云計算數據中心安全防護技術研究

謝 盈

(1.西南民族大學計算機科學與技術學院，四川 成都 610041；2.西南民族大學計算機系統國家民委重點實驗室，四川 成都 610041)

近年來，隨著信息和通信技術的快速發展，云計算應用呈現迅猛增長的趨勢.在國外，Amazon、IBM、Google、Microsoft、Sun 等公司分別推出了 EC2、Blue Cloud、Google Compute Engine、 Microsoft Azure、 Sun Open Cloud Platform等云計算平臺；在國內，華為、阿里巴巴、百度等公司也分別推出了華為云、阿里云、百度云等云計算平臺.為了對基礎設施進行更充分的利用，對資源實行更有效的管理，為用戶提供更好的按需服務，以及考慮到網絡信息安全、商業秘密保護等原因，越來越多的企業利用云計算技術在企業內部構建私有的云計算平臺[1].但在利用云計算技術提高信息化水平及資源使用效率的同時，也面臨著云計算技術應用引發的安全監管、隱私保護等問題[2]：

1)云數據中心平臺自身安全問題：位于云數據中心平臺上的實體資源(處理器、內存、磁盤空間、網絡適配器等)是通過虛擬化方式進行整合，抽象轉換為虛擬的計算和存儲資源提供給用戶使用的，這些虛擬資源在實際應用中按照服務所需，同相應的實體資源綁定，由于多個虛擬資源很可能會被部署到同一個實體資源上，因此一旦數據中心使用了存在安全隱患的虛擬化軟件或缺少必要的安全措施，企業重點應用服務的商密數據就可能隨著安全漏洞的存在而被泄露.

2)云數據中心的運行安全評測和監管問題：云計算環境下應用服務的高度動態性增加了網絡內容監管的難度，如何有針對性的部署和實施適應于云數據中心的安全防護策略和惡意行為檢測設施，確保云數據中心的安全管控和應用服務可信，成為了云數據中心目前面臨的主要信息安全問題.

3)云數據中心的安全保障問題：由于在云計算平臺下，應用服務都部署在虛擬化的硬件平臺上，當某些應用服務出現安全隱患時，如何將其與正常的應用服務進行安全隔離和處置，以對云數據中心進行安全保障，是使用云數據中心時必須解決的問題.

隨著云計算技術應用成為趨勢，敏感信息和數據泄漏越發普遍，存在巨大的潛在威脅，傳統的數據安全方法遭到云模式架構的挑戰[2-4].針對云計算應用伴隨的虛擬化、邊界模糊、多用戶等特性，需要構建新的數據安全策略和信息安全保障系統.本文結合已有的云計算數據中心，對企業云計算數據中心應用安全防護技術進行了研究，為運行其上的虛擬應用服務主機構建相互獨立的可信計算基從而構建新的數據安全策略和信息安全保障體系，以實現對云計算應用平臺的安全保護.

1 云數據中心安全監控技術研究

在傳統網絡主機安全監控應用中，由于主機網絡邊界清晰、安全界限明確，通過主機監控軟硬件能較為容易的實現對網絡主機的安全監控.但在云數據中心的虛擬平臺下，業務以虛擬機的方式提供給用戶，除多個虛擬機共享虛擬化的硬件平臺資源外，還存在虛擬機間共享資源、信息傳遞等業務，這使云計算平臺上的虛擬機安全邊界模糊，進而可能導致虛擬機間的信息泄露以及安全問題的相互感染[5].

為彌補傳統的網絡安全監控工具對云計算環境下虛擬機安全監控的不足，本文結合可信計算技術，在云計算環境下構建虛擬機可信基、可信虛擬域和聯合可信基，通過可信基對虛擬機運行時環境進行驗證和安全監控，通過可信虛擬域增強虛擬域間的隔離性并提供完整性，通過聯合可信基提升云數據中心的安全性和可管理性，最終實現對云數據中心的安全監控目標.

可信計算技術在信息安全領域已形成了相對成熟的技術理論.本文將傳統的TCB、TPM以及遠程認證等可信計算技術結合云計算環境的特點，對云數據中心安全監控技術進行了研究.

TCG規范要求在可信計算平臺中嵌入一塊安全芯片TPM(可信平臺模塊)作為信任根.信任根的可信性通過物理和管理安全確保.除信任根外，可信計算平臺還包括硬件平臺、操作系統和應用系統，這四個要素通過逐層認證的方式建立一條層級信任鏈，并最終建立整個計算機體系的信任系統，以增強終端的安全性和可靠性.但在實際應用中，遵循TCG規范的可信計算平臺非常復雜[6，7].例如，TPM使用了背書證書、符合性證書、平臺證書、確認證書、身份證書，并且需要部署隱私CA(PCA).在證書發放和驗證時，需要建立基于PKI的認證系統，而PKI認證體制存在認證層次多、結構復雜、費用昂貴、管理困難等缺陷，且PCA由于需要簽署大量的身份證書，負載很大，容易成為可信計算的瓶頸.

在云計算的虛擬化環境下，由于多個虛擬機共享相同的物理資源，TCG技術中硬件構建TPM的應用方式受到挑戰.為解決這一技術問題，本文為運行于基于VMware EXS虛擬化平臺上的虛擬應用服務主機構建相互獨立的可信計算基.構建方案如圖1所示.

在云計算環境下，數據與存儲資源的虛擬化使得在多個虛擬機之間進行消息傳遞以協商共享策略成為必要，但在這種消息與數據的交流共享過程中，存在著虛擬機數據泄露的安全隱患[8].結合可信計算和強制訪問控制技術，在云計算數據平臺上建立可信虛擬域，以虛擬機為單位，控制各虛擬機邊界的隔離，提高系統完整性保護以使云計算下的虛擬化技術可信和可控.

可信虛擬域通過將可信計算研究直接應用到云計算的虛擬化軟件管理中，為提高隔離性和可控性，根據負載不同將虛擬機和其他資源劃分為采取隔離措施的虛擬域，并在其中增加身份認證和控制訪問管理.

在云計算環境中，由于可視性和可信性不夠，頻繁的虛擬機間通信造成了很多安全隱患，例如，一臺未經授權虛擬機可能會非法訪問其他虛擬機，或者病毒可能伴隨通信過程侵入整個虛擬機系統[9].為此，本文通過可信虛擬域劃分，應用BLP安全模型，對虛擬化平臺上的虛擬機間通信進行強制訪問控制和管理，包括虛擬機間是否可以互相訪問，以及可以進行什么類型的訪問.

考慮到云數據中心的虛擬化平臺與傳統計算機的差異，本文基于可信虛擬域的劃分，采用如圖2所示的方式構建聯合可信基，以實現對虛擬化平臺上虛擬機間相互訪問的安全防護和監控.

圖1 VMware上對虛擬機構建可信計算方案Fig.1 Construction trusted computing solution for virtual machines on VMware

圖2 云計算環境下基于可信虛域的聯合可信基構建Fig.2 Construction of Joint trusted base in cloud based on trusted virtual domain

2 云數據中心安全保障技術研究

云數據中心通過云數據中心安全監控方案的實施，能有效的對云數據中心的應用業務進行有效的數據安全隔離和運行安全監控.但當某虛擬機出現安全隱患或故障時，為了避免該虛擬機對云數據中心的管理中心或其他虛擬機造成安全威脅，還必須能實施對虛擬機的安全遷移，以保障云數據中心的安全[10-12].

在云數據中心中，應用服務通過虛擬化技術在物理服務器上虛擬化出多個相互獨立的虛擬機，每個獨立虛擬主機都分配有獨立的IP地址和MAC地址，有獨立的操作系統和應用程序[13].在現有技術狀況下，若運行在云計算平臺上的某虛擬機需要進行遷移，該虛擬機對應的VLAN和QoS等網絡層信息可以通過云計算管理平臺自動跟隨虛擬機遷移到新的位置，但是對于在外置防火墻或其他安全設施上部署的針對該遷移虛擬機的策略，則只能通過網絡管理員重新進行配置調整，不能實現自動化的遷移[14-15].為保障云數據中心的安全，本文對虛擬機安全遷移技術進行研究，在存在安全風險的環境下，實現對虛擬應用業務的安全遷移.

虛擬機的遷移操作需要在實時、安全的情況下進行，即既不影響遷移時正在運行的服務，還要保證純凈、完整地將虛擬機運行環境從當前服務器遷移至目標服務器，包括在原計算環境下針對該虛擬機的網絡配置及安全策略等.由于遷移過程的實時性，本文假定短暫的宕機時間不會被用戶察覺到，亦不會產生任何其他影響.

啟動虛擬應用業務的安全遷移機制后，目標虛擬機的狀態信息(CPU情況，內存鏡像，磁盤狀態、網絡等)將實時、動態地從源主機平臺復制到目標主機上，此時虛擬機仍在源主機上運行.隨著遷移過程進行，當目的平臺已具備所有服務運行的必要資源時，經過一段短暫的宕機過程，虛擬機開始在目標服務器上運行，源服務器上的服務停止運行，虛擬機安全遷移完成.

為了確保虛擬服務動態遷移的安全進行，采用以下策略：

1)監控策略：對動態遷移過程中負載信息進行實時監控，根據相關數據得出實時負載情況.

2)觸發策略：控制虛擬服務開始時刻的機制，根據虛擬機資源(CPU、內存、磁盤等)的使用情況，預先設定某個特定方面的值，一旦該指標超過這個值，就啟動服務的遷移過程.主要關注虛擬機的安全監控狀態的量化，以決定啟動虛擬機應用業務的安全遷移過程.

3)選擇策略：根據負載均衡原理，在選擇要進行遷移的業務時，將高負載的主機平臺上的虛擬機安全遷移至低負載的主機平臺，以確保云計算數據中心的資源合理分配.

4)遷移策略：根據資源、負載等綜合情況，選擇適當的目標服務器進行虛擬機服務的遷移，以在系統出現安全故障時對虛擬機進行遷移，保障系統的穩定運行.

5)安全策略：為保障虛擬機應用業務遷移后，目標環境中的網絡配置與安全策略與源環境一致，項目需要對安全策略的隨虛擬機遷移策略進行研究.

綜上，本文實現的虛擬機安全遷移方案如圖3所示，其執行流程如下：

圖3 虛擬機應用業務安全遷移Fig.3 Security migration of virtual machine application

1)當出現需要對虛擬機服務進行安全遷移時，通過監控、觸發、選擇、遷移和安全等策略，將虛擬機從所屬物理服務器，備份到目標物理服務器.此時，針對上層部署的防火墻等安全產品，為了能自動感知虛擬機的遷移動作并自動將這些安全策略遷移到新的安全設施上，需要管理平臺實現在目標物理服務器對全部虛擬機的創建、配置和運維管理.

2)當虛擬機在達到預配置遷移條件后，開始自動遷移到新的服務器位置.

3)管理平臺及時獲取到該遷移后的新位置和相關參數，并同時通過特定的消息機制，將這些參數發送到安全設施對應的管理平臺，告知此次遷移事件.

4)管理平臺在獲取該消息后及時感知此次虛擬機遷移過程，同時提取該特定消息中的有效信息，并通過內部維護的網絡拓撲關系等技術定位到新的安全設施.

5)對于遷移之前所對應的安全設施，管理平臺將對其的安全策略進行重新標記，以體現出虛擬機服務已經遷移出該安全設施，相關安全策略將不再處于激活狀態.

基于虛擬機遷移后所對應的新的安全設施，管理平臺將虛擬機所綁定或對應的安全策略組進行配置下發，以保證遷移虛擬機仍然可以得到和遷移前相同的訪問控制權限.

3 總結

為了對基礎設施進行更充分的利用，對資源實行更有效的管理，為用戶提供更好的按需服務，越來越多的企業利用云計算技術在企業內部構建私有的云計算平臺.但在利用云計算技術提高信息化水平及資源使用效率的同時，也面臨著云計算技術應用引發的安全監管、隱私保護等問題.本文針對云計算應用虛擬化、邊界模糊、多用戶等特性進行分析，對基于VM-ware EXS虛擬化平臺下可信計算基的構建技術進行研究，為運行于其上的虛擬應用服務主機構建相互獨立的可信計算基從而構建新的數據安全策略和信息安全保障體系，以實現對云計算應用平臺的安全保護.