xen與kvm虛擬技術安全探究

廣西現代職業技術學院 秦 鵬

虛擬化（Virtualization）是一種資源管理技術，是將計算機的各種實體資源，如服務器、網絡、內存及存儲等，予以抽象、轉換后呈現出來，使用戶可以比原本的組態更好的方式來應用這些資源。虛擬化技術是云技術中極為重要的關鍵技術之一，在資源的有效利用、動態調配方面有巨大優勢。隨著云技術的不斷發展，虛擬化技術的應用更為廣泛，其潛在的安全風險日益受到關注。目前的主流虛擬化技術有Xen、KVM、VMware、Hyper V等，本文將對Xen和KVM兩種典型的虛擬化技術進行分析對比，對技術上存在的安全風險和應對措施進行探討[1]。

1 虛擬化技術

按虛擬對象劃分，虛擬化技術可分為軟件虛擬化和硬件虛擬化。軟件虛擬化是指用純軟件的方法在現有的物理平臺上實現對物理平臺訪問的截獲和模擬。硬件虛擬化指物理平臺本身提供了對特殊指令的截獲和重定向的硬件支持，甚至新的硬件會提供額外的資源來幫助軟件實現對關鍵硬件資源的虛擬化，從而提升性能。

按虛擬化程度劃分，虛擬化技術又可分為半虛擬化和全虛擬化。全虛擬化(Full virtualization)，也稱為原始虛擬化技術, 全虛擬化則為虛擬機提供了完整的虛擬計算平臺(例如X86)，包括處理器、內存和外設，支持運行任何理論上可在真實物理平臺上運行的操作系統，為虛擬機的配置提供了最大程度的靈活性。KVM是典型的全虛擬化技術。半虛擬化(Paravirtualization)是一種類似于全虛擬化的熱門技術。它使用Hypervisor(虛擬機管理程序)分享存取底層的硬件，但是它的客戶操作系統集成了虛擬化方面的代碼。該方法無需重新編譯或引起陷阱, 因為操作系統自身能夠與虛擬進程進行很好的協作[2]。Xen是典型的半虛擬化技術。

2 Xen與KVM虛擬化技術

（1）Xen 是一個開放源代碼虛擬機監視器，由劍橋大學開發。它打算在單個計算機上運行多達100個滿特征的操作系統。操作系統必須進行顯式地修改（“移植”）以在Xen上運行。這使得Xen無需特殊硬件支持，就能達到高性能的虛擬化。

在Xen環境中，主要有兩個組成部分。一個是虛擬機監控器（VMM），也叫hypervisor。Hypervisor層在硬件與虛擬機之間，是必須最先載入到硬件的第一層。Hypervisor載入后，就可以部署虛擬機了。在虛擬機中，其中一個扮演著很重要的角色，就是0號虛擬機，具有很高的特權。通常，在任何虛擬機之前安裝的操作系統才有這種特權。Xen被設計成為微內核的實現，其本身只負責管理處理器和內存資源。Xen虛擬化方案在Hypervisor和0號虛擬機的功能上做了良好劃分，既能夠重用大部分Linux內核的成熟代碼，又可以控制系統之間的隔離和針對虛擬機更加有效的管理與調度。Xen上面運行的虛擬機既支持半虛擬化，也支持全虛擬化，可以運行幾乎所有在X86物理平臺上運行的操作系統。此外，最新的Xen內核還支持ARM平臺的虛擬化。

（2）KVM(Kernel Virtual Machine，內核虛擬機)最初是由一個以色列的創業公司Qumranet開發的。KVM基于Linux Kernel，通過加載新的模塊使Linux Kernel本身變成一個Hypervisor。2006年10月，在先后完成了基本功能、動態遷移以及主要的性能優化之后，Qumranet正式對外宣布了KVM的誕生。

KVM是基于虛擬化擴展(IntelVT或AMD—V)的X86硬件，是Linux完全原生的全虛擬化解決方案。KVM目前設計為通過可加載的內核模塊支持廣泛的虛擬機操作系統，如Linux、BSD、Solari s、Window s、Haiku、ReactOS和AROSResearch Operating System。在KVM架構中，虛擬機實現為常規的Linux進程，由標準Linux調度程序進行調度。事實上，每個虛擬CPU顯示為一個常規的Lihux進程。這使KVM能夠使用Linux內核的所有功能。

3 Xan與KVM安全風險與應對措施

Xen和KVM通過虛擬化技術提高了物理資源的利用效率，但是虛擬化技術也面臨虛擬機逃逸、跳躍攻擊、虛擬機蔓延、隱通道、DMA攻擊等安全風險。由于Xen和KVM均采用了開源的Linux內核，Linux操作系統存在的漏洞也是采用Xen和KVM虛擬化技術產品的漏洞[3]。根據CVE確認的漏洞，Linux內核存在的主要漏洞是拒絕服務漏洞、遠程溢出漏洞、本地權限提升和信息泄露漏洞，這也是Xen和KVM主要存在的漏洞，同時在緩沖區溢出、未授權訪問、本地整形溢出、命令執行等方面也存在少量漏洞。下面將對Xen和KVM面臨的主要幾類安全問題進行對策分析。

3.1 虛擬機逃逸

入侵者可利用虛擬機軟件的漏洞進行攻擊，控制宿主機操作系統，進行非授權操作。利用VMM缺乏安全信任機制的漏洞，可通過應用程序接口發起攻擊，控制某臺虛擬機向VMM發出請求獲取授權。若利用網絡配置的缺陷，入侵者可連接到VMM的IP地址進而對VMM進行網絡攻擊。應對的措施有：（1）定期執行漏洞掃描，以及宿主機操作系統的版本和補丁管理，采用Selinux和sVirt技術，降低操作系統被攻擊的風險。（2）構建可信虛擬化平臺，宿主機選用具有可信計算平臺安全模塊的服務器，搭建VMM與宿主機、虛擬機之間的信任體系。（3）通過管理vLan子網管理分配對網絡進行邏輯隔離，設計具有超級權限的平臺管理虛擬機，利用防火墻訪問控制策略實現對平臺中的VMM進行全面監管。

3.2 跳躍攻擊

入侵者可通過攻擊某臺虛擬機劫持在同一宿主機上的其他虛擬機，并以此為跳板不斷入侵其他虛擬機。應對措施：（1）采取隔離CPU指令隔離，從而使虛擬機操作系統無法執行特權指令劫持主機。（2）在Hypervisor層和管理監控層運行的安全API監測虛擬環境中的所有活動并執行安全策略。

3.3 虛擬機蔓延

虛擬機數量接近或超過管理員可以有效管理的數量，從而過度使用資源和浪費license。應對措施：（1）實時監控虛擬化環境中的工作負載。（2）制定合理的虛擬機部署和生命周期管理。（3）利用自服務門戶，幫助管理員控制虛擬資源損耗。

3.4 隱通道（cover channel）

利用虛擬化環境中的內存共享和磁盤共享，傳遞違規信息。應對措施：（1）采用內存隔離機制，虛擬機之間不能共享內存。（2）虛擬機遷移、關機或刪除后，對其使用的內存空間進行清零。

3.5 DMA攻擊

利用虛擬機間內存共享，攻擊或控制其他虛擬機的內存，破壞或泄露內存信息。應對措施：禁用虛擬機間共享內存空間。

3.6 虛擬化系統完整性破壞

宿主機硬件、虛擬化軟件被篡改，植入木馬或惡意固件，危及整個宿主機及其虛擬機的安全。應對措施：（1）對服務器、虛擬化軟件和管理平臺組件等設備的完整性進行檢測，并在檢測到完整性收到破壞后具有恢復的措施。（2）定制化服務器，去除無用或不必要的服務器配件。（3）定制虛擬化軟件，裁剪無用或不必要的組件。

3.7 Hypervisor管理員不可信

虛擬化環境超級管理員權限大，同時具備虛擬資源、網絡、賬號等各種資源管理能力。應對措施：按照權限最小化原則對管理員進行授權，減少管理員權限。

[1]肖強,徐文亭,何歡.虛擬現實技術和云計算的應用研究[J].信息安全與技術,2015.

[2]劉國樂,何建波,李瑜.Xen與KVM虛擬化技術原理及安全風險[J].保密科學技術,2015.

[3]孫琳程.虛擬機KVM與XEN的性能分析[J].電腦知識與技術:學術交流,2013:2364-2366.