2025-11-20T01:55:14.885016

Analysis of Security in OS-Level Virtualization

Ketha, Song, Zhu
Virtualization is a technique that allows multiple instances typically running different guest operating systems on top of single physical hardware. A hypervisor, a layer of software running on top of the host operating system, typically runs and manages these different guest operating systems. Rather than to run different services on different servers for reliability and security reasons, companies started to employ virtualization over their servers to run these services within a single server. This approach proves beneficial to the companies as it provides much better reliability, stronger isolation, improved security and resource utilization compared to running services on multiple servers. Although hypervisor based virtualization offers better resource utilization and stronger isolation, it also suffers from high overhead as the host operating system has to maintain different guest operating systems. To tackle this issue, another form of virtualization known as Operating System-level virtualization has emerged. This virtualization provides light-weight, minimal and efficient virtualization, as the different instances are run on top of the same host operating system, sharing the resources of the host operating system. But due to instances sharing the same host operating system affects the isolation of the instances. In this paper, we will first establish the basic concepts of virtualization and point out the differences between the hyper-visor based virtualization and operating system-level virtualization. Next, we will discuss the container creation life-cycle which helps in forming a container threat model for the container systems, which allows to map different potential attack vectors within these systems. Finally, we will discuss a case study, which further looks at isolation provided by the containers.
academic

تحليل الأمان في المحاكاة الافتراضية على مستوى نظام التشغيل

المعلومات الأساسية

  • معرّف الورقة: 2501.01334
  • العنوان: تحليل الأمان في المحاكاة الافتراضية على مستوى نظام التشغيل
  • المؤلفون: Krishna Sai Ketha, Guanqun Song, Ting Zhu (جامعة ولاية أوهايو)
  • التصنيف: cs.CR (التشفير والأمان)، cs.OS (أنظمة التشغيل)
  • تاريخ النشر: 2 يناير 2025 (نسخة arXiv المسبقة)
  • رابط الورقة: https://arxiv.org/abs/2501.01334

الملخص

تسمح تكنولوجيا المحاكاة الافتراضية بتشغيل عدة نسخ على جهاز فيزيائي واحد، عادة ما تحتوي على أنظمة تشغيل عميل مختلفة. بينما توفر المحاكاة الافتراضية القائمة على المراقب الفائق (Hypervisor) استخدام موارد أفضل وعزلاً أقوى، إلا أنها تعاني من مشاكل تكاليف عالية لأن نظام التشغيل المضيف يحتاج إلى صيانة أنظمة تشغيل عميل مختلفة. لحل هذه المشكلة، ظهرت المحاكاة الافتراضية على مستوى نظام التشغيل، التي توفر محاكاة افتراضية خفيفة الوزن وفعالة وموجزة، لكنها تؤثر على العزل بين النسخ لأن النسخ تشترك في نفس نظام التشغيل المضيف. تؤسس هذه الورقة المفاهيم الأساسية للمحاكاة الافتراضية، وتحلل الفروقات بين المحاكاة الافتراضية القائمة على المراقب الفائق والمحاكاة الافتراضية على مستوى نظام التشغيل، وتناقش دورة حياة إنشاء الحاويات، وتبني نموذج تهديد للحاويات، وتحلل من خلال دراسات حالة العزل الذي توفره الحاويات.

خلفية البحث والدافع

تعريف المشكلة

  1. مشكلة كفاءة استخدام الموارد: الطريقة التقليدية لنشر الخدمات المختلفة على خوادم مختلفة توفر موثوقية وأماناً أفضل، لكنها مكلفة وتتمتع بمعدل استخدام موارد منخفض
  2. مشكلة تكاليف المحاكاة الافتراضية: بينما تحسّن المحاكاة الافتراضية القائمة على المراقب الفائق استخدام الموارد، فإن صيانة أنظمة تشغيل عميل متعددة تؤدي إلى تكاليف عالية
  3. مشكلة العزل الأمني للحاويات: بينما تحل المحاكاة الافتراضية على مستوى نظام التشغيل مشكلة التكاليف، فإن مشاركة نواة نظام التشغيل قد تؤثر على العزل الأمني

أهمية البحث

  • الاحتياجات التجارية: تحتاج المؤسسات إلى تشغيل خدمات متعددة بأمان وكفاءة على خادم واحد
  • اتجاهات الحوسبة السحابية: منذ التسعينيات، تم تطبيق تكنولوجيا المحاكاة الافتراضية على نطاق واسع في بيئات السحابة
  • التهديدات الأمنية: الاعتماد الواسع على تكنولوجيا الحاويات يجلب تحديات أمنية جديدة ومتجهات هجوم

حدود الطرق الموجودة

  • المحاكاة الافتراضية التقليدية: المحاكاة الافتراضية القائمة على المراقب الفائق تتطلب تكاليف عالية، وكل جهاز افتراضي يحتاج إلى نظام تشغيل عميل كامل
  • تحليل أمني غير كافٍ: التحليل الأمني والعزل للمحاكاة الافتراضية على مستوى نظام التشغيل ليس عميقاً بما يكفي
  • نموذج تهديد مفقود: يفتقد نموذج تهديد منهجي للحاويات لتحديد متجهات الهجوم المحتملة

المساهمات الأساسية

  1. إنشاء إطار عمل مقارن لتكنولوجيا المحاكاة الافتراضية: مقارنة منهجية بين المحاكاة الافتراضية القائمة على المراقب الفائق والمحاكاة الافتراضية على مستوى نظام التشغيل
  2. بناء نموذج دورة حياة إنشاء حاويات مفصل: تحليل العملية الكاملة لحاويات Docker من البناء إلى التشغيل
  3. اقتراح نموذج تهديد شامل للحاويات: تحديد وتصنيف 9 فئات رئيسية من متجهات الهجوم في أنظمة الحاويات
  4. توفير تحليل حالات ضعف فعلية: تحليل عميق لمشاكل الأمان من خلال CVE-2024-21626 و CVE-2022-0847
  5. تقديم توصيات تعزيز أمان الحاويات: توصيات أمان عملية بناءً على نتائج التحليل

شرح الطريقة

تعريف المهمة

يهدف هذا البحث إلى تحليل منهجي للأمان والعزل في المحاكاة الافتراضية على مستوى نظام التشغيل (خاصة حاويات Docker)، من خلال بناء نموذج تهديد لتحديد متجهات الهجوم المحتملة، وتقديم توصيات تعزيز الأمان.

معمارية البحث

1. تحليل دورة حياة إنشاء الحاويات

يركز البحث على أربعة مكونات أساسية في نظام حاويات Docker:

  • محرك Docker: تكنولوجيا حاويات مفتوحة المصدر توفر القدرة على بناء وحاويات تطبيقات
  • خادم Docker (dockerd): عملية تعمل في الخلفية، تستمع إلى أوامر Docker، وتعمل كواجهة بين واجهة سطر الأوامر وبيئة التشغيل
  • Containerd: نظام تشغيل حاويات عالي المستوى يوفر إدارة نقل الصور وإدارة دورة حياة الحاويات والتخزين والشبكات
  • Runc: بيئة تشغيل حاويات خفيفة الوزن وآمنة على مستوى منخفض، تتفاعل مباشرة مع نظام التشغيل الأساسي

2. عملية إنشاء الحاويات

Dockerfile → Docker Build → Docker Daemon → Containerd → Runc → Container
  1. يقوم مسؤول النظام بتنفيذ أمر "docker build" عبر واجهة سطر أوامر Docker
  2. تستدعي واجهة سطر أوامر Docker خادم Docker لمعالجة الطلب
  3. يحول خادم Docker الطلب إلى Containerd لإنشاء حاوية
  4. يسحب Containerd الصورة ويمررها إلى Runc
  5. يتفاعل Runc مع نظام التشغيل الأساسي، وينشئ ويدير الحاوية بناءً على إعدادات الصورة

بناء نموذج التهديد

تصنيف الهجمات

الهجمات الخارجية: الوصول عن بعد إلى نظام الحاويات عبر الشبكة الهجمات الداخلية: المهاجم موجود بالفعل داخل الحاوية كمستخدم

تسع فئات رئيسية من متجهات الهجوم

  1. معالجة صور المستودع: يقوم المهاجم بتعديل صور الحاويات في المستودع
  2. ثغرات رمز التطبيق: الاستفادة من الثغرات في رمز التطبيق والمكتبات الخارجية
  3. إعدادات صورة الحاوية غير الصحيحة: منح صلاحيات غير ضرورية أثناء إعداد الصورة
  4. إعدادات الحاوية غير الصحيحة: سحب صور تحتوي على رمز ضار من مجلدات عامة
  5. ثغرات المضيف: الاستفادة من ثغرات نظام التشغيل المضيف الذي يشغل الحاويات
  6. نقل المعلومات داخل النظام: مراقبة المهاجم لمشاركة المعلومات بين الحاويات
  7. ثغرات الهروب من الحاوية: الاستفادة من ثغرات في أنظمة التشغيل مثل containerd أو runc للهروب إلى المضيف
  8. اتصالات شبكية غير آمنة: مراقبة المهاجم للاتصالات بين الحاويات للحصول على معلومات
  9. استهلاك موارد غير محكوم: استهلاك البرامج الضارة لموارد مفرطة، مما يؤدي إلى نقص الموارد للحاويات الأخرى

إعداد التجارب

منهجية دراسة الحالة

يعتمد البحث على منهجية تحليل حالات ضعف فعلية، واختيار ضعفين أمنيين ممثليين للتحليل العميق:

  1. Runc Container Breakout (CVE-2024-21626)
  2. Dirty Pipe Vulnerability (CVE-2022-0847)

إطار التحليل

  • تحليل آلية الضعف: شرح تفصيلي للمبادئ التقنية للضعف
  • تقييم نطاق التأثير: تحديد نطاق إصدارات البرامج المتأثرة
  • إعادة تمثيل سيناريو الهجوم: عرض عملية الهجوم من خلال أوامر فعلية
  • تقييم الخطورة: تقييم درجة التأثير الأمني للضعف

نتائج التجارب

الحالة الأولى: Runc Container Breakout (CVE-2024-21626)

تفاصيل الضعف

  • وقت الاكتشاف: 31 يناير 2024
  • الإصدارات المتأثرة:
    • runc: من v1.0.0-rc93 إلى v1.1.11
    • containerd: من v1.4.7 إلى v1.6.27 و من v1.7.0 إلى v1.7.12
    • docker: <v25.0.2
  • درجة الخطورة: عالية

آلية الهجوم

  1. الحاوية من منظور نظام التشغيل المضيف هي عملية، تستخدم chroot لتحميل نظام ملفات مستقل كنظام ملفات جذر
  2. ينشئ المهاجم روابط رمزية تشير إلى واصفات الملفات 7 و 8
  3. تنفيذ أمر sudo docker exec -it -w /foo <container-name> sleep 500
  4. يقوم runc بتحميل نظام ملفات المضيف إلى الحاوية، مما يسمح للمهاجم بالوصول إلى نظام ملفات المضيف

خصائص الهجوم

  • متطلبات صلاحيات منخفضة: لا يحتاج المهاجم إلى تشغيل رمز ضار أو صلاحيات عالية للهجوم بنجاح
  • وصول مباشر لنظام الملفات: يمكن قراءة الملفات مباشرة داخل نظام التشغيل المضيف

الحالة الثانية: Dirty Pipe Vulnerability (CVE-2022-0847)

تفاصيل الضعف

  • وقت الاكتشاف: 7 مارس 2022
  • الإصدارات المتأثرة: نواة Linux >v5.8.0
  • درجة الخطورة: عالية

آلية الهجوم

  1. عدم تهيئة صحيحة لعضو "flags" في بنية مخزن مؤقت الأنابيب الجديدة في نواة Linux
  2. الثغرات في دوال "copy-page-to-iter-pipe" و "push-pipe" قد تحتوي على قيم قديمة
  3. يمكن لمستخدم محلي بدون امتيازات تعديل الصفحات في ذاكرة التخزين المؤقت للصفحات المرتبطة بملفات للقراءة فقط
  4. يمكن للمهاجم تعديل ملفات مثل /etc/passwd، مما يحقق رفع الامتيازات

نتائج التجارب

خصائص التهديدات الأمنية

  1. التهديدات المستمرة: CVE-2024-21626 ليست الأولى، وكان هناك CVE-2019-5736 سابقاً وهو ضعف هروب runc مشابه
  2. التأثير على مستوى النظام: كلا الضعفين قد يؤديان إلى حصول المهاجم على صلاحيات نظام التشغيل المضيف
  3. التأثير الواسع: الضعف يؤثر على عدد كبير من أنظمة الحاويات المستخدمة في بيئات الإنتاج

تحليل العزل

يواجه العزل الأمني للحاويات المشاكل التالية:

  • مخاطر مشاركة النواة: جميع الحاويات تشارك نفس نواة نظام التشغيل، وثغرات النواة تؤثر على جميع الحاويات
  • ثغرات بيئة التشغيل: ثغرات في نظام تشغيل الحاويات (مثل runc) قد تؤدي إلى هروب من الحاوية
  • مخاطر الأخطاء في الإعدادات: الإعدادات غير الصحيحة للصلاحيات تزيد من المخاطر الأمنية

الأعمال ذات الصلة

أبحاث أمان المحاكاة الافتراضية

تبني هذه الورقة على أساس تطور تكنولوجيا المحاكاة الافتراضية، حيث كانت مفاهيم المحاكاة الافتراضية موجودة منذ الستينيات، لكنها أصبحت تكنولوجيا سائدة فقط في التسعينيات.

تحليل تهديدات أمان الحاويات

يركز البحث ذو الصلة بشكل أساسي على:

  1. آليات عزل الحاويات: تحليل الفروقات في العزل بين الحاويات والمحاكاة الافتراضية التقليدية
  2. تحديد متجهات الهجوم: تحديد طرق هجوم فريدة في بيئات الحاويات
  3. طرق تعزيز الأمان: اقتراح أفضل الممارسات الأمنية للحاويات

مقارنة المساهمات

  • نموذج تهديد منهجي: مقارنة بالأبحاث الموجودة، توفر هذه الورقة تصنيفاً أكثر شمولاً لتهديدات الحاويات
  • تحليل حالات فعلية: توفير أدلة ملموسة على التهديدات الأمنية من خلال تحليل ثغرات CVE الحقيقية
  • منظور دورة الحياة: تحليل مشاكل الأمان من منظور دورة حياة إنشاء الحاويات

الخلاصة والنقاش

الاستنتاجات الرئيسية

  1. الطبيعة ثنائية الحد للمحاكاة الافتراضية على مستوى نظام التشغيل: بينما توفر حلاً خفيف الوزن وفعالاً للمحاكاة الافتراضية، فإن مشاركة نواة نظام التشغيل تجلب تحديات عزل أمني
  2. تنوع متجهات التهديد: تواجه أنظمة الحاويات تهديدات أمنية على مدار دورة الحياة الكاملة من مستودع الصور إلى بيئة التشغيل
  3. المخاطر الأمنية الفعلية: يثبت تحليل حالات CVE وجود تهديدات أمنية خطيرة حقيقية مثل هروب الحاويات ورفع الامتيازات
  4. التحدي الأمني المستمر: أمان الحاويات مشكلة متطورة باستمرار تتطلب تحديث تدابير الحماية بشكل مستمر

توصيات أفضل الممارسات الأمنية

  1. أمان الصور: فحص صور الحاويات المسحوبة من المستودعات العامة، ومسح الثغرات المحتملة
  2. تقليل الصلاحيات: تجنب منح الحاويات صلاحيات غير ضرورية
  3. التحديثات المنتظمة: الحفاظ على أحدث إصدارات محرك الحاويات وبيئة التشغيل والأدوات والمكونات الخارجية
  4. إدارة المكتبات: التأكد من عدم احتواء المكتبات على ثغرات معروفة
  5. الاتصالات الآمنة: نقل المعلومات بين الحاويات عبر اتصالات آمنة
  6. المسح الأمني: استخدام برامج نصية أمنية لمسح ثغرات الحاويات بشكل دوري

القيود

  1. حدود نطاق البحث: يركز بشكل أساسي على حاويات Docker، ولم يغطِ تكنولوجيات حاويات أخرى (مثل FreeBSD Jails و Solaris Zones)
  2. عمق نموذج التهديد: بينما تم تحديد متجهات الهجوم الرئيسية، فإن النقاش حول تدابير الحماية المحددة لكل هجوم ليس عميقاً بما يكفي
  3. عدد حالات التجارب: تم تحليل حالتي CVE فقط، وقد لا يكون كافياً للعكس الشامل لتعقيد التهديدات الأمنية للحاويات
  4. نقص التحليل الكمي: عدم وجود تقييم كمي لدرجات المخاطر لمتجهات الهجوم المختلفة

الاتجاهات المستقبلية

تقترح الورقة الاتجاهات البحثية التالية:

  1. كشف التهديدات المدفوع بالذكاء الاصطناعي: دمج تكنولوجيا الذكاء الاصطناعي لتعزيز قدرة أنظمة الحاويات على مقاومة الثغرات الناشئة
  2. بروتوكولات اتصال آمنة: تطوير بروتوكولات اتصال أكثر أماناً بين الحاويات
  3. تحسين البيئات اللاسلكية: تحسين شبكات الحاويات للبيئات اللاسلكية
  4. الابتكارات على مستوى النظام: تحسين توزيع الموارد من خلال الابتكارات على مستوى النظام، مما يضمن الأداء والأمان في البنية الأساسية الموزعة الديناميكية

التقييم العميق

المميزات

  1. التحليل المنهجي: توفير إطار تحليل كامل من المفاهيم الأساسية إلى التهديدات الفعلية
  2. قيمة عملية عالية: نموذج التهديد والتوصيات الأمنية لها قيمة إرشادية للنشر الفعلي
  3. تحليل حالات عميق: توفير تفاصيل تقنية محددة من خلال ثغرات CVE الحقيقية
  4. هيكل واضح: تنظيم الورقة منطقي، يتقدم من النظرية إلى الممارسة بشكل تدريجي
  5. قوة الحداثة: تحليل أحدث الثغرات الأمنية (CVE-2024-21626)

أوجه القصور

  1. مساهمات نظرية محدودة: يركز بشكل أساسي على تنظيم وتحليل المعرفة الموجودة، مع نقص المساهمات النظرية الأصلية
  2. التحقق التجريبي غير كافٍ: نقص التحقق التجريبي على نطاق واسع لفعالية نموذج التهديد
  3. غياب التحليل الكمي: عدم توفير تقييم كمي لمخاطر متجهات الهجوم المختلفة
  4. عمق الحلول غير كافٍ: بينما تم اقتراح توصيات أمنية، فإن الحلول التقنية المحددة ناقصة
  5. تحليل مقارن ضعيف: تحليل المقارنة مع أبحاث أمان الحاويات الأخرى ضعيف نسبياً

التأثير

  1. المساهمة الأكاديمية: توفير إطار تحليل تهديد منهجي لأبحاث أمان الحاويات
  2. القيمة العملية: لها قيمة إرشادية لممارسات أمان الحاويات في المؤسسات والمطورين
  3. القيمة التعليمية: مناسبة كمادة مرجعية لتدريس أمان الحاويات
  4. أساس البحث: توضع أساساً لأبحاث أمان حاويات أعمق لاحقاً

السيناريوهات المطبقة

  1. نشر الحاويات في المؤسسات: توفير مرجع لوضع استراتيجيات أمان الحاويات في المؤسسات
  2. التدقيق الأمني: بمثابة قائمة تحقق لتقييم أمان نظام الحاويات
  3. التدريب والتعليم: استخدام لتدريب الوعي الأمني وتعليم التقنيات
  4. نقطة انطلاق البحث: توفير إطار أساسي لأبحاث تقنية أمان حاويات متقدمة

المراجع

تستشهد الورقة بـ 38 مرجعاً ذا صلة، تشمل بشكل أساسي:

  • كتب نظام التشغيل الكلاسيكية (Tanenbaum & Bos, Modern Operating Systems)
  • المؤلفات المتخصصة في أمان الحاويات (Rice, Container Security)
  • تقارير ثغرات أمنية مهمة (CVE-2024-21626, CVE-2022-0847)
  • الأعمال البحثية ذات الصلة لفريق المؤلفين في مجالات الأمان والذكاء الاصطناعي وإنترنت الأشياء

التقييم العام: توفر هذه الورقة إطار تحليل أمان شامل نسبياً للمحاكاة الافتراضية على مستوى نظام التشغيل، وبينما تكون محدودة في الابتكار النظري، فإنها تتمتع بقيمة عالية من حيث الجدوى العملية والشمولية، وهي مناسبة كمادة مرجعية وتمهيدية في مجال أمان الحاويات.