云架構桌面虛擬化的安全問題研究

◆王歡 胡磊 李志宇

（1.空軍預警學院信息技術室 湖北 430019；2.空軍預警學院辦公室 湖北 430019）

1 引言

虛擬化技術主要包括服務器虛擬化、桌面虛擬化、存儲虛擬化、網(wǎng)絡虛擬化和桌面虛擬化等，其中桌面虛擬化技術發(fā)展迅速、應用非常廣泛。本質(zhì)上云桌面是一種基于分布式云計算存儲技術的應用，采用高度加密的算法，通過客戶端設備或者其他網(wǎng)絡連接設備實現(xiàn)跨越平臺連接使用。桌面虛擬化技術將PC 機的桌面操作系統(tǒng)虛擬化，與實際運行環(huán)境分離開，使用戶可以在任何時間、任何地點通過非指定設備（如筆記本、臺式機、瘦客戶機以及便攜移動設備等）對桌面系統(tǒng)進行操作或訪問[1]。

2 桌面虛擬化的特點

在云計算中，虛擬化技術采用虛擬化層將服務器的硬件資源重新整合分配，虛擬化層負責與用戶進行交互，并調(diào)用底層所有的硬件設備及計算資源[2]。云計算中虛擬化模型如圖1 所示。

圖1 云架構虛擬化模型

目前主流的虛擬化架構包括裸金屬架構（“Bare Metal”Architecture）和寄居架構（Hosted Architecture），如圖2、3 所示。

圖2 裸金屬結構

裸金屬架構采取硬件上直接安裝運行虛擬化軟件，將硬件資源統(tǒng)一管理調(diào)配再在其上安裝操作系統(tǒng)和應用的方式，主要依賴虛擬化程序內(nèi)核和服務器控制單元進行管理；寄居架構先在硬件上安裝常規(guī)操作系統(tǒng)（Windows、Linux 等），再安裝和運行虛擬化程序，它主要依賴于主機操作系統(tǒng)對設備的支持和物理資源的管理。

圖3 寄居結構

桌面虛擬化技術（Desktop Virtualization 或 Virtual Desktop Infrastructure）是一種基于服務器的計算模型，概念由虛擬化廠商VMware 提出，現(xiàn)已成為計算機標準術語。桌面虛擬化采用云計算中的裸金屬結構，在物理服務器上安裝虛擬化軟件，由虛擬化軟件將服務器硬件資源整合模擬出虛擬機操作系統(tǒng)運行所需要的硬件資源（CPU、內(nèi)存、硬盤和網(wǎng)卡等），虛擬機的操作系統(tǒng)則調(diào)用這些虛擬化軟件虛擬出硬件資源，從而達到多個虛擬機共享物理服務器的硬件資源，達到提高服務器硬件資源利用率的作用。虛擬桌面上的文件存儲和應用程序的執(zhí)行包括操作系統(tǒng)、應用程序和用戶數(shù)據(jù)，實際上都集中在服務器端的數(shù)據(jù)中心，用戶使用終端設備通過網(wǎng)絡遠程協(xié)議（比如微軟的RDP 協(xié)議、Citrix 的ICA 協(xié)議、Vmware 的PCoIP 協(xié)議等）與服務器數(shù)據(jù)中心進行交互操作[3]，達到用戶終端不存儲信息，所有桌面虛擬機在數(shù)據(jù)中心進行統(tǒng)一管理的目的，同時用戶也能獲得完整PC 的使用體驗。桌面虛擬化由服務器端完成運算，是一種將虛擬機操作系統(tǒng)的桌面呈現(xiàn)在用戶面前的技術[4]，可以結合服務器虛擬化和應用虛擬化進行。用戶通過瘦客戶機、改造舊PC 機等終端設備在局域網(wǎng)或者互聯(lián)網(wǎng)中遠程訪問獲得與傳統(tǒng)PC 一致的用戶體驗。

桌面虛擬化技術與傳統(tǒng)的PC 比較有以下幾大優(yōu)勢：

（1）使用靈活和訪問便捷。用戶可以利用網(wǎng)絡遠程訪問桌面系統(tǒng)，就獲得與傳統(tǒng)PC 完全一致的體驗，用戶還可以通過任何一種滿足接入要求的設備在任意時間和地點訪問云桌面。

（2）終端訪問設備更簡化和廣泛。終端設備可以是瘦客戶機、也可以將傳統(tǒng)PC 利舊改造后利用起來，甚至是上網(wǎng)本、智能手機，Pad 以及鍵盤，鼠標或者其他外設（比如有wifi 的手柄），都可以訪問云桌面或者虛擬應用。

（3）管理統(tǒng)一高效、數(shù)據(jù)集中安全。在桌面虛擬化模式下，所有桌面和其中的應用程序可以由管理員在后臺統(tǒng)一安裝配置調(diào)試和管理，對于終端數(shù)量多、配置相同的學校計算中心機房、圖書館電子閱覽室等場所非常適用，只需管理員更換桌面鏡像模板，就能夠更改所有終端桌面的應用和配置。另外，云桌面環(huán)境下電子信息是集中存儲在數(shù)據(jù)中心的，用戶只是通過顯示器查看運行的信息以及鼠標鍵盤進行信息交互和指令的傳達，涉密信息不需要傳輸?shù)浇K端，增強了數(shù)據(jù)安全性，還可以通過桌面策略配置管理終端，不允許將數(shù)據(jù)下載到終端，不允許使用外設保證數(shù)據(jù)安全，保證涉密信息不會泄露[5]。

（4）靈活的資源分配機制。云桌面系統(tǒng)中，可對各類硬件資源進行靈活分配和調(diào)整。可以根據(jù)用戶的需要，隨時快速增加或減少CPU、內(nèi)存、硬盤存儲空間以及專業(yè)顯卡等資源，從而滿足用戶的個性化需求。

（5）硬件利用率提高和降低能耗。采用云桌面系統(tǒng)可以有效減低終端的采購價格以及維護的成本，首先瘦客戶機負載低，使用壽命是傳統(tǒng)PC 的兩倍，價格也比普通PC 便宜一半，另外老舊的PC 也可以改造為普通終端，極大降低了終端成本。能耗方面，傳統(tǒng)PC 功率一般在200W 以上，是瘦客戶機的八倍左右，能耗節(jié)約量相當可觀，而且終端規(guī)模越大，節(jié)約成本越高。

3 桌面虛擬化存在的安全威脅及應對措施

云計算機技術能夠不斷向前發(fā)展首要考慮的就是數(shù)據(jù)安全與隱私保護[6]，2011 年美國國家標準與技術研究院（NIST）公布的標準報告將云安全劃分為云虛擬化安全、云數(shù)據(jù)安全以及云應用安全[7]，如圖4 所示：

圖4 云基礎架構和安全分類

云虛擬化安全主要研究對象為虛擬化底層架構，包含物理服務器上運行的虛擬機、后臺數(shù)據(jù)中心以及云基礎設施的非法入侵；云數(shù)據(jù)安全主要包括云存儲數(shù)據(jù)的機密性（Confidentiality）、完整性（Integrity）和可用性（Availability）；云應用安全主要包括云外包計算安全以及云平臺提供的應用服務的安全，包括業(yè)務系統(tǒng)和各種辦公軟件等服務的安全[8]。

3.1 云虛擬化安全

云計算技術中的核心就是虛擬化技術，傳統(tǒng)的安全措施很難來解決虛擬化的安全問題，需要根據(jù)云計算的虛擬化環(huán)境來運用新的安全策略。當前云計算技術下的虛擬化安全隱患主要有幾點[9]：

（1）虛擬機安全隔離。在服務器虛擬化環(huán)境中，在同一平臺上會同時運行著屬于不同用戶的虛擬機。傳統(tǒng)的安全防護措施，例如防火墻等只關注南北向的安全問題，對同一的服務器上運行的虛擬機之間基本不設防，如果一臺虛擬機被病毒或者黑客所破壞，那東西向的其他虛擬機將會承受巨大的安全風險。為保護用戶的隱私和云平臺的虛擬化環(huán)境安全，虛擬機都存在著安全隔離的需求。管理員要能夠嚴格劃分虛擬區(qū)間，以避免安全失陷和數(shù)據(jù)泄露，目前可以采用虛擬機監(jiān)視器和虛擬化安全軟件如VmwareNSX 等一些軟件來實現(xiàn)虛擬機的安全隔離。

（2）虛擬機遷移。虛擬機動態(tài)遷移是指一臺虛擬機根據(jù)設定的規(guī)則自動從一臺宿主物理服務器遷移至另一臺物理服務器，而遷移過程中虛擬機繼續(xù)執(zhí)行原有指令而不會中斷的一種技術。在云計算基礎架構中，虛擬機動態(tài)遷移已成為云桌面虛擬化技術的必備功能。在云計算環(huán)境中虛擬機能夠跨越多個物理服務器，根據(jù)用戶需求實現(xiàn)功能擴充等工作。雖然虛擬機能在多個物理設備之間遷移帶來業(yè)務高可用等許多技術優(yōu)勢，但是在遷移的過程中會使得安全管理工作變得更加復雜，更加容易受到安全威脅。

目前云環(huán)境下的虛擬機動態(tài)遷移安全問題，主要分為虛擬機監(jiān)控器安全、遷移數(shù)據(jù)安全和遷移模塊安全三類。源虛擬機監(jiān)視器和目的虛擬機監(jiān)視器之間必須進行認證以保證虛擬機遷移目標一致；系統(tǒng)管理員可以使用訪問控制策略來管理虛擬機動態(tài)遷移，保障虛擬機內(nèi)存信息、遷移的通道和數(shù)據(jù)流的安全；采用加密、物理或虛擬網(wǎng)絡劃分以及隔離虛擬機動態(tài)遷移保證傳輸路徑安全。

（3）虛擬機逃逸。在正常情況下，虛擬機可以分享宿主物理服務器的資源并提供隔離的運行環(huán)境，虛擬機里運行的程序是無法影響到宿主機和其他虛擬機的。由于技術的不完備以及虛擬化軟件的安全漏洞，虛擬機里運行的程序可能會利用安全漏洞繞過虛擬化底層從而控制宿主機，這種技術就叫作虛擬機逃逸技術。虛擬化環(huán)境的安全威脅已由理論變?yōu)楝F(xiàn)實，從虛擬機中逃逸，獲取宿主機操作系統(tǒng)的管理權限進而控制宿主機上的其他虛擬機。由于宿主機的特權地位就會導致整個安全模型完全崩潰。

應對方法：

①保證虛擬機管理器安全。在硬件配置方面滿足高配置與穩(wěn)定性需求。在軟件方面，由于采用裸金屬結構，虛擬化軟件層位于裸機之上，虛擬化服務器軟件層作為虛擬機的核心必須有足夠的安全防護，并及時安裝和升級系統(tǒng)補丁，并安裝虛擬化版本的殺毒軟件并及時更新病毒庫。

②防范惡意行為。對虛擬化服務器攻擊通常采用應用程序接口攻擊、網(wǎng)絡攻擊以及利用虛擬化服務器管理下的虛擬機進行攻擊。對此應該加強對虛擬化軟件層的訪問控制，禁止任何沒有授權的用戶訪問，限制相關的虛擬化層次的物理與邏輯訪問。

③設計虛擬機的訪問控制策略。加強訪問控制、身份認證以及虛擬機管控，禁止用戶虛擬機進行非授權的訪問，可以保護虛擬化環(huán)境的安全防止虛擬機逃逸。

④數(shù)據(jù)加密與備份。利用安全高效的算法進行數(shù)據(jù)加密，保障用戶數(shù)據(jù)的隱私與安全；備份虛擬機，遇到虛擬機故障就可以啟動備份虛擬機進行遷移，實現(xiàn)無縫對接轉(zhuǎn)換，避免在遷移過程中遭到攻擊。

3.2 云數(shù)據(jù)安全威脅

傳統(tǒng)計算模式下用戶數(shù)據(jù)的所有權和控制權高度統(tǒng)一，而云架構虛擬化計算模式下，用戶數(shù)據(jù)的控制權是分離的。云架構桌面數(shù)據(jù)都是集中存儲在數(shù)據(jù)中心，所以云數(shù)據(jù)安全也成為云安全必須關注的重點內(nèi)容[8]。

加密處理是有效的保護數(shù)據(jù)的方法，先將用戶數(shù)據(jù)進行加密存儲在數(shù)據(jù)中心，用戶需要時進行身份認證對數(shù)據(jù)進行解密。數(shù)據(jù)的身份鑒別可以利用代理重加密算法與屬性加密算法[10-11]，數(shù)據(jù)的訪問授權可以使用訪問控制技術，包括自主訪問控制（DAC）、強制訪問控制（MAC）、基于角色的訪問控制（RBAC）和基于屬性的訪問控制（ABAC）四種訪問控制模型，采用代理重加密、屬性加密與細粒度訪問控制以及不經(jīng)意傳輸和匿名證書的新型訪問控制等幾種訪問控制的方法；可搜索加密技術可以實現(xiàn)對密文數(shù)據(jù)的檢索[12]，最后還需驗證數(shù)據(jù)的完整性與所有權證明，防止用戶數(shù)據(jù)丟失。

3.3 云應用安全威脅。

應用本身存在的安全漏洞是首要預防和控制的，云應用本質(zhì)還是傳統(tǒng)應用遷移到云架構上，其本身存在的安全漏洞不但不會消失，反而因云平臺的結構特性而擴大漏洞的影響，打好應用的補丁以及設計出保障安全與隱私的方案以提高應用的安全性；其次云應用的安全性與所屬網(wǎng)絡的安全性密不可分，網(wǎng)絡協(xié)議本身存在的漏洞也會招致一系列的對云應用的攻擊和破壞[13]，例如音頻隱寫攻擊[14]、僵尸網(wǎng)絡攻擊[15]和DoS 攻擊[16]等等都可能導致云應用癱瘓和用戶數(shù)據(jù)非授權訪問或丟失。因此，在部署云應用環(huán)境的同時，需要做好已知應用安全攻擊的防御工作，設計針對性的安全與隱私保護方案從而保護云應用的安全性與用戶的數(shù)據(jù)隱私。

4 小結

云架構桌面虛擬化技術給我們帶來高效便捷，低終端成本的同時也因其結構特點帶來一系列的安全挑戰(zhàn)。云桌面計算節(jié)點多，位置分散并且無法控制，用戶數(shù)據(jù)的所有權與控制權分離，隱私數(shù)據(jù)在傳輸、處理和存儲中都有泄露風險，另外已知信息系統(tǒng)的安全漏洞也會轉(zhuǎn)移到云桌面系統(tǒng)并有擴大風險的可能。因此，只有針對性的制定相應的安全策略和方案，從云虛擬化安全、云數(shù)據(jù)安全和云應用安全出發(fā)，才能在不斷的優(yōu)化與改善中得到最大程度的安全防護，取得效益和安全的最大公約數(shù)。