虛擬環境下安全防護技術的應用分析

謝黎

目前在虛擬化安全防護方面，大多數組織或機構仍采用傳統的防護手段，從技術角度而言傳統方法已無法更好地適應當前資源整合的虛擬環境下安全防護的要求，更難滿足未來發展變化的需要，因此對虛擬環境下的安全防護方法提出了挑戰。本文通過分析虛擬化安全防護與傳統安全防護技術之間的差異，以此闡述在虛擬環境下做好安全防護工作應注意的關鍵問題和解決辦法。

【關鍵詞】無代理虛擬化防護 虛擬補丁 APT

1 傳統安全防護技術面臨的困境

傳統環境下的網絡安全，通常采取在網絡出口處部署防火墻、防毒墻、上網行為管理等安全設備，用來隔離內外網，過濾來自外網的惡意程序，規范內網用戶的上網行為，同時DMZ區使用防火墻隔離，部署IDS監控對服務器的非法訪問行為，在服務器上部署防病毒軟件，保護核心服務器的安全運行。然而實現虛擬化后，多臺服務器被集中到一臺主機內，這一臺主機同時運行了多個操作系統，提供不同的應用和服務，如果繼續依照傳統的安全防護模型，就需要在每個操作系統中安裝防毒軟件，在網絡層為各主機系統部署入防火墻、侵檢測或入侵防御系統，如此一來，這種傳統方式下看似合理的安全設計，應用到虛擬環境中將面臨一些新的問題。

2 傳統安全防護技術存在的問題

2.1 搶占主機系統資源

當防毒軟件在啟用預設的掃描任務后，將會在指定時間，執行文件掃描的動作，此時防毒軟件的運行將會造成CPU和內存占用量的劇增，當系統資源被耗盡時就會導致服務器假死甚至是宕機。倘若是在虛擬化密度較高的虛擬化桌面服務器中，如果防毒軟件在同一時段動作，將會造成硬件資源耗盡，最終導致業務中斷。

2.2 虛擬機之間內部攻擊

傳統模式下的安全防護手段只能滿足單體硬件的安全防護要求，即防護邊界僅位于物理主機邊緣，而忽視了物理主機中的虛擬機之間存在的互相入侵、攻擊的安全隱患。

2.3 防護間歇問題

虛擬化技術的應用使運維服務具備高靈活性和負載能力，但實時動態調整的資源會導致安全防護間歇的問題。例如：某臺一直處于關閉狀態的虛擬機在業務需要時自動啟動，并成為后臺服務器集群的一部分，然而該虛擬機之前的關閉狀態，導致其所包括的所有安全防護措施和策略都較一直在線運行的主機滯后甚至是脫節，這就造成了安全防護間歇的問題。

2.4 去除網絡邊界的挑戰

虛擬化環境的動態特性面臨入侵檢測/防御系統（IDS/IPS）新的挑戰，基于網絡的IDS/IPS無法監測到同一臺虛擬化服務器上的虛擬機之間的通訊，伴隨著“網絡邊界去除”的應用，快速地恢復和便利的移動，將造成獲得并維持整體一致安全性的困難局面。

2.5 缺少未知風險感知（APT攻擊）

據統計在安全事件中，有80%的幾率是由未知風險造成的，尤其是針對APT攻擊偵測能力的掌握和欠缺，因此在未知安全威脅方面需要一定的提前預知和防范才能有效降低未知風險。

2.6 難以防護的虛擬化病毒傳播

曾經在2012年8月爆發的Morcut/Crisis（危機）病毒，會感染VMware虛擬機且能夠在多個系統平臺上進行傳播。病毒的惡意行為無論是在虛擬化環境中還是在物理服務器中都是一樣，所以伴隨著虛擬化技術及應用的發展，針對虛擬化環境的病毒也會越來越多，虛擬化環境并非絕對安全，需要額外的安全解決方案進行加固。

2.7 管理成本迅速上升

虛擬化環境仍面臨傳統方式下的安全防護運維和管理手段等問題，主要體現為：無法確保系統在測試后發生的變化是否會因為安裝補丁導致異常；集中安裝的系統補丁，前中后期需要大量人力、物力和技術支撐，部署成本太大。

3 虛擬化安全防護技術應用分析

3.1 無代理虛擬化安全防護

無代理虛擬化安全技術使得創建獨特的安全控制虛擬機成為可能，通過部署專用安全虛擬機和經特別授權訪問管理程序的API，達到虛擬化安全防護的目的，安全虛擬機是一種在虛擬環境中實現安全控制的新技術，在虛擬化環境中從根本上改變了安全和管理的概念。

安全虛擬機利用API訪問關于每臺虛擬機的特權狀態信息，包括內存、狀態和網絡通信流量等。并將包括防病毒、防火墻、IDS/IPS和系統完整性監控等在內的安全功能應用于各虛擬機中。無代理安全防護通過實時掃描、預設掃描、清除修復等數據接口，對虛擬機中的數據進行病毒代碼的掃描和判斷，并結合防火墻、IDS策略對虛擬機的實時數據進行安全過濾。無代理虛擬化安全是基于虛擬化底層進行安全防護的技術手段，其主要考慮四個方面的安全要素。

3.1.1 訪問控制防護

傳統的防火墻技術通常以硬件形式存在，部署在網絡邊界處，通過訪問控制和安全區域間的劃分，來保障不同整體網絡架構區域中的信息數據資產。然而隨著計算資源的虛擬化，導致邊界模糊，虛擬系統通過底層硬件組網隨意性增強，很多信息交換在虛擬系統底層內部就實現了。而傳統防火墻在物理網絡層提供訪問控制，如何在虛擬系統內部實現訪問控制和惡意代碼傳播抑制是虛擬系統面臨的安全問題。使用虛擬防火墻技術來解決虛擬化中針對訪問控制層面的防護問題，針對虛擬化的特點做好訪問控制防護，就需要針對虛擬化部署虛擬防火墻來實現。虛擬防火墻可以提供全面基于狀態檢測細粒度的訪問控制功能，可以實現針對虛擬交換機基于網口的訪問控制和虛擬系統之間的區域邏輯隔離，同時還支持各種泛洪攻擊的識別和攔截。

如圖1所示，結合虛擬化環境的特點，部署虛擬化防火墻安全防護措施，在虛擬化的HyperVisor層上部署獨立的安全虛擬機用以實現防護功能；安全虛擬機通過HyperVisor層中的API接口在HyperVisor的vSwitch層實現對所有運行的虛擬機的細粒度、端口級的訪問控制保護。虛擬防火墻使用訪問控制策略實現對端口和協議的通信控制，能夠有效地阻止病毒傳播端口和不安全協議，降低未授權訪問服務器的風險，且具備企業級、雙向性和狀態型的特點。

3.1.2 惡意代碼防護

傳統的惡意代碼防護技術是采取安裝Agent代理程序到虛擬機操作系統中，實現針對惡意代碼的實時防護的目的，但是虛擬化后的服務器中的每臺虛擬主機倘若都部署Agent程，將會帶來節點計算資源的重復占用和大量消耗，并且惡意代碼庫的更新也會帶來更多網絡資源的開銷，不利于服務器資源合理利用和運算效率的提升。使用底層無代理惡意代碼防護技術能夠解決這一問題，通過使用虛擬化層相關的API接口達到惡意代碼防護的目的。底層無代理惡意代碼防護是基于虛擬系統環境的通過底層接口實現虛擬系統和虛擬主機之間的全面防護，無需在每臺虛擬機操作系統中安裝Agent程序，即可實現實時的惡意代碼的防護功能，且無需額外消耗分配給虛擬主機的計算資源和網絡資源，保證了計算資源的利用率，降低了重復資源的開銷。

如圖2所示，無代理惡意軟件防護的部署是在VMware的HyperVisor層上部署獨立的安全虛擬機，并結合VMware的vShield Manager安全管理套接層開放的API接口和每個虛擬機中的VMware Tools工具對每臺虛擬機進行惡意代碼防護，這種無代理的防護方法可以實現針對每臺虛擬機的實時掃描、全盤掃描、計劃性掃描等安全防護目的。

3.1.3 入侵檢測與防護

在主機和網絡層面進行入侵監測和預防，是當前信息安全基礎設施建設的主要內容。由于虛擬交換機不支持建立SPAN或鏡像端口，且禁止將數據流拷貝至IDS傳感器，因此網絡入侵監測手段將會變得困難。同樣，內聯在傳統物理網區域中的IPS系統也無法輕易地集成到虛擬環境中，尤其是面對虛擬網絡的內部流量時；然而基于主機的IDS系統或許仍能在虛擬機中正常運行，但會消耗共享資源，使得安裝安全代理軟件的效果變得并不理想。隨著虛擬化技術的不斷應用，傳統的入侵檢測工具已經無法運行或融入到虛擬化網絡或系統中，需要使用虛擬化入侵檢測技術來解決虛擬環境中的主機和網絡的監測和防護等問題。

如圖3所示，在ESX中的HyperVisor層部署安全虛擬機，安全虛擬機會通過HyperVisor層調用VMware的VMsafe接口，進而與HyperVisor中的vSwitch結合。因為vSwitch會為每臺虛擬機生成虛擬網卡，并最終將每臺虛擬機的網絡流量與物理網卡交互。在虛擬環境的內部vSwitch會交互虛擬機之間的流量，安全虛擬機會下發策略和部署虛擬補丁，并對所有類型的數據流量進行實時防護，對惡意流量進行匹配并攔截。

3.1.4 虛擬補丁防護

隨著新漏洞的不斷涌現，系統管理員往往在修補系統漏洞或給系統打補丁的工作上疲于應付，加上安裝重要安全補丁可能會造成系統軟件沖突或是系統重啟造成業務中斷的情況。此外，部分操作系統或應用程序尚未提供漏洞補丁，或補丁發布時間滯后，從而造成信息系統無法及時修補漏洞而陷入威脅的風險之中。

虛擬補丁修復技術使用基于主機的過濾器來檢測和過濾網絡流量，當惡意軟件危及受到攻擊的目標機之前，在不中斷應用程序和運營業務的情況下，高效地修復或阻止可能造成漏洞攻擊的數據流。虛擬補丁修復一般基于主機的安全功能，針對數據流，檢測入站數據流量并保護應用程序免受漏洞攻擊。虛擬補丁技術可以解決由漏洞補丁導致的問題，通過在虛擬環境中針對特定的接口對虛擬機系統進行評估，并自動對每個虛擬機提供全面、完整的漏洞修補功能，當操作系統尚未安裝補丁程序之前，提供針對漏洞攻擊的攔截。并且虛擬補丁技術無需停機安裝，也無需進行廣泛的應用程序匹配測試，為IT運維人員節省大量勞力和時間。

如圖4所示，虛擬補丁技術是通過相關接口在虛擬網卡和虛擬交換機之間建立起嵌套層，利用安全虛擬機對所有出站、入站的數據流進行過濾，將數據包解開讀取包中的報文內容，并判定是否存在利用漏洞的攻擊行為，若是則丟棄或者阻擋該包，從而實現漏洞防護的功能，如此虛擬機系統也就無需再單獨安裝補丁了。

3.2 未知風險感知及防護

傳統基于特征碼匹配或狀態檢測的安全防護辦法已無法應對虛擬環境中存在的未知風險的感知和防護的需要。利用在虛擬網絡層部署的數據采集和分析技術，監測網絡層的可疑活動從而定位惡意程序，實現對風險的感知和識別，以適應網絡虛擬化安全防護的要求。虛擬化安全防護技術可以用來檢測基于Web威脅或郵件內容的攻擊，如：Web攻擊、跨區跨站點腳本攻擊、網絡釣魚等。并且，一旦惡意程序在網絡中出現傳播或感染其它用戶的行為時，惡意程序就會被做上特定的標記，以有針對的辨識其向外界傳送的信息或從攻擊源接收的命令，并方便管理員及時發現風險和做出判斷、處理。虛擬化安全防護技術還能用于識別違反安全策略、中斷網絡以及消耗大量帶寬或構成潛在安全威脅的未經授權的程序訪問等行為，如：即時通訊、P2P文件共享、流媒體、SMTP中繼和DNS欺騙等。利用基于網絡層的數據報文內容檢測技術偵測網絡流量和病毒掃描引擎對報文內容的分析、過濾，同時采取在網絡層鏡像數據流的方式進行內容檢查，及時發現已知攻擊，提前預知未知攻擊，最終達到應對漏洞掃描、蠕蟲、病毒、木馬等惡意軟件和未知惡意程序攻擊的安全防護的需要，確保信息網絡和業務系統健康、穩定的運行。此外，管理員也可以根據收集的反饋信息，靈活的調整當前的安全策略，并制訂后續的安全防護規劃和建設重點。

4 結束語

隨著信息技術的飛速發展，虛擬化時代已經到來，虛擬化作為全新計算模式——云計算的基礎支撐，在安全方面將面臨復雜多樣的挑戰。因此，需要重視對虛擬化安全防護技術的應用與研究，才能化解云計算應用中突發多變的安全威脅，充分發揮優勢規避劣勢，使云成為一朵安全、健康的藍天白云。

專業術語注釋

無代理虛擬化防護：無代理虛擬化防護（Virtual Agent Protection）是針對虛擬化安全防護提出的新的防護思路，改變了在傳統操作系統中部署Agent端的局面，無代理虛擬化防護是在HyperVisor層進行的防護，通過部署安全虛擬機，實現無需在每臺虛擬機上部署Agent即可達到安全防護的能力。

虛擬補丁：虛擬補丁（Virtual Patch）通過控制受影響的操作系統或應用程序的數據流，來改變或消除該應用程序的漏洞，從而實現在不影響應用程序及其相關庫和操作系統運行環境的情況下，為應用程序安裝補丁，達到安全防護的目的。

APT：APT（Advanced Persistent Threat）高級持續性威脅，是指組織（特別是政府）或者小團體利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的形式。 APT攻擊的原理相對于其他攻擊形式更為高級和先進，主要體現在APT在發動攻擊之前需要對攻擊對象的業務流程和目標系統進行精確的收集，在收集過程中會主動挖掘被攻擊對象受信系統和應用程序的漏洞，并在此基礎上形成攻擊者所需的C&C網絡。由于該攻擊方式沒有采取任何可能觸發警報或者引起懷疑的行為，因此更接近于融入被攻擊者的系統或程序中。

參考文獻

[1]王建永.虛擬化系統的安全防護[J].電腦知識與技術，2013（23）.

作者單位

國網宜昌供電公司信通分公司 湖北省宜昌市 443000