虛擬化環境下的信息安全風險及防護措施

靳京來

（大慶油田信息技術公司，黑龍江 大慶 163000）

[摘 要] 虛擬化技術是當前云計算的核心，是服務云和私有云的關鍵因素之一，它的出現給數據中心的運行維護帶來了巨大改變。虛擬化環境中的存儲、計算和網絡安全等資源成為云計算有力的支撐體系。然而，隨著數據中心里的虛擬機越來越多，虛擬化環境下的信息安全風險開始日益顯露，因此，如何構建云時代下的虛擬化安全防護體系的問題亟待解決。

[關鍵詞] 虛擬化；安全防護；防護措施

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2017. 05. 081

[中圖分類號] TP309 [文獻標識碼] A [文章編號] 1673 - 0194（2017）05- 0153- 02

0 引 言

近年來，云計算技術進入快速發展的時代，作為其最重要的支撐技術，虛擬化技術承載的業務系統規模越來越大，并逐步向核心業務發展，云計算體系下的虛擬化環境面臨的安全風險亟待關注。

1 虛擬化環境中的安全風險

1.1 傳統安全問題依然存在，資源爭奪成新挑戰

一是傳統的安全風險在虛擬化環境下仍需解決。物理服務器劃分出來的每個虛擬機的業務承載及服務與單臺服務器基本相同，操作系統和應用程序的漏洞及攻擊、業務系統之間安全隔離、系統訪問控制、文件存儲安全、防病毒系統等方面的安全風險，依舊是虛擬化環境中的薄弱點。

二是虛擬機之間爭奪系統資源。多個虛擬機同時開啟傳統的安全軟件如病毒掃描、防病毒更新等操作將占用大量內存資源，造成網絡負擔過重和虛擬機性能問題，形成“防病毒風暴”。

1.2 虛擬化環境自身存在缺陷，造成內部攻擊

虛擬化的客戶端在Hypervisor管理層上的特性導致了虛擬化平臺增加了自身安全問題。Hypervisor是介于物理服務器與操作系統之間的軟件層，也稱為VMM，它允許多個操作系統共享一套物理硬件，是虛擬化技術的核心。作為虛擬化平臺中新出現的軟件層，Hypervisor缺乏完整性，系統漏洞或管理員的安全配置不當都易導致入侵者展開攻擊。如虛擬機在物理服務器之間遷移時不產生告警與調用審查機制、虛擬機共享數據或重分配資源時有內存泄露風險、虛擬機間不可見的流量無法進行監測、過濾與隔離、未加密的VM鏡像可引起惡意篡改與漏洞攻擊。此外，攻擊者利用Hypervisor層運行虛擬機內部子操作系統的模式展開超越虛擬機范圍的攻擊，攻擊進入某個子系統后可蔓延至虛擬服務器和其他物理資源。

1.3 虛擬機管理成難題

虛擬機管理也帶來一定的安全問題。虛擬化環境造成管理終端數增長，防護范圍擴大。管理網絡與生產網絡未隔離，管理員維護虛擬化平臺時，對虛擬機自動設置、配置或遷移的過程難以實時跟蹤和管理，難以實現一致性安全策略。此類虛擬機運行全過程的動態數據龐大且難以計算，造成管理安全風險。此外，物理主機的安全隱患向其虛擬機傳染導致的“虛擬機溢出”、快速增長的虛擬機導致補丁更新負擔過重也是虛擬機管理帶來的安全問題。

2 虛擬化安全防護措施對策及建議

2.1 加強傳統的安全防護措施，提高風險識別和防范能力

嚴格控制對業務系統的訪問權限，加強身份認證和鑒別機制，降低攻擊者從系統入口獲得登陸權限的可能性。虛擬化平臺中的數據傳輸和信息共享時進行嚴格加密，設置存取控制策略保證文件安全。定期進行病毒掃描和防病毒更新，虛擬機之間病毒掃描時間段不得重疊，以防造成網絡負擔過重。增強虛擬機的安全監測和日志審查機制，對虛擬機內可能存在安全風險的操作項進行嚴密監控。加強日志審計功能，設置hips監控，利用Syslog收集日志審計，以做到風險日志可查。

2.2 保障Hypervisor自身安全

Hypervisor的自身安全是虛擬化技術安全管理的核心內容。制定和執行針對VMM的嚴格訪問控制策略，鎖定管理層的網絡訪問，定期進行漏洞修補、病毒掃描。通過去除非必要功能精簡內核來提高Hypervisor的可靠性，加強內核模塊和磁盤的完整性來保證完善的內容保護功能。對VMM設置日志審計功能，并制定監測預警機制。

強化文件存取技術，探索國產化加密技術，保證數據在傳輸和存儲過程中不被攻擊和竊取，使用網絡分段和訪問控制列表阻止其他虛擬設備接入，保障虛擬環境的文件安全。

2.3 加強流量監控，打造虛擬機環境下的安全防護體系

通過在Hypervisor層集成虛擬交換機vSwitch，可監控同一個服務器內部虛擬機之間的流量交互中是否存在可攻擊漏洞或信息泄露等風險，并實現一些訪問控制規則。更深度的安全檢測防護可以利用基于虛擬機和基于重定向兩種。

基于虛擬機的安全防護將虛擬機之間交換的流量先引入虛擬機安全軟件，再進入虛擬交換機。通過將虛擬機劃分為不同安全域來配置區域隔離和互訪策略，并監控流量中是否存在漏洞及信息泄露等其他安全問題。

基于重定向的安全防護將虛擬機交換的流量引到外部交換機，交換機在報文轉發前進行深度檢測及訪問控制策略、入侵防御規則的配置。

2.4 加強虛擬化平臺管理工作，建立規范化操作流程

按需設置虛擬平臺管理員，按照規范化流程進行管理并記錄操作日志。對虛擬機實時動態管理要求高的業務系統，建立動態數據中心，記錄虛擬機配置變更、遷移日志，制定一致性安全策略，定期巡檢及匯總跟蹤數據，出現安全風險時有數據可循，最大限度地降低虛擬化平臺風險的威脅程度。

主要參考文獻

[1]高其勝，陳艷峰.云計算虛擬化安全研究[J].圖書館學研究，2015（11）：46-50.

[2]李樹波，羅林，楊艷.云計算與虛擬化技術研究[J].軟件導刊，2013，12（1）：141-143.