虛擬化安全技術研究

陳家興，孫 娟

(天云數據(天津)有限公司 天津300457)

0 引 言

目前，云計算在世界各國均得到了廣泛應用，極大提高了社會的運行效率，在經濟、科技創新等多個方面具備無可比擬的優勢。虛擬技術在云計算中得到廣泛應用，也成為當前云計算的關鍵技術。雖然虛擬化技術的發展為云計算的應用提供了便利，但也由此帶來了越來越多的安全威脅，其危害程度亦較虛擬化技術應用前有過之而無不及，已成為云計算應用的攔路虎，直接制約了產業發展。本文從虛擬化技術帶來的安全威脅入手，通過分析研究相應關鍵技術，以提高虛擬化技術在云計算應用中的安全可靠性，為云計算系統的健康發展貢獻力量。

1 云計算虛擬化技術帶來的安全威脅

目前，虛擬化技術在云計算應用中面臨的安全威脅存在于多個層面。當虛擬化技術出現漏洞時，就將導致同一平臺中的不同虛擬機隔離失敗，直接影響到其他虛擬機的正常運行，使得其他虛擬機的訪問權限無法得到保護，進而增加了被入侵的風險，我們將這種安全威脅稱為虛擬機逃逸現象。當一臺虛擬機接入到其所在的宿主機上或是對其他虛擬機進行監控時，將造成在同一物理機上的一臺虛擬機對另一臺虛擬機進行攻擊，進而造成另一臺虛擬機被迫下線，無法正常工作運行，這種威脅被稱為虛擬機跳躍現象。

虛擬化技術除了直接帶給虛擬機安全威脅外，還將導致遠程管理受到威脅。運維人員在利用遠程管理平臺進行管理的過程中，無形中增加了跨站腳本受到攻擊的風險，雖然統一集中管理提高了辦事效率，但面臨的威脅也令人頭疼。平臺結構見圖1。

圖1 遠程管理平臺結構Fig.1 Structure of remote management platform

此外，云計算虛擬化技術帶來的安全威脅還包括拒絕服務攻擊、虛擬機遷移風險及虛擬機監視器的安全等問題。

2 虛擬化安全關鍵技術分析

2.1 宿主機安全機制

保護宿主機的安全就是保護虛擬機的安全，因為在虛擬化中，宿主機的訪問權限一旦被不安全因素襲擊，虛擬機的安全機制就不復存在。攻擊者往往利用宿主機對虛擬機進行流量捕獲、資源監控、文件竊取及程序關閉等惡意操作。目前對宿主機的保護主要是利用傳統信息系統的安全保護機制，而這種機制也能夠有效地保障宿主機的安全。具體來說，傳統信息系統的安全保護機制主要包括物理安全保護機制和操作系統安全保護機制兩種。物理安全保護機制實施保護的具體措施包括：進入服務器機房訪問必須得到安保人員的許可或者經過門禁卡認證；在服務器未初始化前，不得拆除軟驅、光驅；為防止攻擊者對 BOIS設置進行惡意更改，應對 BOIS設置密碼，而且在對BOIS進行設置時，只能選擇從服務器主硬盤進行啟動；對服務器所有外部端口進行嚴密監控，并做好相關措施防止硬盤被盜。操作系統安全保護機制實施保護的具體措施包括：升級密碼強度，盡量將其復雜化，并固定周期進行密碼重置；升級登錄訪問控制，若出現登錄異?，F象可禁止其繼續輸入；在安裝程序時，優化網絡程序，不安裝不必要程序；除了在宿主機上安裝防火墻外，還應及時對宿主機操作系統進行補丁更新等操作。

2.2 Hypervisor安全機制

在虛擬化環境下，物理服務器的 CPU、內存、硬盤和網卡等硬件資源被虛擬化并受 Hypervisor的調度，多個操作系統在Hypervisor的協調下可以共享這些虛擬化后的硬件資源，同時每個操作系統又可以保存彼此的獨立性。

根據Hypervisor所處層次的不同和Guest OS對硬件資源的不同使用方式，Hypervisor虛擬化被分為兩種類型：Bare-metal虛擬化方式(“裸機”虛擬化)和 Host OS虛擬化方式(基于操作系統的虛擬化，宿主型虛擬化)。

圖 2為基于 Hypervisor的虛擬化防護原理圖。所謂的 Hypervisor安全機制是指將特權虛擬機引入至虛擬化層 Hypervisor中，并通過內省 API監控其他虛擬機的CPU、內存、I/O及數據流量等，而且引入的特權虛擬機還能夠為其他虛擬機提供許多安全防護功能，例如殺毒模塊、入侵防護、防火墻及應用保護等，進而達到保障其他虛擬機安全的目的。

圖2 基于Hypervisor的虛擬化防護Fig.2 Virtualization protection based on Hypervisor

2.3 虛擬機安全機制

虛擬機安全機制包括虛擬機隔離機制和虛擬機安全監控兩種模式。

2.3.1 虛擬機隔離機制

虛擬化網絡中，虛擬機的隔離機制至關重要，當其中一個虛擬機發生問題時，虛擬機之間的有效隔離能使其他虛擬機正常進行服務。隔離的目的就是為了保證各虛擬機獨立工作、安全服務?，F階段，對虛擬機隔離機制的研究已比較深入，研究方向主要包括基于硬件協助的隔離與基于訪問控制的邏輯隔離兩種機制。無論是哪種隔離機制，目前都能很好地實現各虛擬機的安全獨立服務。

2.3.2 虛擬機安全監控

圖3 Lares架構Fig.3 Lares architecture

在虛擬化網絡中，對虛擬機的運行狀態進行實時監控，有利于保證虛擬機的安全，而對虛擬機實施有效監控具有重大的意義?，F階段，人們對虛擬機的安全監控主要分為兩種：內部監控與外部監控。所謂內部監控是指通過在虛擬機內部加載由 Hypervisor進行安全保護的內核模塊，用以達到攔截內部虛擬機事件的目的，典型代表為Lares架構，具體如圖3所示。該架構的優缺點比較明顯，優點在于無需重構語義，直接在虛擬機內部進行攔截，從而提升性能；缺點是由于該架構引入了內核模塊，造成監控不透明。外部監控是指監測針對虛擬機外部進行工作，攔截虛擬機事件是根據Hypervisor中的監控點進行的，典型代表為Livewire架構，具體如圖4所示。不同于內部監控的是，雖然監測具有透明性，但其需重新進行重構語義，因此對性能造成了一定影響。

圖4 Livewire架構Fig.4 Livewire architecture

3 結論與展望

本文在對云計算虛擬化技術帶來的安全威脅進行分析的基礎上，研究了虛擬化安全關鍵技術，并得出了現階段保障虛擬化云計算安全的相關機制方法。通過對現有技術和方案的理解，可以看到，面對越來越復雜的云計算虛擬化環境，傳統的宿主機安全機制保護能力有限。對于 Hypervisor安全機制，隨著Hypervisor功能的增加，其代碼也不斷增多，因而在一定程度上增加了安全漏洞的數量，若對 Hypervisor中的資源處理不恰當，Hypervisor的安全性將大為降低，而虛擬機安全機制中的虛擬機隔離機制研究已比較成熟，能夠較好地實現各虛擬機的安全獨立工作。在實際應用中，應綜合各種關鍵技術進行安全防護，以實現對虛擬機系統的安全保障，同時還能實現虛擬機網絡通信安全，確保整個系統的可信性，進而為建設云計算安全平臺提供一定的技術支持。