黄柳铃， 张 瑞

（福建船政交通职业学院， 福建 福州 350007）

云计算是对基于网络的，可配置的共享计算资源池能够方便的，随需访问的一种模式.是传统计算机和网络技术发展整合的产物，也是引领未来信息产业创新的关键战略性技术和手段。它重塑了信息生产和交流的方式，并逐步改变了国家信息资源传播和控制的方式，进而推动了全球信息权力的重构和流动。因此，云计算的出现无疑对国家和个人的信息安全带来了机遇与挑战。

本文以云计算安全中最重要的部分云计算虚拟化技术安全为例，讨论云计算的安全挑战与防护策略。

云计算应用安全体系的主要目标是实现云计算应用及数据的机密性、完整性、可用性和隐私性。

云计算安全模块主要包括了：物理安全、基础设施安全、虚拟化安全、数据传输安全、基础设施能力接口安全、模块基础安全、中间件安全、内容安全、应用安全、数据安全、用户认证及访问管理、密钥分配及管理、灾难备份与恢复、安全事件管理及审计。现以虚拟化安全为重点展开讨论。

一、虚拟化安全防护

从功能角度看，基础设施服务中的虚拟化层的逻辑架构包括业务管理平台、虚拟网络系统、虚拟存储系统、虚拟处理系统，以及最上层的客户虚拟机。

其中虚拟网络系统是通过在物理网络上运行虚拟化将物理网络虚拟化为多个逻辑独立的网络，如虚拟交换机等。主要涉度的物理设备有服务器、交换机、路由器、网卡等部件。

虚拟存储系统是通过在主机和物理存储系统上运行虚拟化软件，将物理存储虚拟成满足上层需要的特定存储服务，主要涉及的物理设备有存储交换机、磁盘阵列等部件。

虚拟处理系统是通过在物理主机上运行虚拟机平台软件，将异构的物理主机虚拟成满足上层需要的虚拟主机，主要涉及的物理设备有主机服务器。虚拟处理系统可以使用本地硬盘、SAN、iSCSI等作为存储，也可以使用虚拟存储系统作为存储。客户虚拟机是虚拟处理系统将物理主机进行虚拟产生的虚拟机，是客户操作系统安装的位置。

业务管理平台负责向用户提供业务受理、业务开通、业务监视、业务保障等能力。业务平台通过与客户、计费系统、虚拟化平台的交互实现基础设施服务业务的端到端运营和管理。

在虚拟化安全方面，应充分利用虚拟化平台提供的安全功能，进行合理配置，防止客户虚拟机恶意访问虚拟平台或其他客户的虚拟机资源。

二、服务器虚拟化安全

虚拟机管理器VMM是用来运行虚拟机VM的内核，代替传统操作系统管理着底层物理硬件，是服务器虚拟化的核心环节。其安全性直接关系到上层的虚拟机安全，因此VMM自身必须提供足够的安全机制，防止客户机利用溢出漏洞取得高级别的运行等级，从而获得对物理资源的访问控制，给其他客户带来极大的安全隐患。

在具体的安全防护及安全策略配置上，应满足如下要求：

1.虚拟机管理器应启用内存安全强化策略，使虚拟化内核、用户模式应用程序及可执行组件（如驱动程序和库）位于无法预测的随机内存地址中。在将该功能与微处理器提供的不可执行的内存保护结合使用时，可以提供保护，使恶意代码很难通过内存漏洞来利用系统漏洞。

2.虚拟机管理器应开启内核模块完整性检查功能，利用数字签名确保由虚拟化层加载的模块、驱动程序及应用程序的完整性和真实性。

3.在安全管理上采取服务最小化原则：虚拟机管理器接口应严格限定为管理虚拟机所需的API，并关闭无关的协议端口。

4.规范虚拟机管理器补丁管理要求.在进行补丁更新前，应对补丁与现有虚拟机管理系统的兼容性进行测试，确认后与系统提供厂商配合进行相应的修复，同时应对漏洞发展情况进行跟踪，形成详细的安全更新状态报表。

5.对每台物理机之上的虚拟平台，严格控制对虚拟平台提供的HTTP、Telnet、SSH等管理接口的访问，关闭不需要的功能，禁用明文方式的Telnet接口。

6.在用户认证安全方面，采用高强度口令，降低口令被盗用和破解的可能性。

另外，在服务器虚拟化高可用性方面，目前一些主流虚拟化软件提供商推出了成熟的虚拟化高可用性技术或方案，如高可用性HA（High Availability）零宕机容错FT（Fault Tolerance）、备份与恢复DT（Data Recovery）等方式快速恢复故障用的虚拟机系统，提高用户系统的高可用性。

（1）高可用性；在宿主物理机发生故障时，受影响的虚拟机在其他宿主物理机上的备份自动重启，从而为虚拟机用户提供易于使用和经济高效的高可用性。其具体原理是虚拟化平台实施监控系统内虚拟机的运行状态，若该虚拟机没有在指定的时间内生成检测信息，就认为其发生了故障并自动重新启动该虚拟机。对于启用该服务，要求虚拟机预期备份虚拟机必须在不同的宿主物理机。

（2）零宕机容错：通过构建容错虚拟机的方式，在虚拟机发生数据、事务或连接丢失等故障时快速启用容错虚拟机。容错可提供比HA更高级别的业务连续性。

其具体要求是虚拟机与其容错虚拟机必须不在同一台宿主物理机上，容错保护的虚拟机文件也必须存储在共享存储器上。

（3）备份和恢复：可以实现对虚拟机进行全面和增量的恢复，也能进行个别文件和目录的恢复。在不中断虚拟机的使用或虚拟机提供的数据和服务的情况下，创建并管理虚拟机备份，并在这些备份过时后将其删除。可以根据故障虚拟机的状态选定虚拟机的存储点，然后将该虚拟机重新写入目标主机或资源池。在重写的过程中，Data Recovery仅改写有变动的数据，重写完后该虚拟机即可重新启动。

三、网络虚拟化安全

网络虚拟化安全主要通过在虚拟化网络内部加载安全策略，增强虚拟机之间以及虚拟机与外部网络之间通信的安全性，确保在共享的资源池中的信息应用仍能遵从企业级数据隐私及安全。其具体安全防护需求如下:

1.利用虚拟机平台的防火墙功能，实现虚拟环境下的逻辑分区边界防护和分段集中管理，配置允许访问虚拟平台管理接口的IP地址、协议端口、最大访问速率等参数。

2.利用现有虚拟基础架构容器（主机、虚拟交+机、VLAN）作为逻辑信任分区或组织分区。

3.定义策略以在分区边界之间对网络流量进行桥接、设置防火墙保护策略并加以隔离。

4.虚拟交换机应启用虚拟端口的限速功能，通过定义平均带宽、峰值带宽和流量突发大小，实现端口级别的流量控制。同时应禁止虚拟机端口使用混杂模式进行网络通信嗅探。

5.对虚拟网络平台的重要日志进行监视和审计，及时发现异常登录和操作。

6.在创建客户虚拟机的同时，根据具体的拓扑和可能的通信模式，在虚拟网卡和虚拟交换机上配置防火墙，提高客户虚拟机的安全性。

四、存储虚拟化安全

其具体安全防护要求如下：

1.提供磁盘锁定功能，确保同一虚拟机不会在同一时间被多个用户打开。

2.提供设备冗余功能，当某台宿主服务器出现故障时，该服务器上的虚拟机磁盘锁定将被解除，以允许从其他宿主服务器重新启动这些虚拟机。

3.开启多个虚拟机对同一存储系统的并发读／写功能，确保安全的并行访问。

4.提供数据存储的冗余保护，用户数据在虚拟化存储系统中的不同物理位置有多个备份，应不少于2个，并对用户透明。

5.虚拟存储系统应能在不中断正常存储服务的前提下实现对存储容量和存储服务进行任意扩展，透明地添加和更替存储设备，并具有自动发现、安装、检测和管理不同类型存储设备的能力。

6.虚拟存储系统应支持按照数据的安全级别建立容错和容灾机制，以克服系统的误操作、单点失效、意外灾难等因素造成的数据损失。

五、业务管理平台安全

业务管理平台指的是支撑基础设施服务业务提供、业务运营的系统，其可由虚拟化厂家提供，也可由第三方厂家提供。参考eTOM以及TMF相关标准的系统架构，业务管理平台功能可分为业务规划、业务订购、业务开通、业务监视、业务保障、业务计费等。业务管理平台的安全性直接影响着基础设施服务平台能否安全、稳定地运行。

业务管理平台在安全管理功能方面应能满足如下要求。

1.具备宿主服务器资源监控能力，可实时监控宿主服务器物理资源利用情况，包括CPU利用率、内存利用率、磁盘使用情况等，要求在宿主服务器出现性能瓶颈，如CPU利用率过高时发出告警。

2.具备虚拟机性能监控能力，可实时监控物理机上各虚拟机的运行情况，包括VCPU利用率、内存利用率、磁盘利用率等，要求在虚拟机出现性能瓶颈、如VCPU利用率超过90%时发出告警.

3.支持设置单一虚拟机的资源限制量，保护虚拟机的性能不因其他虚拟机尝试消耗共享硬件上的太多资源而降低。在虚拟机资源分配时，应充分考虑资源预留情况，通过设置资源预留和限制量，保护虚拟机的性能不会因其他虚拟机过度消耗宿主服务器硬件资源而降低。

综上所述，在云计算和虚拟技术作为新的企业级信息化解决方案，可整体信息化成本，提高信息化工作效率，保证信息安全。

[1]吴朱华.云计算核心技术剖析[M].人民邮电出版社，2001.

[2]张为民.云计算深刻改变未来[M].科学出版社，2009.

[3]王佳隽，吕智慧，等.云计算技术发展分析及其应用探讨[J].计算机工程与设计，2010，（31）.