主機與服務。ACRAM包含一個風險評估模組，可運行於Offline與Online兩種模式下。在Offline模式中，ACRAM會依據已知的軟體漏洞紀錄，評估雲端系統的靜態風險值。在Online模式中，ACRAM則可依據雲端系統的運行狀態，動態地評估該雲端當下的動態風險值。依據雙方所簽訂的安全需求合約，雲端服務提供者可以根據靜態與動態風險值，創建更適切的安全環境，以提供使用者其所需之雲端服務。在這篇論文中，我們同時設計了多種實驗來瞭解ACRAM如何依據不同的安全需求，適時地提出安全警告。因此，我們設計了4種不同的案例，分別賦予不同的機密性、完整性和可得性的需求權重。我們的實驗結果顯示 1）雲端服務提供者可以依據ACRAM所估測之動態風險值，找到滿足使用者安全需求的環境，以避免使用者與可能的攻擊者共存在相同的主機上；2）當使用者所在的雲端環境出現可能的攻擊流量時，雲端服務提供者可以依據ACRAM所提供的動態風險值變化，適度地將使用者移往其他主機或較安全的雲端運行環境。

Although cloud computing technologies provide many advantages for organizations, security is still a barrier for wide-spread adoption to the public. Many cloud systems suffer from various attacks, including unauthorized data modification, denial of service, etc. Existing risk assessment methods are presented to evaluate the security of a cloud environment, from the viewpoint of either a Cloud service provider (CSP) or a cloud user. Thus, these methods cannot satisfy both CSP's and user's security requirements. In this research, we propose an Adjustable Cloud Risk Assessment systeM (abbreviated to ACRAM) for CSPs and users to assess the cloud security before deploying and providing a cloud service. ACRAM consists of a risk assessment module running in Offline or Online mode. In the Offline mode, ACRAM can assess the static risk of a cloud system based on the historical software vulnerabilities. In the Online mode, ACRAM can assess the dynamic risk of a cloud system according to the runtime network and system statistics. To show how ACRAM can react to different CSPs' and users' requirements, we conduct several experiments, using different weights of Confidentiality (C), Integrity (I) and Availability (A.) The results show that 1) a CSP can protect a future user from being co-located with a possible attacker, according to the dynamic risk estimated by ACRAM; 2) a CSP can take some risk mitigation to meet a user's requirement when the abnormal traffic and system behaviours are detected in users' working environments at runtime.