摘 要：虛擬化是一個IaaS云計(jì)算的基石。只有通過把許多機(jī)器虛擬化到一個單一硬件上，云服務(wù)提供商才能夠?qū)崿F(xiàn)比較高的利用率，使云計(jì)算成為一個有利可圖的“奮進(jìn)號”。然而，在虛擬化號稱是一個強(qiáng)大的安全技術(shù)的同時，虛擬化帶來的靈活性會導(dǎo)致安全問題。

關(guān)鍵詞：虛擬化技術(shù)；云計(jì)算環(huán)境；安全機(jī)制；應(yīng)用

虛擬化既是云計(jì)算的特點(diǎn)又是云計(jì)算使用的關(guān)鍵技術(shù)，也是云計(jì)算安全性的壁壘。虛擬化使得用戶不用關(guān)心特定應(yīng)用軟件的服務(wù)方式、不用關(guān)心計(jì)算平臺的操作系統(tǒng)以及軟件環(huán)境等底層資源的物理配置與管理、不用關(guān)心計(jì)算中心的地理位置，實(shí)現(xiàn)真正意義上的軟件作為服務(wù)（SaaS）、平臺作為服務(wù)（PaaS） 、基礎(chǔ)設(shè)施作為服務(wù)（IaaS）。云計(jì)算主要從三個層次實(shí)現(xiàn)虛擬化：服務(wù)器虛擬化、存儲虛擬化、網(wǎng)絡(luò)虛擬化。

1 引言

Garfinkel和Rosenblum對虛擬化做了一個寬泛和簡短的概述。作者關(guān)注的關(guān)鍵問題包括可擴(kuò)展性、多樣性、瞬態(tài)、軟件生命周期、數(shù)據(jù)生命周期、流動性和所有權(quán)?？蓴U(kuò)展性和多樣性是有問題的，因?yàn)楫?dāng)一個機(jī)構(gòu)或組織中有許多不同的虛擬機(jī)時，虛擬化允許創(chuàng)建新的虛擬機(jī)可以導(dǎo)致爆炸性增長。這個問題非常復(fù)雜，因?yàn)樘摂M機(jī)可以有規(guī)律地在一個組織的網(wǎng)絡(luò)中出現(xiàn)和消失，或者成為休眠狀態(tài)持續(xù)一段時間。作者指出，這造成了兩個問題：一是在這樣一個環(huán)境中補(bǔ)丁管理會變得困難，這是由由于需要很長的時間去修補(bǔ)大量的虛擬機(jī)和長時間不用的機(jī)器。二是許多休眠的虛擬機(jī)使得很難完全從一個虛擬云環(huán)境中消除的蠕蟲或病毒，因?yàn)槿绻菝叩氖芨腥镜奶摂M機(jī)再次出現(xiàn)，可以導(dǎo)致新的疫情爆發(fā)。

此外，能夠重新運(yùn)行以前版本的虛擬機(jī)的能力會帶來風(fēng)險，比如并沒有修補(bǔ)之前運(yùn)行時已經(jīng)修補(bǔ)過的安全漏洞（軟件生命周期）和刪除像個人信息或加密密鑰這樣的敏感數(shù)據(jù)（數(shù)據(jù)生命周期）。VM的流動性是有問題的，因?yàn)槿绻粋€物理機(jī)器被破壞，那么這臺機(jī)器上的任何VM都有可能會被破壞。這意味著VM的用戶必須考慮以前運(yùn)行過他們的虛擬機(jī)的每臺物理機(jī)器的安全。最后，作者提出當(dāng)像MAC地址這樣的常見的標(biāo)識是由VMMs任意選擇時難以識別VM的所有權(quán)。

雖然作者正確指出了虛擬化環(huán)境中的安全問題，但他們似乎忽略了一個事實(shí)，這些問題已經(jīng)在非虛擬環(huán)境中存在了幾十年。此外，在云環(huán)境中一些虛擬化問題也可以相對容易地得到解決。比如亞馬遜的EC2提供虛擬機(jī)的鏡像，并且這些鏡像是直接綁定到用戶帳戶。這有效地消除了VM多樣性的問題并清晰顯示了VM的所有權(quán)。如果一個云提供商在沒有VMM的情況下允許任何客戶的VM執(zhí)行，就會帶來了安全問題。因此更為有效的VM隔離能是必要的。也許通過使用虛擬局域網(wǎng)提供者可以實(shí)現(xiàn)共存的虛擬機(jī)之間的網(wǎng)絡(luò)隔離。新運(yùn)行VM和數(shù)據(jù)生命周期的問題更微妙。云提供商可能會提供一個VMM和相應(yīng)的基礎(chǔ)設(shè)施，它們在邏輯上與云環(huán)境的其余部分分開。被重新啟動或者沒有打足夠補(bǔ)丁的VM將被要求在這種環(huán)境中運(yùn)行。只有打過足夠補(bǔ)丁的客戶端VM能夠在隔離環(huán)境以外運(yùn)行。這種策略可以提高云服務(wù)提供商確定客戶端虛擬機(jī)上運(yùn)行的軟件版本的能力，并且能將這些版本信息和已知的漏洞數(shù)據(jù)庫相比對。通過這種方式，服務(wù)提供商就可以量化與運(yùn)行客戶端VM相關(guān)的風(fēng)險。這樣的版本信息可以通過虛擬機(jī)自我檢查或安裝在由服務(wù)提供者提供的所有的虛擬機(jī)鏡像上的系統(tǒng)服務(wù)收集。

2 基于Mirage的VM映像管理體系的設(shè)計(jì)方案

Weietal提供了一個VM鏡像管理的策略。在這里，作者重申了很多由加芬克爾和羅森布拉姆首先指出的風(fēng)險。他們還指出，分享個體之間的VM的能力對于云環(huán)境是至關(guān)重要的，這種共享需要被準(zhǔn)確地說明和記錄。為了達(dá)到這個目的，他們概述了一種名為Mirage的VM映像管理體系的設(shè)計(jì)方案。Mirage的核心思想在于鏡像應(yīng)該像文件在文檔管理系統(tǒng)中那樣的去處理。鏡像可以由用戶鍵入或刪除，任何來自與同一個鏡像的新的鏡像會被鏈接在一起。這樣當(dāng)一個鏡像被改變或被其他用戶運(yùn)行時，可以追蹤它的歷史。第二個關(guān)鍵的特性是過濾器的概念，過濾器在應(yīng)用到一個鏡像時將用隨機(jī)數(shù)據(jù)取代任何敏感的原文數(shù)據(jù)。為了安全的目的，該特性只局限于簡單的原文查找和替換。最后， Mirage將負(fù)責(zé)維護(hù)鏡像的修補(bǔ)，并在鏡像存儲庫上執(zhí)行惡意軟件的掃描。為了克服性能上的損失（不管是在空間還是時間上）， Mirage僅存儲虛擬機(jī)鏡像間的差異。因此一個給定VM鏡像是由原始鏡像再加上所有應(yīng)用到該鏡像上的更改組成。這減少了維護(hù)鏡像的開銷。

Mirage系統(tǒng)最明顯的問題是作者聲稱過濾器應(yīng)該基于簡單的替換文本，而不是代碼執(zhí)行的結(jié)果，因?yàn)檫@樣有利于安全。然而，在一個鏡像中自動替換文本仍然存在一個嚴(yán)重的安全問題——代碼注入攻擊。一個VM開發(fā)者故意在VM中使用一個惡意的過濾器看起來可能很可笑。然而，許多人（甚至那些擁有相當(dāng)電腦經(jīng)驗(yàn)的人）經(jīng)常在自己的計(jì)算機(jī)上無意中安裝軟件（比如惡意軟件，膨脹軟件等等），因此不難想象一個VM所有者不知不覺地應(yīng)用了一個惡意的過濾器到他們的VM鏡像。特別是在云計(jì)算提供者維護(hù)一個過濾器編寫的公共存儲庫的情況下。這時的攻擊可能會更加微妙：如果代碼注入是分布在眾多的過濾器，此時，沒有單獨(dú)的過濾器有明顯的惡意，但幾個過濾器應(yīng)用于單個VM鏡像就可能導(dǎo)致代碼注入。有一個明顯的方法來阻止這種利用，就是只允許云服務(wù)提供商或VM擁有者開發(fā)應(yīng)用于擁有者的VM鏡像上的過濾器。然而這樣一個公開的軟件系統(tǒng)越來越普遍的時代，這種限制性的著作權(quán)計(jì)劃似乎是在限制云的客戶。最后，作者并沒有解決存儲在一個基于鏡像的差異庫中的VM鏡像的補(bǔ)丁的問題。漏洞可能分布在單個VM鏡像的眾多增量中，找出來改變的增量，在不擾亂正常的VM操作的情況下修改它們不是一個簡單的問題。

3 基于虛擬化的安全機(jī)制

對虛擬化的安全機(jī)制，Christodorescu等人采取一個更為冷靜的看法。它們描述了一個相比那些先前的作者提供的更具挑戰(zhàn)性的威脅模型。具體地說，他們認(rèn)為，客戶可以在云VMM上運(yùn)行任何VM，并且云服務(wù)提供商沒有在guest VM上運(yùn)行的軟件（包括操作系統(tǒng)、應(yīng)用程序、惡意軟件等）的priori（先驗(yàn)、優(yōu)先）信息。為了應(yīng)對這種模式作者針對虛擬機(jī)的自檢提供了一種新的方法。通過檢查VM中斷描述符表（IDT）的地址，他們可以識別這些版本所使用的操作系統(tǒng)。然后，為該操作系統(tǒng)使用大量已知的安全代碼（white-list列入可信任名單），他們的工作只研究與white-list不同的IDT和驗(yàn)證鏈接的代碼（系統(tǒng)調(diào)用，內(nèi)核模塊等）。經(jīng)過驗(yàn)證的代碼變得可信并提供了一個新的擴(kuò)大搜索惡意代碼的起點(diǎn)。

上述作者的VMI方法的一個實(shí)際問題是，它只允許那些操作系統(tǒng)在white-list code組里的VM進(jìn)行自檢。提供可以獲得操作系統(tǒng)的數(shù)量和根據(jù)它們品種、版本變化的頻率（尤其是Linux的品種和版本）去維護(hù)最新版并將它們?nèi)娴牧腥雡hite-list將是一項(xiàng)艱巨的任務(wù)。更重要的是，一個明明存在，卻被人刻意回避的問題是，這種方法之所以適用于云中的VM安全問題是建立在假設(shè)VMM基本上是安全的基礎(chǔ)上。

作者的威脅模型明確假定VMM是“正確的，可信的，不能違反”，模型則更進(jìn)一步假設(shè)云環(huán)境包含VMs，這也“不能被違背”。這些都是相當(dāng)危險的假設(shè)。如果一個VMM被盜，實(shí)際上，這種偽裝的安全將失效的，因?yàn)槊恳粋€客戶端VM都運(yùn)行在沒有抵抗力的VMM上。鑒于幾乎所有的操作系統(tǒng)都容易受到惡意利用，像VMM這樣復(fù)雜的軟件沒有漏洞（vulnerability-free）的假設(shè)是天真的。如果VMM運(yùn)行在一個傳統(tǒng)的操作系統(tǒng)的上層，這只會加劇安全風(fēng)險，因?yàn)樗馕吨僮飨到y(tǒng)和VMM可能被利用。如果VMM是最低級別的軟件，這意味著VMM本身必須承擔(dān)自我監(jiān)控的角色。這最好也只是一個不確定的前景，因?yàn)槿魏涡问降淖晕冶O(jiān)控機(jī)制（比如殺毒軟件、anti-rootkit等等）可能以一種和更為致命品種的惡意軟件攻擊傳統(tǒng)操作系統(tǒng)差不多的方式被破壞。

[參考文獻(xiàn)]

[1]張耀祥.云計(jì)算和虛擬化技術(shù)[J].計(jì)算機(jī)安全，2011（5）：6-7.

[2]蔡誼，左曉棟.面向虛擬化技術(shù)的可信計(jì)算平臺研究[J].信息安全與通信保密.2013（06）.

[3]李正忠.虛擬化在企業(yè)IT架構(gòu)中的價值與應(yīng)用[J].信息安全與技術(shù).2013（02）.

[4]張吉生.云計(jì)算技術(shù)在電力系統(tǒng)中的應(yīng)用[J].現(xiàn)代建筑電氣.2011（04）.