淺談服務(wù)器虛擬化環(huán)境下的安全防護

◆武國良 王 琪 陳凱華

（天津市氣象信息中心 天津 300074）

淺談服務(wù)器虛擬化環(huán)境下的安全防護

◆武國良 王 琪 陳凱華

（天津市氣象信息中心 天津 300074）

隨著虛擬化技術(shù)的普及應(yīng)用，大量企業(yè)將核心應(yīng)用系統(tǒng)遷移至服務(wù)器虛擬化資源池，虛擬化環(huán)境下的安全防護已經(jīng)成為系統(tǒng)管理員關(guān)注的焦點問題。本文針對服務(wù)器虛擬化環(huán)境面臨的安全問題，提出通過病毒防護、訪問控制、入侵檢測/入侵防護等方面實現(xiàn)虛擬主機和虛擬系統(tǒng)的安全防護。

虛擬化；安全防護

0 前言

隨著虛擬化技術(shù)的廣泛應(yīng)用，越來越多的數(shù)據(jù)中心采用虛擬化技術(shù)建設(shè)基礎(chǔ)設(shè)施資源池，做為應(yīng)用系統(tǒng)的硬件支撐平臺。虛擬化資源池實現(xiàn)了資源的按需分配、動態(tài)調(diào)度，提升了硬件資源的利用率，從而減少了硬件采購數(shù)量，降低了系統(tǒng)運行能耗，節(jié)約了數(shù)據(jù)中心整體運行成本。但虛擬化技術(shù)給數(shù)據(jù)中心帶來諸多實惠的同時，也給虛擬化環(huán)境下的主機安全防護帶來了新的挑戰(zhàn)。

1 虛擬化環(huán)境安全防護概述

虛擬化是一種資源管理技術(shù)，是將計算機的各種實體資源，如CPU、網(wǎng)絡(luò)、內(nèi)存及存儲等，予以抽象、轉(zhuǎn)換后呈現(xiàn)出來，打破實體結(jié)構(gòu)間的不可切割的障礙，使用戶可以更加靈活地應(yīng)用這些資源。這些虛擬資源是不受物理資源的架設(shè)方式、地域所限制的，傳統(tǒng)的物理邊界已經(jīng)消失，無法定義對應(yīng)的安全域，亦無法采用傳統(tǒng)的安全防護措施，因此需要借助基于虛擬化的安全防護技術(shù)，使軟件和硬件相互分離，把軟件從主要安裝硬件中分離出來，使安全產(chǎn)品的系統(tǒng)可以直接運行在虛擬環(huán)境上，允許多個安全產(chǎn)品同時運行在一個物理硬件之上。

2 虛擬化環(huán)境面臨的安全問題

2.1 傳統(tǒng)的安全邊界消失

基于邊界的安全隔離與訪問控制是傳統(tǒng)安全防護的重要原則，很大程度上依賴于各區(qū)域之間明顯清晰的區(qū)域邊界，強調(diào)的是針對不同的安全區(qū)域設(shè)置差異化的安全防護策略；在云計算環(huán)境下，基礎(chǔ)網(wǎng)絡(luò)架構(gòu)統(tǒng)一化，存儲和計算資源高度整合，傳統(tǒng)的安全設(shè)備部署邊界正逐步消失，云計算環(huán)境下的安全部署需尋找新的模式。

2.2 虛擬化服務(wù)的安全問題

“計算機科學(xué)中的任何問題都可以通過增加一層映射而解決”，按照這種思路，當前計算機系統(tǒng)的許多問題可以通過計算機系統(tǒng)的虛擬化而解決。虛擬化作為云計算平臺的關(guān)鍵技術(shù)，基于存儲資源和服務(wù)器資源的高度整合，其自身的可擴展性，能夠極大地拓展基礎(chǔ)設(shè)施和軟件平臺層面提供虛擬化服務(wù)的能力。在這種情況下，如何應(yīng)對虛擬化平臺基礎(chǔ)網(wǎng)絡(luò)架構(gòu)、數(shù)據(jù)存儲和應(yīng)用服務(wù)的虛擬化交付，對安全設(shè)備的設(shè)計構(gòu)建和安裝部署提出了更高的技術(shù)要求，也成為云計算環(huán)境下信息安全建設(shè)所關(guān)注的重點。

2.3 數(shù)據(jù)集中后的安全問題

傳統(tǒng)的網(wǎng)絡(luò)中各種應(yīng)用服務(wù)的標準流量和突發(fā)流量有跡可循，流量模型設(shè)計相對較為規(guī)范、簡單，對安全設(shè)備的處理能力沒有太高的要求。而在虛擬化環(huán)境下，同類型存儲或者應(yīng)用服務(wù)器的規(guī)模增長迅猛，動輒以萬為單位進行擴展，并且不能分而治之，必須依托統(tǒng)一架構(gòu)的基礎(chǔ)網(wǎng)絡(luò)來承載。與傳統(tǒng)網(wǎng)絡(luò)環(huán)境相比，這就對安全設(shè)備本身的性能指標提出了更高的要求。此外，用戶的數(shù)據(jù)存儲、處理、網(wǎng)絡(luò)傳輸?shù)榷寂c虛擬化系統(tǒng)有關(guān)。如何避免多用戶共存帶來的潛在風(fēng)險；如何保證虛擬化服務(wù)的身份鑒別、認證管理和訪問控制等安全機制符合用戶的需求，并能夠?qū)嵤┯行У陌踩珜徲嫞@些都成為虛擬化環(huán)境所面臨的安全挑戰(zhàn)。

2.4 穩(wěn)定性和可靠性問題

虛擬化環(huán)境下，用戶的數(shù)據(jù)和業(yè)務(wù)應(yīng)用流程等均依賴于資源池所提供的虛擬化服務(wù)，這必然對虛擬化服務(wù)的穩(wěn)定性、安全策略部署、容災(zāi)恢復(fù)能力和事件處理審計等提出了更高更進一步的需求。此外，用戶、信息資源的高度集中，相對傳統(tǒng)的網(wǎng)絡(luò)平臺更加容易成為網(wǎng)絡(luò)攻擊的目標，因各類惡意代碼、黑客程序、病毒木馬等工具造成的破壞程度將會呈指數(shù)級上升。

3 虛擬化環(huán)境下的安全防護方法

3.1 病毒防護

傳統(tǒng)的病毒針防護解決方案都是通過安裝Agent代理程序到主機的操作系統(tǒng)中，在整合服務(wù)器虛擬化后，要實現(xiàn)針對病毒的實時防護，同樣需要在虛擬主機的操作系統(tǒng)中安裝防病毒Agent程序。服務(wù)器虛擬化的目的是整合資源，最大化的發(fā)揮服務(wù)器資源的利用率，而在每個虛擬主機中安裝程序，再制定掃描任務(wù)就需要消耗虛擬主機的計算資源，這種方式并沒有達到節(jié)約計算資源的效果，在病毒庫更新時帶來更多的網(wǎng)絡(luò)資源消耗。另一種解決方案是通過使用虛擬化層相關(guān)的API接口實現(xiàn)全面的病毒防護，針對虛擬系統(tǒng)，實現(xiàn)底層無代理病毒防護。通過接口實現(xiàn)針對虛擬系統(tǒng)和虛擬主機之間的全面防護，無需在虛擬主機的操作系統(tǒng)中安裝Agent程序，這樣無需消耗虛擬主機的計算資源和網(wǎng)絡(luò)資源，最大化利用計算資源的同時提供全面病毒的實時防護。

3.2 訪問控制

傳統(tǒng)技術(shù)的防火墻技術(shù)常常以硬件形式存在，用于實現(xiàn)訪問控制和安全區(qū)域的劃分。計算資源虛擬化后導(dǎo)致邊界模糊，很多的信息交換在虛擬系統(tǒng)內(nèi)部就實現(xiàn)了，而傳統(tǒng)防火墻在物理網(wǎng)絡(luò)層提供訪問控制，如何在虛擬系統(tǒng)內(nèi)部實現(xiàn)訪問控制和病毒傳播抑制是虛擬系統(tǒng)面臨的最基本安全問題。虛擬化安全網(wǎng)關(guān)系統(tǒng)，增強了虛擬環(huán)境內(nèi)部虛擬機流量的可視性和可控性，可以隨時隨地為用戶提供虛擬環(huán)境內(nèi)部的全方位網(wǎng)絡(luò)安全防護，基于狀態(tài)檢測細粒度的訪問控制功能，實現(xiàn)針對虛擬交換機基于網(wǎng)口的訪問控制和虛擬系統(tǒng)之間的區(qū)域邏輯隔離。

3.3 入侵檢測/防護

同時在主機和網(wǎng)絡(luò)層面進行入侵監(jiān)測和預(yù)防，是當今信息安全基礎(chǔ)設(shè)施建設(shè)的主要內(nèi)容。然而，傳統(tǒng)的入侵監(jiān)測工具可能無法融入或運行在虛擬化的網(wǎng)絡(luò)或系統(tǒng)中。由于虛擬交換機不支持建立SPAN或鏡像端口，禁止將數(shù)據(jù)流拷貝至IDS傳感器，網(wǎng)絡(luò)入侵監(jiān)測可能會變得更加困難。面對虛擬網(wǎng)絡(luò)內(nèi)部流量的時候，內(nèi)聯(lián)在傳統(tǒng)物理網(wǎng)區(qū)域中的IPS系統(tǒng)也沒辦法輕易地集成到虛擬環(huán)境中。虛擬化入侵防御系統(tǒng)將其引擎以虛擬機的形式部署于物理服務(wù)器中，提供IPS、DDoS等安全防護功能，實現(xiàn)對虛擬機內(nèi)部業(yè)務(wù)系統(tǒng)安全防護功能。

4 結(jié)語

虛擬化技術(shù)為企業(yè)節(jié)省成本、提供便利的同時，也為傳統(tǒng)信息安全提出了新的挑戰(zhàn)。做好虛擬化環(huán)境下的信息安全防護工作，是業(yè)務(wù)應(yīng)用系統(tǒng)由傳統(tǒng)架構(gòu)向云計算架構(gòu)過渡的前提。為有效做好安全防護，需要通過技術(shù)、管理等多個途徑，對存在的信息安全風(fēng)險加強防范，同時要完善虛擬資源的管理制度與監(jiān)控手段，將信息安全風(fēng)險控制在有限的范圍內(nèi)。

[1]陶佳冶．云計算安全防護體系的探討[J]．貴州電力技術(shù)，2015．

[2]刁宇亮．虛擬化安全建設(shè)研究[J]．計算機安全，2012．

[3]謝曉華．企業(yè)虛擬化環(huán)境中的安全防護[J]．計算機安全，2011．