面向云計(jì)算虛擬化的信息安全防護(hù)方案研究

郭晶 杜平

摘? ?要：云計(jì)算通過虛擬化技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)按需調(diào)用集中共享資源，也引入了新的信息安全風(fēng)險。文章分析了虛擬化面臨各種威脅所對應(yīng)的解決技術(shù)，通過無代理方式，從虛擬機(jī)外部為虛擬機(jī)中運(yùn)行的系統(tǒng)提供高級保護(hù)。同時，從入侵檢測、通信訪問控制、防惡意軟件以及防病毒等方面制定有效、全面的安全防護(hù)方案，完善企業(yè)云計(jì)算虛擬化信息安全防護(hù)體系，提高企業(yè)云計(jì)算虛擬化信息安全防護(hù)水平。

關(guān)鍵詞：虛擬化;無代理;虛擬機(jī)監(jiān)控;入侵檢測

Abstract： Cloud computing uses virtualization technology to realize network call on demand and centralized sharing of resources， which also introduces new information security risks. This paper analyzes the corresponding solutions to the threats faced by virtualization， and provides advanced protection for the system running in the virtual machine from the outside through the agent-free way. And from the aspects of intrusion detection， communication access control， anti malware and anti-virus， we should formulate effective and comprehensive security protection scheme， improve the information security protection system of enterprise cloud computing virtualization， and improve the information security protection level of enterprise cloud computing virtualization.

Key words： virtualization;agentless;virtual machine monitoring;intrusion detection

1 引言

當(dāng)前以云計(jì)算等為代表的新一代信息通信技術(shù)與智能電網(wǎng)業(yè)務(wù)不斷融合，創(chuàng)新活躍，發(fā)展迅猛，催生出新興業(yè)態(tài)和新的應(yīng)用。云計(jì)算通過虛擬化技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)按需調(diào)用集中共享資源（如軟硬件、數(shù)據(jù)和應(yīng)用），提高IT資源利用率和動態(tài)分配、靈活擴(kuò)展能力，消除重復(fù)建設(shè)[1]。云計(jì)算虛擬化技術(shù)應(yīng)用促進(jìn)大型企業(yè)信息化業(yè)務(wù)架構(gòu)的革新，但也引入了新的信息安全風(fēng)險。本文分析企業(yè)云計(jì)算虛擬化信息安全防護(hù)的特點(diǎn)和需求，制定基于主機(jī)虛擬化的安全防護(hù)方案，為后續(xù)虛擬化技術(shù)應(yīng)用的安全防護(hù)提供有效支撐。

2 虛擬化面臨的安全威脅及分析

就目前虛擬機(jī)安全遇到的威脅挑戰(zhàn)來看，主要集中在虛擬機(jī)逃逸、虛擬機(jī)遷移、虛擬環(huán)境網(wǎng)絡(luò)安全、外部對虛擬機(jī)修改、拒絕服務(wù)、數(shù)據(jù)存儲安全等問題，以及傳統(tǒng)主機(jī)中遇到的惡意代碼、病毒攻擊等問題。常見的虛擬化安全威脅以及應(yīng)對方式有八個方面。

（1）虛擬機(jī)逃逸：即虛擬機(jī)進(jìn)程繞過VMM直接控制底層物理資源，應(yīng)對方式為正確配置VMM和虛擬機(jī)的交互方式，增強(qiáng)訪問控制。

（2）虛擬機(jī)遷移：即攻擊者借助某臺虛擬機(jī)控制其他虛擬機(jī)或VMM。應(yīng)對方式為增強(qiáng)隔離性。

（3）虛擬機(jī)之間互相監(jiān)視：即虛擬機(jī)能看到其他虛擬機(jī)的內(nèi)存、磁盤等信息。應(yīng)對方式為增強(qiáng)隔離性。

（4）拒絕服務(wù)：即某虛擬機(jī)占用所有資源致VMM無法給其他虛擬機(jī)提供資源。應(yīng)對方式為限制虛擬機(jī)申請資源的數(shù)量。

（5）網(wǎng)絡(luò)安全：嗅探、ARP欺騙以及無法監(jiān)控虛擬機(jī)之間的流量。應(yīng)對方式為網(wǎng)絡(luò)隔離，禁止混雜模式，使用安全防護(hù)軟件，采用支持虛擬機(jī)網(wǎng)絡(luò)流量監(jiān)控的通信技術(shù)。

（6）虛擬機(jī)監(jiān)視器的安全：受非法控制和篡改。應(yīng)對方式為采用可信計(jì)算技術(shù)以及安全防護(hù)軟件。

（7）惡意軟件：非法控制虛擬機(jī)和VMM，破壞系統(tǒng)正常運(yùn)行。應(yīng)對方式為采用可信計(jì)算技術(shù)以及用虛擬機(jī)自省實(shí)現(xiàn)安全防護(hù)。

（8）數(shù)據(jù)存儲的安全：數(shù)據(jù)的安全存儲、數(shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄?、?shù)據(jù)的容錯性和可恢復(fù)性。應(yīng)對方式為通過環(huán)境安全技術(shù)、冗余存儲機(jī)制、數(shù)據(jù)加密存儲和傳輸技術(shù)，以及數(shù)據(jù)訪問主體的身份管理與鑒權(quán)技術(shù)進(jìn)行數(shù)據(jù)存儲安全防護(hù)[2]。

由于虛擬化面臨的威脅眾多，要實(shí)現(xiàn)一個全面的虛擬化安全防護(hù)系統(tǒng)，首先需要獲取虛擬機(jī)的運(yùn)行狀態(tài)和系統(tǒng)信息，對虛擬機(jī)的運(yùn)行狀態(tài)進(jìn)行分析和相關(guān)處理，以達(dá)到虛擬化安全防護(hù)的目標(biāo)。

3 主要難點(diǎn)

（1）傳統(tǒng)的企業(yè)網(wǎng)絡(luò)劃分不同的安全域，并且在不同的安全域之間部署防火墻等網(wǎng)絡(luò)安全設(shè)備。然而在云環(huán)境下，不同的業(yè)務(wù)網(wǎng)絡(luò)是構(gòu)建在虛擬網(wǎng)絡(luò)技術(shù)之上，無法采用物理防護(hù)設(shè)備[3]。

（2）大多數(shù)虛擬化安全技術(shù)多采用傳統(tǒng)的主機(jī)防護(hù)方式來增強(qiáng)虛擬機(jī)的安全。采用這種技術(shù)需要在每個虛擬機(jī)中部署主機(jī)防護(hù)系統(tǒng)，例如主機(jī)防火墻、主機(jī)殺毒軟件、主機(jī)監(jiān)控系統(tǒng)等。在云計(jì)算的模式下，這種侵入式的安全系統(tǒng)部署，不僅會降低虛擬機(jī)服務(wù)的可信性，還會影響云計(jì)算模式的可行性。另外，大量重復(fù)部署主機(jī)防護(hù)產(chǎn)品，會造成系統(tǒng)性能開銷過大、可維護(hù)性差等問題[4，5]。

（3）采用虛擬化層安全增強(qiáng)的方式是研究的熱點(diǎn)，目前主流的方式有代理方式和無代理方式，有代理的部署方式也屬于侵入式部署，同樣具有上述性能開銷過大、維護(hù)性低的問題。然而，無代理方式是從虛擬機(jī)外部直接獲取虛擬機(jī)內(nèi)部信息[6]，這種方式不是基于事件驅(qū)動的方式，因此存在實(shí)時性不高的問題，虛擬機(jī)的安全問題不容易得到及時的反饋[7]。

4 虛擬機(jī)安全防護(hù)增強(qiáng)方案

本方案在物理服務(wù)器搭建安全管理中心，進(jìn)行統(tǒng)一的系統(tǒng)防護(hù)策略配置、安全防護(hù)策略庫和病毒庫統(tǒng)一下發(fā)及更新、安全事件審計(jì)等。安全功能在管理平臺統(tǒng)一操作，支持單獨(dú)和批量管理。

每個虛擬服務(wù)器中不單獨(dú)安裝安全防護(hù)軟件或安全引擎，在物理計(jì)算機(jī)虛擬化Hypervisor層構(gòu)建安全防護(hù)引擎，單個引擎統(tǒng)一保護(hù)同一物理計(jì)算機(jī)上運(yùn)行的所有虛擬機(jī)。通過無代理方式，從虛擬機(jī)外部為虛擬機(jī)中運(yùn)行的系統(tǒng)提供高級保護(hù)，技術(shù)架構(gòu)如圖1所示。

系統(tǒng)通過無代理、非侵入式的虛擬機(jī)監(jiān)控，高效監(jiān)控虛擬機(jī)狀態(tài)。在虛擬機(jī)監(jiān)視器上利用虛擬機(jī)自省工具獲得被監(jiān)控虛擬機(jī)的內(nèi)部運(yùn)行信息進(jìn)行監(jiān)控，監(jiān)控覆蓋VM運(yùn)行所涉及的處理器寄存器、內(nèi)存、磁盤、網(wǎng)絡(luò)等全部狀態(tài)和硬件事件。通過采用無代理方式的虛擬機(jī)監(jiān)控不僅可以實(shí)現(xiàn)同一物理計(jì)算機(jī)上的虛擬機(jī)之間通信的細(xì)粒度訪問控制功能，還可針對單獨(dú)的網(wǎng)絡(luò)接口進(jìn)行配置，從而實(shí)現(xiàn)高效率的安全防護(hù)。比較傳統(tǒng)安全防護(hù)方案，虛擬機(jī)不再需要單獨(dú)安裝安全軟件，避免了硬件資源被冗余消耗，節(jié)省了資源，提升了系統(tǒng)運(yùn)行效率。

無代理安全防護(hù)系統(tǒng)提供全面的安全防護(hù)，包括防火墻、入侵檢測、病毒防護(hù)功能等。系統(tǒng)采用虛擬防火墻，實(shí)現(xiàn)虛擬機(jī)的細(xì)粒度訪問控制。虛擬機(jī)單點(diǎn)防火墻的準(zhǔn)入控制基于虛擬端口的訪問控制，實(shí)現(xiàn)以虛擬交換機(jī)為邊界的虛擬機(jī)的細(xì)粒度的訪問控制。

在入侵檢測方面，采用虛擬機(jī)監(jiān)視器（Hypervisor）攻擊攔截機(jī)制，自動檢測虛擬機(jī)向外部的攻擊，在不阻斷合法數(shù)據(jù)通信的情況下攔截攻擊包，對系統(tǒng)漏洞攻擊進(jìn)行欄截，并對異常通信行為進(jìn)行檢測，根據(jù)策略進(jìn)行自動響應(yīng)。

病毒防護(hù)方面采用在虛擬機(jī)部署輕代理結(jié)合虛擬機(jī)自省技術(shù)搜集數(shù)據(jù)的方式，動態(tài)監(jiān)控可疑程序執(zhí)行過程提取協(xié)議信息的分析方法。采用虛擬運(yùn)行環(huán)境分析方法對惡意程序進(jìn)行認(rèn)定，通過構(gòu)造一個面向云平臺的輕量級虛擬機(jī)內(nèi)容檢測框架，在其中建立一個隔離的環(huán)境并動態(tài)執(zhí)行可疑文件，由系統(tǒng)觀察文件執(zhí)行的結(jié)果，以便于確定是否為惡意軟件。

5 結(jié)束語

通過對虛擬機(jī)自省等關(guān)鍵技術(shù)的深入研究，制定了全面的虛擬機(jī)安全防護(hù)方案，為大型企業(yè)提供了完備的云計(jì)算虛擬化信息安全防護(hù)體系，提高企業(yè)云計(jì)算虛擬化信息安全防護(hù)水平。

參考文獻(xiàn)

[1] 王笑帝，張?jiān)朴拢瑒㈢C，等.云計(jì)算虛擬化安全技術(shù)研究[J].電信科學(xué)，2015， 31（6）：1-5.

[2] 谷子偉.云計(jì)算技術(shù)下的虛擬化安全研究[J].無線互聯(lián)科技， 2015（19）：89-90.

[3] 武少杰.云計(jì)算下虛擬環(huán)境安全的關(guān)鍵技術(shù)研究[D].鄭州：解放軍信息工程大學(xué)，2012.

[4] 謝盈.云計(jì)算數(shù)據(jù)中心安全防護(hù)技術(shù)研究[J]. 西南民族大學(xué)學(xué)報(bào)（自然科學(xué)版），2018， 44（06）：70-74.

[5] 王煥民，裴華艷.云計(jì)算環(huán)境下虛擬化服務(wù)器的安全研究[J].鐵路計(jì)算機(jī)應(yīng)用， 2014， 23（12）：49-51.

[6] 韋銀.基于云計(jì)算環(huán)境下的網(wǎng)絡(luò)信息安全技術(shù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用， 2018（1）：58-59.

[7] 趙夢.云計(jì)算環(huán)境下虛擬化服務(wù)器的安全探討[J].電子技術(shù)與軟件工程， 2016（3）：222-222.

[8] 梁繼良，孫家彥，韓暉.大數(shù)據(jù)時代安全可信防御體系[J].網(wǎng)絡(luò)空間安全，2018，9（12）：35-40.