虚拟化技术安全策略探讨
2016-02-06张云霞
◆张云霞
(航天恒星科技有限公司(503所) 北京 100086)
虚拟化技术安全策略探讨
◆张云霞
(航天恒星科技有限公司(503所) 北京 100086)
随着虚拟化技术的不断普及和应用,安全问题的重要性日益显现,并成为制约虚拟化技术发展的关键因素。虚拟化技术本身不仅面临传统网络已有的安全威胁,还面临其自身在安全方面所引入的,诸如安全隔离、受控迁移、权限访问等系列安全问题的影响。本文论述了虚拟化技术存在的安全风险,并提出了针对性的安全策略。
虚拟化技术;虚拟化安全
0 引言
计算机虚拟化(Virtualization)是指计算机系统运行在虚拟硬件之上而不是真实的物理硬件之上,这种把有限固定的硬件资源根据不同需求进行抽象,重新规划成逻辑资源以达到最大利用率的方法,实现简化管理,优化资源等目的的解决方案,叫做虚拟化技术。虚拟化技术(Virtualization)起源于20世纪60年代,作为云计算领域的核心技术,在企业中得到了广泛应用,并具有巨大的市场前景。
虚拟化技术有赖于硬件资源的虚拟化技术,硬件虚拟化技术即包括CPU虚拟化技术,内存虚拟化技术,I/O虚拟化技术等。而虚拟化安全主要是指虚拟机安全隔离、受控迁移、权限访问等。
1 虚拟化安全风险
虚拟化技术带来了IT资源的整合以及桌面终端的变革,同时也引发了系列安全方面的问题。在虚拟化环境下,除了面临在传统IT架构下的安全威胁,如恶意代码、操作系统和应用软件漏洞、网络窃听和非授权访问等,还存在虚拟化自身引入的特有安全风险。
1.1 虚拟化架构安全
在虚拟化环境中,首先就是虚拟系统自身架构的安全,而系统架构安全中最重要的是虚拟机隔离和访问控制。虚拟化架构具有动态性,虚拟机可以被创建、修改、关闭或者迁移到其他物理服务器上,虚拟化的实质就是通过软件来模拟底层硬件的操作,从而存在大量的代码安全漏洞。利用这些虚拟化软件的漏洞,将可能获得虚拟机管理权限,随意对系统进行设置和修改,得到整个数据中心的控制权,进而访问到系统内存储的涉密应用和数据。
1.2 数据保密与防护
在虚拟化平台中存在集中的虚拟化管理程序,该程序与其他系统进程,以及其他虚拟机之间的通信数据中通常包含重要的信息,必须对这些数据进行保密和完整性保护。在虚拟化环境中,所有的服务器和应用都以镜像的形式进行存储,这种方式在提供系统恢复便利性的同时,也极易导致涉密数据的泄露。如果不采取安全保护措施,使用U盘、SD卡,甚至MP3都可以方便的将服务器镜像复制下来并带走。
1.3 虚拟环境网络隔离与控制
在虚拟化环境中,一切都是集中式、共享式的,有可能将不同安全级别的虚拟机部署在同一台物理主机上,使得高安全级别的服务器有可受到来自低级别用户的破坏和攻击。此外,虚拟服务器通过虚拟交换设备连接到一个虚拟网络中,终端桌面也是虚拟化,集中部署在数据中心,使得网络边界变得模糊,而且IP地址经常变动,虚拟机之间的网络流量可能不通过物理网络设备,导致传统的网络安全系统如防火墙、IDS、IPS对虚拟机之间的通信数据包及通信流量不可见,从而逃避传统网络安全设备的监管,造成安全盲点。
1.4 虚拟机迁移攻击
在虚拟化环境中,一台服务器可以跨越不同的物理设备。当进行数据灾备或性能扩充时,虚拟机可以在不同物理设备之间迁移。这使得数据中心更加灵活,节约开销,但增加了安全风险,使安全管理更加复杂,随着网络地址、端口等特性的变化,安全设置更容易出问题。
当虚拟机从一台物理服务器迁移到另一台物理服务器时,迁移过程中虚拟机镜像数据存在窃取和篡改的可能。迁移过程中虚拟磁盘被重新创建,攻击者能够改变源配置文件和虚拟机的特性。
1.5 虚拟机逃逸
虚拟机设计目的是同一台物理服务器上的多个VM共享物理硬件,如CPU、内存和I/O设备,并相互隔离,但由于技术的限制和虚拟化软件的漏洞,在某些情况下,虚拟机里运行的程序会绕开底层,取得宿主机的控制权,利用宿主机做某些攻击或破坏活动,这种技术叫做虚拟机逃逸技术。
1.6 拒绝服务(DoS)攻击
非法用户通过暴力破解云存储系统的数据分发逻辑。同时,在虚拟化环境下,由于虚拟机和宿主机共享资源(如CPU、内存、硬盘和网络),虚拟机会强制占用一些资源,从而由于没有可用资源,造成系统拒绝来自其他虚拟机的所有请求。
2 虚拟化安全策略
虚拟化系统的安全性密切依赖每个组件自身的安全,包括Hypervisor、宿主操作系统、客户操作系统、应用和存储,应确保对这些组件的安全防护。下面根据虚拟化系统中面临的安全风险,提出针对性的安全策略。
2.1 以密码技术为核心,实现数据安全
虚拟化系统主要的安全任务是涉密信息的机密性保护,阻止非法泄密事件的发生,而确保数据的机密性最核心的仍是密码技术。
在虚拟化环境中,需要考虑进行加密保护的几个环节包括:镜像数据的存储、镜像数据迁移过程以及远程访问数据中心的网络连接等。此外,可以在多个层来实现加密保护,包括应用层、网络层或者是底层存储设备层。在虚拟化层实现数据的加密,可以将同态加密等技术运用到虚拟化系统中,使得系统在无需读取涉密数据的情况下对这些数据进行处理,确保只有在最终本地用户处才会显示明文,降低数据中心数据泄露的风险。对镜像进行完整性校验也极为重要,可以防止针对镜像文件的非授权篡改。
2.2 可信虚拟机与访问控制
在确保共享资源的前提下,实现虚拟机的受控访问。控制所有到资源池管理工具的访问,控制对虚拟机文件的访问。
虚拟化软件层是保证虚拟机多用户环境下的相互隔离的重点,必须严格限制任何未经授权的用户访问虚拟化软件层,并对其进行完整性和可用性保护。同时,选择直接运行在硬件之上硬件的虚拟化管理程序而不是运行在操作系统之上的软件虚拟化管理程序。选择的底层硬件也应能支持虚拟化技术,这样可以实现多个层次上的隔离和控制。
同时,需要对虚拟机进行一定程度的隔离,处理涉密数据的虚拟机与处理非密数据的虚拟机不能共享硬件,最好根据处理涉密数据的级别和类型来进行硬件资源的划分与隔离。每台虚拟服务器分配一个独立的硬盘分区,实现各虚拟机的逻辑隔离。
在虚拟机监控器中植入可信根构建可信虚拟化环境,从虚拟机的建立到所提供的服务建立一条完整的可信信任链。可信虚拟机监控器结构如图1所示。
图1 可信虚拟机监控器结构
可信环境的建立全面制约了云计算的应用,通过虚拟机的可信环境创立到系统的安全调用,都有效阻止了恶意应用对云计算平台的安全攻击,包括信任链中每个环节的权限审查、异常检测以及完整性验证等。
2.3 跨平台虚拟安全管理
在虚拟化环境中可能既有传统的IT设备,也有虚拟化的各类服务器、网络和安全设备以及终端,运行的操作系统、平台和应用也各不相同,需要有一套能够同时解决虚拟环境和物理环境安全问题的跨平台解决方案,能够在整个数据中心执行统一的安全策略。虚拟安全管理能够随着虚拟化环境的变化而进行调整,能够动态地进行安全策略的配置和监控。
2.4 用户认证
用户认证与授权旨在授权合法用户进入系统和访问数据,防止非授权用户的访问。在进行用户身份认证时,采用基于非对称密码算法的公开密钥基础设施(PKI)以及X.509.3证书的认证体系,每个用户以及每个虚拟机和虚拟设备都相互通过数字证书来进行身份认证。只有通过认证的用户才允许访问各自经过加密的系统镜像文件,或者将镜像下载到本地进行访问。
2.5 虚拟机自省
为了支持合理的安全策略,系统中应部署一些常用的安全设备和各种必要的工具,如系统管理工具、管理清单、监管和监视工具等。
在虚拟机外,安全工具从VMM得到的虚拟机状态一般是寄存器,内存等低级别信息。而安全工具则使用程序的高层语义信息如文件行为、进程行为、系统服务行为等。虚拟机自省通过读取虚拟机的状态,利用已知的虚拟机操作系统知识,如数据结构和函数定义等,重建面对复杂的操作系统环境特别是非开源系统如何有效正确的应用已有的程序分析方法完成自省,仍需进一步研究。
3 结束语
对于虚拟化环境下安全的研究,随着虚拟化技术应用的不断深入,研究的重点集中在虚拟机的隔离,虚拟机流量的监控和虚拟的可信平台的稳固上,只有解决这些问题,才能够确保云计算平台的虚拟化安全。解决虚拟化的安全,需要统筹考虑,综合采取技术、管理、运维等手段,对虚拟化系统生命周期的各个阶段及其系统中各个层次组件做严密防护,从而保障系统的安全性。
[1]易涛.云计算虚拟化安全技术研究[J].信息安全与通信保密,2012.
[2]房晶,吴昊,白松林.云计算的虚拟化安全问题[J].电信科学,2012.
[3]余秦勇,童斌,陈林.虚拟化安全综述[J].信息安全与通信保密,2012.
[4]赵晓东,曾庆凯.基于系统虚拟化的安全技术研究[J].计算机工程与设计,2013.
[5]蒋万春,汤立,陈震.虚拟化安全问题探析[J].信息网络安全,2010.
