虛擬化環(huán)境下的信息安全風(fēng)險及防護(hù)措施探討

索世恒

（文化和旅游部信息中心，北京 100020）

在當(dāng)前的云計算體系下，虛擬技術(shù)作為其中的代表，所能承載的業(yè)務(wù)也在逐漸變化之中，核心業(yè)務(wù)的影響越來越明，因此其信息安全問題逐漸得到了社會的廣泛關(guān)注。在當(dāng)前虛擬化環(huán)境中，信息安全風(fēng)險一直制約著虛擬化技術(shù)的發(fā)展，所以針對這種問題，就需要工作人員能夠進(jìn)一步了解信息安全風(fēng)險問題，提出應(yīng)對措施，切實保證系統(tǒng)安全。

1 虛擬化環(huán)境中的信息安全風(fēng)險

1.1 虛擬化環(huán)境中的傳統(tǒng)安全問題依然存在

從相關(guān)技術(shù)的發(fā)展情況來看，虛擬化環(huán)境中的傳統(tǒng)安全風(fēng)險情況尚未得到有效解決。例如，在當(dāng)前虛擬化的環(huán)境中，物理服務(wù)器的體系結(jié)構(gòu)得到了分解，并以不同的業(yè)務(wù)承載形式表現(xiàn)出來，在這種情況下，操作系統(tǒng)本身的漏洞、業(yè)務(wù)系統(tǒng)問題等都會造成問題運(yùn)行問題，尤其是防病毒系統(tǒng)、文件存儲安全問題等還存在很大的改進(jìn)空間[1]。

同時，對系統(tǒng)資源的爭奪已經(jīng)成為虛擬機(jī)功能的重要組成部分，在正常的系統(tǒng)運(yùn)行階段，需要通過多個虛擬機(jī)同時運(yùn)行的基礎(chǔ)上，同時為了考慮未來的病毒更新的業(yè)務(wù)要求，盡可能避免網(wǎng)絡(luò)負(fù)擔(dān)問題而對虛擬機(jī)的運(yùn)行產(chǎn)生影響。

1.2 虛擬化環(huán)境中本身存在缺陷

在虛擬化客戶端體系下，傳統(tǒng)的Hypervisor 管理層的屬性要求，避免造成安全問題。這是因為Hypervisor 管理層本身具有特殊性，為了可以有效適應(yīng)物理服務(wù)器的運(yùn)行要求之后，通過一套具有穩(wěn)定性的物理硬件來實現(xiàn)多種模式下的虛擬操作。在這種操作特征下，Hyperbisor 作為一種新的軟件層，其完整性并不理想，并且系統(tǒng)的漏洞或者管理員安全配置不當(dāng)都會到引發(fā)安全隱患問題。例如，當(dāng)虛擬機(jī)在物理服務(wù)器之間遷移時，不會產(chǎn)生警告，增加出現(xiàn)風(fēng)險的隱患；或者在虛擬機(jī)共享數(shù)據(jù)或者重新分配資源時，也有可能造成內(nèi)存泄露風(fēng)險。除此之外，少數(shù)不法分子會通過Hyperbisor 層的運(yùn)行虛擬機(jī)內(nèi)部子操作系統(tǒng)，開展超越虛擬機(jī)范圍的攻擊，在進(jìn)入到子系統(tǒng)內(nèi)部后，攻擊會蔓延至升整個虛擬服務(wù)器，造成巨大損失。

1.3 虛擬機(jī)的管理存在問題

虛擬機(jī)本身存在一定的安全管理問題，在虛擬化環(huán)境下，隨著設(shè)備運(yùn)行時間的增加，會導(dǎo)致管理終端數(shù)量快速增長，相對應(yīng)的，安全防護(hù)范圍也在逐漸擴(kuò)大。而管理網(wǎng)絡(luò)與生產(chǎn)網(wǎng)絡(luò)之間未實現(xiàn)隔離，這會導(dǎo)致管理人員在維護(hù)虛擬化平臺階段，難以對虛擬機(jī)的自動設(shè)置、遷移過程等做全面追蹤管理，一些潛在的安全風(fēng)險無法被及時發(fā)現(xiàn)[2]。同時，虛擬機(jī)運(yùn)行過程中會產(chǎn)生大量且難以計算的數(shù)據(jù)，對這些數(shù)據(jù)的監(jiān)控與識別存在難度，若不能及時對這些數(shù)據(jù)進(jìn)行做監(jiān)控，會導(dǎo)致物理主機(jī)的安全風(fēng)險增加，并向其他虛擬機(jī)傳染“虛擬機(jī)溢出”的補(bǔ)丁，引發(fā)安全問題。

2 虛擬化環(huán)境下信息安全防護(hù)體系的構(gòu)建策略

針對虛擬化環(huán)境下所構(gòu)建的新型信息安全防護(hù)方案，是以不同虛擬安全防護(hù)為基礎(chǔ)逐漸演變的，滿足信息系統(tǒng)合規(guī)性審計要求，是一種多層次的綜合安全防護(hù)系統(tǒng)。

2.1 病毒防護(hù)

傳統(tǒng)的虛擬化環(huán)境下病毒防護(hù)解決方案，主要是通過安裝Agent 代理程序來實現(xiàn)的，通過Agent 代理程序在虛擬主機(jī)操作系統(tǒng)中構(gòu)建病毒安全防護(hù)網(wǎng)絡(luò)，并且在整合服務(wù)器虛擬化之后，完成對病毒的實時防護(hù)。在這種模式下，虛擬化信息環(huán)境下的病毒防護(hù)同樣需要在虛擬操作系統(tǒng)中安裝相應(yīng)的病毒防護(hù)Agent 代理程序。從效果來看，這種方法的工作效率第一，并且若沒有及時安裝程序，系統(tǒng)將會面臨較大的安全風(fēng)險。

針對上述問題，本文提出了一種新的病毒防護(hù)對策：通過Vmshield 接口來實現(xiàn)虛擬主機(jī)與虛擬系統(tǒng)之間的安全防護(hù)，通過Vmshield 接口，不需要在虛擬主機(jī)操作系統(tǒng)中安裝Ggent 程序，實現(xiàn)了虛擬主機(jī)系統(tǒng)無代理的安全防護(hù)模式。在這種模式下，不會消耗費(fèi)配合虛擬主機(jī)的計算機(jī)資源與其他網(wǎng)絡(luò)資源消耗，不僅可以充分使用各種網(wǎng)絡(luò)計算，還能實現(xiàn)對系統(tǒng)的實時病毒防護(hù)。

在這種改進(jìn)后的病毒防護(hù)模式中，虛擬網(wǎng)絡(luò)環(huán)境下的訪問控制得到了充分改進(jìn)，與傳統(tǒng)的硬件防火墻相比，改進(jìn)后的病毒防護(hù)防火墻得到了進(jìn)一步完善，成為一種建立在硬件系統(tǒng)基礎(chǔ)上的防火墻模式，能夠提供各種基于狀態(tài)檢測的訪問控制，實現(xiàn)基于虛擬交換機(jī)的網(wǎng)絡(luò)控制與虛擬系統(tǒng)之間的區(qū)域巡邏，所以面對各種不法分子的攻擊都具有很強(qiáng)的攔截能力。

2.2 虛擬流量分析

2.2.1 縱向虛擬流量技術(shù)分析

在通過現(xiàn)有成熟的安全技術(shù)來解決普遍性的安全危險之后，虛擬化環(huán)境下的安全防護(hù)范圍進(jìn)一步拓展，還需要考慮“虛擬機(jī)虛擬機(jī)”、“虛擬機(jī)客戶端”之間的安全問題[3]。在這種特殊的需求下，虛擬環(huán)境下的流量流向在安全防護(hù)中發(fā)揮著重要作用，可以成為安全管理的重要組成部分。

從目前相關(guān)技術(shù)的發(fā)展情況來看，大部分?jǐn)?shù)據(jù)中心在虛擬化建設(shè)中都處于單中心虛擬階段，在虛擬化環(huán)境中建立了虛擬計算池，并逐步將各個應(yīng)用系統(tǒng)轉(zhuǎn)移到虛擬平臺上。在這個階段的主要特征，就是虛擬服務(wù)器與實體服務(wù)器是共存的，所以出于信息安全的考慮，需要將各種重要業(yè)務(wù)部署到實體服務(wù)器上，而虛擬服務(wù)器可以承擔(dān)各種非重要的業(yè)務(wù)。

在基于虛擬流量的信息安全閥防護(hù)中，可以搭建客戶端的虛擬平臺，該階段虛擬環(huán)境下的網(wǎng)絡(luò)流量以縱向為主，主要面對外部客戶到虛擬機(jī)的訪問需求，并且在相同的宿主機(jī)上，多個虛擬機(jī)可以采用物理接入交換機(jī)的方法與客戶端完成數(shù)據(jù)過濾。在這種情況下，通過虛擬服務(wù)器的大部分訪問過程需要經(jīng)過安全設(shè)備與接入機(jī)的認(rèn)證，保證了安全。同時為了提高安全防護(hù)效果，還可以在業(yè)務(wù)服務(wù)器的邊界部署各類網(wǎng)關(guān)類安全產(chǎn)品，并在數(shù)據(jù)交互的物理交換機(jī)上部署網(wǎng)絡(luò)審計系統(tǒng)或者入侵檢測系統(tǒng)，確保可以在虛擬化環(huán)境下對各類病毒進(jìn)行檢測。

2.2.2 橫向虛擬流量技術(shù)分析

而在構(gòu)建虛擬化平臺后，企業(yè)在信息安全管理中，可以將大部分業(yè)務(wù)遷移到虛擬平臺上，并根據(jù)不同業(yè)務(wù)種類的特征，在虛擬平臺上劃分不同的安全域，具體結(jié)構(gòu)如圖1所示。

圖1 橫向虛擬流量的安全防護(hù)結(jié)構(gòu)

在按照圖1的結(jié)構(gòu)完成劃分后，同一層次上的不同安全域與統(tǒng)一安全域之間的虛擬機(jī)互訪數(shù)量越來越多，此時的訪問就是橫向訪問。而在相同宿主機(jī)上不同虛擬機(jī)交互下所出現(xiàn)的網(wǎng)絡(luò)流量，不會通過物理接入到虛擬機(jī)中，可以對各類信息流的分類監(jiān)控。

2.3 入侵檢測與保護(hù)

從虛擬環(huán)境信息安全的角度來看，任何防護(hù)措施都不可避免的存在瑕疵，因此依然面臨系統(tǒng)安全性的威脅。而針對這種問題，則需要通過入侵檢測技術(shù)，對各種進(jìn)入到虛擬網(wǎng)絡(luò)環(huán)境內(nèi)部的安全因素進(jìn)行識別。為了實現(xiàn)上述目標(biāo)，可以在VMware 的NSX環(huán)境中，依靠NSX 的專用接口對虛擬交換機(jī)允許交換機(jī)或者端口做識別，在這種情況下的虛擬IDS 傳感器可以感知不同虛擬段上的流量，并形成歷史數(shù)據(jù)。而當(dāng)發(fā)現(xiàn)某一虛擬段上的流量數(shù)據(jù)明顯區(qū)別與歷史數(shù)據(jù)時，則可以認(rèn)為該虛擬段存在問題，需要及時查看。

除了提供系統(tǒng)的IPS 系統(tǒng)功能外，相關(guān)人員還可以在虛擬環(huán)境中，基于policy-based 監(jiān)控與分析工具，實現(xiàn)更加精確的流量監(jiān)控，并對各類網(wǎng)絡(luò)行為做分析，提高安全性。

3 結(jié)束語

從本次研究結(jié)果可知，現(xiàn)階段的虛擬化環(huán)境下的信息安全防護(hù)情況并不理想，這就要求工作人員必須要構(gòu)建全面的信息安全防護(hù)體系，通過層次性的信息安全結(jié)構(gòu)，對虛擬環(huán)境中的各類安全因素進(jìn)行識別，切實避免信息安全事件發(fā)生。