文/李善璽 楊民強 陳文波

虛擬化為信息中心帶來了低廉的運維成本、便捷和靈活的部署與操作及高可用性，由于其技術(shù)方案的原因，同時也帶來了諸多的安全問題。

服務(wù)器虛擬化屏蔽硬件的差異，為數(shù)據(jù)中心帶來更高的可用性、可靠性及可維護性，但同時也帶來了諸多安全問題，一類是惡意攻擊導(dǎo)致系統(tǒng)不能正常服務(wù)的攻擊，另一類是以竊取私密信息為目的的攻擊。

系統(tǒng)虛擬化為客戶機提供分區(qū)和隔離，高效整合服務(wù)器資源，提高硬件資源利用率，而且極大地降低了管理和運維成本。但是由于共享資源的本質(zhì)，服務(wù)器虛擬化天生存在著諸多安全問題。這些安全問題主要有兩類，一類是惡意攻擊導(dǎo)致系統(tǒng)不能正常服務(wù)的攻擊，另一類是以竊取私密信息為目的的攻擊。傳統(tǒng)物理主機場景下攻擊不易取得客戶數(shù)據(jù)，但是虛擬化場景下如果主機遭到入侵，那么運行其上的所有的客戶機都處于威脅中。研究并解決這些安全問題對更好地利用虛擬化技術(shù)，提供安全可靠服務(wù)，具有重要意義。

系統(tǒng)虛擬化概述

虛擬化技術(shù)從1965年的IBM System/360 Model 40 VM起，經(jīng)過了近三十年的沉寂，在近二十年得到快速發(fā)展。系統(tǒng)虛擬化是指將一臺物理計算機系統(tǒng)虛擬化為一臺或多臺虛擬計算機系統(tǒng)。每個虛擬計算機系統(tǒng)（簡稱客戶機）都擁有自己的虛擬硬件，提供一個獨立的客戶機執(zhí)行環(huán)境。提供客戶機運行環(huán)境的虛擬化層稱之為客戶機監(jiān)控器（Virtual Machine Monitor，VMM）。隨著X86架構(gòu)對其虛擬化漏洞的修復(fù)，推出VT/AMD-v技術(shù)，X86平臺的虛擬化技術(shù)發(fā)展迅猛，出現(xiàn)了諸多的基于硬件輔助虛擬化的VMM，如VMware ESX、XEN、KVM、VirtualBox、Hyper-V等等，也相應(yīng)誕生了一大批虛擬化商業(yè)產(chǎn)品與方案，如VMware ESX、Huawei、 FusionSphere、Citrix XEN、Redhat RHEV、Oracle VirtualBox、Microsoft等。

系統(tǒng)虛擬化技術(shù)推進了新一輪的數(shù)據(jù)中心改造，源于虛擬化技術(shù)帶來的好處：

1．封裝：以客戶機為粒度進行封裝，可以方便地實現(xiàn)快照（snapshot）、克?。╟lone）、遷移（migration）、掛起（suspend）和恢復(fù)（resume）。從而大大提供系統(tǒng)可維護性，降低IT管理維護成本。

2．提高資源使用率：多臺客戶機運行在VMM上進行統(tǒng)一調(diào)度，這些客戶機可以共享硬件資源，并交替忙閑運行，可以極大提高硬件資源的使用效率。

3．隔離：由于客戶機是運行在VMM之上的一個獨立的實例，因此一個客戶機的故障不會影響到另外一個客戶機的運行。但是隔離也不是完全的，也存在一些安全隱患，也就是本文要討論的問題。

圖1 系統(tǒng)虛擬化組件結(jié)構(gòu)圖

4．抽象：由于VMM的存在，客戶機并不感知硬件的差別，可以自由的在不同的硬件上方面的遷移，屏蔽了硬件的多樣性和復(fù)雜性，便利服務(wù)的提供和部署。

X86平臺的虛擬化技術(shù)可以分為三類（不包括不同體系結(jié)構(gòu)的虛擬化）：

1.軟件完全虛擬化

優(yōu)先級壓縮（Ring Compression）和二進制代碼翻譯（Binary Translation）相結(jié)合?；驹硎牵簩uest OS運行在較低特權(quán)級別上，執(zhí)行遇到特權(quán)指令時被VMM截獲進行虛擬化。X86架構(gòu)下存在虛擬化漏洞，即作特權(quán)操作卻沒有觸發(fā)異常的這些指令需要特殊處理，即動態(tài)掃描執(zhí)行代碼，如果發(fā)現(xiàn)這些指令便將其替換為支持虛擬化的指令塊。

2.硬件輔助完全虛擬化

為了解決虛擬化漏洞的問題，處理器生產(chǎn)商推出相應(yīng)的虛擬化解決方案，即Intel VT/AMD-v技術(shù)。與軟件完全虛擬化不同，硬件輔助虛擬化將客戶機運行在一個新的模式下（non-root mode），該模式具有一套完全的運行環(huán)境，當運行到特權(quán)指令時被處理器截獲并報告給VMM。VMM進行處理并反饋給客戶機運行環(huán)境。

3.半虛擬化

半虛擬化是指通過修改操作系統(tǒng)的內(nèi)核代碼從而避免虛擬化漏洞。在現(xiàn)在的虛擬化系統(tǒng)中，也利用半虛擬的思想優(yōu)化I/O路徑。

系統(tǒng)虛擬化架構(gòu)相關(guān)安全問題

硬件輔助虛擬化是現(xiàn)在虛擬化主要采用的虛擬化方案，如VMware、XEN、KVM等VMM都屬于該類型（XEN也有半虛擬化架構(gòu)）。

由圖1可以看出，VMM將Guest OS作為自己的應(yīng)用實例運行在其之上，提供Guest OS運行所需的資源，如運行時資源（內(nèi)存、相關(guān)寄存器）、存儲、I/O（如網(wǎng)絡(luò)）等，另外為了提升效率或可管理性，也提供了一個PV Tools安裝在Guest OS中，并在VMM中有對應(yīng)的后端。這些資源對于Guest OS來說是透明的，不過對于VMM來說是完全感知的。

存儲

Guest OS的磁盤在VMM看來是一個文件，即鏡像文件，這個文件具有多種格式，常見的有VMDK、VHD、VDI、QED、QCOW2、RAW等。這些鏡像文件都可以通過VMM平臺的工具進行掛載讀取。若Guest OS在安裝時未作磁盤加密，那么這些鏡像文件在掛載后，Guest的磁盤文件就可以被讀取。而為了管理方面虛擬化方案提供商往往提供未加密的磁盤鏡像文件。比較傳統(tǒng)主機，虛擬化場景下的虛擬主機的磁盤文件更容易被竊取和攻擊。

內(nèi)存

無論是使用影子頁表還是EPT/NPT等內(nèi)存虛擬化技術(shù)，HOST都掌握著Guest OS的內(nèi)存信息。以KVM為例，Guest OS的內(nèi)存都是通過qemu用戶進程分配。HOST OS1若遭到入侵，無論是HOST所用的內(nèi)存區(qū)域還是Guest所用的內(nèi)存區(qū)域遭破壞都會影響系統(tǒng)的服務(wù)，且數(shù)據(jù)可能被泄露，這對一些運行關(guān)鍵應(yīng)用的Guest來說是具有風險的。

網(wǎng)絡(luò)

現(xiàn)在主流方案中使用HOST的軟交換實現(xiàn)Guest之間，Guest與HOST之間的IP交換，例如Bridge、Openvswitch等開源組件或vNetwork Standard Switch (vSS)等商業(yè)組件。不像傳統(tǒng)主機模式下，每個物理服務(wù)器都有一套安全防護產(chǎn)品，外部設(shè)有防火墻，且通信直接和二、三層的網(wǎng)絡(luò)硬件通信，不易被侵入。而虛擬化環(huán)境下的網(wǎng)絡(luò)交換完全通過軟件實現(xiàn)，主機一旦被侵入，所有的客戶機通信數(shù)據(jù)也很容易被捕獲。PV Tools

這里的PV Tools是虛擬化方案中對Guest OS增強或管理需要，而安裝的一些組件的統(tǒng)稱。不同的廠商對該工具有不同的名稱，如VMware Tools、 Oracle Virtualbox Guest Additional。這些工具包含兩類組件，一類是為了加強性能的虛擬化工具，另一類是為了管理監(jiān)控等用途的工具。無論是哪類工具，都是從HOST到Guest建立了通信通道，并自定義了通信協(xié)議。這些通道和工具的漏洞也可能成為惡意客戶機“租戶”進行攻擊的通道。

客戶機遷移、HA等特性

客戶機在物理服務(wù)器間進行遷移，是通過同步存儲和內(nèi)存數(shù)據(jù)到一致狀態(tài)，然后進行暫停、恢復(fù)客戶機的操作完成的。遷移是通過物理網(wǎng)絡(luò)傳輸?shù)?。這個遷移過程也存在安全風險。而HA（High Availability）是在不同的物理機上運行同一客戶機的相同實例，當一個虛擬機出現(xiàn)故障時，業(yè)務(wù)系統(tǒng)迅速切換到另一臺實例上，從而保證高可用性。HA往往時在不同的物理機上提供，運行過程中需要時刻同步運行信息，這些運行時刻的信息都通過網(wǎng)絡(luò)傳輸，信息傳輸過程遷移特性一樣也帶來安全風險。

應(yīng)對策略

現(xiàn)有的云計算方案都是通過核心虛擬化系統(tǒng)之外的安全組件完成。本文主要針對虛擬化技術(shù)方案,通過底層的安全加強和設(shè)計增強安全，針對上一小節(jié)提出的安全問題，提出以下應(yīng)對策略。

嚴格控制權(quán)限等級和接口，采用加密存儲（可考慮GPU加密）

現(xiàn)在架構(gòu)下超級管理員對HOST/VMM有完全的控制權(quán)限，而且HOST上也裝有讀取客戶機磁盤鏡像文件的工具，獲得管理員口令或繞開登錄認證后即可獲取客戶機所有的磁盤文件信息。因此嚴格控制管理員權(quán)限，控制管理員可訪問的接口，設(shè)計應(yīng)用程序間的認證和鑒權(quán)策略，避免人為干預(yù)。另外，操作系統(tǒng)在安裝時選擇加密選項，從策略層面規(guī)避安全隱患。為了進一步避免存儲丟失的風險，也可以考慮加密存儲。

加強內(nèi)存虛擬化完整性設(shè)計

虛擬化VMM的內(nèi)存管理延續(xù)了傳統(tǒng)操作系統(tǒng)的內(nèi)存管理機制，內(nèi)核對應(yīng)用程序的內(nèi)存具有讀寫權(quán)限。虛擬化場景下，客戶機的內(nèi)存都暴露給VMM或HOST，客戶機的用戶私密性得不到保證。為了保護客戶機內(nèi)存數(shù)據(jù)的私密和安全性，需要進一步加強HOST內(nèi)存完整性和安全設(shè)計。

調(diào)整傳統(tǒng)安全組件結(jié)構(gòu)，新型網(wǎng)絡(luò)和安全框架融合

引入軟件交換和軟件定義網(wǎng)絡(luò)（SDL）之后，傳統(tǒng)網(wǎng)絡(luò)的物理邊界已經(jīng)消失，傳統(tǒng)的單一防火墻結(jié)構(gòu)已經(jīng)不適用虛擬化架構(gòu)的安全需求，需要有整體的安全框架統(tǒng)一規(guī)范虛擬化環(huán)境下的網(wǎng)絡(luò)。規(guī)范PV、監(jiān)控協(xié)議

目前虛擬化解決方案廠商的半虛擬化驅(qū)動、監(jiān)控組件都沒有統(tǒng)一的規(guī)范和標準，客戶機運行在高危狀態(tài)下（如果含有不合法或惡意的程序段），用戶服務(wù)和數(shù)據(jù)沒有絲毫安全可言。因此需要統(tǒng)一規(guī)范半虛擬化驅(qū)動和監(jiān)控程序的統(tǒng)一規(guī)范，制定統(tǒng)一標準，使得這些工具能夠被客戶機安全軟件所監(jiān)控，而不像現(xiàn)在的方案中，這些工具完全不受客戶機安全軟件的限制。

加密傳輸遷移、HA數(shù)據(jù)

虛擬機遷移、HA給虛擬化帶來了更高的可操作性和可用性，這些功能都依賴網(wǎng)絡(luò)傳輸操作系統(tǒng)的運行時數(shù)據(jù)。采用加密數(shù)據(jù)傳輸可很大程度上避免信息泄露風險。

虛擬化為信息中心帶來了低廉的運維成本、便捷和靈活的部署與操作及高可用性，由于其技術(shù)方案的原因，同時也帶來了諸多的安全問題。不解決這些安全問題，虛擬化仍然不能被安全相關(guān)的關(guān)鍵應(yīng)用所接受。本文針對系統(tǒng)虛擬化的存儲、內(nèi)存、網(wǎng)絡(luò)、PV Tools以及遷移和HA等特性的現(xiàn)有方案討論了這些方面信息泄露相關(guān)的安全問題，并給出初步的應(yīng)對策略。虛擬化安全不光是個別安全技術(shù)的堆砌，而是整體的考慮和設(shè)計。作者下一步著手虛擬化的存儲加密模型的設(shè)計和實現(xiàn)，并陸續(xù)展開對其他安全問題的研究。

邁克菲發(fā)布報告揭露“高規(guī)格”數(shù)據(jù)泄露

近日，邁克菲實驗室(McAfee Labs)發(fā)布《2013 年第四季度威脅報告》。報告顯示，“黑暗網(wǎng)絡(luò)”(dark web) 惡意軟件行業(yè)在 2013 年秋季囂張的“銷售點 (POS) 攻擊和數(shù)據(jù)泄露事件中起了重要作用;在線購買 POS惡意軟件、在線出售竊取的信用卡號和其他個人數(shù)據(jù)變得越來越簡便。邁克菲實驗室還發(fā)現(xiàn)，帶數(shù)字簽名的惡意軟件樣本數(shù)量在 2013 年增長了兩倍，這主要是由于濫用自動內(nèi)容分發(fā)網(wǎng)絡(luò) (CDN) 所致，這些網(wǎng)絡(luò)可將惡意二進制代碼隱藏在帶數(shù)字簽名、看似合法的安裝程序中。邁克菲實驗室認為，這一加速趨勢會對驗證“安全”軟件所慣用的證書授權(quán)（CA）模式構(gòu)成重大威脅。

移動惡意軟件

邁克菲實驗室 2013 年采集了 247萬個新移動樣本，僅第四季度就發(fā)現(xiàn)了744,000 個。與 2012 年末相比，移動惡意軟件 “動物園”里的樣本數(shù)量驚人地增長了 197%。

勒索軟件

2013 年，新勒索軟件樣本量增長100 萬個，第四季度同比增長了一倍。

可疑 URL

2013 年，邁克菲實驗室記錄的可疑URL 數(shù)量增長 70%。

惡意軟件激增

2013 年，邁克菲實驗室每分鐘發(fā)現(xiàn)200 個新惡意軟件樣本，也就是說，每秒發(fā)現(xiàn) 3 個以上新威脅。

與主引導(dǎo)記錄相關(guān)

邁克菲實驗室在 2013 年發(fā)現(xiàn)了 220萬個新“主引導(dǎo)記錄”(MBR) 攻擊。