◆魏力鵬 王皓然
虛擬化服務(wù)器安全防護(hù)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)
◆魏力鵬 王皓然
(貴州電網(wǎng)有限責(zé)任公司信息中心 貴州 550002)
除了具有傳統(tǒng)物理服務(wù)器的安全風(fēng)險(xiǎn)之外,虛擬化服務(wù)器架構(gòu)同時(shí)因虛擬化而帶入了一些新的安全風(fēng)險(xiǎn),如虛擬服務(wù)器間互相攻擊、安全狀態(tài)不一致、運(yùn)行環(huán)境不一致、資源占用風(fēng)暴等,針對(duì)上述虛擬服務(wù)器的安全風(fēng)險(xiǎn),設(shè)計(jì)并實(shí)現(xiàn)一套基于VMware的安全防護(hù)系統(tǒng),在病毒防護(hù)、補(bǔ)丁防護(hù)、惡意軟件防護(hù)、入侵檢測及防護(hù)、訪問控制、完整性監(jiān)控、日志審計(jì)、數(shù)據(jù)隔離等方面對(duì)虛擬主機(jī)和虛擬系統(tǒng)進(jìn)行了全面防護(hù)。
虛擬化服務(wù)器; 安全防護(hù)系統(tǒng);服務(wù)器安全
近年來,隨著云計(jì)算的迅猛發(fā)展,服務(wù)器虛擬化也越來越受到人們的關(guān)注。服務(wù)器虛擬化是一種從邏輯角度對(duì)資源進(jìn)行重新配置的方法,通過采用邏輯的方式對(duì)物理資源進(jìn)行配置,即可以在同一個(gè)物理服務(wù)器上運(yùn)行多個(gè)操作系統(tǒng),也可以在多個(gè)物理服務(wù)器上運(yùn)行一個(gè)操作系統(tǒng)。服務(wù)器虛擬化打破了物理的局限,有利于實(shí)現(xiàn)更高效的資源管理、更有效的資源利用,是一種非常好的資源優(yōu)化整合方式。除了具有傳統(tǒng)物理服務(wù)器的安全風(fēng)險(xiǎn)之外,虛擬化服務(wù)器架構(gòu)同時(shí)因虛擬化而帶入了一些新的安全風(fēng)險(xiǎn),針對(duì)這些新的安全風(fēng)險(xiǎn),作者設(shè)計(jì)并實(shí)現(xiàn)了一套基于VMware的安全防護(hù)系統(tǒng)。
虛擬化服務(wù)器基于物理服務(wù)器,因此面臨著傳統(tǒng)物理服務(wù)器的各種安全風(fēng)險(xiǎn),同時(shí)由于虛擬服務(wù)器之間的數(shù)據(jù)交換、計(jì)算資源池共享等,還帶入了一些新的安全風(fēng)險(xiǎn)。傳統(tǒng)的安全技術(shù)手段不但難以針對(duì)這些新的安全風(fēng)險(xiǎn)進(jìn)行全面防護(hù),還容易產(chǎn)生大量的資源消耗,導(dǎo)致難以發(fā)揮出虛擬化服務(wù)器架構(gòu)的優(yōu)勢。這些新的安全風(fēng)險(xiǎn)包括:
在采用傳統(tǒng)安全防護(hù)模式進(jìn)行保護(hù)時(shí),一般會(huì)在物理主機(jī)與外面的邊緣位置進(jìn)行保護(hù),如隔離防火墻,這能夠很好地保護(hù)物理主機(jī)不受外部攻擊的威脅。但是在同一物理主機(jī)內(nèi)部的不同虛擬服務(wù)器直接,仍然存在著相互攻擊和相互入侵的安全風(fēng)險(xiǎn)。攻擊者有可能通過攻擊某一臺(tái)存在漏洞的虛擬服務(wù)器,并以此為跳板攻擊其它虛擬服務(wù)器,進(jìn)而給整個(gè)虛擬化環(huán)境帶來嚴(yán)重威脅。因此,對(duì)于虛擬服務(wù)器的使用者來說,系統(tǒng)仍然是不安全的。
采用虛擬化技術(shù)之后,使服務(wù)具備了更高的靈活性和負(fù)載均衡,虛擬服務(wù)器可以按需啟停。但是虛擬服務(wù)器的按需啟停卻導(dǎo)致了安全狀態(tài)滯后的安全風(fēng)險(xiǎn),主要原因在于虛擬服務(wù)器在關(guān)閉時(shí),關(guān)閉瞬間的各種安全狀態(tài)也將同時(shí)得到保存,如病毒防護(hù)等;當(dāng)虛擬服務(wù)器再次啟動(dòng)時(shí),所保存的安全狀態(tài)與其它一直在線運(yùn)行的虛擬服務(wù)器的安全狀態(tài)相比,可能存在滯后和脫節(jié)的情況,如病毒庫的更新。因此,對(duì)于虛擬服務(wù)器的使用者來說,系統(tǒng)的安全狀態(tài)是不一致的。
在虛擬服務(wù)器上更新安全補(bǔ)丁時(shí),如果定期采用傳統(tǒng)方式對(duì)階段性發(fā)布的安全補(bǔ)丁進(jìn)行測試和手工安裝,一方面新更新的安全補(bǔ)丁可能影響到系統(tǒng)功能,導(dǎo)致未測試的異常出現(xiàn);另一方面如果采用集中式更新系統(tǒng)補(bǔ)丁,則整個(gè)過程需要大量人力物力的支撐,增加了成本。而采用單虛擬服務(wù)器按需式更新安全補(bǔ)丁,則面臨著安全狀態(tài)不一致的風(fēng)險(xiǎn)。
在虛擬化環(huán)境中為每一臺(tái)虛擬服務(wù)器單獨(dú)安裝防病毒軟件,一方面面臨安全狀態(tài)不一致的風(fēng)險(xiǎn);另一方面在資源占用上也面臨風(fēng)險(xiǎn):每一臺(tái)虛擬服務(wù)器上的防病毒軟件都會(huì)產(chǎn)生一定物理資源消耗,特別是當(dāng)所有虛擬服務(wù)器上的防病毒軟件同時(shí)進(jìn)行安全掃描或更新時(shí),資源占用風(fēng)暴將不可避免,嚴(yán)重時(shí)甚至可能導(dǎo)致物理主機(jī)崩潰。
無論是采用VMware或其它工具進(jìn)行虛擬化,這些工具都不可避免地存在漏洞,攻擊者有可能利用工具的漏洞,取得平臺(tái)管理權(quán)限,進(jìn)而攻擊其中的虛擬化服務(wù)器。
服務(wù)器虛擬化之后,不同虛擬服務(wù)器的數(shù)據(jù)存儲(chǔ)在共享的物理存儲(chǔ)設(shè)備中,在沒有嚴(yán)格數(shù)據(jù)隔離措施的情況下,一旦某臺(tái)虛擬服務(wù)器受到攻擊,其它虛擬服務(wù)器也面臨數(shù)據(jù)受到侵害的風(fēng)險(xiǎn)。
攻擊者通過獲取虛擬機(jī)控制器的管理權(quán)限,就可以復(fù)制其中的虛擬服務(wù)器。在其它平臺(tái)部署復(fù)制后的虛擬服務(wù)器,攻擊者就有充足的時(shí)間破解其中的安全防護(hù)系統(tǒng)、獲取其中的重要數(shù)據(jù),甚至用修改后的虛擬服務(wù)器替換原來的虛擬服務(wù)器,而整個(gè)過程將難以被察覺。
針對(duì)虛擬化服務(wù)器架構(gòu)中存在的安全風(fēng)險(xiǎn),可以在以下幾個(gè)方面進(jìn)行安全防護(hù):
在虛擬化環(huán)境中,一臺(tái)物理服務(wù)器往往承載著多個(gè)虛擬服務(wù)器,如何有效降低病毒掃描負(fù)載,直接影響到整個(gè)虛擬化平臺(tái)的使用效率。結(jié)合VMware的NSX技術(shù)架構(gòu),可以提供了針對(duì)虛擬化服務(wù)器及桌面的無代理病毒防護(hù),解決傳統(tǒng)有代理防病毒方式無法適應(yīng)虛擬化架構(gòu)的問題,特別是防病毒掃描風(fēng)暴和病毒定義升級(jí)風(fēng)暴等問題。
虛擬平臺(tái)底層服務(wù)器上不安裝任何防護(hù)軟件,而是在一臺(tái)特定的虛擬服務(wù)器上部署安全監(jiān)控代理,以命令行或者API接口的方式訪問平臺(tái)底層配置文件/日志、VM配置文件。
限制服務(wù)器主機(jī)上的端口開放和訪問情況,確保服務(wù)器上只開放允許的服務(wù)端口,并進(jìn)行細(xì)粒度的訪問控制管理。通過進(jìn)程白名單技術(shù),確保虛擬服務(wù)器只允許業(yè)務(wù)所需的進(jìn)程和程序。提供緩沖區(qū)溢出、進(jìn)程注入等漏洞攻擊行為的檢測及保護(hù)能力,在虛擬服務(wù)器未及時(shí)更新補(bǔ)丁時(shí)進(jìn)行有效保護(hù)。通過監(jiān)控虛擬服務(wù)器操作系統(tǒng)日志,及時(shí)掌握當(dāng)前面臨的威脅及風(fēng)險(xiǎn)狀況。
策略管理服務(wù)器制定統(tǒng)一的防火墻規(guī)則,并且自動(dòng)下發(fā)到終端進(jìn)行執(zhí)行,且不允許終端用戶隨意修改??梢酝ㄟ^防火墻策略限定終端用戶能不能訪問某些特定資源,或者進(jìn)行特定網(wǎng)絡(luò)連接(如基于IP、端口、應(yīng)用程序等參數(shù))。避免虛擬服務(wù)器間的惡意攻擊及訪問,彌補(bǔ)傳統(tǒng)防火墻只能監(jiān)控阻止外部攻擊的不足。
提供基于進(jìn)程、文件級(jí)別的應(yīng)用程序控制功能,自動(dòng)收集并識(shí)別虛擬服務(wù)器上運(yùn)行的業(yè)務(wù)進(jìn)程及服務(wù),并根據(jù)進(jìn)程的繼承和調(diào)用關(guān)系,在確保業(yè)務(wù)進(jìn)程和業(yè)務(wù)操作正常運(yùn)行的前提下,阻止可信范圍之外的其它應(yīng)用程序的安裝和運(yùn)行,防止因?yàn)檐浖碾S意安裝或者程序的運(yùn)行可能導(dǎo)致的病毒感染、惡意代碼執(zhí)行風(fēng)險(xiǎn)。
操作系統(tǒng)的每項(xiàng)進(jìn)程、服務(wù)和功能都有其明確定義,可以預(yù)先記錄它們的已知行為。在其執(zhí)行資源調(diào)用之前,由安全防護(hù)系統(tǒng)進(jìn)行評(píng)估并確保有效性,只有經(jīng)過驗(yàn)證的調(diào)用才能傳遞給操作系統(tǒng)執(zhí)行。
圖1 虛擬化服務(wù)器安全防護(hù)系統(tǒng)架構(gòu)圖
虛擬化服務(wù)器安全防護(hù)系統(tǒng)架構(gòu)圖如圖1,由四個(gè)部分組成,其中:
(1)虛擬網(wǎng)關(guān):部署在防護(hù)墻,用于保護(hù)虛擬平臺(tái)邊緣安全,提供DHCP、NAT、統(tǒng)一防火墻、負(fù)責(zé)均衡、VPN、端口隔離等功能。
(2)安全代理:部署于物理服務(wù)器中,為整個(gè)物理服務(wù)器提供反病毒引擎和反病毒數(shù)據(jù)庫,每個(gè)虛擬服務(wù)器中無需部署引擎及反病毒數(shù)據(jù)庫,安全代理實(shí)現(xiàn)了性能開銷更低的一對(duì)多安全防護(hù)。
(3)虛擬應(yīng)用:部署在虛擬服務(wù)器中,提供無代理病毒查殺、IDS/IPS、程序保護(hù)、程序控管、完整性監(jiān)控及日志審計(jì)等功能。為虛擬化平臺(tái)安全防護(hù)提供安全接口使用,數(shù)據(jù)文件通過接口傳遞給安全代理進(jìn)行掃描。
(4)安全中心:負(fù)責(zé)統(tǒng)一更新病毒庫、提供可信數(shù)據(jù)訪問。通過建立并維護(hù)一個(gè)掃描文件的全局緩存,保存已經(jīng)經(jīng)過安全掃描的文件,則以后虛擬機(jī)再訪問該文件時(shí)將無需再次進(jìn)行掃描。這種做法降低了資源消耗,提高了資源利用率。
(5)管理中心:使管理員能夠進(jìn)行安全策略管理并將安全策略應(yīng)用于服務(wù)器,以及安全更新和生成報(bào)告??捎糜诠芾怼⒉渴?、報(bào)告、記錄和集成第三方安全服務(wù),實(shí)現(xiàn)基于角色的訪問控制以及職責(zé)分離。
圖2 虛擬化服務(wù)器安全防護(hù)系統(tǒng)功能模塊圖
虛擬化服務(wù)器安全防護(hù)系統(tǒng)功能模塊圖如圖2,其主要功能包括:
(1)病毒防護(hù):針對(duì)虛擬化環(huán)境中存在的安全狀態(tài)不一致和資源占用風(fēng)暴問題,通過實(shí)現(xiàn)虛擬化層的病毒防護(hù)模塊提供無代理病毒防護(hù)。采用啟發(fā)式掃描,及時(shí)查殺病毒。
(2)補(bǔ)丁防護(hù):通過虛擬補(bǔ)丁技術(shù)對(duì)虛擬服務(wù)器進(jìn)行評(píng)估,并自動(dòng)為每個(gè)虛擬服務(wù)器提供全面的漏洞修補(bǔ)。在沒有安裝補(bǔ)丁程序之前,提供針對(duì)漏洞攻擊的攔截。
(3)惡意軟件防護(hù):集成VMware vShield Endpoint API,無需占用虛擬機(jī)資源即可防止VMware虛擬機(jī)受到病毒、木馬等惡意軟件的侵害,從而為虛擬環(huán)境中的復(fù)雜攻擊干擾安全提供防護(hù)。
(4)Web應(yīng)用防護(hù):防止跨站腳本攻擊和其他Web應(yīng)用程序漏洞。提供包含攻擊者、攻擊時(shí)間等概要信息的自動(dòng)通知。
(5)入侵防護(hù):通過阻斷SQL注入攻擊、拒絕服務(wù)攻擊、蠕蟲病毒侵入攻擊等行為。為服務(wù)器提供了高安全度的保護(hù)。檢查所有傳入和傳出數(shù)據(jù)包,不允許協(xié)議修改、違反安全策略等可能導(dǎo)致攻擊的內(nèi)容有可乘之機(jī)。
(6)訪問控制:提供基于狀態(tài)檢測的訪問控制功能,實(shí)現(xiàn)基于虛擬交換機(jī)(vNIC)網(wǎng)口的訪問控制,實(shí)現(xiàn)虛擬系統(tǒng)之間的邏輯隔離,同時(shí)對(duì)各種泛洪攻擊進(jìn)行識(shí)別和攔截。根據(jù)流量管理協(xié)議阻斷非法流量、優(yōu)化流量分布。
(7)入侵檢測:以協(xié)議為基礎(chǔ),提供基于策略的監(jiān)控和分析工具,更精確地對(duì)流量進(jìn)行監(jiān)控、分析和訪問控制,同時(shí)進(jìn)行網(wǎng)絡(luò)行為分析,為在無人值守的環(huán)境下快速準(zhǔn)確地檢測入侵行為。將攻擊特征與特征庫進(jìn)行匹配,記錄新的攻擊特征,不斷完善特征庫。
(8)完整性監(jiān)控:支持基于基線(Baseline)的文件、目錄、注冊(cè)表等關(guān)鍵文件監(jiān)控功能,如果這些關(guān)鍵位置被惡意篡改或感染病毒,系統(tǒng)自動(dòng)向管理員發(fā)出警報(bào),并記錄問題,從而提高了系統(tǒng)的安全性。
(9)日志審計(jì):提供詳盡的系統(tǒng)日志和報(bào)告功能。除了記錄功能日志外,還結(jié)合虛擬服務(wù)器操作系統(tǒng)日志和安全防護(hù)系統(tǒng)運(yùn)行日志,進(jìn)行統(tǒng)一的統(tǒng)計(jì)和分析,并生成報(bào)表。
(10)數(shù)據(jù)隔離:提供動(dòng)態(tài)存儲(chǔ)管理,根據(jù)虛擬服務(wù)器需求自動(dòng)調(diào)整其存儲(chǔ)空間,限制其對(duì)存儲(chǔ)空間的訪問,從而實(shí)現(xiàn)數(shù)據(jù)的嚴(yán)格隔離,避免數(shù)據(jù)安全風(fēng)險(xiǎn)。利用VMware的VMsafe技術(shù),所有虛擬機(jī)之間的數(shù)據(jù)流量進(jìn)行檢查。
(11)應(yīng)用隔離:支持分離虛擬應(yīng)用,從而避免虛擬應(yīng)用之間的相互感染。利用基于簽名的入侵防御功能,來保護(hù)HTTP、FTP等關(guān)鍵業(yè)務(wù)服務(wù)免遭攻擊。
(12)雙向狀態(tài)防火墻:進(jìn)行細(xì)粒度過濾,針對(duì)網(wǎng)絡(luò)的設(shè)計(jì)策略以及基于IP協(xié)議的位置感知功能,縮小服務(wù)器的受攻擊范圍。集中管理服務(wù)器防火墻策略,防止拒絕服務(wù)攻擊并檢測偵察掃描。
通過設(shè)計(jì)和實(shí)現(xiàn)虛擬化服務(wù)器安全防護(hù)系統(tǒng),在病毒防護(hù)、補(bǔ)丁防護(hù)、惡意軟件防護(hù)、入侵檢測及防護(hù)、訪問控制、完整性監(jiān)控、日志審計(jì)、數(shù)據(jù)隔離等方面實(shí)現(xiàn)了全面防護(hù),很好地解決了虛擬化服務(wù)器架構(gòu)中存在的虛擬服務(wù)器之間互相攻擊、安全狀態(tài)不一致、運(yùn)行環(huán)境不一致、資源占用風(fēng)暴等安全風(fēng)險(xiǎn),使系統(tǒng)降低了安全威脅出現(xiàn)到可以真正進(jìn)行防御的時(shí)間差,具備了抵抗最新安全威脅的能力,提高了服務(wù)器的安全性,從而保障了業(yè)務(wù)應(yīng)用的高可用性。
[1]孫梅玲,李降宇,王寅永.基于虛擬化環(huán)境的信息安全防護(hù)體系構(gòu)建[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2017.
[2]陳藝文.虛擬數(shù)據(jù)中心安全防護(hù)的調(diào)研分析[D].廣東:華南理工大學(xué),2013.
[3]王皓然.虛擬化安全完整性監(jiān)控研究與實(shí)現(xiàn)[J].貴州電力技術(shù),2016.
[4]張凱.云計(jì)算環(huán)境下虛擬化服務(wù)器的安全分析[J].信息與電腦(理論版),2016.
[5]王煥民,裴華艷.云計(jì)算環(huán)境下虛擬化服務(wù)器的安全研究[J].鐵路計(jì)算機(jī)應(yīng)用,2014.
[6]趙源.眾達(dá)能源公司信息系統(tǒng)網(wǎng)絡(luò)安全體系設(shè)計(jì)與實(shí)施[D].吉林:長春理工大學(xué),2014.
[7]鄭富華.華為云計(jì)算環(huán)境下虛擬化服務(wù)器的安全問題研究[J].電腦迷,2017.
[8]劉俊琪.服務(wù)器虛擬化安全風(fēng)險(xiǎn)及防護(hù)措施研究[J].電腦知識(shí)與技術(shù),2017.
[9]阮俊杰.淺談入侵防護(hù)系統(tǒng)在供電局網(wǎng)絡(luò)安全建設(shè)中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2016.