打造全面安全的虛擬化方案

近年來，企業隨著信息化應用的不斷深入和虛擬化技術的不斷完善，企業的虛擬化應用從服務器到桌面、從網絡到應用，越來越廣泛。但是在享受虛擬化帶來的高效、節能、方便快捷的好處的同時，用戶也正在面臨著隨之而來的安全威脅。

虛擬化在資源利用率、方便性、可管理性等方面的優勢日漸凸顯，因此越來越多的企業對自己的IT系統開始進行虛擬化改造。但是，虛擬化在帶來各種便利的同時，也在某種方面增加了安全風險。只有充分了解系統虛擬化之后在安全方面發生的變化，才能部署相應安全措施，做到趨利避害，化解因虛擬化帶來安全風險。

一個典型的企業網絡架構（如上圖）往往都是分為了內網和外網，其中內網區域中有多種業務系統，如用于登錄認證的Radius服務器和動態目錄（AD）服務器、辦公自動化（OA）系統和企業管理系統服務器、內部Web和文件共享服務器等；外網區域中有例如企業門戶網站這樣的面對公眾服務的多種業務系統服務器。

針對這樣的網絡架構，企業用戶虛擬化多分為服務器虛擬化、網絡虛擬化、存儲虛擬化、桌面虛擬化四個領域。服務器虛擬化主要任務是將多個物理服務器用虛擬機的方式整合到一個物理主機上，從而提高就有系統的兼容性，提高設備利用率和管理效率，降低能耗。網絡虛擬化不是新概念，VLAN和VPN都是網絡虛擬化的具體體現，也早已被廣泛應用。同時它也是服務器虛擬化的基礎。存儲虛擬化是將分散的存儲資源整合在一起，形成一個統一的存儲池。在很多企業中，還是實現了桌面虛擬化，即將用戶終端環境在服務器端虛擬化實現，通過虛擬化交付協議呈現在客戶端界面上。

理清虛擬化的衍生風險

企業信息系統在虛擬化改造之后，在某些方面會提高安全性，同時也會帶來一些新的風險，這些風險是新技術的必然產物，其表現形式與傳統網絡環境中的風險類似。本章節羅列的風險只涵蓋了因虛擬化所衍生的新風險，而不涉及虛擬機內部與傳統網絡環境中完全一樣的風險，例如虛擬機被植入僵尸程序后發動拒絕服務攻擊。

漏洞和配置錯誤

如同傳統的IT系統一樣，虛擬化系統中也存在大量漏洞，一部分漏洞是存在于虛擬機上，另一部分則屬于Hypervisor。類似地，虛擬化系統中也同樣會有配置錯誤的情況。

Hypervisor上常見的配置錯誤包括：虛擬機集群非常龐大的情況下多個虛擬網絡的配置；對于虛擬機之間通訊的配置存在錯誤；對Hypervisor管理接口的訪問限制的配置不夠嚴格；對虛擬機可訪問物理接口（磁盤驅動器和網絡適配器等）的配置錯誤。

當虛擬機上存在漏洞，使得攻擊者完全控制一個虛擬機后，通過利用各種Hypervisor安全漏洞，可以進一步滲透到Hypervisor甚至其它虛擬機中。這就是所謂的逃逸威脅。同時還可能導致數據泄露以及針對其它虛擬機的拒絕服務攻擊。

脆弱的身份認證

在傳統網絡環境中，各業務系統是分立的，管理員口令和密碼也是單獨的。即使口令被暴力破解，影響面也比較小。而在虛擬化環境中，如果虛擬化管理系統的管理員口令被暴力破解，將會影響到整個虛擬化網絡。因此在虛擬化環境中使用用戶名和口令進行本地認證，風險非常高。

監管障礙

實現虛擬化后，一方面會造成網絡流量監控的盲點，因為在傳統網絡環境中，基于區域（Zone）劃分保護的硬件防火墻，以及基于行為特征分析的IDS/IPS對整個網絡防護（從外到內、從內到外、從內到內等通信）起關鍵作用。但在虛擬化環境中，同一物理機上各虛擬機之間通信流量根本不經過這些網絡安全設備，這顯然是網絡安全防護中的盲點；另一方面使得整個系統的安全邊界模糊化，傳統的安全域有明確的物理邊界，而在虛擬化環境下，這種安全邊界變得模糊起來，同一物理主機上有多個屬于不同安全域的節點。

數據殘留風險

數據殘留是數據在被以某種形式擦除后所殘留的物理表現，存儲介質被擦除后可能留有一些物理特性使數據能夠被重新恢復。在虛擬化環境中，因為存儲資源和計算資源的公共共享，數據殘留有可能會無意泄露敏感信息。但是在企業網絡環境中，所有的存儲資源都是自有的，這種風險相對要小很多。

虛擬化安全的方案與對策

為了應對虛擬化的衍生風險，需要從技術、管理、人員等幾個方面考慮安全方案和策略。即增加必要的技術手段，覆蓋因虛擬化產生的管理盲區。調整管理流程并加強人員培訓，以適應虛擬化環境下的新要求。與傳統網絡環境的安全管理類似，虛擬化信息體系的安全管理也需要從變更管理、異常監控、攻擊防護、訪問控制、身份認證、行為審計、通訊加密、追蹤取證、數據管理等方面入手。

變更管理

變更管理的任務包括：及時安裝Hypervisor 和虛擬機的各種更新和補丁；正確配置系統Hypervisor 和虛擬機的各種設置選項（如與可信任的授權時鐘服務器同步、虛擬機之間通訊的配置、虛擬機對物理接口訪問的配置、虛擬機 集群配置、Hypervisor 的隱形化處理等）；監控系統配置的變化，防止非法篡改。

在實際案例中，可以采用VMware vSphere Update Manager和 VMware vCenter Configuration Manager作為變更管理的工具。

Update Manager 可以安全地修補離線虛擬機，即在非啟動的狀態下直接修改鏡像文件中的二進制文件然后再保存，而無需將其暴露在網絡上，從而降低了生產環境中非遵從虛擬機造成安全問題的風險。

Configuration Manager可以對系統進行策略驅動的變更檢測，并識別變更是否在策略范圍內。這些策略是基于整個行業規范的預期的可接受行為或自定義的最佳實踐。

異常監控與攻擊防護

對虛擬機的監控包括性能和流量兩個方面。在虛擬化環境中，由于虛擬機的通信是通過虛擬交換完成的，這部分網絡通訊無法像傳統網絡中那樣通過監聽或嗅探獲得，因此必須找到一種監控虛擬機網絡流量的手段，并對這些流量進行分析，及時發現異常。對虛擬機的性能監控情況也是類似，需要在Hypervisor層部署相應的監控代理才能獲得每個虛擬機的性能情況。對于硬件性能的監控，需要虛擬化平臺自身提供相應的支持。

對虛擬環境的攻擊防護分為兩方面。一方面防止從外部對整個虛擬化系統進行DDoS攻擊防護。本案例采了中科慧創的主機主動防御系統進行防護。另一方面在現實虛擬化環境中，已經出現某個虛擬機對其它虛擬機的攻擊的案例。因此需要對不同虛擬機集群以及不同的虛擬機之間采取安全防護和隔離措施。

訪問控制與身份認證

虛擬化平臺自身通常都帶有訪問控制組件，例如VMware vCenter Server提供一個單一控制點。它還提供與活動目錄的訪問接口，與活動目錄相連以獲得用戶訪問控制信息。為防止對虛擬機和Hypervisor的訪問認證被暴力破解，本案例中使用雙因子的RSA動態令牌認證系統。甚至在某些認證安全等級要求較高的場合，可以考慮采用數字證書的方式實現身份認證。此外，還可以通過防火墻等訪問控制機制，限制遠程Hypervisor的管理訪問。

鏡像管理、災難恢復與追蹤取證

虛擬化環境下是鏡像管理可以包括：對鏡像文件和快照的訪問要進行嚴格控制，防止非授權訪問；檢查加密校驗和來判斷鏡像是否被篡改；保存一份好的Guest OS 鏡像備份，以便在虛擬機被攻陷或鏡像文件損壞后，使用備份的鏡像文件快速恢復；一旦確定虛擬機被攻陷，應對被攻陷的虛擬機 操作系統進行研究，查找惡意軟件；對被攻陷的虛擬機應立即封裝映像文件并留下快照，形成司法證據并作為后續攻擊機制分析的資料線索。

管理策略與風險評估

虛擬化安全管理是一項系統性工作，僅靠一些技術手段無法保證安全運行，還要結合一些管理規定和策略，以及必要的人員培訓，才能最終達到安全保證的要求。

所以虛擬化改造以后，需要對原有的安全管理流程和規定重新梳理，以適應新的網絡環境要求。例如，應對虛擬化環境應制定應急預案，以確保在災難發生時，能迅速應對。

對虛擬化環境的安全管理，還應包括定期的風險評估工作。主要的評估項目包括：日志審計、漏洞掃描、滲透測試、配置核查、鏡像文件一致性核查等內容。這些評估項目在傳統IT環境中已經存在，所不同的是需要針對虛擬化環境的特殊性進行相應的調整。

作者簡介

杜林明，畢業于北京交通大學，專業為管理信息系統。先后就職于南車眉山車輛有限公司信息中心，2001年至今在中國南車股份有限公司信息技術部，現任中國南車股份有限公司信息技術部處長。