彭淑芬

(国家安全生产监督管理总局 通信信息中心 , 北京 100713 )

0 引言

随着IT服务的专业化和云计算的盛行，虚拟化技术显得越来越重要。而虚拟机又是重中之重，它的安全性直接决定云计算的安全性。虚拟机除了在服务器的传统安全性方面需要保证以外，在资源隔离和共享方面也要采取严格的安全措施[1-2]。服务器虚拟化的安全性离不开网络设备和安全设备的虚拟化及安全性。针对上述问题，本文首先分析了虚拟机存在的六大安全风险，然后根据《信息系统安全等级保护基本要求GB/T 22239-2008》分析了几种典型的虚拟机部署架构的安全性，最后以等级保护二级和等级保护三级为例分析了典型的虚拟机部署架构的应用。

1 虚拟机安全问题

虚拟机技术将计算机物理资源表示成若干个虚拟域，每个虚拟域都可以运行独立的操作系统，作为一台独立的计算机进行工作和对外提供服务。虚拟机的体系结构本身可以增强虚拟域操作系统的安全性，因为它对虚拟域中的应用是透明的，这些运行在虚拟域中的应用程序通常无法发现自己运行在虚拟域环境中。根据虚拟机的隔离机制，一个虚拟域中的恶意程序不会影响到其他虚拟域，也很难影响到虚拟机监控器和真实的硬件设备。而且通过虚拟机架构中用于管理功能的特权域，可以对其他虚拟域中的操作系统和应用程序进行监控和扫描。这些都增强了虚拟域的安全性。但是，这种对安全增强的前提是虚拟机具有严格的隔离机制。BlackHat在近几年提出了多种攻击Xen虚拟机监控器的方法，这些攻击都展示出虚拟机监控器的脆弱性和其安全系统的复杂性。而事实上，几乎所有的主流虚拟机都存在安全漏洞。这就使得虚拟机安全和云计算安全成为空谈。虚拟机体系结构带来的主要安全问题有[3-5]：

（1）虚拟机监控器安全

虚拟机监控器是虚拟机的核心，可视做小型的操作系统内核，主要负责CPU调度、内存分配等资源管理工作。如果虚拟机监控器自身受到攻击，会使虚拟机监控器无法正常工作，各个虚拟域也将无法正常运行。目前已经有方法可以利用漏洞或注入代码对虚拟机进行攻击。

（2）虚拟机逃逸

虚拟机提供的隔离机制如果存在漏洞，就可能会发生虚拟机逃逸。虚拟机逃逸是指：一个虚拟域中的用户利用程序对虚拟域的操作系统进行攻击，导致能够通过内存映射获得其他虚拟域甚至特权域的数据和权限，从而破坏这些虚拟域甚至整个虚拟机架构的安全性。

（3）虚拟域的安全迁移

虚拟域迁移是虚拟机技术中非常重要的一部分。为了更合理地利用资源，根据需要将虚拟域从一台物理机迁移到另一台物理机中。迁移过程通常需要同步内存等动态数据，有时也需要同步虚拟磁盘等静态数据。迁移时还应当使用安全的迁移协议。协议不安全会导致迁移过程中发生数据泄漏，或者数据的完整性被破坏，最终导致虚拟域无法正常运行。而如果迁移到的目的主机的计算平台存在安全问题，也会导致被迁移的虚拟域存在安全威胁。此外，如果攻击者截获了某次迁移的数据，并将这些数据的日后迁移进行重放攻击，也会破坏虚拟域的完整性。

（4）特权域安全

很多虚拟机都存在特权域允许管理员管理虚拟机自身和其他虚拟域，例如分配资源，创建、启动、迁移、关闭和删除虚拟域，访问虚拟域的数据文件，甚至利用一些机制访问虚拟域的内存。特权域的权限非常大，如果攻击者通过网络或其他手段入侵特权域并获得相应的管理权限，将对运行在该虚拟机中的虚拟域造成严重影响。

（5）共享虚拟化资源池安全问题

云计算环境是多用户环境，所有用户的数据都在云中存储和处理。如果数据不能有效地隔离，将会导致用户私人数据被其他用户盗取、篡改、破坏。这就要求不同用户的数据必须严格隔离，防止用户读写他人的文件。用户提交的计算作业首先被分配在共享虚拟化资源池中。如果不能保证这些计算作业是由可信的用户提交到资源池，将会导致资源池中的所有共享资源被盗取、篡改以及破坏的危险。动态的资源在使用完毕或失效后需要立即销毁，否则将会造成信息泄漏的危险。

（6）拒绝服务

与传统的网络攻击中的拒绝服务攻击不同，由于对外提供服务的是运行在虚拟机中的各个独立的虚拟域，因此如果隔离机制比较完善，那么一个虚拟域自身漏洞引起的攻击通常不会影响其他虚拟域。但是，如果虚拟机的资源调度和管理存在问题，当一个虚拟域的工作负载突然增强时，特别是网络负载增强时，也会影响到其他虚拟域甚至整台虚拟机的正常工作。这就要求虚拟机监控器自身必须稳定，实时监控资源的使用，以便在发现问题时能及时采取应对措施。

2 典型的虚拟机部署架构

在《信息系统安全等级保护基本要求GB/T 22239-2008》中等级保护二级网络安全的结构安全方面，要求“应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段”。在访问控制方面，要求“应在网络边界部署访问控制设备，启用访问控制功能”；在安全审计方面，要求“应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录”；而且在边界完整性检查、入侵防范、网络设备防护等方面也有明确要求。级别越高，安全防护要求越高，例如等级保护三级网络安全在结构安全方面，还要求“应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段”[6]。

虚拟环境下大部分安全问题都来自于管理不当或一些显而易见的错误。所以，应对服务控制台与管理工具的访问实施严格的控制，并利用管理工具来支持一个独立的网络，确保虚拟机不会干扰到管理控制台对其他服务器的控制。同时，应根据基本要求和应用系统的等级保护级别，评估是否需要增加额外的控制，比如虚拟防火墙或虚拟入侵保护系统。可通过物理服务器内的虚拟交换设备来密切观察用户是如何使用虚拟机的，比如交换机的配置、流量情况，以及虚拟机自身之间、虚拟机与外部设备之间的可访性。典型的虚拟机部署架构一般包括三种模式：一个管理中心一个物理资源池多个虚拟安全域，一个管理中心多个物理资源池多个虚拟安全域，多个管理中心多个物理资源池多个虚拟安全域。

2.1 一个管理中心一个物理资源池多个虚拟安全域的部署模式

一个管理中心一个物理资源池多个虚拟安全域的部署模式如图1所示。虚拟化宿主主机为高端主机，前端连接支持虚拟化的网络设备（如交换机、网卡）和边界访问控制设备（如防火墙），后端连接 SAN存储设备和虚拟机管理系统。虚拟化宿主主机在虚拟机管理系统中虚拟出了多台 Windows或 Linux操作系统支撑业务系统。相同安全域的主机之间的数据流会流向交换机，交换机按照预订的安全策略转发数据包。不同安全域之间的数据流会流向边界访问控制设备，边界访问控制设备按照预订的安全规则允许或禁止不同虚拟安全域之间的数据访问。虚拟化宿主主机位于同一管理网段，被虚拟机管理系统管理。在这种部署模式中，虽然虚拟机采用了MLS（多级安全系统）技术进行隔离和保护，满足 EAL4+（Evaluation Assurance Level）的要求，但是不同安全域的虚拟机位于同一物理主机上，虚拟化宿主主机位于同一管理网段，虚拟机可能干扰到虚拟机管理系统对其他安全域虚拟机的控制，安全性仅符合等级保护一级的结构安全要求，不符合等级保护二级的结构安全要求。

图1 一个管理中心一个物理资源池多个虚拟安全域

2.2 一个管理中心多个物理资源池多个虚拟安全域的部署模式

一个管理中心多个物理资源池多个虚拟安全域的部署模式如图2所示。虚拟化宿主主机为高端主机，每个虚拟化宿主主机池的前端连接各自支持虚拟化的网络设备（如交换机、网卡）和普通的边界访问控制设备（如防火墙），后端连接同一 SAN存储设备和虚拟机管理系统。虚拟化宿主主机在虚拟机管理系统中虚拟出了多台 Windows或Linux操作系统支撑业务系统。相同安全域的主机之间的数据流会流向交换机，交换机按照预定的安全策略转发数据包。不同安全域之间的数据流会流向边界访问控制设备，边界访问控制设备按照预订的安全规则允许或禁止不同虚拟安全域之间的数据访问。不同物理资源池的虚拟化宿主主机位于不同的管理网段，被虚拟机管理系统管理。在这种部署模式中，不同安全域的虚拟机位于不同的物理服务器上，不同安全域的虚拟机的管理网段也不相同，虚拟机不易干扰到虚拟机管理系统对其他安全域虚拟机的控制。这基本符合等级保护二级的结构安全要求，只是由同一虚拟机管理系统管理存在一定风险。

2.3 多个管理中心多个物理资源池多个虚拟安全域的部署模式

图2 一个管理中心多个物理资源池多个安全域

图3 多个管理中心多个物理资源池多个安全域

多个管理中心多个物理资源池多个虚拟安全域的部署模式如图3所示。虚拟化宿主主机为高端主机，每个虚拟化宿主主机池的前端链接各自支持虚拟化的网络设备（如交换机、网卡）和普通的边界访问控制设备（如防火墙），后端连接同一 SAN存储设备和各自的虚拟机管理系统。虚拟化宿主主机在虚拟机管理系统中虚拟出了多台Windows或 Linux操作系统支撑业务系统。相同安全域的主机之间的数据流会流向交换机，交换机按照预订的安全策略转发数据包。不同安全域之间的数据流会流向边界访问控制设备，边界访问控制设备按照预订的安全规则允许或禁止不同虚拟安全域之间的数据访问。不同物理资源池的虚拟化宿主主机位于不同的管理网段，且被不同的虚拟机管理系统管理。每个安全域的物理资源池、虚拟机、管理中心均相互独立，完全符合等级保护二级的结构安全要求。虚拟机不会干扰到其他安全域的虚拟机管理系统对其安全域的虚拟机的控制。

3 典型的虚拟机部署架构的应用

按照《信息系统安全等级保护基本要求 GB/T 22239-2008》中等级保护一级关于结构安全的要求，Web服务器、应用服务器和数据库服务器可以位于一台虚拟机，也可以分别位于三个不同虚拟安全域的三台虚拟机中。所以，等级保护一级的信息系统可以部署在一个管理中心一个物理资源池多个虚拟安全域的环境中。

按照《信息系统安全等级保护基本要求 GB/T 22239-2008》中等级保护二级关于结构安全的要求，Web服务器和应用服务器位于同一物理资源池的同一个或者两个不同的虚拟机，数据库服务器位于不同物理资源池的虚拟机。所以，等级保护二级的信息系统至少需要部署在一个管理中心多个物理资源池多个安全域的环境中。

按照《信息系统安全等级保护基本要求 GB/T 22239-2008》中等级保护三级关于结构安全的要求，Web服务器位于一个物理资源池的一个虚拟机，应用服务器位于另一物理资源池的一个虚拟机，数据库服务器位于与应用服务器相同（或不同）物理资源池但与 Web服务器不同物理资源池的虚拟机。所以，等级保护三级的信息系统至少需要部署在一个管理中心多个物理资源池多个安全域的环境中，条件许可的情况下部署在多个管理中心多个物理资源池多个安全域的环境中更安全。

4 结论

虚拟机技术会越来越广泛地应用于不同保护等级的信息系统中，上述三种虚拟机部署模式满足基本要求中第一级、第二级和第三级的结构安全要求。《信息系统安全等级保护基本要求 GB/T 22239-2008》中有关网络安全、主机安全、应用安全和数据安全及备份恢复方面的技术要求同样适用于基于虚拟机的信息系统，以后会深入探讨虚拟机环境下主机安全、应用安全和数据安全及备份恢复方面的问题。

[1]秦中元, 沈日胜, 张群芳,等.虚拟机系统安全综述[J].计算机应用研究, 2012,29(5):1618-1622.

[2]胡小龙, 蒋光庆, 郭玉东, 等.基于协作型VMM的虚拟机网络访问控制技术研究[J].小型微型计算机系统, 2014, 35(4):883-888.

[3]孙磊, 杨星, 马自堂.云环境下基于BN模型的虚拟机安全部署模型[J].计算机科学, 2013, 40(3): 210-214.

[4]蔡志强, 丁丽萍, 贺也平.一种基于虚拟机的动态内存泄露检测方法[J].计算机应用与软件, 2012, 29(9): 10-13.

[5]梁彪, 秦中元, 沈日胜, 等.一种虚拟机访问控制安全模型[J].计算机应用研究, 2014, 31(1): 231-235.

[6]GB/T 22239-2008信息系统安全等级保护基本要求[S].北京:中国标准出版社, 2008.