服務(wù)器虛擬化平臺下的安全防護(hù)

杜小月 馬鵬 楊彥仙 孫超

摘要 虛擬化是目前云計算最為重要的技術(shù)支撐，需要整個虛擬化環(huán)境中的存儲、計算及網(wǎng)絡(luò)安全等資源的支持。基于服務(wù)器的虛擬化技術(shù)走在了前面，已開始廣泛的部署應(yīng)用。服務(wù)器虛擬化具備高可用、靈活、易管理、經(jīng)濟(jì)等特性，大部分企業(yè)已將關(guān)鍵業(yè)務(wù)系統(tǒng)遷移至虛擬化平臺。隨著“永恒之藍(lán)”勒索病毒在全球大范圍傳播，信息化安全受到了巨大的挑戰(zhàn)。如何保證服務(wù)器虛擬化平臺的安全性，作為本文研究的重點(diǎn)。本文主要通過安全管控措施、虛擬化平臺安全特性保障措施及虛擬化平臺網(wǎng)絡(luò)安全防護(hù)三個方面進(jìn)行研究，最終保障服務(wù)器虛擬化平臺的高安全性。

【關(guān)鍵詞】服務(wù)器虛擬化 虛擬化安全 虛擬化平臺安全特性保障措施 虛擬化平臺網(wǎng)絡(luò)安全防護(hù)

1 前言

服務(wù)器虛擬化平臺一方面保障了業(yè)務(wù)系統(tǒng)高可用、資源靈活調(diào)度，但同時服務(wù)器虛擬化也帶來了新的安全威脅。新的安全威脅主要體現(xiàn)在如下兩個方面：

1.1 傳統(tǒng)的安全風(fēng)險依然存在，但是安全防護(hù)對象擴(kuò)大

傳統(tǒng)的一些安全風(fēng)險并沒有因?yàn)榉?wù)器虛擬化的產(chǎn)生而減少或者規(guī)避，而服務(wù)器虛擬化的產(chǎn)生，帶來了新的網(wǎng)絡(luò)環(huán)境，一臺物理服務(wù)器之上構(gòu)建了多臺虛擬機(jī)。新產(chǎn)生的網(wǎng)絡(luò)環(huán)境及新產(chǎn)生的虛擬機(jī)將不受原安全防護(hù)系統(tǒng)的保護(hù)。服務(wù)器虛擬化的出現(xiàn)，進(jìn)一步擴(kuò)大了安全防護(hù)的范圍。

1.2 虛擬機(jī)之間產(chǎn)生了新的安全訪問風(fēng)險

同一臺物理服務(wù)器上運(yùn)行的虛擬機(jī)之間的訪問，將不通過外界安全防護(hù)設(shè)備，以至于運(yùn)行于同一臺物理服務(wù)器上的虛擬機(jī)安全無法進(jìn)行傳統(tǒng)的安全防護(hù)。運(yùn)行于不同物理服務(wù)器上且處于同- VLAN的虛擬機(jī)進(jìn)行安全訪問時，傳統(tǒng)的安全防護(hù)系統(tǒng)無法進(jìn)行安全防護(hù)。

2 服務(wù)器虛擬化平臺下的安全防護(hù)研究

保證服務(wù)器虛擬化平臺安全性是一個系統(tǒng)性工程，只有通過管理和技術(shù)雙管齊下才能充分的保證服務(wù)器虛擬化平臺安全。

2.1 提升安全管控措施

當(dāng)前企業(yè)面臨的安全事件不僅來自外部的攻擊，不少安全事件的產(chǎn)生是由于內(nèi)部造成的，并對企業(yè)造成巨大的損失。

（1）加強(qiáng)內(nèi)部員工網(wǎng)絡(luò)安全培訓(xùn)，包括法律、公司安全規(guī)則制度、網(wǎng)絡(luò)安全基本知識、技能等，進(jìn)一步提高員工網(wǎng)絡(luò)安全的警惕性和自覺性。

（2）加強(qiáng)信息機(jī)房安全管理，嚴(yán)格執(zhí)行公司信息安全防護(hù)制度。

（3）定期開展虛擬化平臺之上的系統(tǒng)安全加固，保證系統(tǒng)的安全性。

（4）定期開展虛擬化平臺網(wǎng)絡(luò)安全應(yīng)急演練，加強(qiáng)運(yùn)維人員網(wǎng)絡(luò)安全應(yīng)急能力。

2.2 虛擬化平臺安全特性保障措施

虛擬化平臺自身配置了大量的安全特性，只有正確的啟用這些安全特性，才能保證虛擬化平臺的整體安全性。經(jīng)過總結(jié)，虛擬化平臺安全特性主要包括：虛擬化平臺權(quán)限和用戶管理安全特性、Hypervisor主機(jī)安全特性、虛擬化管理平臺安全特性、虛擬機(jī)安全特性、虛擬機(jī)加密。

2.2.1 虛擬化平臺權(quán)限和用戶管理安全

使用角色和權(quán)限的最佳做法可充分提高虛擬化管理平臺環(huán)境的安全性和易管理性，具體措施如下：

（1）向組分配角色，而不要向單個用戶分配角色，以便向該組授予特權(quán)。

（2）僅授予對被需要對象的權(quán)限，僅向必須擁有特權(quán)的用戶或組分配特權(quán)。

（3）如果要為組分配限制性角色，檢查該組是否不包括管理員用戶或其他具有管理特權(quán)的用戶。

（4）使用文件夾對對象進(jìn)行分組。

（5）在大多數(shù)情況下，向?qū)ο蠓峙錂?quán)限時啟用傳播功能。

（6）使用“無權(quán)訪問”角色可屏蔽特定用戶或組無權(quán)訪問的對象層次結(jié)構(gòu)中的特定區(qū)域。

2.2.2 確保虛擬化主機(jī)安全

確保虛擬化主機(jī)安全的措施如下：

（1）確保虛擬化主機(jī)Shell和SSH處于禁用狀態(tài)。

（2）打開有限的防火墻端口數(shù)目，明確打開與特定服務(wù)關(guān)聯(lián)的額外防火墻端口。

（3）虛擬化主機(jī)僅運(yùn)行管理其功能所不可或缺的服務(wù)。

（4）對主機(jī)進(jìn)行管理訪問時無需使用的所有端口均處于關(guān)閉狀態(tài)。需要其他服務(wù)時，再打開端口。

（5）禁用弱密碼，來自客戶端的通信通過SSL進(jìn)行保護(hù)。

（6）關(guān)閉FTP和Telnet之類的不安全服務(wù)。

2.2.3 確保虛擬化管理平臺安全性

確保虛擬化管理平臺安全主要措施如下：

（1）嚴(yán)格控制對不同虛擬化管理平臺組件的訪問，以增強(qiáng)系統(tǒng)的安全性。

（2）使用指定帳戶。

（3）監(jiān)控虛擬化管理主機(jī)管理員用戶的特權(quán)。

（4）最大程度地減少訪問。

（5）為虛擬化管理主機(jī)數(shù)據(jù)庫用戶授予最小的特權(quán)。

（6）限制數(shù)據(jù)存儲瀏覽器訪問。

（7）限制用戶在虛擬機(jī)中運(yùn)行命令。

（8）設(shè)置密碼策略。

2.2.4 虛擬機(jī)安全

按照基線模板以及安全漏洞掃描模板定期對虛擬機(jī)進(jìn)行掃描，并完成安全加固。同時通過以下措施進(jìn)一步保證虛擬機(jī)安全。主要包括：虛擬機(jī)常規(guī)保護(hù)、使用模板來部署虛擬機(jī)、盡量少用虛擬機(jī)控制臺、防止虛擬機(jī)取代資源。

2.2.5 虛擬機(jī)加密

對于支持虛擬機(jī)加密的平臺，啟用虛擬機(jī)加密功能，加密不僅能保護(hù)虛擬機(jī)，而且還能保護(hù)虛擬機(jī)磁盤和其他文件。

2.3 服務(wù)器虛擬化平臺網(wǎng)絡(luò)安全防護(hù)措施

將服務(wù)器虛擬化平臺業(yè)務(wù)流量劃分為縱向流量和橫向流量，通過從縱向流量、橫向流量兩個方面進(jìn)行服務(wù)器虛擬化安全防護(hù)。

2.3.1 服務(wù)器虛擬化縱向流量的安全防護(hù)

服務(wù)器虛擬化縱向流量包括兩種流量，第一客戶端到服務(wù)器訪問的流量，第二不同虛擬機(jī)之間三層互訪的流量。服務(wù)器虛擬化縱向流量的特點(diǎn)是流量訪問過程必然經(jīng)過服務(wù)器虛擬化平臺之外的硬件安全防護(hù)層。針對此類型流量，采用傳統(tǒng)的安全區(qū)域防護(hù)設(shè)備（防火墻、IPS設(shè)備）進(jìn)行安全防護(hù)。

2.3.2 服務(wù)器虛擬化橫向流量安全防護(hù)

服務(wù)器虛擬化平臺橫向流量包括服務(wù)器虛擬化平臺運(yùn)行于同一物理服務(wù)器之上，同一VLAN兩臺虛擬機(jī)之間的互訪流量，以及不同物理服務(wù)器之上，同- VLAN兩臺虛擬機(jī)之間的互訪流量。服務(wù)器虛擬化平臺橫向流量無法通過傳統(tǒng)硬件安全防護(hù)設(shè)備進(jìn)行安全防護(hù)，要做到橫向更深度的安全檢測，目前主要有兩種技術(shù)方式：基于VM的安全服務(wù)模型，以及利用EVB技術(shù)實(shí)現(xiàn)流量重定向的安全檢測模型。

（1）基于VM的安全防護(hù)：利用軟件定義安全的思想，通過服務(wù)器虛擬化平臺開放的API接口，實(shí)現(xiàn)虛擬化層面虛擬安全防火墻、虛擬IPS，可實(shí)現(xiàn)橫向流量的安全防護(hù)。

（2）基于重定向技術(shù)的防護(hù)模型：利用進(jìn)行標(biāo)準(zhǔn)化的EVB、VEPA等技術(shù)將服務(wù)器虛擬化橫向流量引入到外部的交換機(jī)，在交換機(jī)對引入的橫向流量進(jìn)行轉(zhuǎn)發(fā)之前，通過鏡像或者重定向等技術(shù)，將流量先引入到安全區(qū)域防護(hù)設(shè)備進(jìn)行深度報文檢查、安全策略配置。

3 總結(jié)

服務(wù)器虛擬化平臺為業(yè)務(wù)系統(tǒng)帶來高可用、方便、靈活、節(jié)能、經(jīng)濟(jì)等特性的同時，也帶來了新的信息安全威脅。只有認(rèn)真地分析虛擬化平臺帶來的安全威脅，針對新的安全威脅進(jìn)行安全防護(hù)，才能保證我們整個虛擬化環(huán)境的安全。本文認(rèn)清了服務(wù)器虛擬化平臺帶來的安全威脅，通過管理和技術(shù)手段結(jié)合，科學(xué)的解決了服務(wù)器虛擬化平臺帶來的安全隱患，保障了整個虛擬化平臺的安全性，有效地發(fā)揮出服務(wù)器虛擬化平臺的價值。

參考文獻(xiàn)

[1]侯茜，對虛擬化安全防護(hù)關(guān)鍵技術(shù)的探討[J].數(shù)字通信世界，2017 （07）.

[2]武國良，王琪，陳凱華.服務(wù)器虛擬化環(huán)境下的安全防護(hù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016 （10）.

[3]鄧高峰，高四良，李玉龍.服務(wù)器虛擬化安全問題分析及防護(hù)措施[J]，計算機(jī)安全，2014 （08）.

[4]劉瀟清.服務(wù)器虛擬化在電廠信息化建設(shè)中的應(yīng)用研究[D].華北電力大學(xué)，2015.