基于VMware虛擬化的安全分析＊

（中國船舶重工集團公司第七一二研究所 武漢 430064）

1 引言

隨著人們對虛擬化認識的逐步深入，虛擬化應用越來越廣泛，作為虛擬化領域先行者和領導者的VMware，其虛擬化解決方案已經(jīng)在許多企業(yè)生根落地，取得了良好的應用效果。隨著虛擬化從企業(yè)的邊緣應用進入核心應用，用戶在享受虛擬化益處的同時，必須認識到虛擬化技術帶來的安全風險，針對性地采取技術防范措施，才能既利用虛擬化好處又保證信息系統(tǒng)安全。

虛擬化的安全風險表現(xiàn)在多個方面，物理硬件、虛擬化層、網(wǎng)絡架構、虛擬機備份、身份鑒別與訪問控制、虛擬機系統(tǒng)服務、補丁管理和病毒與惡意代碼等方面都不同程度存在著安全風險。物理硬件的安全風險在于如果選擇不支持虛擬機的物理硬件則不能較好發(fā)揮虛擬機的優(yōu)勢。虛擬化層直接與物理硬件和客戶端操作系統(tǒng)通訊，擁有大量對主機操作系統(tǒng)和硬件的高級訪問權限，虛擬機感知式惡意軟件（如RedPill）以及rootkits軟件（如BluePill）［1］，就是利用虛擬化層來攻擊整個虛擬機環(huán)境。虛擬化環(huán)境中存在著四種網(wǎng)絡：管理網(wǎng)絡、存儲網(wǎng)絡、虛擬機網(wǎng)絡以及Vmotion虛擬機遷移網(wǎng)絡，如果虛擬化管理員不隔離這些網(wǎng)絡，就有可能出現(xiàn)一些大的安全漏洞［11］。虛擬服務器在大多數(shù)方面都等同于物理服務器，因此在系統(tǒng)備份、身份鑒別與訪問控制、虛擬機系統(tǒng)服務、補丁管理和病毒與惡意代碼等方面都與物理服務器的安全風險類似［5］，但由于虛擬化的主要目標之一就是大幅度提高主機的資源利用率，閑置的資源很少，注定了虛擬化環(huán)境的安全防護措施既要使用傳統(tǒng)的安全技術手段，又要結合虛擬機的特殊性，采取新的技術措施。

虛擬化層（hypervisor層）是虛擬化軟件系統(tǒng)的核心層，理應由虛擬化廠商來能保證其安全性。目前VMware已經(jīng)提供了與VMware hypervisor整合的VMsafe開放技術平臺，為Trend、Symantec、McAfee這樣的獨立安全企業(yè)提供了比惡意程序更高的執(zhí)行權限［2］。利用VMware虛擬化軟件所具備的內(nèi)視能力（introspection）防止惡意程序與其他網(wǎng)頁威脅入侵企業(yè)網(wǎng)絡，并能夠?qū)﹃P機狀態(tài)下的VMware虛擬機進行掃描，待問題清除之后才啟動機器。

本文主要從物理硬件、網(wǎng)絡架構、虛擬機備份、身份鑒別與訪問控制、虛擬機系統(tǒng)服務、補丁管理和病毒與惡意代碼等幾個方面提出保障虛擬化安全的技術措施。

2 保障虛擬化安全的措施

虛擬機的安全問題是比較復雜的問題，在安全部署方面，不僅僅要考慮到虛擬機本身系統(tǒng)的安全，還要考慮其宿主機及網(wǎng)絡環(huán)境的安全，因此傳統(tǒng)的安全工具和方法通常需要升級，才能夠更好地應用于虛擬化環(huán)境。同時，在選擇新的工具和方法時，需要考慮與虛擬化技術的兼容性，不僅僅是單個產(chǎn)品與虛擬機之間的可操控性，更要求整個虛擬環(huán)境的可操控性。下面來分析保障虛擬化環(huán)境安全的具體措施。

2.1 選擇合適的主機硬件

由于不支持虛擬化的主機可能帶來潛在的安全風險，而且各虛擬化廠商都有其虛擬機兼容硬件列表，因此應投資購買支持虛擬機的硬件。

虛擬機的資源需求計算是很復雜的，通常采用以下計算公式來進行估算：

硬件資源需求＝H＋G1＋G2＋G3＋…＋GN＋O

在這個公式里，H＝虛擬機軟件所需資源，G＝虛擬機操作系統(tǒng)所需資源＋應用程序所需資源，O＝額外開銷［3］。

2.2 細化網(wǎng)絡設置、進行分區(qū)隔離

在虛擬環(huán)境中，系統(tǒng)的隔離和分區(qū)是十分重要的，因為盡管一個虛擬機的虛擬硬件與其他虛擬機的虛擬硬件是相互隔離的，但虛擬機的底層網(wǎng)絡通常是共享的，接入這樣一個共享網(wǎng)絡的任何虛擬機或虛擬機組都可以通過這些網(wǎng)絡鏈路進行通信，因此，它們有可能成為網(wǎng)絡中的攻擊目標。

隔離虛擬網(wǎng)絡既可以按照位置分開虛擬機，即把公共的虛擬機與專用的虛擬機分開，也可以按照服務類型分開虛擬機，如把系統(tǒng)管理類虛擬服務器、應用程序類虛擬服務器和數(shù)據(jù)庫虛擬服務器分開［4］。將各組虛擬機隔離在它們各自的網(wǎng)絡分段中，即不同的VLAN 中，借以最大限度地降低數(shù)據(jù)通過網(wǎng)絡從一個虛擬機分區(qū)泄漏到另一個虛擬機分區(qū)的風險［8］。實際上，對網(wǎng)絡進行分段可以降低多種類型的網(wǎng)絡攻擊風險，其中包括地址解析協(xié)議ARP欺騙。將網(wǎng)絡分段還有另一個好處，即簡化了進行合法性審計的過程，這是因為通過網(wǎng)絡分段，用戶能夠清楚地了解網(wǎng)絡中連接了哪些類型的虛擬機，從而進行分類管理。

2.3 選擇適用的虛擬機備份方案

虛擬機備份的主要問題在于虛擬機的閑置資源比較少，而備份應用會消耗大量服務器的輸入／輸出、CPU 和內(nèi)存資源，如果多個備份計劃重疊執(zhí)行，就會因占用過多系統(tǒng)資源而嚴重影響應用系統(tǒng)的運行效率［6］，因此傳統(tǒng)的備份方案不能照搬到虛擬化環(huán)境，那么應該怎樣選擇合適的虛擬機備份方案呢？高效適用的虛擬機備份產(chǎn)品和方案應具備以下特點：

1）能夠為附屬于客戶端虛擬機的虛擬硬盤創(chuàng)建快速、空間高效的高性能快照；

2）利用可感知應用程序的備份方案，對這些快照的創(chuàng)建和管理進行整合；

3）能夠訪問服務器上的快照而不是運行活動虛擬機的快照，這對于將備份負載及其附帶的資源消耗從活動的應用程序中分開是至關重要的；

4）擁有長期在線可用的快照，大多數(shù)快照具有空間高效功能，這意味著基鏡像（base image）及其子快照中的數(shù)據(jù)塊僅保持一次。這樣就可以廉價地長期保存許多快照，使得從快照中快速恢復數(shù)據(jù)變得簡單可行；

5）具備增量備份功能。虛擬機鏡像文件一般很大，通常數(shù)十個GB，如果備份軟件能感知上次備份之后鏡像的哪些部分發(fā)生了變化而進行增量備份，那么它的效率就可以變得更高。

2.4 利用雙重身份認證提高安全性

虛擬化環(huán)境中用戶身份認證是十分重要的安全環(huán)節(jié)，現(xiàn)在很多企業(yè)建立了域管理模式，通過域控制器集中管理用戶賬號和計算機資源，用戶訪問企業(yè)資源首先需要經(jīng)過AD 身份認證，但僅使用用戶名＋密碼的方式進行身份認證，即使設置了強密碼，依然存在攻擊者暴力破解的風險，如果使用域認證＋Ukey認證的雙重身份認證方式，則可以大為降低身份認證方面的安全風險。圖1介紹了在VM-ware虛擬化環(huán)境中使用域認證＋Ukey雙重身份認證的認證流程。

圖1 域認證＋Ukey雙重身份認證流程圖

域認證＋Ukey雙重身份認證流程說明：

用戶在瘦客戶端或PC 機上運行View Client，連接到虛擬化會話管理中心；

會話管理中心將用戶名和密碼發(fā)送到AD 身份認證服務器，進行域身份驗證；

域身份驗證通過后，從虛擬桌面服務器返回用戶自己的虛擬桌面，顯示Ukey登錄驗證界面；

用戶通過自己的虛擬桌面輸入Ukey的PIN 碼；

Ukey認證服務器驗證PIN 碼；

Ukey認證服務器與AD 交互域用戶信息；

Ukey認證通過后，登錄用戶自己的虛擬桌面；

完成域認證＋Ukey雙重身份認證的用戶即可使用單點登錄方式訪問應用系統(tǒng)。

2.5 分權進行訪問控制

VMware虛擬化環(huán)境集中管理控制臺VCenter的本地管理員（超級管理員）擁有最大的管理員權限，即擁有虛擬化環(huán)境下的所有特權操作權限，如果該用戶濫用特權，則可能對整個虛擬化環(huán)境造成無法估量的損失。為了化解該風險，應該采取分權制約的方式［7］。具體分權方案如下：

1）定義系統(tǒng)管理員、安全管理員、安全審計員三個角色（簡稱系統(tǒng)三員），系統(tǒng)三員彼此之間不得兼任；

2）在網(wǎng)絡主干防火墻上設置僅系統(tǒng)三員負責使用的IP地址能夠遠程訪問虛擬機管理中心VCenter，而且盡可能使用通信加密手段，如使用HTTPS、TLS或SSH 來遠程管理VCenter［3］。VCenter的本地管理員密碼由系統(tǒng)管理員和安全管理員分段掌握（每段都應該設置強密碼），只有當這兩位管理員同時在場并分別輸入正確的密碼時，才能執(zhí)行本地管理員的特權操作；

3）在VCenter和虛擬桌面管理器View Manager中創(chuàng)建三個角色：系統(tǒng)管理員、安全管理員、安全審計員，并分別進行權限設置：

系統(tǒng)管理員可以進行日常虛擬機創(chuàng)建和數(shù)據(jù)中心維護工作，但不能刪除虛擬機和審計VCenter系統(tǒng)日志；

安全管理員負責桌面資源池的日常創(chuàng)建和桌面資源池的授權以及廢止虛擬機的刪除，不能審計VCenter系統(tǒng)日志；

安全審計員擁有VCenter數(shù)據(jù)中心的系統(tǒng)日志審計權限，主要審計系統(tǒng)管理員和安全管理員的操作情況。

這樣系統(tǒng)三員權限彼此制約，各自獨立完成日常工作，僅當需要進行特權操作時，才由系統(tǒng)管理員和安全管理員同時在場操作，實現(xiàn)系統(tǒng)三員共同管理虛擬化環(huán)境的目標。

2.6 合理配置、加固系統(tǒng)、降低風險

通過合理配置，終止和禁用不必要的服務，可保持虛擬機操作系統(tǒng)的精簡，減少被攻擊的機會［3］。具體措施如下：

1）禁用部分功能。對單一操作系統(tǒng)的虛擬機來說，關閉屏幕保護、磁盤碎片整理、搜索工具（比如搜索磁盤內(nèi)的文件）、文件完整性檢查、日志和日志分析工具、系統(tǒng)更新、空閑檢測等功能，都不會影響虛擬機運行；

2）慎用文件共享功能。除非有業(yè)務需要，明確要求文件共享，否則應禁用文件共享功能；

3）設置時間同步。一般可以將物理域控服務器配置為時間服務器，宿主服務器和其他虛擬服務器的NTP源都指向該服務器；

4）斷開不使用的設備。虛擬技術允許虛擬機直接或間接控制物理設備，如軟驅(qū)、光驅(qū)、USB接口、打印機等。在虛擬機啟動的時候，它們會檢測這些硬件設備，如果多個虛擬機同時啟動，則第一個啟動的虛擬機優(yōu)先使用，其他虛擬機的檢測會被鎖定，這會造成不必要的啟動延遲。另外，如果光驅(qū)驅(qū)動器里的光盤含有惡意代碼，虛擬機可能會自動加載并執(zhí)行，類似于自動運行的功能，從而感染病毒或木馬。安全的做法是關閉所有可控制的物理設備，只在需要的時候才允許連接。

2.7 妥善解決補丁更新問題

虛擬機的快速增長給補丁更新帶來了沉重負擔。要保證虛擬機始終安裝最新的補丁，對于擁有數(shù)百個虛擬機鏡像庫的企業(yè)來說，將是一項十分繁重的任務。企業(yè)IT 部門應該制定虛擬機補丁更新的規(guī)范流程，這個流程除了要求解決正在運行的虛擬機的補丁狀態(tài)問題外，還應要求虛擬機管理員經(jīng)常檢查關閉的虛擬機的補丁狀態(tài)［9］，同時定期更新虛擬機模板，保證用來創(chuàng)建新虛擬機的鏡像模板內(nèi)安裝的軟件版本是最新的。

2.8 尋找解決病毒與惡意代碼問題的新方案

由于虛擬化環(huán)境的特殊性，采用傳統(tǒng)的病毒和惡意代碼解決方案解決虛擬機的防病毒問題，存在如下問題［10］：

1）在每個虛擬機上都部署防病毒軟件，會占用很多的ESX Server的資源，如：CPU、內(nèi)存、I／O 等，造成虛擬化密度低，影響投資效益；

2）如果全部防病毒軟件同時進行系統(tǒng)掃描，會形成“病毒風暴”，把ESX Server的資源全部吃滿，甚至造成宕機；

3）虛擬機存在使用和關閉兩種情況，對于關閉的虛擬系統(tǒng)是不能夠進行病毒庫升級的，但是這個虛擬機和虛擬化平臺底層是可以通信的，所以很容易被利用造成破壞。

因此我們需要選擇專為虛擬環(huán)境所打造的防病毒解決方案，此方案的特點是只在每臺宿主物理服務器上安裝一次，即可達到如下防護效果：

1）提升硬件服務器的使用率。即相同硬件能提高虛擬機密度；

2）簡化管理。能通過一次性的安裝部署，實現(xiàn)以主機為單位的保護管理；

3）能實現(xiàn)自動繼承的保護。也就是說虛擬鏡像可即裝即防，裸機也能立即保護。

對于已經(jīng)在虛擬化環(huán)境采用了傳統(tǒng)的病毒和惡意代碼解決方案的用戶，則應該細化虛擬機的病毒防護策略，對虛擬機實行分時升級和病毒掃描策略，避免所有虛擬機同時升級和掃描形成“病毒風暴”而導致系統(tǒng)服務異常，同時虛擬機管理員還應定期開啟關閉的虛擬機進行病毒庫升級和掃描。

3 結語

本文在分析基于VMware虛擬化環(huán)境存在的安全風險的基礎上，提出了降低風險的技術保障措施，并成功應用于某VMware虛擬化的實施部署項目中。該虛擬化實施項目重點從物理硬件選擇、網(wǎng)絡架構規(guī)劃、身份鑒別與訪問控制方案設計、虛擬機系統(tǒng)服務配置等方面著手，多管齊下，綜合利用多種虛擬化安全防護技術，保證了VMware虛擬化建設項目順利實施，并安全穩(wěn)定運行了兩三年。今后隨著各種核心業(yè)務系統(tǒng)逐步遷移到VMware虛擬化環(huán)境，還需要考慮的安全措施是部署整個虛擬化環(huán)境的快速災難恢復機制，并采用針對虛擬化環(huán)境的病毒與惡意代碼解決方案，實現(xiàn)批量虛擬機離線殺毒［13］，在進一步提高虛擬化安全性的前提下，充分整合數(shù)據(jù)中心資源，打造低碳環(huán)保、綠色節(jié)能高效的數(shù)據(jù)中心。

［1］Joanna Rutkowska，Security Challenges in Virtualized Environments［C］／／RSA Conference，2008（4）：48-54.

［2］http：／／security.ctocio.com.cn／securitycomment／321／8164321.shtml，虛擬機打開風險通道 安全問題不可回避.

［3］http：／／www.searchsecurity.com.cn／showcontent＿38595.htm，全面解析虛擬機安全.

［4］http：／／wenku.baidu.com／view／61df21c56137ee06eff918d6.html，虛擬化數(shù)據(jù)中心的網(wǎng)絡安全設計.

［5］林永菁.計算機光盤軟件與應用［J］.虛擬服務器的架設和安全性保障，2011（1）：99-100.

［6］http：／／storage.chinabyte.com／401／12137901.shtml，四大虛擬機備份因素解決數(shù)據(jù)恢復難題.

［7］http：／／tech.sina.com.cn／s／2008-08-27／0828783966.shtml，虛擬化六大安全問題 有待解決克不容緩.

［8］http：／／wenku.baidu.com／view／08583f01b52acfc789ebc9a4.html，知識學堂：如何應對虛擬化三種安全風險.

［9］http：／／wenku.baidu.com／view／87fcbd2c7375a417866f8fce.html，虛擬化安全問題.

［10］http：／／wenku.baidu.com／view／e46e81c59ec3d5bbfd0a746b.html，虛擬化安全可行性探討.

［11］http：／／wenku.baidu.com／view／0cc872d9ce2f0066f53322ce.html，虛擬化對數(shù)據(jù)庫安全性影響.

［12］孔藝權，王文娟.模擬器和虛擬機在網(wǎng)絡協(xié)議虛擬實驗的應用［J］.計算機與數(shù)字工程，2008，36（7）.

［13］文羽中，劉旭輝，祝沙沙，等.中國教育網(wǎng)絡［J］.vSphere提高虛擬機的安全性，2011（4）：43-45.