服務器虛擬化環境下的安全防護

國網山東省電力公司德州供電公司 唐 琳 李 偉 閆汝靜 宋 琳

1.引言

2011年，囯網德州供電公司實施服務器虛擬化應用整合項目，通過采用VMware虛擬服務器管理技術將應用服務器進行統籌管理，對關鍵業務應用進行整合，實現11臺物理服務器遷移至2個刀片服務器的虛擬化環境，每臺服務器的利用率從5%-15%提高到60%-80%，大大提高了資源利用率，有效控制和減少了物理服務器的數量，節省了機房能耗，降低了軟硬件購置和運維成本，提高了運維效率，加快了新服務器和應用的部署，大大降低了服務器重建和故障恢復時間，極大地減少了管理維護量。虛擬化技術為工作帶來便利的同時，也為信息安全提出了新的問題，如何在安全的范疇內使用服務器虛擬化技術，增強虛擬機技術的安全性和構建可信的虛擬化環境，成為迫在眉睫需要解決的問題。

2.服務器虛擬化面臨的安全威脅

2.1 高資源利用率帶來的風險集中

通過虛擬化技術，提高了服務器的利用效率和靈活性，但虛擬化后多個應用集中在1臺服務器上，一旦硬件出現斷電、機器過熱升溫、硬盤等故障問題導致服務器崩潰，所有的應用都會中斷。它比非虛擬化環境中一臺服務器崩潰引起一個應用中斷帶來的問題要嚴重得多。

2.2 虛擬化網絡環境風險

服務器虛擬化過程中的一個重要環節就是網絡架構的變化。在非虛擬化環境中，一般通過防火墻、IPS、IDS等設備針對不同的服務器設置安全規則來進行管理。即便服務器受到攻擊，其危害性的擴散也是有限的。但是在虛擬化環境下，系統之間的邊界不單單是以物理設備的形式存在，同一臺物理服務器上的虛擬機之間通過虛擬網絡通信，這就導致傳統的邊界防護設備捕捉不到這些流量，也就不能進行防護。因此基于物理設備進行邊界防護的手段不適用于對虛擬化環境的邊界保護。

2.3 虛擬化管理工具自身缺乏保護措施帶來的隱患

虛擬化管理工具為快速配置虛擬化環境提供了極大的方便，但也正是由于這個原因，導致它極易受到攻擊。一旦惡意攻擊者獲得管理工具的權限，給整個虛擬化環境帶來的危害將是巨大甚至是災難性的。虛擬機遷移以及虛擬機間的通信將會大大增加服務器遭受滲透攻擊的機會。此外，還有一些用作測試目的的虛擬機可能會與重要的虛擬機存在于同一虛擬局域網中，這也會給滲透攻擊帶來機會。

2.4 虛擬機補丁引起的安全問題

由虛擬機補丁引起的安全問題有兩種情況：一是安裝補丁的進度跟不上虛擬機系統的實際需要。服務器虛擬化后，每臺物理服務器上可以放置多個虛擬機，而每一個虛擬機必須像單獨的物理服務器那樣安裝補丁和更新系統以便及時修補潛在的安全漏洞。這樣，需要管理的對象相應地增多，可能導致虛擬機系統遲滯不同級別的補丁和更新。二是有時用戶會保持少量的重要鏡像，需要時從這些鏡像推出新虛擬機，或者將虛擬機拍一個快照寫入硬盤，需要時利用離線庫中存儲的虛擬機進行災難恢復。但是，這些用于災難恢復的虛擬機可能沒有更新殺毒軟件病毒庫和系統補丁文件，這樣，虛擬機在運行時就可能引發安全問題。

3.服務器虛擬化安全防護研究

3.1 細化網絡設置、合理進行分類部署

增強虛擬服務器的邏輯隔離與網絡隔離，隔離虛擬網絡既可以按照位置分開虛擬機，即把公共的虛擬機與專用的虛擬機分開，也可以按照服務類型分開虛擬機，如把系統管理類虛擬服務器、應用程序類虛擬服務器和數據庫虛擬服務器分開。將各組虛擬機隔離在它們各自的網絡分段中，即不同的VLAN中，借以最大限度地降低數據通過網絡從一個虛擬機分區泄漏到另一個虛擬機分區的風險。

虛擬化環境的邊界防護應該具體到每個虛擬機，邊界防護設備應該能識別每個虛擬機并對虛擬機的邊界訪問行為進行控制。從虛擬化的實現原理來看，所有的虛擬化系統都是基于虛擬層實現的。為了達到這樣的目的，邊界防護需要充分利用虛擬層提供的安全服務。以VMware為例，VMware提供了介于虛擬機器與Hypervisor之間的虛擬層——Vmsafe，Vmsafe一部分位于Hypervisor內，另一部分以API的形式提供。Vmsafe能對進出虛擬機的所有流量進行檢測，識別信息的端口、協議、目的地，對信息的內容進行分析以識別入侵行為或者進行病毒檢查。

3.2 提高虛擬化基礎設施的自身保護、分權進行訪問控制

虛擬化管理工具是整個系統的管理中樞，所有虛擬機的生成、策略設置以及維護都可以通過管理工具完成。以VMware為例，VMware虛擬化環境集中管理控制臺VCenter的本地管理員（超級管理員）擁有最大的管理員權限，即擁有虛擬化環境下的所有特權操作權限。為了化解虛擬化管理工具自身缺乏保護帶來的安全風險，可采取分權制約的方式。具體分權方案如下：

(1)定義系統管理員、安全管理員、安全審計員三個角色，三個角色彼此之間不得兼任。

(2)在VCenter和虛擬桌面管理器View Manager中創建這三個角色，并分別進行權限設置：系統管理員可以進行日常虛擬機創建和數據中心維護工作，但不能刪除虛擬機和審計VCenter系統日志；安全管理員負責桌面資源池的日常創建和桌面資源池的授權以及廢止虛擬機的刪除，不能審計VCenter系統日志；安全審計員擁有VCenter數據中心的系統日志審計權限，主要審計系統管理員和安全管理員的操作情況。

(3)在網絡主干防火墻上設置僅這三個角色負責使用的IP地址能夠遠程訪問虛擬機管理中心VCenter。VCenter的本地管理員密碼由系統管理員和安全管理員分段掌握（每段都應該設置強密碼），只有當這兩位管理員同時在場并分別輸入正確的密碼時，才能執行本地管理員的特權操作。

這樣三個角色權限彼此制約，各自獨立完成日常工作，實現三個角色共同管理虛擬化環境的目標。

3.3 合理配置、加固系統、降低風險

通過合理配置虛擬服務器，系統安全加固，部署安全工具，減少虛擬服務器被攻擊的機會。

(1)在部署虛擬服務器的時候，應該根據虛擬服務器的用途以及可能要承擔的并發訪問量，確定物理服務器的性能與數量。根據物理服務器與虛擬服務器的比例估算出物理服務器的硬件配置、電源負荷以及散熱狀況。所有物理機、管理程序、虛擬機的配置和數量都建在固定模板中，確保配置可控、可管，并將虛擬機管理放入安全策略。

(2)應對虛擬化環境中的所有系統進行安全加固，包括承載虛擬機的物理主機、用于管理虛擬化環境的vCenter Server以及所有虛擬機。應當像對待一臺物理服務器一樣地對虛擬服務器進行系統安全加固，措施包括系統補丁、應用程序補丁、允許運行的服務、開放的端口等。關閉所有可控制的物理設備，只在需要的時候才允許連接。加強對虛擬機生命周期的管理、身份認證和訪問授權控制。并注意保證同一主機上的虛擬機采取相同的安全保護策略，避免較低安全保護級別的機器影響其他機器的安全。

(3)針對虛擬機網絡內部攻擊問題，必須部署必要的安全工具。在虛擬機上安裝殺毒軟件和惡意軟件防護程序，及時為虛擬機進行漏洞修補和程序升級。微軟和VMware都為自己的基礎設施產品提供了補丁管理的時間表，訂閱這些廠商的郵件更新列表，當有更新補丁時，就可以在第一時間打上補丁。對于用于災難恢復的虛擬機，可以隔一段時間進行一次補丁及病毒庫更新，再重新進行鏡像存放。

(4)利用虛擬化監控工具，檢測出未授權的拷貝和“克隆”虛擬機的行為，確保敏感信息在正確的管控中。針對虛擬機濫用、惡用問題，應加強服務器資源監控與容量分析功能，對所占用資源進行定期報告，對突發變化進行報警。同時嚴格設計基于業務邏輯的訪問控制策略，進行虛擬機加密、訪問授權和跟蹤審計等安全控制。

3.4 制定安全管理制度、加強安全風險評估

虛擬化安全管理是一項系統性工作，僅靠一些技術手段無法保證安全運行，還要結合一些管理規定和策略，以及必要的人員培訓，才能最終達到安全保證的要求。

3.4.1 管理制度

(1)制定虛擬機管理制度，明確管理責任和使用權限。

(2)制定專門的虛擬機審核、追蹤流程，做好虛擬機的備案工作，避免虛擬機的盲目擴張而導致的管理受控，及時關停停止使用的虛擬服務器。

(3)應對虛擬化環境制定應急預案，確保在災難發生時，能迅速應對。并定期開展應急演練，及時修編完善應急預案，實現動態管理。

3.4.2 風險評估

對虛擬化環境的安全管理，還應包括定期的風險評估工作。主要的評估項目包括：日志審計、漏洞掃描、滲透測試、配置核查、鏡像文件一致性核查等內容。這些評估項目在非虛擬化環境中已經存在，所不同的是需要針對虛擬化環境的特殊性進行相應的調整。需要對虛擬機承載的業務系統的安全需求進行評估，將具有相同安全需求的虛擬機部署在同一臺主機上，盡量不要把不同安全需求的虛擬機放在一起。

4.結語

服務器虛擬化技術在給用戶節約資金、帶來快捷服務的同時，也給信息系統安全帶來不可忽視的問題。為了有效規避服務器虛擬化導致的安全風險，需要統籌考慮，綜合采取技術、管理、運維等手段，對服務器虛擬化帶來的信息安全風險進行防范，增強虛擬機技術的安全性和構建可信的虛擬化環境，對虛擬化系統中各個層次組件做嚴密防護，完善安全管理策略，嚴格執行安全措施并加強人員培訓，將風險控制在可控的范圍之內，才能既更好地利用服務器虛擬化技術為企業服務，又保證信息系統安全，讓服務器虛擬化技術發揮出最大的價值。

[1]吳岳,尤煒.虛擬服務器部署過程中的安全隱患與防范措施[J].科技資訊,2010(20):16.

[2]盧凱.服務器虛擬化安全風險分析[J].銅仁學院學報,2012,14(4):135-136.

[3]刁宇亮.虛擬化安全建設研究[J].計算機安全,2012(1):65-69.

[4]譚文輝.基于VMware虛擬化的安全分析[J].艦船電子工程,2012,32(5):113-115.