望婭露，龍愷， 王石生

(1中國電子科技集團公司網(wǎng)絡(luò)空間安全技術(shù)重點實驗室，四川成都6100412中國鐵道科學(xué)研究院電子計算技術(shù)研究所，北京100081)

戰(zhàn)術(shù)環(huán)境下的虛擬化安全增強方法

望婭露1，龍愷1， 王石生2

(1中國電子科技集團公司網(wǎng)絡(luò)空間安全技術(shù)重點實驗室，四川成都6100412中國鐵道科學(xué)研究院電子計算技術(shù)研究所，北京100081)

在數(shù)據(jù)中心中，虛擬化的價值已經(jīng)被大家所公認，但是在戰(zhàn)術(shù)環(huán)境中，虛擬化能否發(fā)揮同樣的作用呢?答案是肯定的，但是前提是保證它的安全。在戰(zhàn)術(shù)環(huán)境中，虛擬機管理器更容易受到攻擊，如果虛擬機管理器和虛擬機之間無法隔離的話，一旦虛擬機管理器被攻擊者控制，那么虛擬機也會被控制。本文闡述了虛擬化在戰(zhàn)術(shù)環(huán)境中的優(yōu)勢，同時利用強制訪問控制策略保障戰(zhàn)術(shù)環(huán)境中的虛擬化安全。由此實現(xiàn)虛擬化在戰(zhàn)術(shù)環(huán)境下的實際使用。

戰(zhàn)術(shù)環(huán)境；虛擬化；虛擬機隔離

0 引言

隨著計算能力的增強，為保證數(shù)據(jù)能夠在快速的轉(zhuǎn)移，目前在將戰(zhàn)術(shù)車輛轉(zhuǎn)變成移動的數(shù)據(jù)中心。這些機器可以在戰(zhàn)地上提供珍貴的信息資源，以保證戰(zhàn)場上的優(yōu)勢。但是，盡管將這些運輸車或坦克上裝備實時的智能電腦設(shè)備，這些設(shè)備卻沒辦法發(fā)揮巨大的機制，因為這些設(shè)備需要消耗大量珍貴的電力、制冷設(shè)備和物流去部署和維護這些設(shè)備。例如大量的計算機會很顯眼，并且會在已經(jīng)很熱的環(huán)境中產(chǎn)生多余的熱量，降低士兵的反應(yīng)速度并且潛在的影響健康，并造成安全威脅。

有趣的是，這些移動的數(shù)據(jù)中心和目前企業(yè)的數(shù)據(jù)中心面臨的挑戰(zhàn)基本一致。一樣是電力資源的匱乏、不充足的制冷和空間的缺乏。為了克服這些困難，數(shù)據(jù)中心的管理者將這些數(shù)據(jù)中心虛擬化，將物理服務(wù)器虛擬化，并基本上以10:1的比例進行優(yōu)化整合。那么在戰(zhàn)術(shù)環(huán)境下，能不能也用虛擬化的方式來解決這些問題呢?在戰(zhàn)術(shù)環(huán)境中不同安全級別的信息資源在安全方面有什么特殊的安全需求呢?現(xiàn)在關(guān)鍵是要弄清楚虛擬服務(wù)器和物理服務(wù)器之間的區(qū)別，同時也需要清楚一些可以直接應(yīng)用在戰(zhàn)場上的開源社區(qū)虛擬化軟件的安全優(yōu)勢。

1 虛擬化的優(yōu)點

在戰(zhàn)地和數(shù)據(jù)中心進行虛擬化有非常多的好處，包括資源整合、統(tǒng)一化、支持在線遷移和性能優(yōu)勢，這些可以使戰(zhàn)斗贏在起跑線上。

1.1 整合

當應(yīng)用通過虛擬化整合后，硬件的使用率就會得到提升，那么就可以用更少的服務(wù)器完成更多的工作，同時節(jié)省了電力、空間和制冷設(shè)備上的費用。在戰(zhàn)術(shù)環(huán)境中，功能可以通過計算能力的要求增加來加強。通過將應(yīng)用整合到少量的物理服務(wù)器上后，新的可用空間就可以用來做其他的事情例如增加一些任務(wù)所需的物品，例如更多的子彈，或戰(zhàn)士的休息空間。

1.2 統(tǒng)一化

虛擬化使數(shù)據(jù)中心的管理者可以將硬件和操作系統(tǒng)解耦，這也就使數(shù)據(jù)中心的管理者可以用更低的價格得到更好性能的硬件，而不需要再部署一套軟件棧以適應(yīng)新的硬件。部隊也不會被一家硬件提供商所綁定，可以通過競爭選擇更優(yōu)的硬件提供商。在戰(zhàn)術(shù)環(huán)境中，這個好處是非常大的，軟件不需要由于一些外部因素例如電力供應(yīng)、合適的連接器等固定在某一臺特定的服務(wù)器上。因此，添加一項新的功能會比原來更容易，硬件的更新也會比之前更快，因為已經(jīng)不需要重新部署軟件棧了。同時，不是所有的裝甲車都需要相同的功能，因此，無論這項功能被使用還是沒有使用，都需要對電力、空間和制冷設(shè)備的嚴格預(yù)算。最后統(tǒng)一化會使得戰(zhàn)場更敏捷。

1.3 支持在線遷移

如果已經(jīng)通過Hypervisor檢測到了在數(shù)據(jù)中心中的一臺硬件服務(wù)器會馬上宕機，在這上面運行的應(yīng)用可以零停機的在線遷移到另一臺服務(wù)器上。甚至，在沒有預(yù)測到的情況下，Hypervisor宕機，在之上運行的虛擬機也可以在不需要用戶干預(yù)的情況下在另外一臺物理服務(wù)器上重新啟動。在戰(zhàn)術(shù)環(huán)境中，戰(zhàn)地的損傷，會直接導(dǎo)致很多計算機的損壞，更糟糕的是可能會導(dǎo)致戰(zhàn)場上急需的一些關(guān)鍵業(yè)務(wù)被破壞。如果采用原有的直接將應(yīng)用運行在物理服務(wù)器上，這些業(yè)務(wù)被破壞，可能得等到戰(zhàn)士到裝甲車上重新維護才能進入這些業(yè)務(wù)，這樣就太晚了。但是，如果這些應(yīng)用被虛擬化，那么這些業(yè)務(wù)在被破壞時就可以立刻被遷移，在另外一輛裝甲車上可以工作的服務(wù)器上重新啟動，而不需要人工干預(yù)。這樣，在戰(zhàn)場上一名作戰(zhàn)人員在很長一段時間失去一項關(guān)鍵任務(wù)的信息就減少了。

1.4 性能

一些業(yè)務(wù)需要在系統(tǒng)之間的通訊要低延時高帶寬，這個速度與虛擬化后在一臺硬件設(shè)備上的通信的速度差不多。這是因為虛擬網(wǎng)絡(luò)的通信是通過本機的主板而不是通過一個更慢更高延時的網(wǎng)絡(luò)設(shè)備從一個物理系統(tǒng)到另一個物理系統(tǒng)進行通訊。這樣增加了網(wǎng)絡(luò)性能，并降低了延時，可以幫助作戰(zhàn)人員在焦灼的戰(zhàn)場上得到更快的響應(yīng)速度。

2 戰(zhàn)術(shù)環(huán)境中的虛擬化安全風(fēng)險

應(yīng)用層的安全手段無法保障整個系統(tǒng)的安群，因為目前在任何一個計算機系統(tǒng)里面，應(yīng)用會越來越多，你無法保證每一個應(yīng)用都是安全可靠的。而且，如果底層的脆弱性沒有解決，只要有一個應(yīng)用出了問題，那么它可能就會把這個安全問題蔓延到整個系統(tǒng)。

在普通的計算機系統(tǒng)中，所謂的底層是指操作系統(tǒng)及相關(guān)基礎(chǔ)軟件環(huán)境。具體到虛擬化計算環(huán)境中，這個“底層”往往是指與計算機操作系統(tǒng)功能類似的虛擬機管理器(Hypervisor)。Hypervisor是虛擬化環(huán)境的核心，它負責(zé)對運行其上的虛擬機發(fā)起的資源請求進行響應(yīng)，這就涉及到硬件資源的虛擬化以及資源調(diào)度的過程。因此Hypervisor在系統(tǒng)層面來說擁有較高的特權(quán)。

在未虛擬化之前，服務(wù)器和服務(wù)器之間彼此是物理隔離的，攻擊者攻破一臺服務(wù)器后，他只能控制那一臺服務(wù)器，這時攻擊者必須采取網(wǎng)絡(luò)攻擊，攻擊網(wǎng)絡(luò)內(nèi)的其它服務(wù)器，才有可能拿到其它服務(wù)器的控制權(quán)。系統(tǒng)管理員有很多工具檢測和保護網(wǎng)絡(luò)攻擊，如防火墻，網(wǎng)絡(luò)流量分析工具，入侵檢測工具等。

虛擬化后，在同一臺物理主機上運行了多個服務(wù)(應(yīng)用程序)，如果一個Hypervisor被攻破，那么不止是一臺虛擬機被控制，在這個Hypervisor上面運行的所有的虛擬機都被控制，并且在這個Hypervisor上的虛擬機的鏡像文件可能同時在另外一個Hypervisor上運行，那么這之間的連接也被控制了，甚至可以向主機能直接訪問的虛擬機鏡像寫入惡意代碼。如果虛擬化技術(shù)被應(yīng)用到戰(zhàn)術(shù)環(huán)境中，那么Hypervisor就必須保證安全性，這樣，戰(zhàn)斗人員才能信任任務(wù)的組件。

3 利用sVirt來提供安全的虛擬化環(huán)境

現(xiàn)實世界中的攻擊者對Hypervisor的漏洞興趣越來越濃，前不久Xen的Hypervisor就已經(jīng)被攻破了。如果虛擬化應(yīng)用到戰(zhàn)術(shù)環(huán)境中，出于作戰(zhàn)的目的，它將會遭受強度更大的攻擊?，F(xiàn)在的問題是如果真發(fā)生這種情況時該如何處置。鑒于Hypervisor執(zhí)行的功能和操作系統(tǒng)類似，在系統(tǒng)未知安全防護上，我們也可以參考操作系統(tǒng)的做法來實現(xiàn)。

在操作系統(tǒng)中，強制訪問控制(Mandatory Access Control，MAC)被用于增強系統(tǒng)抵御0-Day攻擊(利用尚未公開的漏洞實現(xiàn)的攻擊行為)的能力。所以它不是網(wǎng)絡(luò)防火墻或訪問控制列表的替代品，在用途上也不重復(fù)。

在基于Linux的虛擬化環(huán)境中，有一個社區(qū)項目將強制訪問控制整合到系統(tǒng)中，該項目名稱叫做sVirt，它是包含在libvirt中的SELinux框架，用于隔離虛擬機。在介紹sVirt之前，需要對SELinux和KVM做一個快速的介紹。

SELinux比x86服務(wù)器虛擬化技術(shù)要出現(xiàn)得更早，在這之前是用來鎖定物理系統(tǒng)以防止一些惡意軟件對其他軟件甚至主要系統(tǒng)的攻擊。SELinux是通過標簽來進行控制的。在SELinux系統(tǒng)上的每一個對象都需要根據(jù)他的功能制定一個標簽，這包括進程、用戶、文件、硬件設(shè)備網(wǎng)絡(luò)端口和適配器等。SELinux的策略通過標簽明確的允許該對象訪問另外一個對象同樣根據(jù)另外一個標簽拒絕訪問其他任何對象的訪問。例如，如果一個惡意的web服務(wù)器進程試圖讀取一份含有口令的文件，SELinux會一直鎖定這份文件并且將這次訪問記錄到日志中，因為SELinux的策略明確指出不允許帶有web服務(wù)器標簽的進程訪問帶有口令標簽的文件。SELinux并不是Linux的外部程序，而是在Linux的內(nèi)部。從2007年開始SELinux在大型企業(yè)Linux的發(fā)行版中作為默認開啟的狀態(tài)。

KVM是從2006年開始興起的一個開源項目，并且在2007年被Linux的內(nèi)核項目所接受，目前在大多數(shù)Linux的發(fā)行版中都包含KVM。KVM的獨特之處在于所有的KVM虛擬機都是Linux下的一個進程。同樣的，KVM非常的精簡，因為它可以讓Linux操作系統(tǒng)去管理虛擬機，提供硬件支持，并且在電力的節(jié)省和性能上有優(yōu)勢。與之前類似，web服務(wù)器進程可以被SELinux的策略所控制，一個KVM的虛擬機進程也可以被SELinux的策略sVirt所控制。

3.1 sVirt的工作原理

sVirt項目是在1999年NSA發(fā)起的一個開源項目SELinux的基礎(chǔ)上建立的。sVirt早先是用來保證KVM虛擬機之間和虛擬機與Hypervisor之間的安全隔離的。從更高層來看，sVirt通過將SELinux的“強制空間”包裹住虛擬機，這個空間可以限制虛擬機可以做什么。sVirt甚至可以保護虛擬機的客戶機操作系統(tǒng)，這些客戶機操作系統(tǒng)可以是不在SELinux的保護下的操作系統(tǒng)例如Windows。

圖1 通過sVirt保護的KVM頂層概覽Fig.1 High－level overview of KVM with sVirt protection

當一個虛擬機客戶機啟動時，KVM就會通過sVirt給這個虛擬機進程分配一個唯一的SELinux的標簽，與之對應(yīng)的這個虛擬機的磁盤文件也會給一個匹配的標簽。除了這個進程和虛擬磁盤文件，這個系統(tǒng)中沒有其他的對象會有相同的標簽。當?shù)诙_虛擬機啟動時，第二個虛擬機的進程和虛擬磁盤文件也會給一個匹配但不相同的唯一標簽。

當一臺虛擬機試圖通過一個Hypervisor的漏洞去獲取管理員的權(quán)限時，在內(nèi)核級別的sVirt就會限制這臺虛擬機的訪問保證這臺虛擬機只能訪問那些sVirt SELinux策略中允許他訪問的對象，一般來說就是他自己的磁盤，使用它自己的資源。在2011年美國的黑帽大會上，Nelson Elhage展示了一種攻擊KVM的方法，但是使用sVirt就可以阻止這種攻擊。

例如，libvirt動態(tài)地標記鏡像文件，默認所有虛擬機都使用svirt_t type類型標記，所有鏡像文件都使用svirt_image_t類型標記。SELinux策略規(guī)定svirt_t進程可以讀/寫svirt_image_t文件和設(shè)備。這種保護允許虛擬機只能與正確標記的文件和設(shè)備交互，被攻破的虛擬機不能訪問主機的home目錄，即使虛擬機以root權(quán)限運行。這樣就能保護宿主機不受任何虛擬機的侵害，實現(xiàn)了虛擬機和Hypervisor之間的隔離。

3.2 引入多類別安全保護

通過類型標記的方法有效的保護了宿主機遭受來自虛擬機的攻擊，但這種類型的保護不能阻止一個虛擬機攻擊另一個虛擬機。因為使用相同的類型標記域和鏡像文件的時候，虛擬機1以svirt_t類型運行，如果攻擊者控制了虛擬機機2，此時虛擬機2也將以svirt_t類型運行，那么攻擊者就可以訪問虛擬機1的鏡像文件了，這個在安全策略中是被允許的行為。

從REHL5開始，SELinux策略的安全上下文字段從原來的三個增加到四個:“用戶:角色:類型:多級安全”，其中新增加的多級安全(Multi Level Security，MLS)標記定義了一個敏感級別(s0-s15)和數(shù)據(jù)分類(c0.c1023)，MLS標記允許MLS機器不僅可以基于它的使用者標記文件，也可以根據(jù)敏感性和內(nèi)容的本身屬性進行標記。這個字段僅在MLS策略中使用，我們嘗試在默認策略(targeted)中使用它，只定義一個敏感級別(s0)，允許管理員定義分類，我們把它叫做多類別安全(Multi Category Security，MCS)。是由NSA和其他機構(gòu)驅(qū)動的安全計算直接引出的一個概念。這最引人注意的地方在于證明了這些有涉密信息的機構(gòu)貢獻出自己的技術(shù)，使自己的需求在開源社區(qū)從小眾的需求變?yōu)橹髁鳌?/p>

sVirt使用MCS隔離兩個相同SELinux類型(svirt_t)的虛擬機，由libvirt分配一個不同的隨機選擇的MCS標記給每個虛擬機及其關(guān)聯(lián)的虛擬鏡像，libvirt保證它選擇的MCS字段的唯一性，SELinux策略禁止不同MCS標記的虛擬機之間互相操作，這樣就保證了虛擬機之間無法相互攻擊。

例如，libvirt用下面這些標記創(chuàng)建兩個虛擬機機器關(guān)聯(lián)的虛擬鏡像:

表1

SELinux阻止虛擬機1(system_u:system_r:svirt_t:s0:c0，c10)訪問虛擬機2的鏡像文件(system_u:object_r:svirt_image_t:s0:c101，c230)，因此這兩個虛擬機不能互相攻擊。

下表所示的是libvirt指定的SELinux上下文的含義:

表2

另外，sVirt還支持靜態(tài)標記的功能，靜態(tài)標記允許管理員為虛擬機選擇一個特殊的標記，包括MCS/MLS字段，虛擬機將總是以這個標記啟動，運行靜態(tài)虛擬機的管理員負責(zé)給鏡像文件設(shè)置正確的標記，libvirt永遠不會修改靜態(tài)虛擬機上下文的標記，它允許sVirt組件在MLS環(huán)境下運行，你可以在一個libvirt系統(tǒng)上以不同敏感級別運行多個虛擬機。

圖2 通過sVirt生成唯一的虛擬機進程和磁盤文件動態(tài)標簽

sVirt策略保證了虛擬機之間的隔離，也保證了虛擬機與Hypervisor之間的隔離。解決了在作戰(zhàn)環(huán)境下Hypervisor被攻擊之后控制所有虛擬機的風(fēng)險。同時由于其引入了多級安全字段，使得不同敏感程度的信息能夠在同一臺物理設(shè)備上得到很好的隔離。滿足戰(zhàn)術(shù)環(huán)境中對于多種密級信息的統(tǒng)一化整合時所需要的隔離需求。使得虛擬化技術(shù)能夠真正在戰(zhàn)術(shù)環(huán)境中使用起來。

4 未來的工作

更好的性能和安全是發(fā)展的趨勢。對于虛擬化而言可能需要將資源控制組(Cgroups)融合到虛擬化中。與SELinux對Linux的進程進行訪問控制一樣，Cgroups是用來對CPU、網(wǎng)絡(luò)、內(nèi)存以及其他Linux進程所用到的資源進行控制。由于KVM虛擬機時Linux的進程，他們一樣也可用通過Cgroups來控制。這可以推進在多租戶環(huán)境下資源的控制。一個虛擬機不會使用超出分配的資源，不然的話會影響到同一個Hypervisor上的其他虛擬機。從安全的角度來看，Cgroups同樣可以用在通過對一臺虛擬機拒絕服務(wù)攻擊而導(dǎo)致整個Hypervisor癱瘓上。

另外可以考慮的開源項目就是可信計算。由于計算資源包含一些敏感數(shù)據(jù)，這些數(shù)據(jù)會被推送到戰(zhàn)場上，一種方法是啟動并且相信聯(lián)合系統(tǒng)不會出問題。一個開源組織和政府結(jié)構(gòu)、硬件軟件廠家聯(lián)合，致力于可信計算技術(shù)的研究。由于KVM的虛擬機時Linux的一個進程，越快的采用這種新興的可信計算技術(shù)會使的安全變得更簡單，而不是發(fā)明更多全新的東西來保證安全。

[1]Loscocco P A，Smalley S D，Muckelbauer P A，et al.The inevitability of failure:The flawed assumption of security in modern computing environments[C]//Proceedings of the 21st National Information Systems Security Conference.1998，10:303-314.

[2]Gregory M，Loscocco P.Using the flask security architecture to facilitate risk adaptable access controls[C]//Third Annual Security Enhanced Linux Symposium.2007.

[3]Peter Loscocco N S A.Integrating flexible support for security policies into the Linux operating system[C]//Proceedings of the FREENIX Track:...USENIX Annual Technical Conference.The Association，2001:29.

[4]Walsh E.Application of the flask architecture to the x window system server[C]//Proceedings of the 2007 SELinux Symposium.2007:1-8.

[5]Spencer R，Smalley S，Loscocco P，et al.The Flask security architecture:System support for diverse policies[C]//Proceedings of the Eighth USENIX Security Symposium.1999.

Enhancement of Virtualization Security in Tactical Environment

WANG Ya-lu1，LONG Kai1，WANG Shi-sheng2
(1CETC Key Laboratory of Cyberspace Security Technology，Chengdu Sichuan 610041，China，2Institute of Electronic Computing Technology，China Academy of Railway Sciences，Beijing 100081，China)

Virtualization proves to be valuable in the data center，but could it work in tactical environments?Yes，only if it’s secure.In tactical environment，virtual machine manager is fairly vulnerable to attacking.If the isolation of between the virtual machine manager and virtual machine could not be ensured，and once the virtual machine manager is controlled by an attacker，the virtual machine would be easily controlled.Advantages of virtualization in tactical environment are described in this paper.In addition，mandatory access control policies are applied to protecting the virtualization security in tactical environment，thus to realize practical application of virtualization in tactical environment.

tactical environment； virtualization； virtual machine isolation

TP309 [文獻標志碼]A [文章編號]1009-8054(2016)04-0113-04

2015-12-25

望婭露(1990—)，女，本科，助理工程師，主要研究方向為云計算安全；

龍愷(1990—)，男，碩士研究生，助理工程師，主要研究方向為信息安全；

王石生 (1977— )，男，本科，副研究員，主要研究方向為計算機軟件與安全。