虛擬化技術安全策略探討

◆張云霞

（航天恒星科技有限公司（503所） 北京 100086）

虛擬化技術安全策略探討

◆張云霞

（航天恒星科技有限公司（503所） 北京 100086）

隨著虛擬化技術的不斷普及和應用，安全問題的重要性日益顯現，并成為制約虛擬化技術發展的關鍵因素。虛擬化技術本身不僅面臨傳統網絡已有的安全威脅，還面臨其自身在安全方面所引入的，諸如安全隔離、受控遷移、權限訪問等系列安全問題的影響。本文論述了虛擬化技術存在的安全風險，并提出了針對性的安全策略。

虛擬化技術；虛擬化安全

0 引言

計算機虛擬化（Virtualization）是指計算機系統運行在虛擬硬件之上而不是真實的物理硬件之上，這種把有限固定的硬件資源根據不同需求進行抽象，重新規劃成邏輯資源以達到最大利用率的方法，實現簡化管理，優化資源等目的的解決方案，叫做虛擬化技術。虛擬化技術（Virtualization）起源于20世紀60年代，作為云計算領域的核心技術，在企業中得到了廣泛應用，并具有巨大的市場前景。

虛擬化技術有賴于硬件資源的虛擬化技術，硬件虛擬化技術即包括CPU虛擬化技術，內存虛擬化技術，I/O虛擬化技術等。而虛擬化安全主要是指虛擬機安全隔離、受控遷移、權限訪問等。

1 虛擬化安全風險

虛擬化技術帶來了IT資源的整合以及桌面終端的變革，同時也引發了系列安全方面的問題。在虛擬化環境下，除了面臨在傳統IT架構下的安全威脅，如惡意代碼、操作系統和應用軟件漏洞、網絡竊聽和非授權訪問等，還存在虛擬化自身引入的特有安全風險。

1.1 虛擬化架構安全

在虛擬化環境中，首先就是虛擬系統自身架構的安全，而系統架構安全中最重要的是虛擬機隔離和訪問控制。虛擬化架構具有動態性，虛擬機可以被創建、修改、關閉或者遷移到其他物理服務器上，虛擬化的實質就是通過軟件來模擬底層硬件的操作，從而存在大量的代碼安全漏洞。利用這些虛擬化軟件的漏洞，將可能獲得虛擬機管理權限，隨意對系統進行設置和修改，得到整個數據中心的控制權，進而訪問到系統內存儲的涉密應用和數據。

1.2 數據保密與防護

在虛擬化平臺中存在集中的虛擬化管理程序，該程序與其他系統進程，以及其他虛擬機之間的通信數據中通常包含重要的信息，必須對這些數據進行保密和完整性保護。在虛擬化環境中，所有的服務器和應用都以鏡像的形式進行存儲，這種方式在提供系統恢復便利性的同時，也極易導致涉密數據的泄露。如果不采取安全保護措施，使用U盤、SD卡，甚至MP3都可以方便的將服務器鏡像復制下來并帶走。

1.3 虛擬環境網絡隔離與控制

在虛擬化環境中，一切都是集中式、共享式的，有可能將不同安全級別的虛擬機部署在同一臺物理主機上，使得高安全級別的服務器有可受到來自低級別用戶的破壞和攻擊。此外，虛擬服務器通過虛擬交換設備連接到一個虛擬網絡中，終端桌面也是虛擬化，集中部署在數據中心，使得網絡邊界變得模糊，而且IP地址經常變動，虛擬機之間的網絡流量可能不通過物理網絡設備，導致傳統的網絡安全系統如防火墻、IDS、IPS對虛擬機之間的通信數據包及通信流量不可見，從而逃避傳統網絡安全設備的監管，造成安全盲點。

1.4 虛擬機遷移攻擊

在虛擬化環境中，一臺服務器可以跨越不同的物理設備。當進行數據災備或性能擴充時，虛擬機可以在不同物理設備之間遷移。這使得數據中心更加靈活，節約開銷，但增加了安全風險，使安全管理更加復雜，隨著網絡地址、端口等特性的變化，安全設置更容易出問題。

當虛擬機從一臺物理服務器遷移到另一臺物理服務器時，遷移過程中虛擬機鏡像數據存在竊取和篡改的可能。遷移過程中虛擬磁盤被重新創建，攻擊者能夠改變源配置文件和虛擬機的特性。

1.5 虛擬機逃逸

虛擬機設計目的是同一臺物理服務器上的多個VM共享物理硬件，如CPU、內存和I/O設備，并相互隔離，但由于技術的限制和虛擬化軟件的漏洞，在某些情況下，虛擬機里運行的程序會繞開底層，取得宿主機的控制權，利用宿主機做某些攻擊或破壞活動，這種技術叫做虛擬機逃逸技術。

1.6 拒絕服務（DoS）攻擊

非法用戶通過暴力破解云存儲系統的數據分發邏輯。同時，在虛擬化環境下，由于虛擬機和宿主機共享資源（如CPU、內存、硬盤和網絡），虛擬機會強制占用一些資源，從而由于沒有可用資源，造成系統拒絕來自其他虛擬機的所有請求。

2 虛擬化安全策略

虛擬化系統的安全性密切依賴每個組件自身的安全，包括Hypervisor、宿主操作系統、客戶操作系統、應用和存儲，應確保對這些組件的安全防護。下面根據虛擬化系統中面臨的安全風險，提出針對性的安全策略。

2.1 以密碼技術為核心，實現數據安全

虛擬化系統主要的安全任務是涉密信息的機密性保護，阻止非法泄密事件的發生，而確保數據的機密性最核心的仍是密碼技術。

在虛擬化環境中，需要考慮進行加密保護的幾個環節包括：鏡像數據的存儲、鏡像數據遷移過程以及遠程訪問數據中心的網絡連接等。此外，可以在多個層來實現加密保護，包括應用層、網絡層或者是底層存儲設備層。在虛擬化層實現數據的加密，可以將同態加密等技術運用到虛擬化系統中，使得系統在無需讀取涉密數據的情況下對這些數據進行處理，確保只有在最終本地用戶處才會顯示明文，降低數據中心數據泄露的風險。對鏡像進行完整性校驗也極為重要，可以防止針對鏡像文件的非授權篡改。

2.2 可信虛擬機與訪問控制

在確保共享資源的前提下，實現虛擬機的受控訪問。控制所有到資源池管理工具的訪問，控制對虛擬機文件的訪問。

虛擬化軟件層是保證虛擬機多用戶環境下的相互隔離的重點，必須嚴格限制任何未經授權的用戶訪問虛擬化軟件層，并對其進行完整性和可用性保護。同時，選擇直接運行在硬件之上硬件的虛擬化管理程序而不是運行在操作系統之上的軟件虛擬化管理程序。選擇的底層硬件也應能支持虛擬化技術，這樣可以實現多個層次上的隔離和控制。

同時，需要對虛擬機進行一定程度的隔離，處理涉密數據的虛擬機與處理非密數據的虛擬機不能共享硬件，最好根據處理涉密數據的級別和類型來進行硬件資源的劃分與隔離。每臺虛擬服務器分配一個獨立的硬盤分區，實現各虛擬機的邏輯隔離。

在虛擬機監控器中植入可信根構建可信虛擬化環境，從虛擬機的建立到所提供的服務建立一條完整的可信信任鏈。可信虛擬機監控器結構如圖1所示。

圖1 可信虛擬機監控器結構

可信環境的建立全面制約了云計算的應用，通過虛擬機的可信環境創立到系統的安全調用，都有效阻止了惡意應用對云計算平臺的安全攻擊，包括信任鏈中每個環節的權限審查、異常檢測以及完整性驗證等。

2.3 跨平臺虛擬安全管理

在虛擬化環境中可能既有傳統的IT設備，也有虛擬化的各類服務器、網絡和安全設備以及終端，運行的操作系統、平臺和應用也各不相同，需要有一套能夠同時解決虛擬環境和物理環境安全問題的跨平臺解決方案，能夠在整個數據中心執行統一的安全策略。虛擬安全管理能夠隨著虛擬化環境的變化而進行調整，能夠動態地進行安全策略的配置和監控。

2.4 用戶認證

用戶認證與授權旨在授權合法用戶進入系統和訪問數據，防止非授權用戶的訪問。在進行用戶身份認證時，采用基于非對稱密碼算法的公開密鑰基礎設施（PKI）以及X.509.3證書的認證體系，每個用戶以及每個虛擬機和虛擬設備都相互通過數字證書來進行身份認證。只有通過認證的用戶才允許訪問各自經過加密的系統鏡像文件，或者將鏡像下載到本地進行訪問。

2.5 虛擬機自省

為了支持合理的安全策略，系統中應部署一些常用的安全設備和各種必要的工具，如系統管理工具、管理清單、監管和監視工具等。

在虛擬機外，安全工具從VMM得到的虛擬機狀態一般是寄存器，內存等低級別信息。而安全工具則使用程序的高層語義信息如文件行為、進程行為、系統服務行為等。虛擬機自省通過讀取虛擬機的狀態，利用已知的虛擬機操作系統知識，如數據結構和函數定義等，重建面對復雜的操作系統環境特別是非開源系統如何有效正確的應用已有的程序分析方法完成自省，仍需進一步研究。

3 結束語

對于虛擬化環境下安全的研究，隨著虛擬化技術應用的不斷深入，研究的重點集中在虛擬機的隔離，虛擬機流量的監控和虛擬的可信平臺的穩固上，只有解決這些問題，才能夠確保云計算平臺的虛擬化安全。解決虛擬化的安全，需要統籌考慮，綜合采取技術、管理、運維等手段，對虛擬化系統生命周期的各個階段及其系統中各個層次組件做嚴密防護，從而保障系統的安全性。

[1]易濤．云計算虛擬化安全技術研究[J]．信息安全與通信保密，2012．

[2]房晶，吳昊，白松林．云計算的虛擬化安全問題[J]．電信科學，2012．

[3]余秦勇，童斌，陳林．虛擬化安全綜述[J]．信息安全與通信保密，2012．

[4]趙曉東，曾慶凱．基于系統虛擬化的安全技術研究[J]．計算機工程與設計，2013．

[5]蔣萬春，湯立，陳震．虛擬化安全問題探析[J]．信息網絡安全，2010．