1、前言

　　隨著人們對(duì)虛擬化認(rèn)識(shí)的逐步深入，虛擬化應(yīng)用越來(lái)越廣泛，作為虛擬化領(lǐng)域先行者和領(lǐng)導(dǎo)者的VMware，其虛擬化解決方案已經(jīng)在許多企業(yè)生根落地，取得了良好的應(yīng)用效果。隨著虛擬化從企業(yè)的邊緣應(yīng)用進(jìn)入核心應(yīng)用，用戶(hù)在享受虛擬化益處的同時(shí)，必須認(rèn)識(shí)到虛擬化技術(shù)帶來(lái)的安全風(fēng)險(xiǎn)，針對(duì)性地采取技術(shù)防范措施，才能既利用虛擬化好處又保證信息系統(tǒng)安全。

　　虛擬化的安全風(fēng)險(xiǎn)表現(xiàn)在多個(gè)方面，物理硬件、虛擬化層、網(wǎng)絡(luò)架構(gòu)、虛擬機(jī)備份、身份鑒別與訪問(wèn)控制、虛擬機(jī)系統(tǒng)服務(wù)、補(bǔ)丁管理和病毒與惡意代碼等方面都不同程度存在著安全風(fēng)險(xiǎn)。物理硬件的安全風(fēng)險(xiǎn)在于如果選擇不支持虛擬機(jī)的物理硬件則不能較好發(fā)揮虛擬機(jī)的優(yōu)勢(shì)。虛擬化層直接與物理硬件和客戶(hù)端操作系統(tǒng)通訊，擁有大量對(duì)主機(jī)操作系統(tǒng)和硬件的高級(jí)訪問(wèn)權(quán)限，虛擬機(jī)感知式惡意軟件(如RedPill)以及rootkits軟件(如BluePill)，就是利用虛擬化層來(lái)攻擊整個(gè)虛擬機(jī)環(huán)境。虛擬化環(huán)境中存在著四種網(wǎng)絡(luò)：管理網(wǎng)絡(luò)、存儲(chǔ)網(wǎng)絡(luò)、虛擬機(jī)網(wǎng)絡(luò)以及Vmotion虛擬機(jī)遷移網(wǎng)絡(luò)，如果虛擬化管理員不隔離這些網(wǎng)絡(luò)，就有可能出現(xiàn)一些大的安全漏洞 。虛擬服務(wù)器在大多數(shù)方面都等同于物理服務(wù)器，因此在系統(tǒng)備份、身份鑒別與訪問(wèn)控制、虛擬機(jī)系統(tǒng)服務(wù)、補(bǔ)丁管理和病毒與惡意代碼等方面都與物理服務(wù)器的安全風(fēng)險(xiǎn)類(lèi)似，但由于虛擬化的主要目標(biāo)之一就是大幅度提高主機(jī)的資源利用率，閑置的資源很少，注定了虛擬化環(huán)境的安全防護(hù)措施既要使用傳統(tǒng)的安全技術(shù)手段，又要結(jié)合虛擬機(jī)的特殊性，采取新的技術(shù)措施。

　　虛擬化層(hypervisor層)是虛擬化軟件系統(tǒng)的核心層，理應(yīng)由虛擬化廠商來(lái)能保證其安全性。目前VMware已經(jīng)提供了與VMware hypervisor整合的VMsafe開(kāi)放技術(shù)平臺(tái)，為T(mén)rend、Symantec、McAfee這樣的獨(dú)立安全企業(yè)提供了比惡意程序更高的執(zhí)行權(quán)限I2]。利用VMware虛擬化軟件所具備的內(nèi)視能力(introspection)防止惡意程序與其他網(wǎng)頁(yè)威脅入侵企業(yè)網(wǎng)絡(luò)，并能夠?qū)﹃P(guān)機(jī)狀態(tài)下的VMware虛擬機(jī)進(jìn)行掃描，待問(wèn)題清除之后才啟動(dòng)機(jī)器。

　　本文主要從物理硬件、網(wǎng)絡(luò)架構(gòu)、虛擬機(jī)備份、身份鑒別與訪問(wèn)控制、虛擬機(jī)系統(tǒng)服務(wù)、補(bǔ)丁管理和病毒與惡意代碼等幾個(gè)方面提出保障虛擬化安全的技術(shù)措施。

　　2、保障虛擬化安全的措施

　　虛擬機(jī)的安全問(wèn)題是比較復(fù)雜的問(wèn)題，在安全部署方面，不僅僅要考慮到虛擬機(jī)本身系統(tǒng)的安全，還要考慮其宿主機(jī)及網(wǎng)絡(luò)環(huán)境的安全，因此傳統(tǒng)的安全工具和方法通常需要升級(jí)，才能夠更好地應(yīng)用于虛擬化環(huán)境。同時(shí)，在選擇新的工具和方法時(shí)，需要考慮與虛擬化技術(shù)的兼容性，不僅僅是單個(gè)產(chǎn)品與虛擬機(jī)之間的可操控性，更要求整個(gè)虛擬環(huán)境的可操控性。下面來(lái)分析保障虛擬化環(huán)境安全的具體措施。

　　2.1 選擇合適的主機(jī)硬件

　　由于不支持虛擬化的主機(jī)可能帶來(lái)潛在的安全風(fēng)險(xiǎn)，而且各虛擬化廠商都有其虛擬機(jī)兼容硬件列表，因此應(yīng)投資購(gòu)買(mǎi)支持虛擬機(jī)的硬件。

　　虛擬機(jī)的資源需求計(jì)算是很復(fù)雜的，通常采用以下計(jì)算公式來(lái)進(jìn)行估算：

　　硬件資源需求=H+G1+G2+G3+?+GN+0

　　在這個(gè)公式里，H=虛擬機(jī)軟件所需資源，G=虛擬機(jī)操作系統(tǒng)所需資源+應(yīng)用程序所需資源，0=額外開(kāi)銷(xiāo)。

　　2.2 細(xì)化網(wǎng)絡(luò)設(shè)置、進(jìn)行分區(qū)隔離

　　在虛擬環(huán)境中，系統(tǒng)的隔離和分區(qū)是十分重要的，因?yàn)楸M管一個(gè)虛擬機(jī)的虛擬硬件與其他虛擬機(jī)的虛擬硬件是相互隔離的，但虛擬機(jī)的底層網(wǎng)絡(luò)通常是共享的，接入這樣一個(gè)共享網(wǎng)絡(luò)的任何虛擬機(jī)或虛擬機(jī)組都可以通過(guò)這些網(wǎng)絡(luò)鏈路進(jìn)行通信，因此，它們有可能成為網(wǎng)絡(luò)中的攻擊目標(biāo)。

　　隔離虛擬網(wǎng)絡(luò)既可以按照位置分開(kāi)虛擬機(jī)，即把公共的虛擬機(jī)與專(zhuān)用的虛擬機(jī)分開(kāi)，也可以按照服務(wù)類(lèi)型分開(kāi)虛擬機(jī)，如把系統(tǒng)管理類(lèi)虛擬服務(wù)器、應(yīng)用程序類(lèi)虛擬服務(wù)器和數(shù)據(jù)庫(kù)虛擬服務(wù)器分開(kāi)。將各組虛擬機(jī)隔離在它們各自的網(wǎng)絡(luò)分段中，即不同的VLAN中，借以最大限度地降低數(shù)據(jù)通過(guò)網(wǎng)絡(luò)從一個(gè)虛擬機(jī)分區(qū)泄漏到另一個(gè)虛擬機(jī)分區(qū)的風(fēng)險(xiǎn)。實(shí)際上，對(duì)網(wǎng)絡(luò)進(jìn)行分段可以降低多種類(lèi)型的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)，其中包括地址解析協(xié)議ARP欺騙。將網(wǎng)絡(luò)分段還有另一個(gè)好處，即簡(jiǎn)化了進(jìn)行合法性審計(jì)的過(guò)程，這是因?yàn)橥ㄟ^(guò)網(wǎng)絡(luò)分段，用戶(hù)能夠清楚地了解網(wǎng)絡(luò)中連接了哪些類(lèi)型的虛擬機(jī)，從而進(jìn)行分類(lèi)管理。

　　2.3 選擇適用的虛擬機(jī)備份方案

　　虛擬機(jī)備份的主要問(wèn)題在于虛擬機(jī)的閑置資源比較少，而備份應(yīng)用會(huì)消耗大量服務(wù)器的輸入/輸出、CPU和內(nèi)存資源，如果多個(gè)備份計(jì)劃重疊執(zhí)行，就會(huì)因占用過(guò)多系統(tǒng)資源而嚴(yán)重影響應(yīng)用系統(tǒng)的運(yùn)行效率l6]。因此傳統(tǒng)的備份方案不能照搬到虛擬化環(huán)境，那么應(yīng)該怎樣選擇合適的虛擬機(jī)備份方案呢?高效適用的虛擬機(jī)備份產(chǎn)品和方案應(yīng)具備以下特點(diǎn)：

　　1)能夠?yàn)楦綄儆诳蛻?hù)端虛擬機(jī)的虛擬硬盤(pán)創(chuàng)建快速、空間高效的高性能快照；

　　2)利用可感知應(yīng)用程序的備份方案，對(duì)這些快照的創(chuàng)建和管理進(jìn)行整合；

　　3)能夠訪問(wèn)服務(wù)器上的快照而不是運(yùn)行活動(dòng)虛擬機(jī)的快照，這對(duì)于將備份負(fù)載及其附帶的資源消耗從活動(dòng)的應(yīng)用程序中分開(kāi)是至關(guān)重要的；

　　4)擁有長(zhǎng)期在線可用的快照，大多數(shù)快照具有空間高效功能，這意味著基鏡像(base image)及其子快照中的數(shù)據(jù)塊僅保持一次。這樣就可以廉價(jià)地長(zhǎng)期保存許多快照，使得從快照中快速恢復(fù)數(shù)據(jù)變得簡(jiǎn)單可行；

　　5)具備增量備份功能。虛擬機(jī)鏡像文件一般很大，通常數(shù)十個(gè)GB，如果備份軟件能感知上次備份之后鏡像的哪些部分發(fā)生了變化而進(jìn)行增量備份，那么它的效率就可以變得更高。

　　2.4 利用雙重身份認(rèn)證提高安全性

　　虛擬化環(huán)境中用戶(hù)身份認(rèn)證是十分重要的安全環(huán)節(jié)，現(xiàn)在很多企業(yè)建立了域管理模式，通過(guò)域控制器集中管理用戶(hù)賬號(hào)和計(jì)算機(jī)資源，用戶(hù)訪問(wèn)企業(yè)資源首先需要經(jīng)過(guò)AD身份認(rèn)證，但僅使用用戶(hù)名+密碼的方式進(jìn)行身份認(rèn)證，即使設(shè)置了強(qiáng)密碼，依然存在攻擊者暴力破解的風(fēng)險(xiǎn)，如果使用域認(rèn)證十Ukey認(rèn)證的雙重身份認(rèn)證方式，則可以大為降低身份認(rèn)證方面的安全風(fēng)險(xiǎn)。圖1介紹了在VMware虛擬化環(huán)境中使用域認(rèn)證+Ukey雙重身份認(rèn)證的認(rèn)證流程。
 

　　域認(rèn)證+Ukey雙重身份認(rèn)證流程說(shuō)明：

• 用戶(hù)在瘦客戶(hù)端或PC機(jī)上運(yùn)行View Client，連接到虛擬化會(huì)話管理中心；
• 會(huì)話管理中心將用戶(hù)名和密碼發(fā)送到AD身份認(rèn)證服務(wù)器，進(jìn)行域身份驗(yàn)證；
• 域身份驗(yàn)證通過(guò)后，從虛擬桌面服務(wù)器返回用戶(hù)自己的虛擬桌面，顯示Ukey登錄驗(yàn)證界面；
• 用戶(hù)通過(guò)自己的虛擬桌面輸入U(xiǎn)key的PIN碼；
• Ukey認(rèn)證服務(wù)器驗(yàn)證PIN碼；
• Ukey認(rèn)證服務(wù)器與AD交互域用戶(hù)信息；
• Ukey認(rèn)證通過(guò)后，登錄用戶(hù)自己的虛擬桌面；

　　完成域認(rèn)證+Ukey雙重身份認(rèn)證的用戶(hù)即可使用單

　　點(diǎn)登錄方式訪問(wèn)應(yīng)用系統(tǒng)。

　　2.5 分權(quán)進(jìn)行訪問(wèn)控制

　　VMware虛擬化環(huán)境集中管理控制臺(tái)VCenter的本地管理員(超級(jí)管理員)擁有最大的管理員權(quán)限，即擁有虛擬化環(huán)境下的所有特權(quán)操作權(quán)限，如果該用戶(hù)濫用特權(quán)，則可能對(duì)整個(gè)虛擬化環(huán)境造成無(wú)法估量的損失。為了化解該風(fēng)險(xiǎn)，應(yīng)該采取分權(quán)制約的方式。具體分權(quán)方案如下：

　　1)定義系統(tǒng)管理員、安全管理員、安全審計(jì)員三個(gè)角色(簡(jiǎn)稱(chēng)系統(tǒng)三員)，系統(tǒng)三員彼此之間不得兼任；

　　2)在網(wǎng)絡(luò)主干防火墻上設(shè)置僅系統(tǒng)三員負(fù)責(zé)使用的IP地址能夠遠(yuǎn)程訪問(wèn)虛擬機(jī)管理中心VCenter，而且盡可能使用通信加密手段，如使用HTTPS、TLS或SSH來(lái)遠(yuǎn)程管理VCenterl3]。VCenter的本地管理員密碼由系統(tǒng)管理員和安全管理員分段掌握(每段都應(yīng)該設(shè)置強(qiáng)密碼)，只有當(dāng)這兩位管理員同時(shí)在場(chǎng)并分別輸入正確的密碼時(shí)，才能執(zhí)行本地管理員的特權(quán)操作；

　　3)在VCenter和虛擬桌面管理器view Manager中創(chuàng)建三個(gè)角色：系統(tǒng)管理員、安全管理員、安全審計(jì)員，并分別進(jìn)行權(quán)限設(shè)置：

　　系統(tǒng)管理員可以進(jìn)行日常虛擬機(jī)創(chuàng)建和數(shù)據(jù)中心維護(hù)工作，但不能刪除虛擬機(jī)和審計(jì)VCenter系統(tǒng)日志；安全管理員負(fù)責(zé)桌面資源池的日常創(chuàng)建和桌面資源池的授權(quán)以及廢止虛擬機(jī)的刪除，不能審計(jì)VCenter系統(tǒng)日志；

　　安全審計(jì)員擁有VCenter數(shù)據(jù)中心的系統(tǒng)日志審計(jì)權(quán)限，主要審計(jì)系統(tǒng)管理員和安全管理員的操作情況。這樣系統(tǒng)三員權(quán)限彼此制約，各自獨(dú)立完成日常工作，僅當(dāng)需要進(jìn)行特權(quán)操作時(shí)，才由系統(tǒng)管理員和安全管理員同時(shí)在場(chǎng)操作，實(shí)現(xiàn)系統(tǒng)三員共同管理虛擬化環(huán)境的目標(biāo)。

　　2.6 合理配置、加固系統(tǒng)、降低風(fēng)險(xiǎn)

　　通過(guò)合理配置，終止和禁用不必要的服務(wù)，可保持虛擬機(jī)操作系統(tǒng)的精簡(jiǎn)，減少被攻擊的機(jī)會(huì)。具體措施如下：

　　1)禁用部分功能。對(duì)單一操作系統(tǒng)的虛擬機(jī)來(lái)說(shuō)，關(guān)閉屏幕保護(hù)、磁盤(pán)碎片整理、搜索工具(比如搜索磁盤(pán)內(nèi)的文件)、文件完整性檢查、日志和日志分析工具、系統(tǒng)更新、空閑檢測(cè)等功能，都不會(huì)影響虛擬機(jī)運(yùn)行；

　　2)慎用文件共享功能。除非有業(yè)務(wù)需要，明確要求文件共享，否則應(yīng)禁用文件共享功能；

　　3)設(shè)置時(shí)間同步。一般可以將物理域控服務(wù)器配置為時(shí)間服務(wù)器，宿主服務(wù)器和其他虛擬服務(wù)器的NTP源都指向該服務(wù)器；

　　4)斷開(kāi)不使用的設(shè)備。虛擬技術(shù)允許虛擬機(jī)直接或間接控制物理設(shè)備，如軟驅(qū)、光驅(qū)、USB接口、打印機(jī)等。在虛擬機(jī)啟動(dòng)的時(shí)候，它們會(huì)檢測(cè)這些硬件設(shè)備，如果多個(gè)虛擬機(jī)同時(shí)啟動(dòng)，則第一個(gè)啟動(dòng)的虛擬機(jī)優(yōu)先使用，其他虛擬機(jī)的檢測(cè)會(huì)被鎖定，這會(huì)造成不必要的啟動(dòng)延遲。另外，如果光驅(qū)驅(qū)動(dòng)器里的光盤(pán)含有惡意代碼，虛擬機(jī)可能會(huì)自動(dòng)加載并執(zhí)行，類(lèi)似于自動(dòng)運(yùn)行的功能，從而感染病毒或木馬。安全的做法是關(guān)閉所有可控制的物理設(shè)備，只在需要的時(shí)候才允許連接。

　　2.7 妥善解決補(bǔ)丁更新問(wèn)題

　　虛擬機(jī)的快速增長(zhǎng)給補(bǔ)丁更新帶來(lái)了沉重負(fù)擔(dān)。要保證虛擬機(jī)始終安裝最新的補(bǔ)丁，對(duì)于擁有數(shù)百個(gè)虛擬機(jī)鏡像庫(kù)的企業(yè)來(lái)說(shuō)，將是一項(xiàng)十分繁重的任務(wù)。企業(yè)IT部門(mén)應(yīng)該制定虛擬機(jī)補(bǔ)丁更新的規(guī)范流程，這個(gè)流程除了要求解決正在運(yùn)行的虛擬機(jī)的補(bǔ)丁狀態(tài)問(wèn)題外，還應(yīng)要求虛擬機(jī)管理員經(jīng)常檢查關(guān)閉的虛擬機(jī)的補(bǔ)丁狀態(tài)，同時(shí)定期更新虛擬機(jī)模板，保證用來(lái)創(chuàng)建新虛擬機(jī)的鏡像模板內(nèi)安裝的軟件版本是最新的。

　　2.8 尋找解決病毒與惡意代碼問(wèn)題的新方案

　　由于虛擬化環(huán)境的特殊性，采用傳統(tǒng)的病毒和惡意代碼解決方案解決虛擬機(jī)的防病毒問(wèn)題，存在如下問(wèn)題：

　　1)在每個(gè)虛擬機(jī)上都部署防病毒軟件，會(huì)占用很多的ESX Server的資源，如：CPU、內(nèi)存、I/O等，造成虛擬化密度低，影響投資效益；

　　2)如果全部防病毒軟件同時(shí)進(jìn)行系統(tǒng)掃描，會(huì)形成“病毒風(fēng)暴”，把ESX Server的資源全部吃滿(mǎn)，甚至造成宕機(jī)；

　　3)虛擬機(jī)存在使用和關(guān)閉兩種情況，對(duì)于關(guān)閉的虛擬系統(tǒng)是不能夠進(jìn)行病毒庫(kù)升級(jí)的，但是這個(gè)虛擬機(jī)和虛擬化平臺(tái)底層是可以通信的，所以很容易被利用造成破壞。因此我們需要選擇專(zhuān)為虛擬環(huán)境所打造的防病毒解決方案，此方案的特點(diǎn)是只在每臺(tái)宿主物理服務(wù)器上安裝一次，即可達(dá)到如下防護(hù)效果：

　　1)提升硬件服務(wù)器的使用率。即相同硬件能提高虛擬機(jī)密度；

　　2)簡(jiǎn)化管理。能通過(guò)一次性的安裝部署，實(shí)現(xiàn)以主機(jī)為單位的保護(hù)管理；

　　3)能實(shí)現(xiàn)自動(dòng)繼承的保護(hù)。也就是說(shuō)虛擬鏡像可即裝即防，裸機(jī)也能立即保護(hù)。

　　對(duì)于已經(jīng)在虛擬化環(huán)境采用了傳統(tǒng)的病毒和惡意代碼解決方案的用戶(hù)，則應(yīng)該細(xì)化虛擬機(jī)的病毒防護(hù)策略，對(duì)虛擬機(jī)實(shí)行分時(shí)升級(jí)和病毒掃描策略，避免所有虛擬機(jī)同時(shí)升級(jí)和掃描形成“病毒風(fēng)暴”而導(dǎo)致系統(tǒng)服務(wù)異常，同時(shí)虛擬機(jī)管理員還應(yīng)定期開(kāi)啟關(guān)閉的虛擬機(jī)進(jìn)行病毒庫(kù)升級(jí)和掃描。

　　3、結(jié)語(yǔ)

　　本文在分析基于VMware虛擬化環(huán)境存在的安全風(fēng)險(xiǎn)的基礎(chǔ)上，提出了降低風(fēng)險(xiǎn)的技術(shù)保障措施，并成功應(yīng)用于某VMware虛擬化的實(shí)施部署項(xiàng)目中。該虛擬化實(shí)施項(xiàng)目重點(diǎn)從物理硬件選擇、網(wǎng)絡(luò)架構(gòu)規(guī)劃、身份鑒別與訪問(wèn)控制方案設(shè)計(jì)、虛擬機(jī)系統(tǒng)服務(wù)配置等方面著手，多管齊下，綜合利用多種虛擬化安全防護(hù)技術(shù)，保證了VMware虛擬化建設(shè)項(xiàng)目順利實(shí)施，并安全穩(wěn)定運(yùn)行了兩三年。今后隨著各種核心業(yè)務(wù)系統(tǒng)逐步遷移到VMware虛擬化環(huán)境，還需要考慮的安全措施是部署整個(gè)虛擬化環(huán)境的快速災(zāi)難恢復(fù)機(jī)制，并采用針對(duì)虛擬化環(huán)境的病毒與惡意代碼解決方案，實(shí)現(xiàn)批量虛擬機(jī)離線殺毒 ，在進(jìn)一步提高虛擬化安全性的前提下，充分整合數(shù)據(jù)中心資源，打造低碳環(huán)保、綠色節(jié)能高效的數(shù)據(jù)中心。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://m.guhuozai8.cn/

本文標(biāo)題：VMware虛擬化的安全分析

本文網(wǎng)址：http://m.guhuozai8.cn/html/consultation/1083974574.html