虚拟化安全

2024-06-10

虚拟化安全（精选十篇）

虚拟化安全篇1

云计算的前景已毋庸置疑。但当前用户在考虑应用云计算服务时还存有各种疑虑,其中安全问题占据所有担心要素的首位。国外许多云计算数据中心都遭受过黑客和病毒的攻击,出现过断网现象。甚至云计算的倡导厂商谷歌、亚马逊、微软的在线服务也发生过宕机事件,导致网站长时间不能提供服务,影响波及大量用户。这些安全事件引发了云计算信任危机,也反映出云计算本身确实存在缺陷,尚不完善。今后一段时间内,制约云计算业务普及开展的重要挑战是安全问题。

云安全技术多集中在虚拟化安全方面。虚拟化是云计算的支撑技术,它实现了各种资源的逻辑抽象和统一表示,用以支持云计算中心根据用户业务需求的变化,快速、灵活、弹性地调用,响应用户的应用请求并提供服务,提高资源的利用率。然而,虚拟化的结果,却使得许多传统的安全防护手段面临着新的挑战甚至失效。从技术层面上讲,云计算与传统IT环境最大的区别在于其虚拟化的环境,也正是这一区别导致其安全问题有别于传统模式。虚拟化环境下计算、存储、网络结构、服务提供模式等的改变,带来了应用进程间的相互影响更加难以监测和跟踪,数据的隔离与访问控制管理更加复杂,传统的分区域防护界限模糊,对使用者身份、权限和行为的鉴别、控制与审计变得更为重要等一系列问题,对安全提出了更高的要求。

虚拟化环境下的安全防护问题成为IT界一个新的关注焦点。在实现功能的同时,追求效能最大化始终是任何一种技术所推崇的。如何在虚拟化环境下既能达到安全防护目的,又能节约IT资源,降低管理成本,需要有全新的思路。“无代理(Agentless)安全模式”将是最有希望的安全解决方案之一。

无代理安全模式是相对于传统有代理安全模式而提出的,所以要理解无代理安全模式的优势,需要将两种模式进行一下对比,分析各自的工作特点及利弊之处。

2 虚拟化环境有代理安全模式的弊端

虚拟化的早期阶段,安全解决方案尚无适应虚拟化环境的防护模式,人们只能沿用传统的安全防护策略,即在每台虚拟机上部署安全防护产品套件,即所谓的“安全代理”,这种安全防护模式称为“有代理模式(Agent-based)”。但随着云计算和虚拟化技术大规模的应用,此种模式已显现出多种弊端,主要体现在几方面。

1)传统安全软件都是基于物理机开发的,而非专门为虚拟化环境定制设计,尤其是没有考虑针对虚拟化环境下的资源共享进行优化。因而每一台虚拟机都安装安全软件的部署模式,对物理宿主机的存储空间、内存资源占用较大。当上百台虚拟机在同一时间开启病毒库自动升级或者自动进行云查杀,同时需要调用网络资源,数据中心的网络资源将面临极大的压力,甚至超负荷导致瘫痪,耗尽网络带宽,导致正常业务中断,这就是所谓的“防病毒风暴(AV Storms)”。这显然违背了云计算使用虚拟化技术节约IT资源的初衷,分散部署安全代理软件的模式降低了虚拟化本应带来的好处,导致了对服务器整合工作的不必要消耗。

2)云计算数据中心需要部署多种应用系统运行在不同的虚拟机中,各个虚拟机及应用系统之间的安全防护和访问控制带来了很多新的安全威胁与挑战。由于传统硬件的安全设备只能部署于物理边界,如入侵检测设备IDS,一般利用交换机的端口镜像功能,监控外部网络对DMZ区,以及DMZ区内部不同物理服务器之间的攻击行为。但在虚拟化环境中,位于同一台物理宿主机上的不同虚拟机之间的通信可能不经过网络交换机,利用传统的网络安全设备观察虚拟机间的通信方法失效,因而无法检测或抑制源于同一物理主机的虚拟机的攻击。如果攻击者攻克了一台虚拟机,获得了对其控制权,就可以对宿主机上的其他虚拟机发起攻击,进而获得整个服务器群的控制权,造成业务系统崩溃。如何增强虚拟环境内部虚拟机流量的可视性和可控性,提供虚拟环境内部的网络安全防护,传统的安全产品无能为力。

3)各虚拟机分散地防护(即有代理模式),不能保证各自均更新为最新版本,补丁完整得到了加固。因为虚拟化的初衷之一是绿色环保、低碳节能,当负载低时可以自动休眠某些虚拟机,当负载高时重新激活这些虚拟机。但在虚拟机休眠期间,病毒代码库和安全补丁是无法更新的,可能出现大量安全漏洞,一旦激活、联机后将可能立即受到攻击。在快照还原、休眠、激活过程中,同步且一致性地为这些安全策略已过期的虚拟机更新为最新安全策略是不可能的。攻击者可以利用这个时期攻击虚拟机,只要某一台虚拟机存在漏洞,出现安全防护的“短板”,就可能对整个虚拟化环境造成安全威胁,这也符合“木桶原理”。

4)在虚拟化动态环境中,新的虚拟机自动进行设置、重新配置,甚至自动迁移。这使得管理员在追踪、维护和实施安全策略时变得异常困难,分散管理模式的成本急剧增大,已难以适应。

综上所述,全新的虚拟化环境若仍然搭配传统的类似垂直式部署的安全防范策略,无疑影响了虚拟平台的使用效率,也势必降低整体安全性。

3 虚拟化环境无代理安全模式的优势

无代理安全模式基于宿主机整体考虑,以一个真实物理机为一个管理单位,用户无需在每个虚拟机中部署安装安全防护代理程序,将安全防护进程移出各个单独的虚拟机,集中部署在一台虚拟安全服务器中运行,分时扫描各应用服务器虚拟机,管理虚拟化环境下其他所有虚拟机的安全防护。因为安全服务器虚拟机直接部署在虚拟化平台上,对下层资源配置和利用情况具有完全的感知与掌控,充分利用虚拟化环境下对资源请求的时间差,统一调度,统计复用资源。这样,就避免了相同的安全防护进程在各虚拟机中并行地运行,并发地耗用底层资源,而改变为由一个虚拟安全服务器串行地运行,均衡了负载和资源的利用。

安全虚拟服务器可采用经过加固的专用系统,安全级别高,从而显著提升了无代理模式下的整体安全性。用户只需安装一次安全防护套件,一次性部署,然后对这台安全虚拟服务器随时在线升级和维护,对虚拟环境的性能不会造成显著影响。由于避免了各虚拟机重复性更新,也就避免了“防病毒风暴”等现象。只要保护好这台虚拟安全服务器,就能够让其他所有虚拟机得到最新的安全防护。从这一点看,在虚拟化环境中,集中式的无代理安全防护模式的安全性要高于分散式有代理安全防护模式。

因为在各虚拟机上取消了安全防护代理程序,因此可以帮助底层宿主机降低负担。近年来,恶意程序剧增,病毒库、补丁库体积越来越大,分散部署的有代理安全模式要占用大量资源。而采用无代理安全模式,当虚拟机数量较大时,节省的资源数量将非常可观,可以提高虚拟机密度,获得最大化效能。有测试报告表明,使用无代理安全防护模式,虚拟机器的整合率比使用分散的有代理安全防护模式提高数倍甚至一个数量级。降低了以牺牲性能获得虚拟化安全的制约。

无代理安全解决方案具有实时性,对于处于休眠状态的虚拟机,一旦激活便可以立即获得最新的防护,甚至对新克隆或安装的虚拟机裸机也同样,解决了虚拟机启动中的防护间隙(Instant-On Gap)问题。并且,安全虚拟服务器可以及时拦截并检查虚拟机内部通信,防止虚拟机间的攻击。

从易管理的角度来看,采用无代理安全防护模式,云计算数据中心在扩展、迁移虚拟机时,无需再次部署、设置安全解决方案,更新代理程序,虚拟机的迁移、资源的利用更具弹性。由于提供了统一管理机制,变分散管理为集中管理,大大降低了管理工作的复杂性和成本,省时、省力、省资源,因此总体上降低了企业的IT成本。在运维成本已占IT行业运营总成本极大比例的今天,无疑具有重要的现实意义,容易被企业所接受。因此无代理模式不仅可用于安全防护,进而可推广成为全面的统一管理平台。

无代理安全模式有效避免了有代理模式下产生的诸多负面效应,顺应了从分散走向集中的趋势,符合云计算、虚拟化、透明化、资源整合、集中统一管理的理念和技术潮流,未来必将成为大势所趋。

4 无代理安全模式目前存在的问题

无代理安全模式作为一项新技术(或许是一种过渡技术),目前还存在一些问题。

1)每台虚拟服务器运行的应用对安全防护策略的要求不尽一致,因而集中设置的防护策略区分粒度不够精细,不易实现差异化策略设定。

2)如果安全虚拟服务器被攻破,则全体应用服务器虚拟机的安全防护随之瓦解,出现单点失效问题。

3)无代理安全模式目前主要用于防病毒,因为应用服务器虚拟机中无任何代理,其他安全措施,如:基于主机的入侵检测(HIDS)、IPS、防火墙、审计、防黑、反垃圾邮件等方面必然较弱,安全防护的深度和广度还存在局限性。有代理模式分层扫描可做的较为细致,防护能力强。在无代理模式下,达到同样目的时效性可能会差一些。

4)同一虚拟平台上运行不同操作系统的虚拟机,由于操作系统结构不同,可能出现漏杀现象。

5)不支持跨虚拟化平台的使用。不同虚拟化平台提供给虚拟安全服务器的接口不同,受到不同虚拟化平台迁移的限制。

6)被保护虚拟机必须留有开放接口,以使虚拟安全服务器扫描,这相当于在虚拟服务器上开了一些后门,会带来一定安全风险。

由此可见,目前有代理和无代理安全模式各有各有所长。无代理安全模式正处于发展之中,需要有一个不断完善的过程,要经过长时间的演进。因此,根据具体的安全需求,目前在一些应用场合可能还需要配合有代理模式使用,达到优势互补。

5 虚拟化安全防护模式之展望

从有代理模式发展到无代理模式,开拓了一种虚拟化环境安全模式的新思路,是一种技术进步。沿着这一思路进一步向集中模式发展,最终,将安全防护功能下移到虚拟化平台层,整合进虚拟化系统中,直接监控进出虚拟机的数据,进而考虑实现防火墙、防病毒、IDS、IPS、深度包检测、综合安全网关(UTM)、数据的认证授权访问、法规合规性检查等一系列安全措施,相当于将安全防护部署前移,而无需在虚拟化平台之上再虚拟出一个安全虚拟服务器,这一解决方案更接近“无代理”的真正含义。从技术角度考虑,低层可以实现的功能,尽量不要放到高层去做,这样必然代价最小,资源利用率最高。

这里我们要明确一个概念,无论哪种安全模式,总要运行安全防护的进程,只是运行的位置和层次不同,因而实现的效能不同。当前“有代理”和“无代理”说法和争论更多还是从传统安全技术角度来区分的。虚拟化环境下系统体系发生了变化,与之相适应的安全系统也要有新的体系模式。在传统安全领域中,低层实现效率高,高层实现粒度细。在虚拟化环境下,整合解决方案如何做到安全防护既高效又深度感知,既功能齐全又保持虚拟化平台代码精简,这必然是今后一个重要研究领域。

虚拟化提供了一种集中模式,也为集中式安全管理创造了条件,而集中模式的管控是云环境下的趋势。整合解决方案为当前云计算数据中心仍广泛采用的复杂且分散的传统安全防护模式带来了一次观念和技术上突破的机会,前景美好,商机无限,有实力的厂家应看到这一点,投入力量研发。只要思路正确,技术上的问题总可逐步解决实现。

信息安全伴随着信息的存在而存在,是一个永恒的课题。只要外界存在安全威胁,传统安全领域存在的问题在虚拟化环境中依旧存在,只是攻防的模式会有所不同。安全防护始终是一个动态的过程,只有不断适应信息应用的模式,才能具有生命力和发展前景。

参考文献

[1]王志良.物联网工程概论[M].第1版,北京:机械工业出版社,2011.4.

[2]雷万云.云计算——技术、平台及应用案例[M].第1版,北京:清华大学出版社,2011.5.

[3]杭州华三通信技术有限公司.IP领航,总第9期[J].2010.4.

[4]VMware公司官方网站:http://www.vmware.com/cn/.

[5]微软官方网站:http://www.microsoft.com/zh-cn/default.aspx.

如何解决虚拟化技术六大安全问题篇2

使用虚拟化环境时存在的缺陷

1.如果主机受到破坏，那么主要的主机所管理的客户端服务器有可能被攻克。

2.如果虚拟网络受到破坏，那么客户端也会受到损害。

3.需要保障客户端共享和主机共享的安全，因为这些共享有可被不法之徒利用其漏洞。

4.如果主机有问题，那么所有的虚拟机都会产生问题。

5.虚拟机被认为是二级主机，它们具有类似的特性，并以与物理机的类似的方式运行。在以后的几年中，虚拟机和物理机之间的不同点将会逐渐减少。

6.在涉及到虚拟领域时，最少特权技术并没有得到应有的重视，甚至遭到了遗忘。这项技术可以减少攻击面，并且应当在物理的和类似的虚拟化环境中采用这项技术。

保障虚拟服务器环境安全的措施

1.升级你的操作系统和应用程序，这应当在所有的虚拟机和主机上进行。主机应用程序应当少之又少，仅应当安装所需要的程序。

2.在不同的虚拟机之间，用防火墙进行隔离和防护，并确保只能处理经许可的协议。

3.使每一台虚拟机与其它的虚拟机和主机相隔离。尽可能地在所有方面都进行隔离。

4.在所有的主机和虚拟机上安装和更新反病毒机制，因为虚拟机如同物理机器一样易受病毒和蠕虫的感染。

5.在主机和虚拟机之间使用IPSEC或强化加密，因为虚拟机之间、虚拟机与主机之间的通信可能被嗅探和破坏。

6.不要从主机浏览互联网，间谍软件和恶意软件所造成的感染仍有可能危害主机。

7.在主机上保障管理员和管理员组账户的安全，因为未授权用户对特权账户的访问能导致严重的安全损害。调查发现，主机上的管理员(根)账户不如虚拟机上的账户安全。记住，你的安全性是由最弱的登录点决定的。

8.强化主机操作系统，并终止和禁用不必要的服务，

保持操作系统的精简，可以减少被攻击的机会。

9.关闭不使用的虚拟机。如果你不需要一种虚拟机，就不要运行它。

10.将虚拟机整合到企业的安全策略中。

11.保证主机的安全，确保在虚拟机离线时，非授权用户无法破坏虚拟机文件。

12.采用可隔离虚拟机管理程序的方案，这些系统可以进一步隔离和更好地保障虚拟环境的安全。

13.确保主机驱动程序的更新和升级，这会保障你的硬件以最优的速度运行，而且软件的更新可极大地减少漏洞利用和拒绝服务攻击的机会。

14.要禁用虚拟机中未用的端口。如果虚拟机环境并不利用端口技术，就应当禁用它。

15.监视主机和虚拟主机上的事件日志和安全事件。这些日志应当妥善保存，用于日后的安全审计。

16.限制并减少硬件资源的共享。从某种意义上讲，安全与硬件资源共享，如同鱼与熊掌，不可兼得。在资源被虚拟机轮流共享时，除发生数据泄漏外，拒绝服务攻击也将是家常便饭。

17.在可能的情况下，保证网络接口卡专用于每一个虚拟机。这里再次减轻了资源共享问题，并且虚拟机的通信也得到了隔离。

18.投资购买可满足特定目的并且支持虚拟机的硬件。不支持虚拟机的硬件会产生潜在的安全问题。

19.分区可产生磁盘边界，它可用于分离每一个虚拟机并可在其专用的分区上保障安全性。如果一个虚拟机超出了正常的限制，专用分区会限制它对其它虚拟机的影响。

20.要保证如果不需要互联的话，虚拟机不能彼此连接。前面我们已经说过网络隔离的重要性。要进行虚拟机之间的通信，可以使用一个在不同网络地址上的独立网络接口卡，这要比将虚拟机之间的通信直接推向暴露的网络要安全得多。

21.NAC正走向虚拟机，对于基于虚拟机服务器的设备尤其如此。如果这是一种可以启用的特性，那么，正确的实施NAC将为你带来更长远的安全性。

22.严格管理对虚拟机特别是对主机的远程访问可以使暴露的可能性更少。

23.记住，主机代表着单个失效点，备份和连续性要求可以有助于减少这种风险。

24.避免共享IP地址，这又是一个共享资源而造成问题和漏洞的典型实例。

业界已经开始认识到，虚拟化安全并不是像我们看待物理安全那样简单。这项技术带来了新的需要解决的挑战。

结论

应用虚拟化保卫数据安全篇3

新法规规范企业

为了方便出差在外的业务人员随时随地登陆企业内部系统，中石油北京天然气管道有限公司（以下简称“北京管道公司”）引入移动办公系统，通过整合信息技术、传感技术等物联网技术，实现了在线监控和远程服务，可以实时进行数据的接收、发送及维护管理。但各种终端的爆发式普及以及工作地点、员工类型和接入方式的激增，传统安全战略逐渐不堪重负。

随着北京管道公司在陕甘宁至北京沿线、跨省市等多个地区的业务规模扩大，管理人员和工程师在外办公时间显著增长，因此，对快速接入公司的办公网络、对系统在长距离传输的安全性都提出了新的挑战。

以处在陕西偏远办公地点的员工为例，当地网络信号极其不稳定，一是安装ActiveX控件，只能通过接入网络后由系统后台自动安装，在网络信号极差的情况下，控件是无法安装成功的；二是ERP系统为客户端结构，由于本机系统配置低，可能导致客户端的安装失败；这些都可能导致延误信息的获取及事务的呈报，同时由于远距离传输，在数据交互的情况下安全性难以保证。

北京管道公司的远程接入应用主要有两大瓶颈——网络安全系数低和传输速度较慢。系统漏洞、网络黑客攻击及移动终端的存储介质都使得数据安全性严重缺乏保障。而一般情况下，传输数据需要占用相当大的带宽资源，而且要花费大量时间来等待网络传输的数据，尤其是在数据经过延迟较高或受带宽限制的网络(如Internet)传输时，等待时间将更加漫长。

2010年底，我国正式发布新《保密法》并开始施行，其中明确指出“机关、单位应当加强对涉密信息系统的管理，任何组织和个人不得在未采取防护措施的情况下，在涉密信息系统与互联网及其他公共信息网络之间进行信息交换”。为确保国家秘密安全，涉密企业必须按照更严格的标准，加强对移动终端的信息保密管理。

远程接入的全新模式

应用虚拟化是一种全新的应用模式，它可以为员工提供适当级别的安全访问和协作功能，同时最有效地控制和保护企业数据、应用和基础架构，让移动办公彻底摆脱网络速度和安全的制约。

应用虚拟化集中了服务器上应用程序的安装、运行、部署和管理环节，使用户可以通过任何网络、任何设备访问它们。只有击键、鼠标点击和屏幕刷新等信息在网络中传输，用户看到的和操作的是图形界面。在外出差的移动办公员工可以利用任何设备、操作系统和连接方式(包括低带宽连接和无线网络连接)不间断地持续接入服务器。同时，所需网络带宽大大降低。

通过部署应用虚拟化，将OA系统控件及ERP客户端在应用虚拟化服务器上安装完毕，在陕西现场的员工就能快速访问OA、ERP等系统，而无需安装系统控件及客户端，在低带宽状态下访问效果与访问真实系统一样。我们分部在全国各地的员工可以使用任何类型的终端来访问虚拟桌面和应用：从PC到平板电脑和智能手机，安全性都得到了加强。

应用虚拟化可帮助企业集中管理数据，确保只有经过授权的用户可以连接到企业资源。信息部门可以快速为任何地点上的任何用户提供对特定资源的安全访问。

管道地质灾害监测评估系统结合物联网技术，在地质灾害频发区域管道上及其附近埋设传感器，在无人值守的情况下，实时监测、显示管道设备的应力和应变状态，并记录所有参数和数据，传输地质活动及管道变形情况，当监测数值超过规定值时自动报警。通过应用虚拟化的部署，管理人员能够在任何地点都能及时掌握现场管道情况，保证数据传输安全的同时，保障管道的安全。

全方位保卫信息安全

通过项目的实施，桌面、应用和数据集中保存在数据中心并受到有效保护，从各个环节防止了安全漏洞的产生。

通过在数据中心集中控制，信息部门不必再担心用户将数据保存在可移动终端介质上、在用户间通过电子邮件发送、打印出来或以其他方式传播，造成数据丢失或被盗，即使用户终端丢失或被盗的情况下也可以确保安全性。用户也只需登录就可以访问具有相关权限虚拟应用的虚拟桌面——这些应用可以按需交付到任何终端上，免去了为确保信息安全所执行的繁琐操作。

在这种模式下，用户每次退出后，他们的虚拟桌面都会刷新，恢复到初始模板。当用户下一次重新登录虚拟桌面时，他们看到的是一个从基本模板上生成的干净的环境。

由于桌面、应用和数据只以虚拟形式交付到终端设备上，与设备上的任何个人数据或应用完全隔离开来，而且不能移动到集中控制的数据仓库之外。即使病毒感染了终端设备，企业的隔离虚拟桌面也不会受到病毒影响。

没有任何一种技术可以一劳永逸地保证信息安全。在出现安全事件或配置错误的情况下，集中管理可以让信息部门快速采取行动。第一道防线是使用虚拟化来隔离敏感的应用和数据，最大限度地减小单一组件安全事件的影响；浏览器也可以通过相同的方式得到保护和隔离，防止安全事件造成大面积危害。

虚拟化技术及其安全问题篇4

近年来, 虚拟化 (Virtualization) [1]技术逐渐成为人们关注的热点。早在20世纪60年代, IBM首次提出了虚拟机 (VirtualMachine) 的概念来实现对大型机并发地、交互式地访问。每个虚拟机都与底层的物理机器类似, 从而运行的软件不需要修改。虚拟机管理器 (Virtual Machine Monitor) 负责管理和调度多个虚拟机对真实硬件的访问。

早期的虚拟化技术[2]主要应用于大型机。到了20世纪80、90年代, 随着硬件成本的下降和现代多任务操作系统的出现, 大型机逐渐被小型机和个人计算机 (Personal Computer) 代替, VMM也随之消失。目前, 多核 (Multi-Core) 已经成为计算机系统结构的发展趋势, PC的计算能力也得到了飞速地发展。为了充分利用底层的硬件资源, 虚拟化技术也逐步应用于小型机和PC。

在以前的虚拟化历程中, X86架构并没有成为虚拟化技术发展的受益者, 主要原因在于X86架构在设计之初并没有考虑支持虚拟化技术。在20世纪90年代末期, VMware和其他虚拟化厂商率先将虚拟化技术应用于X86服务器, 使得虚拟化技术迅速普及[3]。虚拟化技术既引起了学术界的关注, 例如剑桥, 麻省理工学院, 斯坦福大学, 卡内基梅隆大学等, 同时又得到了工业界的支持, 例如Intel, AMD, IBM, Microsoft等。最近, Intel和AMD都从硬件级别提供了对虚拟化的支持, 例如Intel的VT技术和AMD的SVM技术。

虚拟化技术能够动态组织多种计算资源, 隔离具体的硬件体系结构和软件系统之间的紧密依赖关系, 实现透明化的可伸缩计算系统架构, 从而灵活构建满足多种应用需求的计算环境, 提高计算资源的使用效率, 发挥计算资源的聚合效能, 并为用户提供个性化和普适化的计算资源使用环境。在传统架构中, 操作系统负责管理整个硬件平台, 并为应用程序提供运行环境。然而, 根据Metron's Athene的测试结果, 服务器的利用率一般在20-30%左右。虚拟化技术的目标是实现资源利用率的最大化, 同时将底层物理设备与上层操作系统、应用软件分离, 从而实现计算资源的灵活性。在虚拟化架构中, 虚拟机管理器负责对硬件管理和虚拟机调度, 支持在同一硬件平台上同时运行多个操作系统。与传统架构相比, 虚拟化技术的2个主要优势:资源共享和隔离性 (图1) 。

1.1 资源共享

在虚拟化架构中, 虚拟机管理器负责管理底层硬件, 并调度多个虚拟机运行。多个虚拟机共享底层的计算资源和存储资源, 这种方式能够有效地提高服务器的利用率。

服务聚合 (Server Consolidation) 是指将多个轻量的负载以虚拟机的形式合并到少量的物理机器上运行, 这将节省了硬件开销, 同时降低了管理成本。另一方面, 如果一台服务器上负载过重, 那么可以将任务封装在虚拟机中迁移到其他的物理节点上运行, 从而实现负载均衡 (Load Balance) 。

通过虚拟机封装的形式实现了操作系统、应用程序与底层物理硬件去耦合。虚拟机具有在各个物理节点之间迁移的灵活性, 能够充分利用底层物理设备。

1.2 隔离性

操作系统提供进程间隔离, 各个应用程序运行在相互独立的地址空间。但是, 一个应用程序发生故障, 可能会影响其他应用程序, 甚至导致操作系统崩溃。与传统的操作系统相比, 虚拟机比传统的进程提供更好的隔离性。

虚拟机之间的隔离性主要有3个方面:性能隔离 (Performance Isolation) , 信息隔离 (Information Isolation) 和错误隔离 (Fault Isolation) 。性能隔离是指一个虚拟机不能影响其它虚拟机的性能;信息隔离指虚拟机不能访问其它未授权的虚拟机数据信息;错误隔离指一个虚拟机的错误不能影响其它虚拟机。

性能隔离通过性能隔离度来衡量, 该指标测量的是在一台虚拟机出现资源紧张和异常行为时, 对其它正常工作的虚拟机性能的影响程度。虚拟CPU的调度影响虚拟机的性能, 虚拟机管理器必须保证虚拟机之间的性能隔离, 同时保证虚拟CPU调度的公平性。

信息隔离主要是为了安全性考虑, 虚拟机的信息隔离必须保证一台虚拟机受到攻击, 甚至遭到入侵时, 并不会威胁到虚拟机管理器和其他虚拟机。虚拟机管理器的访问控制策略是保证信息隔离的有效手段。

错误隔离主要是当某个虚拟机的虚拟CPU发生故障, 甚至导致操作系统崩溃时, 不会对其他虚拟机产生影响。

2 虚拟化技术的安全问题

虚拟化技术能够在一定程度上提高系统的安全性, 例如将安全工具 (例如入侵检测工具, 杀毒软件等) 部署在单独的虚拟机中, 对其他的虚拟机进行监控。由于虚拟机管理器能够检测到被监控系统的状态, 而且虚拟机管理器将安全工具与被监控的系统进行隔离, 保证了安全工具的安全性和有效性。然而, 虚拟化技术引入了一种不同的计算机应用形态, 改变了计算机系统结构和计算系统的运行方式, 这些特征对虚拟计算系统的安全性提出了一些挑战。

2.1 虚拟机管理器的安全性

在虚拟化架构中, 虚拟机管理器是整个平台的安全瓶颈。如果虚拟机管理器自身受到破坏, 整个平台上运行的虚拟机将受到严重威胁。

与传统的体系结构相比, 虚拟机管理器只完成最基本的硬件管理和虚拟机调度功能, 代码规模小, 可大大减少漏洞数量。虚拟机管理器上可同时运行多个虚拟机, 单个虚拟机仅需支持一个或一类应用, 使得虚拟机上执行的系统软件功能可望大大简化, 通过结合可信平台模块 (Trusted Platform Module) 构建基于虚拟机架构的可信计算系统, 可望显著减少系统可信验证的复杂性。

目前, 在硬件支持虚拟化功能的X86 CPU上运行的操作系统, 恶意软件可在操作系统和物理硬件之间插入恶意的虚拟机管理器-VMBR (Virtual Machine Based Rootkit) 。例如, BluePill利用支持安全虚拟机技术的AMD处理器将操作系统从正常的状态转换为作为虚拟机运行, 提供一个瘦型监控器控制操作系统, 这个瘦型监控器可以观察、控制操作系统中任何感兴趣的事件。近期, 相关安全研究人员在支持Intel VT的CPU上也实现了类似的原型系统。

2.2 虚拟机之间共享的安全性

虚拟化技术已从完全的物理隔离转变为逻辑隔离, 同时为了充分发掘计算系统的潜能, 虚拟机之间的共享程度也在不断提高, 虚拟计算系统的安全问题也突现其重要性。

虚拟机之间共享的安全性主要通过在虚拟机中实现访问控制模块 (Access Control Module) 来实现。例如, 某台虚拟机只能访问属于它的内存空间, 当试图访问该虚拟机限定之外的内存时, 虚拟机管理器必须返回一个错误。某台虚拟机需要访问外设时, 需要虚拟机管理器进行确认和授权。

Xen[4]是一种开源的、性能接近于真实物理机器的虚拟机管理器。Xen在CPU、内存和I/O方面实现了基本安全机制。Xen的sHype参照监控器 (Reference Monitor) [5]采用了FLASK安全系统架构, 实现了强制访问策略 (Mandatory Access Control) 。

主体就是需要访问资源的虚拟机, 客体就是虚拟机希望访问的资源, 需要访问的资源由监控器进行控制, 主体需要访问资源必须通过监控器调用 (Hypervisor Call) 进行请求。sHype在监控器调用处理函数中插入一个“钩子” (Hook) , 这个“钩子”会利用主体标签、客体标签和操作类型为参数查询独立的访问控制模块, 该模块依照安全策略返回授权结果。如果授权成功则这个Hypervisor Call继续执行, 如果授权失败就会立即返回错误给主体, 从而有效阻止非授权的访问。

目前, Xen中的sHype安全策略较为简单, 只有中国墙策略和Type Enforcement策略。中国墙策略即是允许管理员确保某一些虚拟机不会同时运行在同一个虚拟机监控器上, 每一个虚拟机定义中国墙类型集和中国墙冲突集, 如果正在启动的虚拟机的中国墙类型集里面的元素在当前运行的虚拟机的中国墙冲突集中, 新启动的虚拟机将因冲突而不能启动。TypeEnforcement策略即是控制哪些VM之间才能共享资源, 在虚拟机中定义TE-types表, 只要两个虚拟机中TE-types有元素相同即可共享资源, 否则不允许共享。

2.3 虚拟机特性带来的安全问题

虚拟计算系统允许用户通过类似操纵文件的方式来创建、复制、存储、读写、共享、移植, 以及回滚机器的运行状态。这种灵活性为用户与管理员提供了极大的便利, 可以说形成了一种新型的计算机应用形态, 相应地会引入一系列的系统安全问题, 包括软件生命周期和数据生命周期所引起的系统安全。

传统计算机的生命周期可以被看作一条直线, 当前计算机的状态是直线上的一个点。当软件运行、配置改变、安装软件、安装补丁程序时, 计算机的状态单调地向前进行。但在一个虚拟计算环境中, 计算机的状态更象是一棵树:在任意一点都可能产生多个分支, 也就是说, 任意时刻在这棵树上的任意一点都有可能有一个虚拟机的多个实例在运行。分支是由于虚拟计算环境的可撤销 (Undo) 特性与检查点 (Checkpoint) 特性所产生的, 这使得虚拟机能够回滚到以前的状态或者从某个点重新执行。这种执行模式与目前系统中的补丁管理与维护功能相违背, 因为目前的系统假设系统的状态是单调向前进行的。比如, 回滚机制可能会使已经被补救的漏洞重新出现, 重新启动脆弱的服务, 重新使用已经过时的帐号和口令, 重新使用过时的密码, 还可能重新引入蠕虫、病毒或其它已经被去除的恶意代码。

在建立一个安全系统时的基本原则就是减小敏感数据的生命周期, 但是虚拟机会破坏这个原则, 比如, 虚拟机需要记录运行状态以实现回滚机制。这可能将某些敏感数据 (比如密码、用户口令等) 记录下来, 从而导致了这些敏感数据没有被真正销毁, 带来了潜在的安全问题。例如, 在零知识证明协议时, 如果同一时刻被使用两次将会泄漏用户私钥, 在虚拟计算环境中, 若在产生随机私钥后的虚拟机以文件的方式保存起来, 则同一时刻将可以被多次使用, 相应可能会导致用户私钥的泄漏。

总之, 上述问题是虚拟化架构所特有的安全性问题, 这些问题需要人们在应用虚拟化技术之前解决, 而不是简单地应用传统的安全机制和安全策略。

摘要：虚拟化 (Virtualization) 已成为IT基础架构的核心技术, 并且是计算机系统软件的发展趋势。同时, 虚拟化技术也为安全领域带来了一定的挑战, 本文首先介绍虚拟机技术及其两个重要优势——资源共享和隔离性, 然后在此基础上剖析其安全性问题。

关键词：虚拟化,资源共享,隔离性,安全性

参考文献

[1]J.E.Smith and R.Nair.The Architecture of Virtual Machines.IEEE Computer, vol.38 (5) , pp.32--38, 2005.

[2]S.Nanda and T.Chiueh.A Survey on Virtualization Technologies.Technical Report ECSL-TR-129, SUNY at Stony Brook, 2005.

[3]VMware Home Page:http://www.vmware.com/.

[4]石磊, 邹德清, 金海.Xen虚拟化技术.武汉:华中科技大学出版社, 2009.

虚拟化安全篇5

摘要：随着计算机技术的发展, 企业、机关单位、政府等数据中心产生的数据越来越多, 服务器以及数据中心每年的电费以及维修费用不断上涨, 然而高投入并没有取得良好的效果。将虚拟化技术应用在服务器中, 能提高硬件资源利用率, 降低管理和维修成本。本文主要分析了服务器虚拟化技术内容、服务器虚拟化存在的安全风险, 并根据这些安全风险, 采取相应的措施, 提高服务器的安全等级, 确保服务器运行安全。

关键词：服务器; 虚拟化技术; 安全风险;

1 服务器虚拟化技术的内容

1.1 全虚拟化

全虚拟化技术又叫硬件辅助虚拟化技术, 是通过BDT和直接执行技术实现的, BDT在虚拟机运行时, 一些敏感指令会在指令到达之前陷入到其他指令中, 将这些敏感执行命令插入到VMM中, VMM技术将这些动态指令转化为具有相同功能的指令, 按照顺序直接访问计算机虚拟硬件。从这也可以看出, 在全虚拟化技术中, 计算机用户所有的指令都是通过CPU运行的, 计算机操作系统从虚拟层硬件中抽离出来。全虚拟化技术也是唯一一个不需要硬件或者操作系统协助完成敏感指令虚拟化技术。

1.2 半虚拟化

半虚拟化技术需要修改计算机用户的操作系统内核, 替换不能虚拟化的指令, 并通过Hypervisor完成敏感指令的调用。在半虚拟化技术中, 计算机操作系统还要与虚拟化平台兼容, 否则虚拟机无法有效的操作宿主的计算机。

1.3 硬件辅助虚拟化

虚拟化技术的应用给CPU的运行增加了新的模式―Root, 这种模式下, VMM可以在Root模式下运行, 而Root模式建立在Ring O下, 敏感指令可以直接在Hypervisor执行, 不需要BT或者半虚拟技术, 计算机用户只要将操作系统状态保存在虚拟机控制结构中或者虚拟机控制模块中。

2 服务器虚拟化存在的安全风险

与传统的服务器运行模式相比, 服务器虚拟技术在物理硬件和虚拟服务器之间引入了虚拟层, 也就是虚拟机监控器。虚拟技术的应用也给服务器的安全带来了一定的风险。具体体现在以下几个方面:第一, VMM为虚拟机提供统一的资源抽象, 资源共享技术的出现增加了服务器运行的安全风险。此外, VMM理论还不够成熟, VMM出现系统漏洞时, 很容易受到hacker的攻击和病毒的感染, hacker可以直接进入到数据中心的主机系统, 随意篡改数据库的数据, 给虚拟机的运行带来了极大地安全隐患。第二, 随着计算机技术的进入, 网络边界逐渐消失, 服务器和网络逐渐融合, 在这种融合模式下, 每一个虚拟机都需要一套相对完整的防护产品保护虚拟机。使用这种新的网络模型, 将计算机十几个操作系统用虚拟机形式展现在服务器上, 虚拟机可以共享十几个操作系统的数据资料, 一旦一台计算机操作系统出现问题, 可能影响整个网络系统和其他虚拟机。第三, 由于虚拟化技术的优越性, 越来越多的企业使用虚拟机, 造成虚拟机滥用现象, 影响到物理主机CPU和网络资源, 造成计算机服务器运行负荷过重, 造成计算机操作系统崩溃或者虚拟应用中断等现象。

3 服务器虚拟化安全应对措施

虚拟化技术安全风险除了遇到病毒、木马的入侵以及恶意软件的感染等因素, 还会造成服务器负荷过重, 影响计算机运行的`速度和效率。因此必须采取有效的措施:第一, 针对共享技术带来的安全风险, 可以提高VMM安全策略。根据数据中心资料的重要性, 建立安全等级防御系统。并优化虚拟机的隔离和封装制度, 加强服务器内部的保护, 严格控制审计未通过的浏览和访问。第二, 为了解决虚拟机网络内部攻击现象, 程序设计时要根据虚拟机的重要性划分等级, 安全等级比较高的虚拟机要及时备份数据, 并采取隔离措施。创立虚拟机防护边界和安全防火墙, 防止恶意攻击和访问服务器系统。第三, 为了解决虚拟机滥用这个问题, 要加强服务器数据资源的容量分析和数据监控, 服务器资源要定期进行汇报, 一旦出现安全风险或者恶意入侵, 系统能自动发出警报, 以便维护人员第一时间掌握服务器情况。同时, 企业要加强管理人员的安全意识, 对服务器的访问、跟踪和审计等做好安全防护措施, 严格设置业务逻辑访问控制策略, 提高虚拟机网络的安全性和可靠性。

4 结语

服务器虚拟技术在网络技术中应用十分广泛, 服务器虚拟技术能降低用户硬件成本, 最大限度利用硬件资源, 让计算机系统变得更加简洁, 便于用户安装、使用和管理。但是近年来的网络安全问题使得服务器虚拟化技术的安全性成为社会关注的焦点。通过提高安全等级, 制定访问控制策略, 提高虚拟机的安全性。

参考文献

[1]伊波.服务器虚拟化技术及安全研究[J].神州 (中旬刊) , , (2) :49-49.

[2]彭锦.服务器虚拟化技术及安全性探讨[J].通讯世界, , (9) :193-193.

虚拟化为信息安全打开一扇窗篇6

实际上，Citrix、VMware等虚拟化厂商正是以“安全”作为桌面虚拟化和应用虚拟化的主要卖点，而一些应用层网络安全厂商，如深信服科技有限公司，则在这方面走得更远一些，把虚拟化和自己的应用安全产品融合到了一起，提供一个端到端更加完整的安全解决方案，从而为信息安全“趟”出了一条新的解决之道。

应用虚拟化

“搂草打兔子”

虚拟化技术在安全领域的应用其实很早就已经开始了，而且是以一种比较简单的方式。比如，很多用户都会通过安装虚拟机来进行各种测试，一个虚拟机出现了问题，并不会影响到其他虚拟机和主机（Host）。这其实就是一种安全措施。而桌面虚拟化和应用虚拟化则为信息安全提供了更多的保护手段。

本质上，桌面虚拟化和应用虚拟化都是基于服务器的虚拟化技术，是一种集中管控的模式。典型的桌面虚拟化应用场景如下：用户发出请求，虚拟化软件先在服务器端为用户创建出一个虚拟的桌面，然后通过网络交付给最终用户。虽然用户仍然可以像操作普通的桌面一样完成各种操作，但所有的后台执行其实发生在服务器端，推送到用户面前的只是前端呈现的部分。应用虚拟化技术的工作原理也与此类似，所不同的是用户桌面显示的是某个指定的应用而已。比如，通过深信服的远程应用发布+SSL VPN的终端虚拟化解决方案，可以为用户交付在远端服务器上的虚拟桌面/应用，并且可以跨平台支持Windows、iOS、安卓等终端。其最大的优势在于，为用户提供较好用户体验的同时，还具备更高的性价比。同时，由于与SSL VPN设备的天然融合特性，这一产品也具备了更优异的安全性。

桌面虚拟化和应用虚拟化的好处很多，集中管控为应用程序的升级和补丁发放带来了很大方便，同时，还可以真正实现在任何时间、任意地点，通过任意一台设备上网。以甘肃联通用户为例，采用深信服的远程应用发布方案实现了1000多人的应用虚拟化，让移动出差的员工可以随时随地访问内网的OA、运维等业务系统。

事实上，从市场反馈来看，用户采用桌面虚拟化和应用虚拟化的最大需求正是来自安全考虑，其次才是移动办公、降低终端维护成本等内容。目前桌面虚拟化的几个大型成功案例，包括IBM的中国开发中心（CDL）和华为的桌面虚拟化项目，其最大的价值也是体现在数据的安全上。然而，正是因为“安全性”只是桌面虚拟化和应用虚拟化众多优点中的一个部分，缺乏专一性和针对性，所以，其在满足复杂的安全需求时也存在一定局限性。

虚拟化为安全所用

与虚拟化厂商主要提供全功能的产品和解决方案不同，安全厂商采用虚拟化技术的目的非常明确——为安全服务。所以，安全厂商通常会根据自己的需要对虚拟化技术进行定制和裁减，让虚拟化“为我所用”。以深信服为例，除了常见的桌面/应用虚拟化方案外，其还推出了专门针对终端安全的“虚拟化安全门户系统设备（VSP）”。

深信服的虚拟化安全门户系统设备（VSP）是一种安全桌面隔离的解决方案。与桌面虚拟化等通过基于计算机硬件层面的虚拟机，来实现终端数据的安全隔离不同，VSP实际上是一种在应用层实现的轻量级虚拟机。其通过沙盒虚拟化隔离技术，将用户终端PC从逻辑上隔离成两个虚拟工作桌面，用户可以在一个虚拟桌面内访问高级别业务系统，而在另一个虚拟桌面中访问低级别系统。两个虚拟桌面之间的网络、文件访问、应用程序进程、注册表等都是受到安全隔离保护的，高级别的业务系统数据无法通过用户终端泄漏出去。如果通过虚拟桌面访问互联网，也能够实现安全隔离功能，从而实现了对终端操作系统安全的防护。

本质上，沙盒虚拟化技术是一种分布式的终端虚拟化方案，其运行在用户端，并不需要占用太多服务器、网络和存储资源。然而，与传统的终端虚拟机方案相比，沙盒又不是一个严格意义上的虚拟机（比如，这个虚拟机中就不包括操作系统），而更像是一个应用，所以仅需要80MB内存左右就能够运行一个虚拟桌面。这样一个巧妙定制的虚拟机，既能对数据、物理、注册表、系统服务等资源进行安全隔离，满足数据防泄漏、防感染病毒等数据安全的需求，同时还能降低部署成本。

虚拟化技术下的安全篇7

关键词：虚拟化,虚拟化安全,宿主系统,虚拟系统,虚拟网络

0 引言

当今, 服务器、桌面、存储和网络系统都已虚拟化方式来实现。但是, 在这些已虚拟化技术为基础的资产中, 对于虚拟化安全的关注确非常少, 人们把大部分安全精力放到了能看得到的物理主机系统, 物理网络系统, 但往往忽视了虚拟系统及网络的安全性。

1 虚拟化安全概述

在现有的虚拟化技术下, 一个虚拟化环境可能为攻击者提供了新的攻击模式和非常规精细化漏洞攻击的机会。因此, 重要的是必须要采取相应措施, 确保包括物理主机 (physicalhosts) 以及创建和维护虚拟机时在其上运行的虚拟系统 (guest) 的安全。

1.1 非虚拟化环境

在一个非虚拟化环境中, 主机彼此都是物理隔离的, 而且每个主机都有自己的独立环境, 主机与主机的环境都互不相关, 包括像一系列的服务, 如web服务或DNS服务。这些服务都直接与他们自己的用户空间 (user space) 进行通讯, 主机内核 (host kernel) 和物理主机 (physical host) 直接向网络提供服务。非虚拟化环境示意如图1所示:

1.2 虚拟化环境

在虚拟化环境中, 多个操作系统可以被安装到一个单独的主机内核和物理主机中。虚拟化环境示意如图2所示:

当服务都没有被虚拟化时, 机器之间是相互物理隔离的。如果受到明显异常的网络攻击, 任何漏洞利用因此通常只会影响被攻击的主机。当服务在虚拟化环境中被组合在一起, 额外的安全漏洞将出现在系统中。如果在虚拟系统管理器 (hypervisor) 中存在一个可以由虚拟系统 (guest) 实例所利用的安全漏洞, 该虚拟系统可能不仅能攻击宿主机 (host) , 也可能攻击运行于改宿主机上的其他虚拟系统。这不是理论上的说法, 此类攻击已经存在于虚拟机管理程序上。这些攻击能超出虚拟系统实例 (guest instance) 并可能使其他虚拟系统受到攻击。

2 虚拟化安全解析

2.1 虚拟化技术的安全问题

在部门IT架构中部署虚拟化应用带来了很多优点, 但也会存在新的风险。通常情况下, 虚拟化资源和服务的部署存在着一下安全风险:

(1) 宿主系统 (host) 、虚拟机管理器 (hypervisor) 成为最初目标, 它们往往能导致虚拟系统和数据的单点故障。

(2) 虚拟机之间能以意想不到的方式相互干扰。

(3) 资源和服务能变得难以跟踪和维护, 快速部署虚拟化系统将增加资源管理的复杂度, 包括:补丁修复, 监控和维护。

(4) 在虚拟化的部署和维护过程中, 技术人员有可能缺乏虚拟化安全技术的相关经验。这通常是一个主要的人为漏洞。

(5) 像存储系统之类的资源能够分散部署和相互依赖于多个机器, 这可能导致系统架构过于复杂, 从而导致管理和维护得弱点。

(6) 虚拟化技术并不会解决任何存在于其他环境中的传统安全风险, 在整个虚拟化解决方案中, 不仅仅只是虚拟化层面需要关注安全。

2.2 虚拟化安全三向模型

三向概念模型CIA (Confidentiality, Integrity, Availability) 通常用于传统计算机安全, 除了CIA外, 类似的模型也可以展示和分析虚拟化安全:IPL (Isolate, Protect, Log) , 如图3所示:

(1) Isolate (隔离)

控制虚拟机之间的相互作用, 将其维持在较高的安全级别。

(2) Protect (保护)

虚拟机也同样存在着传统的安全威胁, 每个虚拟机都应该有定期的安全控制管理。

(3) Log (记录)

部署虚拟机非常的容易, 在虚拟化环境中缺乏日志、变更管理和审计跟踪很容易导致一个复杂的, 非托管的和不安全的环境。

2.3 宿主系统 (host) 安全

当部署虚拟化应用时, 宿主系统的安全应该是最重要的, 宿主系统应该始终负责管理和控制所访问的物理设备, 虚拟系统的存储和网络应该由虚拟系统来进行自我管理。如果宿主系统被攻破, 那不仅会造成主机系统脆弱性的提高, 连同在其上运行的虚拟系统及其数据的脆弱性也会被提高。

宿主系统的安全应做到如下几点:

(1) 只运行能够支持虚拟系统运行和管理的必要服务。如果要运行其他与虚拟化无关的服务, 例如文件打印服务等, 应该将其部署到虚拟系统中。

(2) 限制只有拥有需要管理系统的用户才能直接访问系统, 考虑不允许直接的root访问权限, 使用如sudo等工具授予特权访问管理员的管理角色。

(3) 做好文件运行控制, 防止程序违规运行。

(4) 确保任何远程管理系统的连接只通过网络安全隧道连接, 例如:通过SSH、TLS、SSL。

(5) 确保系统防火墙已正确配置并启动, 只开放必要的端口。

(6) 应确保虚拟系统不能直接访问整个磁盘或块设备, 而应使用分区或逻辑卷。

2.4 公共云服务下的虚拟化主机安全

虚拟系统都存在于宿主机-虚拟系统、虚拟系统-虚拟系统之间的隔离, 由于云平台上可能存在恶意的虚拟系统的威胁以及在整个虚拟化基础架构的虚拟系统数据的机密性和完整性的要求, 分别隔离各个系统尤为重要。公共云平台操作应遵循以下几点:

(1) 应禁止从虚拟系统直接访问任何的硬件设备, PCI, USB和其他passthrough机制的设备, 否则不仅会使管理困难, 而且会造成虚拟系统之间去依赖底层硬件进行强制隔离。

(2) 网络流量应该分别隔离, 将专用管理网络和虚拟系统的网络进行隔离, 必须确保虚拟系统不能访问宿主系统的网络, 使得虚拟系统在一个单独的子网上运行。将网络虚拟化, 使一个虚拟系统无法通过云提供商的内部网络直接访问另一个客户的虚拟系统。

2.5 虚拟系统安全

宿主系统的安全性是确保主机上运行的虚拟系统的安全的重要措施。虚拟化系统上与非虚拟化系统相关联的安全风险仍然存在。虚拟化系统也是一正常完整的操作系统, 和物理主机上安装的操作系统并无差别, 如果攻破虚拟系统, 虚拟系统的任何资源可能会变得非常脆弱, 如:关键业务数据或敏感客户信息。

2.6 虚拟化网络安全

通过网络是访问系统、访问应用和管理接口的唯一途径, 虚拟化网络是保证虚拟系统的重要入口, 针对虚拟系统的攻击可能随时从虚拟化网络进入, 因此保证虚拟化网络和物理网络、物理接口之间的安全是非常重要的。

虚拟化网络通常由虚拟系统的虚拟网络设备、虚拟管理程序提供的虚拟链路、宿主系统的物理网络接口构成。虚拟系统之间的通信通常由虚拟系统的网络设备, 通过虚拟链路来彼此进行通信, 如需向外进行通讯, 则通过宿主机物理网络设备转发至外界。虚拟网络仍然存在着传统的网络安全风险, 必须加以控制。虚拟化网络应当与宿主网络环境进行隔离, 确保虚拟化网络访问不到宿主系统网络。虚拟化网络有着很多种的连接方式, 包括虚拟化的网络存储, 每一种方式都应注意其安全要点, 但同样的安全原则也适用于每一个:在使用前进行身份验证, 并使用加密技术保证其数据的完整性和保密性。

3 虚拟化安全风险及挑战

综上所述, 虚拟化安全主要存在于宿主系统安全、虚拟系统安全及虚拟网络安全三个层面上, 随着虚拟化支撑的云平台的广泛使用, 云平台的安全也将成为其中之一。其中宿主系统的安全威胁度最高, 无论是通过外部网络或是虚拟系统攻破宿主系统, 在其上运行的各个虚拟系统都不会幸免于难;虚拟系统及虚拟网络的安全也在保证数据安全及完整性方面也起着重要作用。

虽然虚拟化技术现在已经有了高度的发展, 但传统的各类安全威胁在虚拟化技术中仍然存在, 且在虚拟化技术应用过程中已经出现了针对虚拟化技术的新的攻击方式及安全威胁。在面对日新月异的虚拟化技术时, 必须时刻注意虚拟化安全方面所带来的风险。

参考文献

[1]Smith, Daniel E.Nair, Ravi.2005, The Architecture of Virtual Machines.Computer (IEEE Computer Society)

[2]KVM, 2014, Virtualization security, www.linux-kvm.com.

[3]XEN, 2014, XEN security guide, www.xen.org.

虚拟化环境下安全风险分析篇8

近些年来, 虚拟化技术在各单位的信息化建设中应用越来越普遍, 其节约成本、配置方便、可以动态进行迁移等优点, 是虚拟化平台建设日益得到青睐的重要原因。

虚拟化过程中, 原有Windows或Linux操作系统的安全问题, 并不会因虚拟化平台的构建而消失, 在虚拟化应用中仍旧可能存在。虚拟化技术和虚拟化平台在带来便利的同时, 也会产生新的安全问题, 产生新的安全风险。物理隔离的安全优势不再, 不但增加安全漏洞风险, 且一旦安全壁垒被打破, 可能为引发更为严重的安全后果。

一、虚拟化安全类型分析

为进一步对虚拟化技术和虚拟化平台的安全风险防范进行讨论, 对于虚拟化平台的安全风险类型, 可以从以下几个方面进行考虑:1) 虚拟管理程序的风险。对虚拟机进行管理的虚拟管理程序是虚拟化技术的核心技术, 其对于风险的防范机制, 按理来说是最安全的。但是由于一旦管理程序被攻破, 对数据中心多个虚拟系统的攻击便势如破竹, 因此更容易引起攻击者的注意, 成为首要的攻击目标。2) 虚拟机镜像和操作系统的风险。虚拟机镜像和操作系统的风险并不会与因为虚拟化的应用的减少, 其原有风险在虚拟应用中仍旧存在。3) 物理安全设备的风险。防火墙和入侵防御系统等物理安全设备同样会引起安全问题, 一旦物理安全设备被攻破, 同样可以进入虚拟平台。

二、虚拟化安全策略分析

1) 根据应用类型分开虚拟机。物理隔离的安全优势是不可取代的。在现实的应用中, 经常会对虚拟系统的安全性过分信赖, 将专用虚拟机和公用虚拟机安装在同一个物理平台上, 共享同一物理运行环境。物理架构的区隔消失了, 同样的计算资源, 共享的处理器、存储设备、通信总线和网络设备, 提供了一条通过公用虚拟机向专用虚拟机进行攻击的通道, 控制虚拟化的管理程序一旦被攻破, 整个网络将暴露于危险之中。根据应用类型和安全要求不同, 将虚拟机进行分开布置是解决这一问题必要的方式。安全等级要求高的专用虚拟机布置到更为安全的专用服务器上, 公用虚拟机则布置到安全等级相对较低的公用服务器上, 通过安全分级管理, 降低安全风险所引起的后果。

2) 根据服务类型分开虚拟机。根据应用类型分开虚拟机后, 为进一步提高安全性, 在虚拟平台架构设计时, 还需要根据服务类型对虚拟机进行分开设计。应用虚拟机布置在一个物理运行环境中, 网络服务虚拟机则放置在另一个物理运行环境中, 这样做的主要目的在于避免虚拟平台被攻破的风险。如果网络服务与客户应用的虚拟机都布置在同一个运行环境之下, 其中一个虚拟机被攻击者攻破, 其他所有的虚拟机也都暴露在攻击者面前。攻击者不必攻击所有的虚拟机, 寻找所有虚拟机的安全漏洞, 一台虚拟机上的一个漏洞就足够了。运行客户应用的虚拟机可以访问数据库, 当其和运行网络服务的虚拟机都在同一台服务器上运行时, 攻击者利用网络浏览器的漏洞, 就可以间接获得数据库的访问权限, 因为客户应用和网络服务在共享同样的物理资源。在虚拟平台搭建时, 将客户应用与网络服务虚拟机分开布置, 可以有效缓解这一风险。

3) 虚拟机操作中的实时安全管理。虚拟技术的优势在于虚拟机可以方便的进行创建、移动、销毁。当需要进行新的应用, 提供新的服务时, 仅仅通过虚拟机创建或存档提取即可方便的实现。然而, 在虚拟机的新建、移动和撤销的过程中, 安全风险依然随时存在, 在对虚拟机的操作过程中, 要实时考虑安全问题。首先, 要保证每一个虚拟机都是安全的, 在虚拟机创建时, 就要做好安全措施, 使用最新的操作系统版本, 及时打好安全补丁, 确保每一个虚拟机都是健康安全的。其次, 在系统使用过程中, 实时更新系统补丁。由于虚拟机比较多, 加上虚拟机镜像长时间不使用, 管理中往往容易忽略, 造成补丁更新不及时, 安全水平不一致。通过建立安全管理机制, 定期或使用前离线进行补丁更新, 确保克隆虚拟机和镜像虚拟机在真正启动使用时尽可能安全。最后, 对于闲置或不用的虚拟机及时销毁, 通过及时有效的资产管理, 避免过期虚拟机的安全漏洞, 蔓延成为未知威胁的攻击目标。

三、结论

虚拟化技术带来便捷和成本节约的同时, 也带来额外的安全管理问题。从虚拟平台的架构设计规划开始便开始考虑安全问题, 在虚拟机管理中实时做好安全风险防范, 才能在虚拟化的部署和虚拟化的应用中, 享受虚拟化带来的各种优势。不致因虚拟化共享资源导致的安全风险蔓延, 导致系统安全防线的彻底瓦解, 最终实现一个比物理环境更安全的虚拟化环境。

参考文献

[1]孟静.云计算[J].中国信息化, 2008.

桌面虚拟化信息安全的探究篇9

桌面虚拟化基于虚拟化应用平台交付和虚化框架平台的集成, 依赖于服务器虚拟化。桌面虚拟化的信息安全问题, 是虚拟化新技术与信息安全的交集。桌面虚拟化安全是值得探讨的一个话题, 其目标是打造为企业重要信息提供可靠支撑的信息化保障体系, 为企业带来更高的实际利益。

1 桌面终端安全分析

1.1 桌面虚拟化背景分析

桌面虚拟化是指将计算机的桌面进行虚拟化, 使用户可以通过安全网络在任何设备, 任何地点, 任何时间远程访问属于其个人的桌面, 并获得与传统PC机一致的用户体验。桌面虚拟化不是由本地操作系统产生的, 而是由后台数据中心生成, 并完成交付的工作, 其拥有集中管理、可扩展的管理、简化的部署等特性。

目前, VDI (Virtual Desktop Infrastructure) 是桌面虚拟化的主流架构与部署方式, 当前主流的虚拟桌面技术厂商, 都已经确定了各自主打的桌面显示协议, 如Microsoft的RDP、Citrix的ICA/HDX、Red Hat的SPICE、VMware的PCo IP等。桌面虚拟化通过统一的远程访问协议来进行桌面访问, 这样的好处是显而易见的, IT人员只需要做好其中一条防线的保护。

1.2 桌面虚拟化安全问题

云计算是桌面虚拟化的重要支撑, 是一个IT基础架构的研究热点, 虚拟桌面重新回收分散的桌面分布, 集中到数据中心统一部署和管理, 这大大方便了桌面维护工程师的工作。桌面虚拟化技术的应用大大提高了桌面的可用性, 而性能也可以通过使用新的、更强大的服务器不断提高。桌面虚拟化在内网安全方面的提升很明显, 例如防止数据丢失, 数据备份, 系统的简化等。

但由于信息化的不断发展, 桌面虚拟化应用随之普及, 也带来了一些新的安全问题。例如Blue pill攻击, 它通过良好的处理内核模式存储转换, 使用VMRUN以及相关的SVM指令, 对第三方软件进行欺骗操作, 取得系统的进入许可, 如使用虚拟主机进行跳板攻击, 将大大威胁数据中心的整体安全。另外, 资源滥用也不容忽视, 个别用户的资源滥用, 可导致其他桌面用户体验受影响。

桌面虚拟化因用户群体关系, 基本上基于Windows系统, 但Windows安全性的一些问题不容忽视。为解决这些问题, 管理员会使用传统的杀毒软件及防火墙进行部署, 但对于桌面虚拟化环境, 这并没有提高效率, 还可能出现严重的问题。例如, 杀毒软件的不合理设置, 可能导致杀毒风暴的出现, 这将耗尽数据中心所有资源, 导致数据中心宕机。

因此, 对于数据中心的运维而言, 迫切需要一套新的运维方式和技术手段去保障系统的稳定和安全。

2 桌面虚拟化安全的保障

2.1 桌面虚拟化安全基础架构

虚拟化网路基础还是建立在传统的网络上, 只是对其进行相应的简化, 网络安全也是基于原有网络理念进行, 例如入侵检测、安全审计、防病毒等。

当前主流的虚拟化产品采用的是Hypervisor模型为架构的产品, 主要产品有VMWare ESXI、KVM等产品, 国内采用的主要架构还是后期经过演进后的KVM。它们的优点包括:因为VMM既有物理硬件支配权力, 也有虚拟化功能, 效率会更高;但是在安全方面, 虚拟机的安全取决于VMM安全。它们的缺陷同样是很明显的:因为VMM完全主宰了物理硬件支配权力, 所以需要一个物理资源的管理程序, 包括设备驱动程序, 由于设备驱动程序的开发工作量非常大, 对于VMM来说, 这是一个很大的挑战。

2.2 桌面虚拟化防病毒安全

在桌面虚拟化环境中, 传统的杀毒模式显然是不合时宜的, 因此, 需要更好的方式以解决系统安全方面的问题。

虚拟化杀毒, 需采用无客户端的集中查杀架构, 以避免病毒防护的相关问题。对比在每一台机器上安装部署一套传统企业版本的杀毒软件, 显然在Hypervisor中插入一个虚拟自省的插件是更好的办法。对桌面集中管理、统一查杀、防病毒, 由一个独立的专门的安全虚拟机负责, 它的主要任务是负责分配政策和查杀病毒, 而每个物理主机上只有一个病毒查杀引擎, 负责所有虚拟主机的病毒查杀, 这样既节省了物理硬件资源的成本消耗, 也避免了病毒风暴的爆发。对于新的虚拟机镜像, 防病毒插件也能够对其进行保护, 避免安装源受到感染, 见图1。

2.3 桌面虚拟化入侵检测

相对于传统的入侵检测, 在虚拟化的桌面环境中已经有了新的定义。

Hypervisor管控硬件层, 通过以软件方式嵌入到Hypervisor, 见图2。由此可即时监测到各台虚拟机之间的网络流量, 通过制定的安全策略进行访问控制, 同时, 流量监测引擎可将流量从Hypervisor层直接转发到第三方设备或系统进行集中分析, 达到现在的IDS、IPS、流量抓包回溯系统的效果, 由于虚拟化的基于物理的接管层, 甚至更优于现在基于X86架构的防火墙。

2.4 桌面虚拟化数据安全

采用桌面虚拟化技术后, 桌面的管理可通过镜像源文件进行管理, 无论是操作系统的安全加固还是应用程序的安装部署, 只需要调用应用镜像文件, 我们可以100%的同步到每个桌面终端, 可以由管理员从楼层的安装维护到办公室的远程一键部署转化。

一方面, 可以通过合理定制镜像, 避免了信息管理人员的违规操作, 保证了企业应用系统的安全。由于数据保存在数据中心中, 有效避免了单台PC硬盘损坏, 设备丢失等意外造成的数据安全问题。

桌面虚拟化解决方案也可以分为不同的部门, 为企业战略管理设置不同的图像文件和应用程序, 并为每一个员工提供个性化桌面应用环境。在一般成型企业中, 同一部门的员工通常比较类似, 所以可以使用模板创建出用户特点相同类型的标准, 通过Composer技术, 为相同类型的用户部署相同的虚拟桌面, 见图3。

Composer使用链接克隆技术, 它允许快速从父虚拟机映像创建桌面映像, 虚拟机的快速部署, 每当在父虚拟机映像的更新的实现, 虚拟桌面可以在几分钟内部署任何数量的虚拟桌面, 大大简化了部署和维修工作。在本过程的用户层面来看, 不影响用户个人设置, 工作数据和应用软件等, 这样用户可以高效率地使用工作用途的虚拟化桌面。

通过Composer技术, 使多个用户共享相同的“桌面池复制图像”, 并为每个用户分配独立的非系统盘, 通过该技术可以大大降低存储成本。日常管理和维护也只有对父虚拟机的维护, 因此可以减少维护管理工作量, 并有效地解决了数据与应用的分离, 以保持数据的完整性, 降低事故造成的影响。

2.5 桌面虚拟化审计安全

审计作为信息安全中重要的一环, 在传统的终端采用C/S架构, 对桌面内容的操作能够进行审计, 归根结底还是基于系统创建后台进程, 对终端行为发送到服务器端进行审计, 但是在虚拟化时代, 审计方式有了新的变化。

当前的桌面虚拟化产品, 一般只会记录事件日志或用户登录等信息, 并存储在数据库中, 以报告或报表的形式供IT人员查看。但企业管理员, 甚至是企业老板, 如果想知道员工办公操作行为, 如果这些信息关乎到商业机密的信息操作, 却无法审计 (因为这些都不是记录) , 那么如何满足有效审计的要求呢?当前一些厂商的桌面都无法对虚拟桌面的桌面进行审计, 只有通过在虚拟服务器平台安装相关工具去实现。如:observeit、record TS工具可以审计包括PCo IP、RDP、SSH协议的用户操作, 用户在虚拟桌面, PC机上做的任何操作都可以被记录, 但这种记录还是会对资源进行消耗, 虚拟化的效果就不明显了。因此, 在Hypervisor中进行相关的审计是最有效的。

2.5.1 操作审计

相对于传统的桌面虚拟化, 通过Hypervisor嵌入审计软件, 进行桌面交互协议翻译、桌面交互协议回放, 见图4。

对于客户机而言, 它具有免除安装, 无客户端, 资源占用小, 以日志记录格式存在协议记录, 审计数据小, 可检索等优点。它是通过一个安全的虚拟客户机传送到审计中心, 通过加密协议传输, 一方面保证了传输的保密性, 另一方面保证了审计的准确性。

2.5.2 输出审计

在桌面虚拟化的安全审计响应, 可以对客户机的行为进行审批控制, 先审批, 后输出, 集中控制和管理, 并记录到审计中心, 这样有利于对工作人员的内审内控的监管, 有效防止诸如财务部、采购部等敏感部门泄密的可能性。通过审计记录与桌面账户关联, IP/mac地址与用户绑定, 实现内网用户实名制审计, 有效避免了内网用户错审漏审, 是有效的审计手段。

2.5.3 管理审计

所谓安全管理, 信息科的管理人员也处于重要一环, VMM管理员的身份鉴别、访问控制、管理行为集中, 对未授权的操作进行过滤或拦截。管理人员通过接入终端, 对内网进行管控, 由于是基于Hypervisor层面, 对高技术人才的防范更加有效, 一方面能够使管理人员避嫌, 另一方面能够规避管理人员造成的风险, 还能够对管理人员进行安全绩效考核, 提高管理人员的安全素质。

3 结语

目前的桌面虚拟化, 并不只是纯粹将原有的硬件性能进行整合的基础上增加了新的功能, 更在安全上, 动态的资源调配效率上有了很大的提升。虚拟化技术最有价值的是, 它可以对硬件底层, 操作系统之间的关系进行协调, 真正解决桌面可用性低的问题。至少, 虚拟桌面管理技术提出了一种新思想的桌面管理的实现思路, 它改变了原有企业信息化管理审计难的问题, 对新的安全形势中的内审内控具有里程碑的意义。

加上信息安全的技术和管理上面的规范, 使得桌面可控可观的范围增大, 加上交换机虚拟化、服务器虚拟化、安全设备虚拟化的融合应用, 最终一方面降低了技术人员的维护门槛, 另一方面为用户提供了一个可以呈现的安全桌面, 真正为企业、单位带来可用、安全、高效的信息化体系。

对于桌面虚拟化安全更深一层的探讨, 将会在新的终端虚拟化技术, 应用虚拟化中得以体现, 所供即所用, 它能够为用户提供更低的操作风险, 更小的资源消耗, 是终端层面虚拟化未来发展的一个趋势。

摘要：在数据化高速增长的今天, 桌面虚拟化一直深受企业和单位的欢迎, 因为其客户机部署快速, 效能明显, 有效解决了硬件性能升级的费用以及桌面管理投入高的问题。但是, 桌面虚拟化的信息安全成为了当前所面临的新问题, 基于此, 通过桌面虚拟化架构、防病毒、入侵检测、数据安全和审计等方面探究桌面虚拟化的安全。

关键词：桌面虚拟化,虚拟化架构,信息安全

参考文献

[1]杜梓平.虚拟化桌面——桌面数据安全建设新思路[J].《计算机光盘软件与应用》, 2013 (20) .

[2]郑兴艳.安全虚拟桌面系统的设计与实现.《北京交通大学》, 2012年.

虚拟化环境下安全问题的探讨篇10

虚拟化技术从上世纪60 年代就开始发展,直到本世纪初随着硬件技术的不断发展壮大,才逐步的在商业环境中开始推广使用,随着互联网的发展,近年来虚拟化技术应用获得了爆发式的增长,以VMWARE、微软、CITRIX公司为代表的服务器虚拟化厂商的技术和产品已经成为了IT基础架构中不可或缺的组成部分(见图1)。

目前来看,虚拟化技术为IT带来了很多好处:

1.1节约资源

整合系统服务器,将物理服务器变成虚拟服务器,可以在电力和冷却成本上获得巨大节省,从而降低运营成本。使用虚拟化技术大大节省了所占用的空间,减少了数据中心里相关硬件的数量。避免过多部署在实施服务器虚拟化之前,管理员通常需要额外部署一下服务器来满足不时之需。使用虚拟化技术大大削

减了采购服务器的数量,同时相对应的占用空间和能耗都变小了,每台服务器大约可节约原有的百分之三十到四十。

1.2提高基础架构的利用率

通过将基础架构资源池化并打破一个应用一台物理机的藩篱,虚拟化大幅提升了资源利用率。通过减少额外硬件的采购,企业可以获得大幅成本节约。

1.3 提高系统稳定性

提高可用性,带来具有透明负载均衡、动态迁移、故障自动隔离、系统自动重构的高可靠服务器应用环境。在系统迁移过程中不会出现宕机事件,有助于虚拟化服务器实现比物理服务器更长的运行时间。

1.4 提高IT部署的灵活性

通过动态资源配置提高IT对业务的灵活适应力,支持异构操作系统的整合,支持老应用的持续运行,减少迁移成本,支持快速转移和复制虚拟服务器,提供一种简单便捷的灾难恢复解决方案。

1.5 安全性的提高

通过设置孤立的系统环境,虚拟化可以为系统运行提供一个可以快速恢复而又高度独立的环境。高度集中化的管理,提高了系统管理的统一性,控制力的提升直接使信息系统外围的安全性提高。统一的数据存储管理,也减少了系统整体感染恶意代码的机会。通过虚拟化的“沙盒”技术,为系统安全测试提供了方便。通过将操作系统和应用从服务器硬件设备隔离开,病毒与其他安全威胁无法感染其他应用。

2 常见虚拟化安全问题

随着虚拟化的广泛应用,虚拟机在我们的系统内大量的增长,需要提醒我们注意的常见问题包括:

2.1 管理问题

当增加虚拟服务器的时候,除了常见的系统和硬件平台外,又增加了一层虚拟层,因此虚拟机经常被我们遗忘。尤其是在过渡期,这时系统中还有比较重要的物理服务器的存在,我们只是将一些非关键系统迁移到虚拟机中,容易忽略虚拟机的存在,造成管理缺陷,造成系统补丁更新不及时,系统快照的无序重载和制作等。

2.2 虚拟机之间的安全问题

在虚拟层,虚拟机之间是可以通过虚拟交换机自由通信的,这一点不利于我们观察和监控虚拟机之间的行为。在你的系统中没有部署虚拟防火墙或者网络管理与嗅探软件的时候,你是看不到系统平台间到底传输了什么内容的。虚拟机之间文件的共享也是一个安全隐患,当使用文件共享时,一个有问题的客体可以访问主机的文件系统,并修改用于共享的目录。当剪贴板共享和拖拽被用于主客机时,或者当应用程序编程接口被用于编程,在这些领域的稳定性漏洞可以最终影响整个基础设施。

2.3 虚拟机管理程序问题

如果管理程序被攻破,所有连接的虚拟机也将受到影响,并且默认的配置中并不总是最安全的。管理程序可以控制一切,且存在单点故障隐患。一个单一的缺口可以把整个环境处于危险之中。例如,在Hypervisor通常有密码设置,但这些很容易被管理员之间共享,这样你就不会真正知道谁做了什么。虚拟机管理程序可以允许虚拟机彼此之间沟通,这种沟通甚至不会加入物理网络,这是一个很难控制的安全隐患。这个流量并不能总是被看到,因为由虚拟机管理程序进行,并且你不能保证这是否安全。

3虚拟化安全管理问题

3.1 防火墙的使用问题

使用标准的防火墙和虚拟机之间传输流量,防火墙将检查流量,并将其发送回虚拟机。传统的防火墙被设计部署在数据中心和企业之前,因此不一定适合虚拟基础设施和相关的管理系统。这可能会导致手动部署和管理错误。如果虚拟机迁移,这些标准的防火墙可能不会提供保护。

3.2 基于网络的入侵检测/入侵预防系统

当多个虚拟机驻留在主机上,这些设备可能会工作不正常。这主要是因为IDS / IPS系统无法监控虚拟机之间的流量。当应用程序被移动,它们也不能访问任何数据。

3.3 限制每个主机的虚拟机数量/分配给物理网卡

这种方法不仅限制了放置在主机上的虚拟机的数量,而且还分配一个物理网卡给每个虚拟机。虽然这样做可能是一个安全的方法,但是会影响公司获得的所有的成本效益,失去了部分虚拟化的真正意义所在。

3.4 VLAN的设置

VLAN被广泛的在虚拟化环境中使用,这里的问题是,由于VLAN的数量的增加,相关的访问控制列表的复杂性,以及对环境的非虚拟化的虚拟化方面之间的网络安全策略的兼容性,因此变得更难管理。

4 虚拟化面临的安全风险及挑战

通过引入虚拟化技术带给我们很多的好处,同时也带给我们一些安全风险(见图2)。

图2虚拟化安全风险