虛擬化安全技術(shù)研究

陳家興，孫 娟

(天云數(shù)據(jù)(天津)有限公司 天津300457)

0 引 言

目前，云計(jì)算在世界各國(guó)均得到了廣泛應(yīng)用，極大提高了社會(huì)的運(yùn)行效率，在經(jīng)濟(jì)、科技創(chuàng)新等多個(gè)方面具備無(wú)可比擬的優(yōu)勢(shì)。虛擬技術(shù)在云計(jì)算中得到廣泛應(yīng)用，也成為當(dāng)前云計(jì)算的關(guān)鍵技術(shù)。雖然虛擬化技術(shù)的發(fā)展為云計(jì)算的應(yīng)用提供了便利，但也由此帶來(lái)了越來(lái)越多的安全威脅，其危害程度亦較虛擬化技術(shù)應(yīng)用前有過(guò)之而無(wú)不及，已成為云計(jì)算應(yīng)用的攔路虎，直接制約了產(chǎn)業(yè)發(fā)展。本文從虛擬化技術(shù)帶來(lái)的安全威脅入手，通過(guò)分析研究相應(yīng)關(guān)鍵技術(shù)，以提高虛擬化技術(shù)在云計(jì)算應(yīng)用中的安全可靠性，為云計(jì)算系統(tǒng)的健康發(fā)展貢獻(xiàn)力量。

1 云計(jì)算虛擬化技術(shù)帶來(lái)的安全威脅

目前，虛擬化技術(shù)在云計(jì)算應(yīng)用中面臨的安全威脅存在于多個(gè)層面。當(dāng)虛擬化技術(shù)出現(xiàn)漏洞時(shí)，就將導(dǎo)致同一平臺(tái)中的不同虛擬機(jī)隔離失敗，直接影響到其他虛擬機(jī)的正常運(yùn)行，使得其他虛擬機(jī)的訪問(wèn)權(quán)限無(wú)法得到保護(hù)，進(jìn)而增加了被入侵的風(fēng)險(xiǎn)，我們將這種安全威脅稱為虛擬機(jī)逃逸現(xiàn)象。當(dāng)一臺(tái)虛擬機(jī)接入到其所在的宿主機(jī)上或是對(duì)其他虛擬機(jī)進(jìn)行監(jiān)控時(shí)，將造成在同一物理機(jī)上的一臺(tái)虛擬機(jī)對(duì)另一臺(tái)虛擬機(jī)進(jìn)行攻擊，進(jìn)而造成另一臺(tái)虛擬機(jī)被迫下線，無(wú)法正常工作運(yùn)行，這種威脅被稱為虛擬機(jī)跳躍現(xiàn)象。

虛擬化技術(shù)除了直接帶給虛擬機(jī)安全威脅外，還將導(dǎo)致遠(yuǎn)程管理受到威脅。運(yùn)維人員在利用遠(yuǎn)程管理平臺(tái)進(jìn)行管理的過(guò)程中，無(wú)形中增加了跨站腳本受到攻擊的風(fēng)險(xiǎn)，雖然統(tǒng)一集中管理提高了辦事效率，但面臨的威脅也令人頭疼。平臺(tái)結(jié)構(gòu)見(jiàn)圖1。

圖1 遠(yuǎn)程管理平臺(tái)結(jié)構(gòu)Fig.1 Structure of remote management platform

此外，云計(jì)算虛擬化技術(shù)帶來(lái)的安全威脅還包括拒絕服務(wù)攻擊、虛擬機(jī)遷移風(fēng)險(xiǎn)及虛擬機(jī)監(jiān)視器的安全等問(wèn)題。

2 虛擬化安全關(guān)鍵技術(shù)分析

2.1 宿主機(jī)安全機(jī)制

保護(hù)宿主機(jī)的安全就是保護(hù)虛擬機(jī)的安全，因?yàn)樵谔摂M化中，宿主機(jī)的訪問(wèn)權(quán)限一旦被不安全因素襲擊，虛擬機(jī)的安全機(jī)制就不復(fù)存在。攻擊者往往利用宿主機(jī)對(duì)虛擬機(jī)進(jìn)行流量捕獲、資源監(jiān)控、文件竊取及程序關(guān)閉等惡意操作。目前對(duì)宿主機(jī)的保護(hù)主要是利用傳統(tǒng)信息系統(tǒng)的安全保護(hù)機(jī)制，而這種機(jī)制也能夠有效地保障宿主機(jī)的安全。具體來(lái)說(shuō)，傳統(tǒng)信息系統(tǒng)的安全保護(hù)機(jī)制主要包括物理安全保護(hù)機(jī)制和操作系統(tǒng)安全保護(hù)機(jī)制兩種。物理安全保護(hù)機(jī)制實(shí)施保護(hù)的具體措施包括：進(jìn)入服務(wù)器機(jī)房訪問(wèn)必須得到安保人員的許可或者經(jīng)過(guò)門(mén)禁卡認(rèn)證；在服務(wù)器未初始化前，不得拆除軟驅(qū)、光驅(qū)；為防止攻擊者對(duì) BOIS設(shè)置進(jìn)行惡意更改，應(yīng)對(duì) BOIS設(shè)置密碼，而且在對(duì)BOIS進(jìn)行設(shè)置時(shí)，只能選擇從服務(wù)器主硬盤(pán)進(jìn)行啟動(dòng)；對(duì)服務(wù)器所有外部端口進(jìn)行嚴(yán)密監(jiān)控，并做好相關(guān)措施防止硬盤(pán)被盜。操作系統(tǒng)安全保護(hù)機(jī)制實(shí)施保護(hù)的具體措施包括：升級(jí)密碼強(qiáng)度，盡量將其復(fù)雜化，并固定周期進(jìn)行密碼重置；升級(jí)登錄訪問(wèn)控制，若出現(xiàn)登錄異常現(xiàn)象可禁止其繼續(xù)輸入；在安裝程序時(shí)，優(yōu)化網(wǎng)絡(luò)程序，不安裝不必要程序；除了在宿主機(jī)上安裝防火墻外，還應(yīng)及時(shí)對(duì)宿主機(jī)操作系統(tǒng)進(jìn)行補(bǔ)丁更新等操作。

2.2 Hypervisor安全機(jī)制

在虛擬化環(huán)境下，物理服務(wù)器的 CPU、內(nèi)存、硬盤(pán)和網(wǎng)卡等硬件資源被虛擬化并受 Hypervisor的調(diào)度，多個(gè)操作系統(tǒng)在Hypervisor的協(xié)調(diào)下可以共享這些虛擬化后的硬件資源，同時(shí)每個(gè)操作系統(tǒng)又可以保存彼此的獨(dú)立性。

根據(jù)Hypervisor所處層次的不同和Guest OS對(duì)硬件資源的不同使用方式，Hypervisor虛擬化被分為兩種類型：Bare-metal虛擬化方式(“裸機(jī)”虛擬化)和 Host OS虛擬化方式(基于操作系統(tǒng)的虛擬化，宿主型虛擬化)。

圖 2為基于 Hypervisor的虛擬化防護(hù)原理圖。所謂的 Hypervisor安全機(jī)制是指將特權(quán)虛擬機(jī)引入至虛擬化層 Hypervisor中，并通過(guò)內(nèi)省 API監(jiān)控其他虛擬機(jī)的CPU、內(nèi)存、I/O及數(shù)據(jù)流量等，而且引入的特權(quán)虛擬機(jī)還能夠?yàn)槠渌摂M機(jī)提供許多安全防護(hù)功能，例如殺毒模塊、入侵防護(hù)、防火墻及應(yīng)用保護(hù)等，進(jìn)而達(dá)到保障其他虛擬機(jī)安全的目的。

圖2 基于Hypervisor的虛擬化防護(hù)Fig.2 Virtualization protection based on Hypervisor

2.3 虛擬機(jī)安全機(jī)制

虛擬機(jī)安全機(jī)制包括虛擬機(jī)隔離機(jī)制和虛擬機(jī)安全監(jiān)控兩種模式。

2.3.1 虛擬機(jī)隔離機(jī)制

虛擬化網(wǎng)絡(luò)中，虛擬機(jī)的隔離機(jī)制至關(guān)重要，當(dāng)其中一個(gè)虛擬機(jī)發(fā)生問(wèn)題時(shí)，虛擬機(jī)之間的有效隔離能使其他虛擬機(jī)正常進(jìn)行服務(wù)。隔離的目的就是為了保證各虛擬機(jī)獨(dú)立工作、安全服務(wù)。現(xiàn)階段，對(duì)虛擬機(jī)隔離機(jī)制的研究已比較深入，研究方向主要包括基于硬件協(xié)助的隔離與基于訪問(wèn)控制的邏輯隔離兩種機(jī)制。無(wú)論是哪種隔離機(jī)制，目前都能很好地實(shí)現(xiàn)各虛擬機(jī)的安全獨(dú)立服務(wù)。

2.3.2 虛擬機(jī)安全監(jiān)控

圖3 Lares架構(gòu)Fig.3 Lares architecture

在虛擬化網(wǎng)絡(luò)中，對(duì)虛擬機(jī)的運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，有利于保證虛擬機(jī)的安全，而對(duì)虛擬機(jī)實(shí)施有效監(jiān)控具有重大的意義。現(xiàn)階段，人們對(duì)虛擬機(jī)的安全監(jiān)控主要分為兩種：內(nèi)部監(jiān)控與外部監(jiān)控。所謂內(nèi)部監(jiān)控是指通過(guò)在虛擬機(jī)內(nèi)部加載由 Hypervisor進(jìn)行安全保護(hù)的內(nèi)核模塊，用以達(dá)到攔截內(nèi)部虛擬機(jī)事件的目的，典型代表為L(zhǎng)ares架構(gòu)，具體如圖3所示。該架構(gòu)的優(yōu)缺點(diǎn)比較明顯，優(yōu)點(diǎn)在于無(wú)需重構(gòu)語(yǔ)義，直接在虛擬機(jī)內(nèi)部進(jìn)行攔截，從而提升性能；缺點(diǎn)是由于該架構(gòu)引入了內(nèi)核模塊，造成監(jiān)控不透明。外部監(jiān)控是指監(jiān)測(cè)針對(duì)虛擬機(jī)外部進(jìn)行工作，攔截虛擬機(jī)事件是根據(jù)Hypervisor中的監(jiān)控點(diǎn)進(jìn)行的，典型代表為L(zhǎng)ivewire架構(gòu)，具體如圖4所示。不同于內(nèi)部監(jiān)控的是，雖然監(jiān)測(cè)具有透明性，但其需重新進(jìn)行重構(gòu)語(yǔ)義，因此對(duì)性能造成了一定影響。

圖4 Livewire架構(gòu)Fig.4 Livewire architecture

3 結(jié)論與展望

本文在對(duì)云計(jì)算虛擬化技術(shù)帶來(lái)的安全威脅進(jìn)行分析的基礎(chǔ)上，研究了虛擬化安全關(guān)鍵技術(shù)，并得出了現(xiàn)階段保障虛擬化云計(jì)算安全的相關(guān)機(jī)制方法。通過(guò)對(duì)現(xiàn)有技術(shù)和方案的理解，可以看到，面對(duì)越來(lái)越復(fù)雜的云計(jì)算虛擬化環(huán)境，傳統(tǒng)的宿主機(jī)安全機(jī)制保護(hù)能力有限。對(duì)于 Hypervisor安全機(jī)制，隨著Hypervisor功能的增加，其代碼也不斷增多，因而在一定程度上增加了安全漏洞的數(shù)量，若對(duì) Hypervisor中的資源處理不恰當(dāng)，Hypervisor的安全性將大為降低，而虛擬機(jī)安全機(jī)制中的虛擬機(jī)隔離機(jī)制研究已比較成熟，能夠較好地實(shí)現(xiàn)各虛擬機(jī)的安全獨(dú)立工作。在實(shí)際應(yīng)用中，應(yīng)綜合各種關(guān)鍵技術(shù)進(jìn)行安全防護(hù)，以實(shí)現(xiàn)對(duì)虛擬機(jī)系統(tǒng)的安全保障，同時(shí)還能實(shí)現(xiàn)虛擬機(jī)網(wǎng)絡(luò)通信安全，確保整個(gè)系統(tǒng)的可信性，進(jìn)而為建設(shè)云計(jì)算安全平臺(tái)提供一定的技術(shù)支持。