前言

    隨著虛擬化技術(shù)的蓬勃發(fā)展，大量的虛擬化技術(shù)被應(yīng)用到信息系統(tǒng)建設(shè)中，對(duì)于提高企業(yè)物理設(shè)備使用率、降低能耗、減少管理維護(hù)量等方面帶來了諸多的好處。虛擬化技術(shù)就其本質(zhì)而言屬于一種資源管理技術(shù)，它將物理資源轉(zhuǎn)變?yōu)檫壿嬌峡梢怨芾淼馁Y源，使企業(yè)能更充分地控制與管理各種資源。虛擬化技術(shù)中應(yīng)用最廣泛的當(dāng)屬服務(wù)器虛擬化，這種技術(shù)通過一臺(tái)或多臺(tái)物理服務(wù)器構(gòu)建成一個(gè)虛擬化環(huán)境，在這個(gè)虛擬化環(huán)境中虛擬出數(shù)個(gè)甚至數(shù)十個(gè)虛擬系統(tǒng)，每個(gè)虛擬系統(tǒng)對(duì)外提供一種或多種服務(wù)，各個(gè)系統(tǒng)之間相互獨(dú)立。通過物理的幾臺(tái)服務(wù)器和虛擬化軟件實(shí)現(xiàn)了原來需要數(shù)十臺(tái)設(shè)備才能提供的服務(wù)。

    虛擬化技術(shù)為人們帶來便利的同時(shí)，也為信息安全提出了新的問題。本文對(duì)虛擬化安全與傳統(tǒng)安全的不同以及由此帶來的挑戰(zhàn)進(jìn)行了分析，并從邊界防護(hù)、病毒防護(hù)、補(bǔ)丁管理以及虛擬化基礎(chǔ)設(shè)施安全四個(gè)方面分別闡述如何進(jìn)行安全防護(hù)。

1 虛擬化安全面臨的挑戰(zhàn)

    由于虛擬化模糊傳統(tǒng)邊界、虛擬機(jī)數(shù)量激增等特點(diǎn)，為目前常見的安全防護(hù)手段提出了新的挑戰(zhàn)，主要體現(xiàn)在以下方面：

    一是由于網(wǎng)絡(luò)邊界的虛擬化使傳統(tǒng)網(wǎng)絡(luò)邊界的防護(hù)手段失效。在傳統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)中，網(wǎng)絡(luò)邊界一般通過物理的服務(wù)器、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)接口進(jìn)行識(shí)別，防火墻和入侵檢測(cè)設(shè)備可以采用串接和旁路的方式捕獲進(jìn)出邊界的流量并按照預(yù)設(shè)的策略執(zhí)行防護(hù)動(dòng)作。但隨著虛擬化實(shí)施之后，系統(tǒng)之間的邊界不單單是以物理設(shè)備的形式存在。比如在物理服務(wù)器中虛擬出多個(gè)服務(wù)器，這些虛擬機(jī)之間以及虛擬機(jī)與宿主機(jī)之間的通信都只會(huì)在服務(wù)器內(nèi)完成，不會(huì)與外部網(wǎng)絡(luò)發(fā)生交互，傳統(tǒng)的邊界防護(hù)設(shè)備捕捉不到這些流量，也就不能進(jìn)行防護(hù)。因此基于物理設(shè)備進(jìn)行邊界防護(hù)的手段不適用于對(duì)虛擬化環(huán)境的邊界保護(hù)。

    二是虛擬系統(tǒng)數(shù)量的快速增長(zhǎng)帶來的對(duì)計(jì)算環(huán)境基礎(chǔ)防護(hù)軟件管理的難題和資源消耗的難題。在傳統(tǒng)安全中，病毒防護(hù)和系統(tǒng)補(bǔ)丁是每個(gè)服務(wù)器都必須采取的基本安全措施，在應(yīng)用虛擬化環(huán)境之后，這樣的安全防護(hù)仍然是最基本也是必須的。但問題在于，由于虛擬系統(tǒng)的數(shù)量較物理系統(tǒng)數(shù)量大大增加，為每個(gè)虛擬系統(tǒng)都進(jìn)行病毒防護(hù)和補(bǔ)丁管理將大大提高系統(tǒng)管理的成本；另一方面，每個(gè)虛擬系統(tǒng)采用這樣的防護(hù)手段將占用物理系統(tǒng)大量的存儲(chǔ)資源，如果虛擬系統(tǒng)同時(shí)進(jìn)行病毒查殺，更會(huì)占據(jù)物理服務(wù)器的運(yùn)算資源，降低系統(tǒng)對(duì)外提供服務(wù)的能力。

    三是虛擬化管理工具自身缺乏保護(hù)措施帶來的隱患。虛擬化管理工具為快速配置虛擬化環(huán)境提供了極大的方便，但也正是由于這個(gè)原因，導(dǎo)致它極易受到攻擊。一旦惡意攻擊者獲得管理工具的權(quán)限，給整個(gè)虛擬化環(huán)境帶來的危害將是巨大甚至是災(zāi)難性的。

2 安全建設(shè)研究

    2.1虛擬層的安全服務(wù)

    從虛擬化的實(shí)現(xiàn)原理來看，所有的虛擬化系統(tǒng)都是基于虛擬層實(shí)現(xiàn)的，因此在研究具體的防護(hù)措施之前，我們先討論虛擬層提供的安全服務(wù)。

    以VMware為例，VMware提供了介于虛擬機(jī)器與Hypervisor之間的虛擬層—Vmsafe，Vmsafe一部分位于Hypervisor內(nèi)，另一部分以API的形式提供。Vmsafe能對(duì)進(jìn)出虛擬機(jī)的所有流量進(jìn)行檢測(cè)，這樣可以對(duì)這個(gè)虛擬環(huán)境中的所有虛擬機(jī)進(jìn)行保護(hù)。但是，VMsafe不能對(duì)虛擬機(jī)內(nèi)的系統(tǒng)提供保護(hù)，只能對(duì)外來惡意行為進(jìn)行防護(hù)，因此仍然必須保證運(yùn)行的虛擬機(jī)是安全的。

    2.2邊界防護(hù)

    前面已經(jīng)提到，在采用虛擬化之后，網(wǎng)絡(luò)邊界應(yīng)重新定義，網(wǎng)絡(luò)防護(hù)的邊界應(yīng)該具體到每個(gè)虛擬機(jī)，因此，邊界防護(hù)設(shè)備應(yīng)該能識(shí)別每個(gè)虛擬機(jī)并對(duì)虛擬機(jī)的邊界訪問行為進(jìn)行控制。為了達(dá)到這樣的目的，虛擬化環(huán)境的邊界防護(hù)需要充分利用虛擬層提供的安全服務(wù)，如VMware的VMsafe，對(duì)進(jìn)出虛擬機(jī)的所有流量進(jìn)行檢測(cè)，識(shí)別信息的端口、協(xié)議、目的地，對(duì)信息的內(nèi)容進(jìn)行分析以識(shí)別入侵行為或者進(jìn)行病毒檢查。

    下面我們以Juniper的vGW網(wǎng)關(guān)為例，說明虛擬化環(huán)境中的邊界防護(hù)設(shè)備的工作原理。vGW網(wǎng)關(guān)是基于hypervisor的運(yùn)行在虛擬機(jī)管理程序內(nèi)部的防火墻，它在內(nèi)核中執(zhí)行安全處理，實(shí)現(xiàn)狀態(tài)防火墻，病毒防護(hù)以及入侵檢測(cè)系統(tǒng)的功能。

    vGW網(wǎng)關(guān)分為vGWENGINE、PartnerServer、SECURITY DESIGN For vGW三部分，其中vGW ENGINE工作在虛擬化軟件的內(nèi)核層，截獲上層虛擬機(jī)的所有數(shù)據(jù)流量，并將截獲的數(shù)據(jù)全部轉(zhuǎn)發(fā)到PartnerServer進(jìn)行數(shù)據(jù)處理，完成病毒查殺、入侵行為監(jiān)測(cè)或是網(wǎng)絡(luò)流量審計(jì)；

    SECURITY DESIGN For vGW管理每個(gè)虛擬機(jī)的安全策略；由vGW ENGINE根據(jù)SECURITY DESIGN For vGW的安全策略以及PartnerServer的分析結(jié)果，對(duì)虛擬機(jī)的訪問行為進(jìn)行阻斷或是放行。vGW網(wǎng)關(guān)的組成如圖1所示。

圖1 vGW網(wǎng)關(guān)組成

    2.3病毒防護(hù)

    在虛擬化環(huán)境中的病毒防護(hù)解決思路有兩種，一種是基于虛擬層的安全服務(wù)，在物理服務(wù)器上只安裝一次病毒防護(hù)系統(tǒng)，通過這個(gè)系統(tǒng)對(duì)這臺(tái)物理服務(wù)器上的所有虛擬機(jī)提供病毒查殺服務(wù)；另一種是在所有虛擬機(jī)上安裝病毒防護(hù)系統(tǒng)，但為了避免多套病毒系統(tǒng)同時(shí)查殺給系統(tǒng)帶來性能降低的問題，利用動(dòng)態(tài)調(diào)度、優(yōu)化掃描等手段提高病毒檢查的效率。

    2.3.1基于虛擬層安全服務(wù)實(shí)現(xiàn)

    基于虛擬層安全服務(wù)實(shí)現(xiàn)的病毒防護(hù)的解決思路是在物理服務(wù)器上生成一個(gè)專門用于提供病毒查殺服務(wù)的安全虛擬機(jī)，其他虛擬機(jī)的病毒查殺服務(wù)會(huì)通過病毒防護(hù)系統(tǒng)的瘦客戶端程序提交到虛擬化管理軟件，由虛擬化管理軟件調(diào)度安全虛擬機(jī)提供病毒服務(wù)。由于物理服務(wù)器上只有一臺(tái)安全虛擬機(jī)，管理員只需要對(duì)這一臺(tái)虛擬機(jī)的病毒防護(hù)系統(tǒng)進(jìn)行維護(hù)，升級(jí)病毒特征庫(kù)，這臺(tái)物理服務(wù)器上所有的虛擬機(jī)都能得到防護(hù)。

    我們以趨勢(shì)科技的Deep Security系統(tǒng)為例，這個(gè)系統(tǒng)分為Deep Security Virtual Appliance、Deep Security Agent以及Deep Security Manager。

    (1)DeepSecurityVirtualAppliance(DSVA)：運(yùn)行在VMwarev Sphere虛擬機(jī)器上，為IDS/IPS、網(wǎng)絡(luò)應(yīng)用程序保護(hù)、應(yīng)用程序管控及防火墻保護(hù)等執(zhí)行安全策略。

    (2)Deep Security Agent(DSA)：部署在受保護(hù)的服務(wù)器或者虛擬機(jī)上的一個(gè)輕小的軟件，協(xié)助執(zhí)行管理中心設(shè)置的安全策略(IDS/IPS、網(wǎng)絡(luò)應(yīng)用程序保護(hù)、應(yīng)用程序控管、防火墻、完整性監(jiān)控及日志審計(jì))。

    (3)Deep Security Manager(DSM)：集中管理病毒防護(hù)系統(tǒng)的安全策略和配置，使管理員能夠創(chuàng)建安全配置并應(yīng)用在服務(wù)器上，監(jiān)控警報(bào)，對(duì)威脅采取預(yù)防措施，分發(fā)安全更新到各服務(wù)器并生成報(bào)告。

    Deep Security系統(tǒng)的層次結(jié)構(gòu)如圖2所示。

圖2 系統(tǒng)組成

    在安全虛擬機(jī)中運(yùn)行的Partner Agent對(duì)應(yīng)DeepSecurity系統(tǒng)的DSVA，調(diào)用Shield EndpointLibrary中的安全函數(shù)，執(zhí)行實(shí)際的病毒查殺；運(yùn)行在GuestVM中ThinAgent對(duì)應(yīng)于DSA，將虛擬機(jī)的病毒查殺請(qǐng)求以及查殺內(nèi)容傳遞給Partner Agent；Partner Management Console對(duì)應(yīng)DSM，是制定系統(tǒng)病毒查殺的策略。

    利用這種方式的病毒查殺系統(tǒng)，可以實(shí)現(xiàn)虛擬機(jī)文件訪問時(shí)的被動(dòng)病毒掃描和虛擬機(jī)的定制掃描。

    (1)文件訪問時(shí)的被動(dòng)病毒掃描流程如圖3所示。

圖3 文件訪問掃描過程

    當(dāng)虛擬機(jī)中的文件發(fā)生打開或關(guān)閉的行為時(shí)，觸發(fā)駐留在虛擬機(jī)上的殺毒引擎，并將殺毒請(qǐng)求轉(zhuǎn)發(fā)到安全虛擬機(jī)進(jìn)行病毒查殺完后，將結(jié)果反饋給殺毒引擎。

    (2)定制掃描階段的流程如圖4所示。

圖4 定制掃描過程

    在定制掃描階段，由虛擬機(jī)通過病毒引擎發(fā)起查毒請(qǐng)求給安全虛擬機(jī)，由安全虛擬機(jī)對(duì)該機(jī)請(qǐng)求的內(nèi)容進(jìn)行查殺。

    2.3.2 基于資源動(dòng)態(tài)調(diào)度

    第二種病毒查殺系統(tǒng)的解決思路是對(duì)物理服務(wù)器中的所有虛擬機(jī)分別安裝病毒防護(hù)軟件，但采用資源動(dòng)態(tài)調(diào)度和掃描優(yōu)化，提高病毒查殺速度，降低對(duì)系統(tǒng)性能的影響，這種解決思路的代表是Symantec。

    在Symantec的Endpoint Protection系統(tǒng)采用了“資源平衡（Resource Leveling）”的技術(shù)，對(duì)同一物理服務(wù)器中的病毒查殺行為進(jìn)行調(diào)整，避免同時(shí)有多個(gè)虛擬機(jī)查毒。同時(shí)為了提高病毒查殺的效率，還采用了虛擬映像文件例外、虛擬客戶端標(biāo)記、掃描結(jié)果緩存共享等技術(shù)。虛擬映像文件例外是針對(duì)由同一模板生成的虛擬機(jī)，由于系統(tǒng)配置、系統(tǒng)文件等都是相同的，因此將這些文件加入白名單，不進(jìn)行掃描；虛擬客戶端標(biāo)記是指根據(jù)生成虛擬機(jī)的不同虛擬化軟件進(jìn)行標(biāo)記，為下一步管理和相關(guān)策略制定提供依據(jù)；掃描結(jié)果緩存共享是指對(duì)同一虛擬環(huán)境中已經(jīng)掃描的文件結(jié)果保存到緩存中，當(dāng)在其他虛擬機(jī)中遇到同樣的文件時(shí)不再重復(fù)掃描，只需要查詢緩存的掃描結(jié)果即可，不需要二次掃描。

    2.4 補(bǔ)丁管理

    在虛擬化環(huán)境中的補(bǔ)丁管理同傳統(tǒng)環(huán)境是一樣的，但是補(bǔ)丁管理不像病毒管理可以針對(duì)虛擬化環(huán)境進(jìn)行諸多的優(yōu)化，目前來說還沒有找到比較好的，既提高效率又節(jié)約空間的適合于虛擬化環(huán)境的補(bǔ)丁管理解決方案。但即使這樣，對(duì)每個(gè)虛擬機(jī)進(jìn)行補(bǔ)丁的安裝和升級(jí)也是必須的，同時(shí)為了保證各個(gè)虛擬機(jī)之間補(bǔ)丁都升級(jí)到最新的版本，應(yīng)對(duì)休眠的虛擬機(jī)也要打上補(bǔ)丁。

    對(duì)于休眠虛擬機(jī)的補(bǔ)丁管理，可以采用操作系統(tǒng)的計(jì)劃管理功能，在補(bǔ)丁分發(fā)系統(tǒng)有新升級(jí)的補(bǔ)丁時(shí)，在指定的時(shí)刻將休眠的虛擬機(jī)喚醒，完成補(bǔ)丁的升級(jí)后再將虛擬機(jī)關(guān)閉，保證在虛擬化環(huán)境中的所有虛擬機(jī)都安裝了最新的補(bǔ)丁。

    2.5 虛擬化基礎(chǔ)設(shè)施的保護(hù)

    在虛擬化環(huán)境中的系統(tǒng)管理工具是基礎(chǔ)設(shè)施之一，也是整個(gè)系統(tǒng)的管理中樞，所有虛擬機(jī)的生成、策略設(shè)置以及維護(hù)都可以通過管理工具完成，可以說，管理工具就是通向虛擬化環(huán)境的一道門，如何才能把門看好，只允許合法的人員訪問授權(quán)的資源，拒絕非法的訪問行為，強(qiáng)身份認(rèn)證是解決這個(gè)問題的辦法。

    在系統(tǒng)管理工具之前部署硬件的身份認(rèn)證設(shè)備，對(duì)所有訪問管理工具的請(qǐng)求進(jìn)行攔截，對(duì)所有用戶身份進(jìn)行認(rèn)證，認(rèn)證方式可以基于證書、硬件設(shè)備、AD域等；認(rèn)證通過后，該身份認(rèn)證設(shè)備應(yīng)對(duì)訪問管理工具的命令進(jìn)行解析，只允許授權(quán)的管理員執(zhí)行授權(quán)的命令，對(duì)管理員越權(quán)的命令請(qǐng)求一律阻止；對(duì)于用戶與管理工具之間的訪問也由身份認(rèn)證設(shè)備代理，身份認(rèn)證設(shè)備與管理工具之間通過SSH的方式通信；同時(shí)對(duì)所有訪問請(qǐng)求行為、發(fā)送的命令等進(jìn)行審計(jì)，以實(shí)現(xiàn)對(duì)事后操作員操作行為的追溯。

3 小結(jié)

    虛擬化涉及的方方面面的內(nèi)容是比較多的，相應(yīng)的對(duì)安全建設(shè)內(nèi)容也是廣泛的。本文主要闡述了邊界防護(hù)、病毒防護(hù)、補(bǔ)丁管理以及虛擬化基礎(chǔ)設(shè)施保護(hù)四個(gè)主要的問題，但要切實(shí)保護(hù)好虛擬化環(huán)境信息安全，還需要其他方面的配合，比如采用加密技術(shù)保護(hù)虛擬機(jī)鏡像文件、采用物理分區(qū)技術(shù)對(duì)不同安全需求的虛擬機(jī)進(jìn)行隔離等都是保護(hù)方法之一。雖然虛擬化技術(shù)的應(yīng)用為傳統(tǒng)的信息安全帶來了巨大的挑戰(zhàn)，但虛擬化的浪潮是不可避免的，只有在適應(yīng)新技術(shù)發(fā)展的形式下，轉(zhuǎn)變思路，開拓創(chuàng)新、積極應(yīng)對(duì)新挑戰(zhàn)帶來的新機(jī)遇，才能在未來信息化安全建設(shè)中占有一席之地。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://m.guhuozai8.cn/

本文標(biāo)題：虛擬化安全建設(shè)研究

本文網(wǎng)址：http://m.guhuozai8.cn/html/consultation/1083955822.html