黃龍

摘要：隨著虛擬化技術(shù)的廣泛運用，虛擬化環(huán)境的安全問題也越來越受到關(guān)注。虛擬化環(huán)境不僅面臨著傳統(tǒng)的安全威脅，還面臨著其他的關(guān)鍵應用的新的安全問題。本文分析了虛擬化環(huán)境面臨的應用安全需求，介紹了一種應用安全監(jiān)測方法，并提出了從靜態(tài)評估、動態(tài)評估、制度評估三個方面綜合評價的指標體系。

關(guān)鍵詞：虛擬化環(huán)境;應用安全;監(jiān)測

虛擬化技術(shù)具有節(jié)省信息化投入成本、提高資源的利用效率、降低能耗和管理成本等優(yōu)勢。在虛擬化環(huán)境中，數(shù)據(jù)中心采用通用技術(shù)平臺，資源庫共享，架構(gòu)簡單，易于系統(tǒng)管理和配置新的工作量，隨需應變且靈活。

然而虛擬化可以帶來多項優(yōu)勢的同時，它并不完美，安全上面臨很多問題。在運行虛擬基礎(chǔ)架構(gòu)時，物理服務器變?yōu)榭梢詺w入到資源池的計算資源，而虛擬機成為了服務器提供主體。虛擬化環(huán)境面臨著虛擬機管理器（VMM）安全、虛擬機遷移帶來的安全威脅[1]、虛擬機逃逸和拒絕服務攻擊[2]等。因此，虛擬化環(huán)境下應用安全既要考慮虛擬系統(tǒng)的安全，又要考慮虛擬化內(nèi)部及虛擬機所處的主機的安全。

一、虛擬化環(huán)境面臨的應用安全需求

（一）傳統(tǒng)風險依舊，防護對象擴大

一方面，傳統(tǒng)安全風險并沒有因為虛擬化的產(chǎn)生而規(guī)避。雖然單個物理服務器上可以運行多個虛擬機，但是每個虛擬機，傳統(tǒng)模型下的服務器所面臨的安全問題虛擬機也同樣會遇到。另一方面，服務器虛擬化的出現(xiàn)，擴大了需要防護的對象范圍。例如，除了考慮虛擬機的安全性，還要重點關(guān)注虛擬機管理器。

（二）虛擬化環(huán)境的正常運作風險

為了確保應用系統(tǒng)的安全可用，CPU調(diào)度、內(nèi)存分配等資源管理工作、虛擬機的遷移、共享虛擬化資源池等功能都需要正常運作，合理安排策略。

（三）虛擬化環(huán)境下的網(wǎng)絡(luò)安全

傳統(tǒng)的網(wǎng)絡(luò)邊界劃分方式并不直接適用于虛擬化環(huán)境。虛擬化環(huán)境內(nèi)部的網(wǎng)絡(luò)流量能否得到有效監(jiān)控與審計，直接關(guān)系到虛擬化環(huán)境中的應用服務能否安全可用。

二、虛擬化環(huán)境的應用安全監(jiān)測方法

要對虛擬化環(huán)境的應用安全進行監(jiān)測，首先要考慮監(jiān)測組件的部署位置。監(jiān)測組件需要從目標系統(tǒng)和虛擬機管理器（WMM）中收集信息，顯然需要部署在虛擬化環(huán)境內(nèi)。否則很難判斷和解決一些問題。例如，一臺宿主機上的多個虛擬機里的多個應用都同時在使用一個物理網(wǎng)絡(luò)端口，當一個應用出現(xiàn)網(wǎng)絡(luò)擁堵時，勢必會影響到其他應用的正常訪問。這就需要虛擬化環(huán)境內(nèi)的監(jiān)測組件收集相關(guān)信息，幫助定位故障應用所在位置。對于重點目標系統(tǒng)或者虛擬機管理器難以收集到目標系統(tǒng)內(nèi)某些信息數(shù)據(jù)時，可以考慮將監(jiān)測組件安裝在目標系統(tǒng)內(nèi)。

監(jiān)測組件主要是收集信息。而一個安全監(jiān)測系統(tǒng)，除了具備日志采集外，還具備對日志事件關(guān)聯(lián)分析、網(wǎng)絡(luò)流量監(jiān)控、風險評估等功能[3]。在部署時，不能直接把監(jiān)測系統(tǒng)放在目標系統(tǒng)內(nèi)。這是因為：

（1）監(jiān)測系統(tǒng)與目標系統(tǒng)具有不同的安全背景。不僅在部署監(jiān)測系統(tǒng)時，而且在整個虛擬化部署時都要考慮到這個問題。例如把具有不同安全背景的虛擬機連接到同一個物理適配器上，可能引發(fā)安全數(shù)據(jù)通信泄露到不安全的網(wǎng)絡(luò)上。

（2）監(jiān)測系統(tǒng)和目標系統(tǒng)之間沒有隔離性，增加了受攻擊的風險。只要有一個系統(tǒng)受到相應的攻擊，就會影響到另一個系統(tǒng)。

（3）如果要監(jiān)測許多的目標機器，那么每一臺機器都需要部署一個監(jiān)測系統(tǒng)。這樣做不僅管理和維護這些監(jiān)測系統(tǒng)成了一個難題，而且占用了過多的計算資源、存儲資源。

監(jiān)測系統(tǒng)可以部署在專門的虛擬機上。一方面便于監(jiān)測其他虛擬機運行情況，另一方面通過虛擬機管理器監(jiān)測網(wǎng)絡(luò)流量、主機狀態(tài)等。監(jiān)測系統(tǒng)通過兩種渠道獲取相關(guān)信息。一種是通過虛擬機管理器，獲得主機運行狀態(tài)、資源分配情況、網(wǎng)絡(luò)流、其他目標系統(tǒng)狀況等信息;另一種是通過安裝在目標系統(tǒng)上的監(jiān)測組件，將所需信息發(fā)送給監(jiān)測系統(tǒng)。監(jiān)測系統(tǒng)對信息數(shù)據(jù)日志進行關(guān)聯(lián)分析，如果有必要，那將通知管理員。

該監(jiān)測框架如下圖所示。

采用上述監(jiān)測框架的特點有：

（1）安全性。監(jiān)測系統(tǒng)部署在虛擬機上，整個日志、信息的獲取都是在虛擬環(huán)境內(nèi)部。外部很難捕捉到數(shù)據(jù)信息，不易泄漏;虛擬機本身的隔離，確保監(jiān)測系統(tǒng)不容易遭受內(nèi)部攻擊。

（2）有效性。借助多種途徑，監(jiān)測系統(tǒng)能夠有效把握虛擬化環(huán)境的運行狀態(tài)、重點目標系統(tǒng)狀況等。例如當重點目標系統(tǒng)上的關(guān)鍵應用故障，管理員可及時得到通知。監(jiān)測系統(tǒng)收集各類信息，并做關(guān)聯(lián)分析，為快速地判斷和解決故障問題提供有力支撐。

（3）易維護性。監(jiān)測系統(tǒng)獨立存在，在維護和升級時只需要針對這個監(jiān)測系統(tǒng)進行維護和升級。

三、虛擬化應用安全檢測的評價指標體系

從運維管理人員角度看，不僅關(guān)心安全事件、警報，而且希望知道整個虛擬化環(huán)境是否安全。因此，監(jiān)測系統(tǒng)需要對虛擬化環(huán)境的應用安全進行總體評估。但如果進行評估，那么就需要評價指標體系。

對虛擬化應用安全檢測的評價指標，不應該局限于安全監(jiān)測系統(tǒng)之類的功能，而應該從應用安全的角度考慮，從更大的范圍考慮。從技術(shù)和管理上評估虛擬化應用安全，可以包括三個方面，一是對虛擬化環(huán)境的安全防護進行靜態(tài)評估，二是對虛擬機進行實時的動態(tài)評估，三是信息安全管理制度建設(shè)評估。

（一）靜態(tài)評估

靜態(tài)評估是對虛擬化環(huán)境的安全防護進行總體評估，其目的是幫助識別虛擬化環(huán)境總體安全狀況。因為采取的安全防護措施相對而言比較固定，一定時間內(nèi)不會發(fā)生改變，所以稱為靜態(tài)評估。它包括：關(guān)鍵應用、物理防護、操作系統(tǒng)增強、信息的訪問管理、外圍訪問管理、備份與災備等。

（二）動態(tài)評估

動態(tài)評估是對虛擬機進行實時的評估，其目的是幫助識別虛擬機分安全狀況，分析判斷其價值、存在的脆弱性和面臨的安全威脅，從而獲得該虛擬機的安全風險情況，繼而可以采取針對性的安全防護措施。評估的模型設(shè)定了評估的三要素：虛擬機價值、優(yōu)先級、可靠性。分值=風險（虛擬機價值，優(yōu)先級，可靠性）。

（三）信息安全管理制度評估

信息安全管理制度建設(shè)的具體要求，如下表所示，分值僅供參考。

四、結(jié)語

隨著云服務的發(fā)展，虛擬化技術(shù)的研究與應用不斷深入，虛擬化環(huán)境的安全一直受到關(guān)注。既要借鑒傳統(tǒng)的安全解決方案，又要根據(jù)虛擬化環(huán)境的特點，將傳統(tǒng)方案與虛擬化環(huán)境下應用安全需求結(jié)合，適應虛擬化發(fā)展需要，完善虛擬化環(huán)境下的安全解決方案。

參考文獻：

[1]Huang YuLun，Chen B.，Shih MingWei，et al.Security Impacts of Virtualization on a Network Testbed[C].Gaithersburg，MD：Software Security and Reliability（SERE），2012 IEEE Sixth International Conference，2012：7177.

[2]The center for internet security.Virtual Machine Security Guidelines[EB/OL].

[3]李晨光.UNIX/Linux網(wǎng)絡(luò)日志分析與流量監(jiān)控[M].機械工業(yè)出版社，2015.