陳家興，孫 娟

(天云數(shù)據(jù)(天津)有限公司 天津300457)

0 引 言

目前，云計算在世界各國均得到了廣泛應(yīng)用，極大提高了社會的運行效率，在經(jīng)濟、科技創(chuàng)新等多個方面具備無可比擬的優(yōu)勢。虛擬技術(shù)在云計算中得到廣泛應(yīng)用，也成為當(dāng)前云計算的關(guān)鍵技術(shù)。雖然虛擬化技術(shù)的發(fā)展為云計算的應(yīng)用提供了便利，但也由此帶來了越來越多的安全威脅，其危害程度亦較虛擬化技術(shù)應(yīng)用前有過之而無不及，已成為云計算應(yīng)用的攔路虎，直接制約了產(chǎn)業(yè)發(fā)展。本文從虛擬化技術(shù)帶來的安全威脅入手，通過分析研究相應(yīng)關(guān)鍵技術(shù)，以提高虛擬化技術(shù)在云計算應(yīng)用中的安全可靠性，為云計算系統(tǒng)的健康發(fā)展貢獻力量。

1 云計算虛擬化技術(shù)帶來的安全威脅

目前，虛擬化技術(shù)在云計算應(yīng)用中面臨的安全威脅存在于多個層面。當(dāng)虛擬化技術(shù)出現(xiàn)漏洞時，就將導(dǎo)致同一平臺中的不同虛擬機隔離失敗，直接影響到其他虛擬機的正常運行，使得其他虛擬機的訪問權(quán)限無法得到保護，進而增加了被入侵的風(fēng)險，我們將這種安全威脅稱為虛擬機逃逸現(xiàn)象。當(dāng)一臺虛擬機接入到其所在的宿主機上或是對其他虛擬機進行監(jiān)控時，將造成在同一物理機上的一臺虛擬機對另一臺虛擬機進行攻擊，進而造成另一臺虛擬機被迫下線，無法正常工作運行，這種威脅被稱為虛擬機跳躍現(xiàn)象。

虛擬化技術(shù)除了直接帶給虛擬機安全威脅外，還將導(dǎo)致遠(yuǎn)程管理受到威脅。運維人員在利用遠(yuǎn)程管理平臺進行管理的過程中，無形中增加了跨站腳本受到攻擊的風(fēng)險，雖然統(tǒng)一集中管理提高了辦事效率，但面臨的威脅也令人頭疼。平臺結(jié)構(gòu)見圖1。

圖1 遠(yuǎn)程管理平臺結(jié)構(gòu)Fig.1 Structure of remote management platform

此外，云計算虛擬化技術(shù)帶來的安全威脅還包括拒絕服務(wù)攻擊、虛擬機遷移風(fēng)險及虛擬機監(jiān)視器的安全等問題。

2 虛擬化安全關(guān)鍵技術(shù)分析

2.1 宿主機安全機制

保護宿主機的安全就是保護虛擬機的安全，因為在虛擬化中，宿主機的訪問權(quán)限一旦被不安全因素襲擊，虛擬機的安全機制就不復(fù)存在。攻擊者往往利用宿主機對虛擬機進行流量捕獲、資源監(jiān)控、文件竊取及程序關(guān)閉等惡意操作。目前對宿主機的保護主要是利用傳統(tǒng)信息系統(tǒng)的安全保護機制，而這種機制也能夠有效地保障宿主機的安全。具體來說，傳統(tǒng)信息系統(tǒng)的安全保護機制主要包括物理安全保護機制和操作系統(tǒng)安全保護機制兩種。物理安全保護機制實施保護的具體措施包括：進入服務(wù)器機房訪問必須得到安保人員的許可或者經(jīng)過門禁卡認(rèn)證；在服務(wù)器未初始化前，不得拆除軟驅(qū)、光驅(qū)；為防止攻擊者對 BOIS設(shè)置進行惡意更改，應(yīng)對 BOIS設(shè)置密碼，而且在對BOIS進行設(shè)置時，只能選擇從服務(wù)器主硬盤進行啟動；對服務(wù)器所有外部端口進行嚴(yán)密監(jiān)控，并做好相關(guān)措施防止硬盤被盜。操作系統(tǒng)安全保護機制實施保護的具體措施包括：升級密碼強度，盡量將其復(fù)雜化，并固定周期進行密碼重置；升級登錄訪問控制，若出現(xiàn)登錄異?，F(xiàn)象可禁止其繼續(xù)輸入；在安裝程序時，優(yōu)化網(wǎng)絡(luò)程序，不安裝不必要程序；除了在宿主機上安裝防火墻外，還應(yīng)及時對宿主機操作系統(tǒng)進行補丁更新等操作。

2.2 Hypervisor安全機制

在虛擬化環(huán)境下，物理服務(wù)器的 CPU、內(nèi)存、硬盤和網(wǎng)卡等硬件資源被虛擬化并受 Hypervisor的調(diào)度，多個操作系統(tǒng)在Hypervisor的協(xié)調(diào)下可以共享這些虛擬化后的硬件資源，同時每個操作系統(tǒng)又可以保存彼此的獨立性。

根據(jù)Hypervisor所處層次的不同和Guest OS對硬件資源的不同使用方式，Hypervisor虛擬化被分為兩種類型：Bare-metal虛擬化方式(“裸機”虛擬化)和 Host OS虛擬化方式(基于操作系統(tǒng)的虛擬化，宿主型虛擬化)。

圖 2為基于 Hypervisor的虛擬化防護原理圖。所謂的 Hypervisor安全機制是指將特權(quán)虛擬機引入至虛擬化層 Hypervisor中，并通過內(nèi)省 API監(jiān)控其他虛擬機的CPU、內(nèi)存、I/O及數(shù)據(jù)流量等，而且引入的特權(quán)虛擬機還能夠為其他虛擬機提供許多安全防護功能，例如殺毒模塊、入侵防護、防火墻及應(yīng)用保護等，進而達到保障其他虛擬機安全的目的。

圖2 基于Hypervisor的虛擬化防護Fig.2 Virtualization protection based on Hypervisor

2.3 虛擬機安全機制

虛擬機安全機制包括虛擬機隔離機制和虛擬機安全監(jiān)控兩種模式。

2.3.1 虛擬機隔離機制

虛擬化網(wǎng)絡(luò)中，虛擬機的隔離機制至關(guān)重要，當(dāng)其中一個虛擬機發(fā)生問題時，虛擬機之間的有效隔離能使其他虛擬機正常進行服務(wù)。隔離的目的就是為了保證各虛擬機獨立工作、安全服務(wù)?，F(xiàn)階段，對虛擬機隔離機制的研究已比較深入，研究方向主要包括基于硬件協(xié)助的隔離與基于訪問控制的邏輯隔離兩種機制。無論是哪種隔離機制，目前都能很好地實現(xiàn)各虛擬機的安全獨立服務(wù)。

2.3.2 虛擬機安全監(jiān)控

圖3 Lares架構(gòu)Fig.3 Lares architecture

在虛擬化網(wǎng)絡(luò)中，對虛擬機的運行狀態(tài)進行實時監(jiān)控，有利于保證虛擬機的安全，而對虛擬機實施有效監(jiān)控具有重大的意義。現(xiàn)階段，人們對虛擬機的安全監(jiān)控主要分為兩種：內(nèi)部監(jiān)控與外部監(jiān)控。所謂內(nèi)部監(jiān)控是指通過在虛擬機內(nèi)部加載由 Hypervisor進行安全保護的內(nèi)核模塊，用以達到攔截內(nèi)部虛擬機事件的目的，典型代表為Lares架構(gòu)，具體如圖3所示。該架構(gòu)的優(yōu)缺點比較明顯，優(yōu)點在于無需重構(gòu)語義，直接在虛擬機內(nèi)部進行攔截，從而提升性能；缺點是由于該架構(gòu)引入了內(nèi)核模塊，造成監(jiān)控不透明。外部監(jiān)控是指監(jiān)測針對虛擬機外部進行工作，攔截虛擬機事件是根據(jù)Hypervisor中的監(jiān)控點進行的，典型代表為Livewire架構(gòu)，具體如圖4所示。不同于內(nèi)部監(jiān)控的是，雖然監(jiān)測具有透明性，但其需重新進行重構(gòu)語義，因此對性能造成了一定影響。

圖4 Livewire架構(gòu)Fig.4 Livewire architecture

3 結(jié)論與展望

本文在對云計算虛擬化技術(shù)帶來的安全威脅進行分析的基礎(chǔ)上，研究了虛擬化安全關(guān)鍵技術(shù)，并得出了現(xiàn)階段保障虛擬化云計算安全的相關(guān)機制方法。通過對現(xiàn)有技術(shù)和方案的理解，可以看到，面對越來越復(fù)雜的云計算虛擬化環(huán)境，傳統(tǒng)的宿主機安全機制保護能力有限。對于 Hypervisor安全機制，隨著Hypervisor功能的增加，其代碼也不斷增多，因而在一定程度上增加了安全漏洞的數(shù)量，若對 Hypervisor中的資源處理不恰當(dāng)，Hypervisor的安全性將大為降低，而虛擬機安全機制中的虛擬機隔離機制研究已比較成熟，能夠較好地實現(xiàn)各虛擬機的安全獨立工作。在實際應(yīng)用中，應(yīng)綜合各種關(guān)鍵技術(shù)進行安全防護，以實現(xiàn)對虛擬機系統(tǒng)的安全保障，同時還能實現(xiàn)虛擬機網(wǎng)絡(luò)通信安全，確保整個系統(tǒng)的可信性，進而為建設(shè)云計算安全平臺提供一定的技術(shù)支持。