虛擬化服務(wù)器安全防護(hù)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

◆魏力鵬 王皓然

虛擬化服務(wù)器安全防護(hù)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

◆魏力鵬 王皓然

（貴州電網(wǎng)有限責(zé)任公司信息中心 貴州 550002）

除了具有傳統(tǒng)物理服務(wù)器的安全風(fēng)險(xiǎn)之外，虛擬化服務(wù)器架構(gòu)同時(shí)因虛擬化而帶入了一些新的安全風(fēng)險(xiǎn)，如虛擬服務(wù)器間互相攻擊、安全狀態(tài)不一致、運(yùn)行環(huán)境不一致、資源占用風(fēng)暴等，針對(duì)上述虛擬服務(wù)器的安全風(fēng)險(xiǎn)，設(shè)計(jì)并實(shí)現(xiàn)一套基于VMware的安全防護(hù)系統(tǒng)，在病毒防護(hù)、補(bǔ)丁防護(hù)、惡意軟件防護(hù)、入侵檢測及防護(hù)、訪問控制、完整性監(jiān)控、日志審計(jì)、數(shù)據(jù)隔離等方面對(duì)虛擬主機(jī)和虛擬系統(tǒng)進(jìn)行了全面防護(hù)。

虛擬化服務(wù)器; 安全防護(hù)系統(tǒng)；服務(wù)器安全

0 引言

近年來，隨著云計(jì)算的迅猛發(fā)展，服務(wù)器虛擬化也越來越受到人們的關(guān)注。服務(wù)器虛擬化是一種從邏輯角度對(duì)資源進(jìn)行重新配置的方法，通過采用邏輯的方式對(duì)物理資源進(jìn)行配置，即可以在同一個(gè)物理服務(wù)器上運(yùn)行多個(gè)操作系統(tǒng)，也可以在多個(gè)物理服務(wù)器上運(yùn)行一個(gè)操作系統(tǒng)。服務(wù)器虛擬化打破了物理的局限，有利于實(shí)現(xiàn)更高效的資源管理、更有效的資源利用，是一種非常好的資源優(yōu)化整合方式。除了具有傳統(tǒng)物理服務(wù)器的安全風(fēng)險(xiǎn)之外，虛擬化服務(wù)器架構(gòu)同時(shí)因虛擬化而帶入了一些新的安全風(fēng)險(xiǎn)，針對(duì)這些新的安全風(fēng)險(xiǎn)，作者設(shè)計(jì)并實(shí)現(xiàn)了一套基于VMware的安全防護(hù)系統(tǒng)。

1 虛擬化服務(wù)器架構(gòu)中存在的安全風(fēng)險(xiǎn)

虛擬化服務(wù)器基于物理服務(wù)器，因此面臨著傳統(tǒng)物理服務(wù)器的各種安全風(fēng)險(xiǎn)，同時(shí)由于虛擬服務(wù)器之間的數(shù)據(jù)交換、計(jì)算資源池共享等，還帶入了一些新的安全風(fēng)險(xiǎn)。傳統(tǒng)的安全技術(shù)手段不但難以針對(duì)這些新的安全風(fēng)險(xiǎn)進(jìn)行全面防護(hù)，還容易產(chǎn)生大量的資源消耗，導(dǎo)致難以發(fā)揮出虛擬化服務(wù)器架構(gòu)的優(yōu)勢。這些新的安全風(fēng)險(xiǎn)包括：

1.1虛擬服務(wù)器間互相攻擊

在采用傳統(tǒng)安全防護(hù)模式進(jìn)行保護(hù)時(shí)，一般會(huì)在物理主機(jī)與外面的邊緣位置進(jìn)行保護(hù)，如隔離防火墻，這能夠很好地保護(hù)物理主機(jī)不受外部攻擊的威脅。但是在同一物理主機(jī)內(nèi)部的不同虛擬服務(wù)器直接，仍然存在著相互攻擊和相互入侵的安全風(fēng)險(xiǎn)。攻擊者有可能通過攻擊某一臺(tái)存在漏洞的虛擬服務(wù)器，并以此為跳板攻擊其它虛擬服務(wù)器，進(jìn)而給整個(gè)虛擬化環(huán)境帶來嚴(yán)重威脅。因此，對(duì)于虛擬服務(wù)器的使用者來說，系統(tǒng)仍然是不安全的。

1.2安全狀態(tài)不一致

采用虛擬化技術(shù)之后，使服務(wù)具備了更高的靈活性和負(fù)載均衡，虛擬服務(wù)器可以按需啟停。但是虛擬服務(wù)器的按需啟停卻導(dǎo)致了安全狀態(tài)滯后的安全風(fēng)險(xiǎn)，主要原因在于虛擬服務(wù)器在關(guān)閉時(shí)，關(guān)閉瞬間的各種安全狀態(tài)也將同時(shí)得到保存，如病毒防護(hù)等；當(dāng)虛擬服務(wù)器再次啟動(dòng)時(shí)，所保存的安全狀態(tài)與其它一直在線運(yùn)行的虛擬服務(wù)器的安全狀態(tài)相比，可能存在滯后和脫節(jié)的情況，如病毒庫的更新。因此，對(duì)于虛擬服務(wù)器的使用者來說，系統(tǒng)的安全狀態(tài)是不一致的。

1.3運(yùn)行環(huán)境不一致

在虛擬服務(wù)器上更新安全補(bǔ)丁時(shí)，如果定期采用傳統(tǒng)方式對(duì)階段性發(fā)布的安全補(bǔ)丁進(jìn)行測試和手工安裝，一方面新更新的安全補(bǔ)丁可能影響到系統(tǒng)功能，導(dǎo)致未測試的異常出現(xiàn)；另一方面如果采用集中式更新系統(tǒng)補(bǔ)丁，則整個(gè)過程需要大量人力物力的支撐，增加了成本。而采用單虛擬服務(wù)器按需式更新安全補(bǔ)丁，則面臨著安全狀態(tài)不一致的風(fēng)險(xiǎn)。

1.4資源占用風(fēng)暴

在虛擬化環(huán)境中為每一臺(tái)虛擬服務(wù)器單獨(dú)安裝防病毒軟件，一方面面臨安全狀態(tài)不一致的風(fēng)險(xiǎn)；另一方面在資源占用上也面臨風(fēng)險(xiǎn)：每一臺(tái)虛擬服務(wù)器上的防病毒軟件都會(huì)產(chǎn)生一定物理資源消耗，特別是當(dāng)所有虛擬服務(wù)器上的防病毒軟件同時(shí)進(jìn)行安全掃描或更新時(shí)，資源占用風(fēng)暴將不可避免，嚴(yán)重時(shí)甚至可能導(dǎo)致物理主機(jī)崩潰。

1.5虛擬化工具漏洞風(fēng)險(xiǎn)

無論是采用VMware或其它工具進(jìn)行虛擬化，這些工具都不可避免地存在漏洞，攻擊者有可能利用工具的漏洞，取得平臺(tái)管理權(quán)限，進(jìn)而攻擊其中的虛擬化服務(wù)器。

1.6數(shù)據(jù)安全風(fēng)險(xiǎn)

服務(wù)器虛擬化之后，不同虛擬服務(wù)器的數(shù)據(jù)存儲(chǔ)在共享的物理存儲(chǔ)設(shè)備中，在沒有嚴(yán)格數(shù)據(jù)隔離措施的情況下，一旦某臺(tái)虛擬服務(wù)器受到攻擊，其它虛擬服務(wù)器也面臨數(shù)據(jù)受到侵害的風(fēng)險(xiǎn)。

1.7系統(tǒng)復(fù)制風(fēng)險(xiǎn)

攻擊者通過獲取虛擬機(jī)控制器的管理權(quán)限，就可以復(fù)制其中的虛擬服務(wù)器。在其它平臺(tái)部署復(fù)制后的虛擬服務(wù)器，攻擊者就有充足的時(shí)間破解其中的安全防護(hù)系統(tǒng)、獲取其中的重要數(shù)據(jù)，甚至用修改后的虛擬服務(wù)器替換原來的虛擬服務(wù)器，而整個(gè)過程將難以被察覺。

2 虛擬化服務(wù)器安全防護(hù)設(shè)計(jì)

針對(duì)虛擬化服務(wù)器架構(gòu)中存在的安全風(fēng)險(xiǎn)，可以在以下幾個(gè)方面進(jìn)行安全防護(hù)：

2.1實(shí)現(xiàn)無代理病毒防護(hù)

在虛擬化環(huán)境中，一臺(tái)物理服務(wù)器往往承載著多個(gè)虛擬服務(wù)器，如何有效降低病毒掃描負(fù)載，直接影響到整個(gè)虛擬化平臺(tái)的使用效率。結(jié)合VMware的NSX技術(shù)架構(gòu)，可以提供了針對(duì)虛擬化服務(wù)器及桌面的無代理病毒防護(hù)，解決傳統(tǒng)有代理防病毒方式無法適應(yīng)虛擬化架構(gòu)的問題，特別是防病毒掃描風(fēng)暴和病毒定義升級(jí)風(fēng)暴等問題。

2.2通過監(jiān)控Hypervisor底層服務(wù)器進(jìn)行虛擬架構(gòu)保護(hù)

虛擬平臺(tái)底層服務(wù)器上不安裝任何防護(hù)軟件，而是在一臺(tái)特定的虛擬服務(wù)器上部署安全監(jiān)控代理，以命令行或者API接口的方式訪問平臺(tái)底層配置文件/日志、VM配置文件。

2.3保障平臺(tái)安全運(yùn)行環(huán)境

限制服務(wù)器主機(jī)上的端口開放和訪問情況，確保服務(wù)器上只開放允許的服務(wù)端口，并進(jìn)行細(xì)粒度的訪問控制管理。通過進(jìn)程白名單技術(shù)，確保虛擬服務(wù)器只允許業(yè)務(wù)所需的進(jìn)程和程序。提供緩沖區(qū)溢出、進(jìn)程注入等漏洞攻擊行為的檢測及保護(hù)能力，在虛擬服務(wù)器未及時(shí)更新補(bǔ)丁時(shí)進(jìn)行有效保護(hù)。通過監(jiān)控虛擬服務(wù)器操作系統(tǒng)日志，及時(shí)掌握當(dāng)前面臨的威脅及風(fēng)險(xiǎn)狀況。

2.4提供可信網(wǎng)絡(luò)訪問

策略管理服務(wù)器制定統(tǒng)一的防火墻規(guī)則，并且自動(dòng)下發(fā)到終端進(jìn)行執(zhí)行，且不允許終端用戶隨意修改?？梢酝ㄟ^防火墻策略限定終端用戶能不能訪問某些特定資源，或者進(jìn)行特定網(wǎng)絡(luò)連接（如基于IP、端口、應(yīng)用程序等參數(shù)）。避免虛擬服務(wù)器間的惡意攻擊及訪問，彌補(bǔ)傳統(tǒng)防火墻只能監(jiān)控阻止外部攻擊的不足。

2.5實(shí)現(xiàn)業(yè)務(wù)隔離

提供基于進(jìn)程、文件級(jí)別的應(yīng)用程序控制功能，自動(dòng)收集并識(shí)別虛擬服務(wù)器上運(yùn)行的業(yè)務(wù)進(jìn)程及服務(wù)，并根據(jù)進(jìn)程的繼承和調(diào)用關(guān)系，在確保業(yè)務(wù)進(jìn)程和業(yè)務(wù)操作正常運(yùn)行的前提下，阻止可信范圍之外的其它應(yīng)用程序的安裝和運(yùn)行，防止因?yàn)檐浖碾S意安裝或者程序的運(yùn)行可能導(dǎo)致的病毒感染、惡意代碼執(zhí)行風(fēng)險(xiǎn)。

2.6實(shí)現(xiàn)系統(tǒng)資源調(diào)用限制

操作系統(tǒng)的每項(xiàng)進(jìn)程、服務(wù)和功能都有其明確定義，可以預(yù)先記錄它們的已知行為。在其執(zhí)行資源調(diào)用之前，由安全防護(hù)系統(tǒng)進(jìn)行評(píng)估并確保有效性，只有經(jīng)過驗(yàn)證的調(diào)用才能傳遞給操作系統(tǒng)執(zhí)行。

3 虛擬化服務(wù)器安全防護(hù)系統(tǒng)實(shí)現(xiàn)

圖1 虛擬化服務(wù)器安全防護(hù)系統(tǒng)架構(gòu)圖

虛擬化服務(wù)器安全防護(hù)系統(tǒng)架構(gòu)圖如圖1，由四個(gè)部分組成，其中：

（1）虛擬網(wǎng)關(guān)：部署在防護(hù)墻，用于保護(hù)虛擬平臺(tái)邊緣安全，提供DHCP、NAT、統(tǒng)一防火墻、負(fù)責(zé)均衡、VPN、端口隔離等功能。

（2）安全代理：部署于物理服務(wù)器中，為整個(gè)物理服務(wù)器提供反病毒引擎和反病毒數(shù)據(jù)庫，每個(gè)虛擬服務(wù)器中無需部署引擎及反病毒數(shù)據(jù)庫，安全代理實(shí)現(xiàn)了性能開銷更低的一對(duì)多安全防護(hù)。

（3）虛擬應(yīng)用：部署在虛擬服務(wù)器中，提供無代理病毒查殺、IDS/IPS、程序保護(hù)、程序控管、完整性監(jiān)控及日志審計(jì)等功能。為虛擬化平臺(tái)安全防護(hù)提供安全接口使用，數(shù)據(jù)文件通過接口傳遞給安全代理進(jìn)行掃描。

（4）安全中心：負(fù)責(zé)統(tǒng)一更新病毒庫、提供可信數(shù)據(jù)訪問。通過建立并維護(hù)一個(gè)掃描文件的全局緩存，保存已經(jīng)經(jīng)過安全掃描的文件，則以后虛擬機(jī)再訪問該文件時(shí)將無需再次進(jìn)行掃描。這種做法降低了資源消耗，提高了資源利用率。

（5）管理中心：使管理員能夠進(jìn)行安全策略管理并將安全策略應(yīng)用于服務(wù)器，以及安全更新和生成報(bào)告?？捎糜诠芾怼⒉渴?、報(bào)告、記錄和集成第三方安全服務(wù)，實(shí)現(xiàn)基于角色的訪問控制以及職責(zé)分離。

圖2 虛擬化服務(wù)器安全防護(hù)系統(tǒng)功能模塊圖

虛擬化服務(wù)器安全防護(hù)系統(tǒng)功能模塊圖如圖2，其主要功能包括：

（1）病毒防護(hù)：針對(duì)虛擬化環(huán)境中存在的安全狀態(tài)不一致和資源占用風(fēng)暴問題，通過實(shí)現(xiàn)虛擬化層的病毒防護(hù)模塊提供無代理病毒防護(hù)。采用啟發(fā)式掃描，及時(shí)查殺病毒。

（2）補(bǔ)丁防護(hù)：通過虛擬補(bǔ)丁技術(shù)對(duì)虛擬服務(wù)器進(jìn)行評(píng)估，并自動(dòng)為每個(gè)虛擬服務(wù)器提供全面的漏洞修補(bǔ)。在沒有安裝補(bǔ)丁程序之前，提供針對(duì)漏洞攻擊的攔截。

（3）惡意軟件防護(hù)：集成VMware vShield Endpoint API，無需占用虛擬機(jī)資源即可防止VMware虛擬機(jī)受到病毒、木馬等惡意軟件的侵害，從而為虛擬環(huán)境中的復(fù)雜攻擊干擾安全提供防護(hù)。

（4）Web應(yīng)用防護(hù)：防止跨站腳本攻擊和其他Web應(yīng)用程序漏洞。提供包含攻擊者、攻擊時(shí)間等概要信息的自動(dòng)通知。

（5）入侵防護(hù)：通過阻斷SQL注入攻擊、拒絕服務(wù)攻擊、蠕蟲病毒侵入攻擊等行為。為服務(wù)器提供了高安全度的保護(hù)。檢查所有傳入和傳出數(shù)據(jù)包，不允許協(xié)議修改、違反安全策略等可能導(dǎo)致攻擊的內(nèi)容有可乘之機(jī)。

（6）訪問控制：提供基于狀態(tài)檢測的訪問控制功能，實(shí)現(xiàn)基于虛擬交換機(jī)（vNIC）網(wǎng)口的訪問控制，實(shí)現(xiàn)虛擬系統(tǒng)之間的邏輯隔離，同時(shí)對(duì)各種泛洪攻擊進(jìn)行識(shí)別和攔截。根據(jù)流量管理協(xié)議阻斷非法流量、優(yōu)化流量分布。

（7）入侵檢測：以協(xié)議為基礎(chǔ)，提供基于策略的監(jiān)控和分析工具，更精確地對(duì)流量進(jìn)行監(jiān)控、分析和訪問控制，同時(shí)進(jìn)行網(wǎng)絡(luò)行為分析，為在無人值守的環(huán)境下快速準(zhǔn)確地檢測入侵行為。將攻擊特征與特征庫進(jìn)行匹配，記錄新的攻擊特征，不斷完善特征庫。

（8）完整性監(jiān)控：支持基于基線（Baseline）的文件、目錄、注冊(cè)表等關(guān)鍵文件監(jiān)控功能，如果這些關(guān)鍵位置被惡意篡改或感染病毒，系統(tǒng)自動(dòng)向管理員發(fā)出警報(bào)，并記錄問題，從而提高了系統(tǒng)的安全性。

（9）日志審計(jì)：提供詳盡的系統(tǒng)日志和報(bào)告功能。除了記錄功能日志外，還結(jié)合虛擬服務(wù)器操作系統(tǒng)日志和安全防護(hù)系統(tǒng)運(yùn)行日志，進(jìn)行統(tǒng)一的統(tǒng)計(jì)和分析，并生成報(bào)表。

（10）數(shù)據(jù)隔離：提供動(dòng)態(tài)存儲(chǔ)管理，根據(jù)虛擬服務(wù)器需求自動(dòng)調(diào)整其存儲(chǔ)空間，限制其對(duì)存儲(chǔ)空間的訪問，從而實(shí)現(xiàn)數(shù)據(jù)的嚴(yán)格隔離，避免數(shù)據(jù)安全風(fēng)險(xiǎn)。利用VMware的VMsafe技術(shù)，所有虛擬機(jī)之間的數(shù)據(jù)流量進(jìn)行檢查。

（11）應(yīng)用隔離：支持分離虛擬應(yīng)用，從而避免虛擬應(yīng)用之間的相互感染。利用基于簽名的入侵防御功能，來保護(hù)HTTP、FTP等關(guān)鍵業(yè)務(wù)服務(wù)免遭攻擊。

（12）雙向狀態(tài)防火墻：進(jìn)行細(xì)粒度過濾，針對(duì)網(wǎng)絡(luò)的設(shè)計(jì)策略以及基于IP協(xié)議的位置感知功能，縮小服務(wù)器的受攻擊范圍。集中管理服務(wù)器防火墻策略，防止拒絕服務(wù)攻擊并檢測偵察掃描。

4 結(jié)束語

通過設(shè)計(jì)和實(shí)現(xiàn)虛擬化服務(wù)器安全防護(hù)系統(tǒng)，在病毒防護(hù)、補(bǔ)丁防護(hù)、惡意軟件防護(hù)、入侵檢測及防護(hù)、訪問控制、完整性監(jiān)控、日志審計(jì)、數(shù)據(jù)隔離等方面實(shí)現(xiàn)了全面防護(hù)，很好地解決了虛擬化服務(wù)器架構(gòu)中存在的虛擬服務(wù)器之間互相攻擊、安全狀態(tài)不一致、運(yùn)行環(huán)境不一致、資源占用風(fēng)暴等安全風(fēng)險(xiǎn)，使系統(tǒng)降低了安全威脅出現(xiàn)到可以真正進(jìn)行防御的時(shí)間差，具備了抵抗最新安全威脅的能力，提高了服務(wù)器的安全性，從而保障了業(yè)務(wù)應(yīng)用的高可用性。

[1]孫梅玲，李降宇，王寅永.基于虛擬化環(huán)境的信息安全防護(hù)體系構(gòu)建[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017.

[2]陳藝文.虛擬數(shù)據(jù)中心安全防護(hù)的調(diào)研分析[D].廣東:華南理工大學(xué)，2013.

[3]王皓然.虛擬化安全完整性監(jiān)控研究與實(shí)現(xiàn)[J].貴州電力技術(shù)，2016.

[4]張凱.云計(jì)算環(huán)境下虛擬化服務(wù)器的安全分析[J].信息與電腦(理論版)，2016.

[5]王煥民，裴華艷.云計(jì)算環(huán)境下虛擬化服務(wù)器的安全研究[J].鐵路計(jì)算機(jī)應(yīng)用，2014.

[6]趙源.眾達(dá)能源公司信息系統(tǒng)網(wǎng)絡(luò)安全體系設(shè)計(jì)與實(shí)施[D].吉林:長春理工大學(xué)，2014.

[7]鄭富華.華為云計(jì)算環(huán)境下虛擬化服務(wù)器的安全問題研究[J].電腦迷，2017.

[8]劉俊琪.服務(wù)器虛擬化安全風(fēng)險(xiǎn)及防護(hù)措施研究[J].電腦知識(shí)與技術(shù)，2017.

[9]阮俊杰.淺談入侵防護(hù)系統(tǒng)在供電局網(wǎng)絡(luò)安全建設(shè)中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016.