虛擬化環境下的應用安全監測研究

黃龍

摘要：隨著虛擬化技術的廣泛運用，虛擬化環境的安全問題也越來越受到關注。虛擬化環境不僅面臨著傳統的安全威脅，還面臨著其他的關鍵應用的新的安全問題。本文分析了虛擬化環境面臨的應用安全需求，介紹了一種應用安全監測方法，并提出了從靜態評估、動態評估、制度評估三個方面綜合評價的指標體系。

關鍵詞：虛擬化環境;應用安全;監測

虛擬化技術具有節省信息化投入成本、提高資源的利用效率、降低能耗和管理成本等優勢。在虛擬化環境中，數據中心采用通用技術平臺，資源庫共享，架構簡單，易于系統管理和配置新的工作量，隨需應變且靈活。

然而虛擬化可以帶來多項優勢的同時，它并不完美，安全上面臨很多問題。在運行虛擬基礎架構時，物理服務器變為可以歸入到資源池的計算資源，而虛擬機成為了服務器提供主體。虛擬化環境面臨著虛擬機管理器（VMM）安全、虛擬機遷移帶來的安全威脅[1]、虛擬機逃逸和拒絕服務攻擊[2]等。因此，虛擬化環境下應用安全既要考慮虛擬系統的安全，又要考慮虛擬化內部及虛擬機所處的主機的安全。

一、虛擬化環境面臨的應用安全需求

（一）傳統風險依舊，防護對象擴大

一方面，傳統安全風險并沒有因為虛擬化的產生而規避。雖然單個物理服務器上可以運行多個虛擬機，但是每個虛擬機，傳統模型下的服務器所面臨的安全問題虛擬機也同樣會遇到。另一方面，服務器虛擬化的出現，擴大了需要防護的對象范圍。例如，除了考慮虛擬機的安全性，還要重點關注虛擬機管理器。

（二）虛擬化環境的正常運作風險

為了確保應用系統的安全可用，CPU調度、內存分配等資源管理工作、虛擬機的遷移、共享虛擬化資源池等功能都需要正常運作，合理安排策略。

（三）虛擬化環境下的網絡安全

傳統的網絡邊界劃分方式并不直接適用于虛擬化環境。虛擬化環境內部的網絡流量能否得到有效監控與審計，直接關系到虛擬化環境中的應用服務能否安全可用。

二、虛擬化環境的應用安全監測方法

要對虛擬化環境的應用安全進行監測，首先要考慮監測組件的部署位置。監測組件需要從目標系統和虛擬機管理器（WMM）中收集信息，顯然需要部署在虛擬化環境內。否則很難判斷和解決一些問題。例如，一臺宿主機上的多個虛擬機里的多個應用都同時在使用一個物理網絡端口，當一個應用出現網絡擁堵時，勢必會影響到其他應用的正常訪問。這就需要虛擬化環境內的監測組件收集相關信息，幫助定位故障應用所在位置。對于重點目標系統或者虛擬機管理器難以收集到目標系統內某些信息數據時，可以考慮將監測組件安裝在目標系統內。

監測組件主要是收集信息。而一個安全監測系統，除了具備日志采集外，還具備對日志事件關聯分析、網絡流量監控、風險評估等功能[3]。在部署時，不能直接把監測系統放在目標系統內。這是因為：

（1）監測系統與目標系統具有不同的安全背景。不僅在部署監測系統時，而且在整個虛擬化部署時都要考慮到這個問題。例如把具有不同安全背景的虛擬機連接到同一個物理適配器上，可能引發安全數據通信泄露到不安全的網絡上。

（2）監測系統和目標系統之間沒有隔離性，增加了受攻擊的風險。只要有一個系統受到相應的攻擊，就會影響到另一個系統。

（3）如果要監測許多的目標機器，那么每一臺機器都需要部署一個監測系統。這樣做不僅管理和維護這些監測系統成了一個難題，而且占用了過多的計算資源、存儲資源。

監測系統可以部署在專門的虛擬機上。一方面便于監測其他虛擬機運行情況，另一方面通過虛擬機管理器監測網絡流量、主機狀態等。監測系統通過兩種渠道獲取相關信息。一種是通過虛擬機管理器，獲得主機運行狀態、資源分配情況、網絡流、其他目標系統狀況等信息;另一種是通過安裝在目標系統上的監測組件，將所需信息發送給監測系統。監測系統對信息數據日志進行關聯分析，如果有必要，那將通知管理員。

該監測框架如下圖所示。

采用上述監測框架的特點有：

（1）安全性。監測系統部署在虛擬機上，整個日志、信息的獲取都是在虛擬環境內部。外部很難捕捉到數據信息，不易泄漏;虛擬機本身的隔離，確保監測系統不容易遭受內部攻擊。

（2）有效性。借助多種途徑，監測系統能夠有效把握虛擬化環境的運行狀態、重點目標系統狀況等。例如當重點目標系統上的關鍵應用故障，管理員可及時得到通知。監測系統收集各類信息，并做關聯分析，為快速地判斷和解決故障問題提供有力支撐。

（3）易維護性。監測系統獨立存在，在維護和升級時只需要針對這個監測系統進行維護和升級。

三、虛擬化應用安全檢測的評價指標體系

從運維管理人員角度看，不僅關心安全事件、警報，而且希望知道整個虛擬化環境是否安全。因此，監測系統需要對虛擬化環境的應用安全進行總體評估。但如果進行評估，那么就需要評價指標體系。

對虛擬化應用安全檢測的評價指標，不應該局限于安全監測系統之類的功能，而應該從應用安全的角度考慮，從更大的范圍考慮。從技術和管理上評估虛擬化應用安全，可以包括三個方面，一是對虛擬化環境的安全防護進行靜態評估，二是對虛擬機進行實時的動態評估，三是信息安全管理制度建設評估。

（一）靜態評估

靜態評估是對虛擬化環境的安全防護進行總體評估，其目的是幫助識別虛擬化環境總體安全狀況。因為采取的安全防護措施相對而言比較固定，一定時間內不會發生改變，所以稱為靜態評估。它包括：關鍵應用、物理防護、操作系統增強、信息的訪問管理、外圍訪問管理、備份與災備等。

（二）動態評估

動態評估是對虛擬機進行實時的評估，其目的是幫助識別虛擬機分安全狀況，分析判斷其價值、存在的脆弱性和面臨的安全威脅，從而獲得該虛擬機的安全風險情況，繼而可以采取針對性的安全防護措施。評估的模型設定了評估的三要素：虛擬機價值、優先級、可靠性。分值=風險（虛擬機價值，優先級，可靠性）。

（三）信息安全管理制度評估

信息安全管理制度建設的具體要求，如下表所示，分值僅供參考。

四、結語

隨著云服務的發展，虛擬化技術的研究與應用不斷深入，虛擬化環境的安全一直受到關注。既要借鑒傳統的安全解決方案，又要根據虛擬化環境的特點，將傳統方案與虛擬化環境下應用安全需求結合，適應虛擬化發展需要，完善虛擬化環境下的安全解決方案。

參考文獻：

[1]Huang YuLun，Chen B.，Shih MingWei，et al.Security Impacts of Virtualization on a Network Testbed[C].Gaithersburg，MD：Software Security and Reliability（SERE），2012 IEEE Sixth International Conference，2012：7177.

[2]The center for internet security.Virtual Machine Security Guidelines[EB/OL].

[3]李晨光.UNIX/Linux網絡日志分析與流量監控[M].機械工業出版社，2015.