國網(wǎng)山東省電力公司德州供電公司 唐 琳 李 偉 閆汝靜 宋 琳

1.引言

2011年，囯網(wǎng)德州供電公司實施服務(wù)器虛擬化應(yīng)用整合項目，通過采用VMware虛擬服務(wù)器管理技術(shù)將應(yīng)用服務(wù)器進行統(tǒng)籌管理，對關(guān)鍵業(yè)務(wù)應(yīng)用進行整合，實現(xiàn)11臺物理服務(wù)器遷移至2個刀片服務(wù)器的虛擬化環(huán)境，每臺服務(wù)器的利用率從5%-15%提高到60%-80%，大大提高了資源利用率，有效控制和減少了物理服務(wù)器的數(shù)量，節(jié)省了機房能耗，降低了軟硬件購置和運維成本，提高了運維效率，加快了新服務(wù)器和應(yīng)用的部署，大大降低了服務(wù)器重建和故障恢復(fù)時間，極大地減少了管理維護量。虛擬化技術(shù)為工作帶來便利的同時，也為信息安全提出了新的問題，如何在安全的范疇內(nèi)使用服務(wù)器虛擬化技術(shù)，增強虛擬機技術(shù)的安全性和構(gòu)建可信的虛擬化環(huán)境，成為迫在眉睫需要解決的問題。

2.服務(wù)器虛擬化面臨的安全威脅

2.1 高資源利用率帶來的風(fēng)險集中

通過虛擬化技術(shù)，提高了服務(wù)器的利用效率和靈活性，但虛擬化后多個應(yīng)用集中在1臺服務(wù)器上，一旦硬件出現(xiàn)斷電、機器過熱升溫、硬盤等故障問題導(dǎo)致服務(wù)器崩潰，所有的應(yīng)用都會中斷。它比非虛擬化環(huán)境中一臺服務(wù)器崩潰引起一個應(yīng)用中斷帶來的問題要嚴重得多。

2.2 虛擬化網(wǎng)絡(luò)環(huán)境風(fēng)險

服務(wù)器虛擬化過程中的一個重要環(huán)節(jié)就是網(wǎng)絡(luò)架構(gòu)的變化。在非虛擬化環(huán)境中，一般通過防火墻、IPS、IDS等設(shè)備針對不同的服務(wù)器設(shè)置安全規(guī)則來進行管理。即便服務(wù)器受到攻擊，其危害性的擴散也是有限的。但是在虛擬化環(huán)境下，系統(tǒng)之間的邊界不單單是以物理設(shè)備的形式存在，同一臺物理服務(wù)器上的虛擬機之間通過虛擬網(wǎng)絡(luò)通信，這就導(dǎo)致傳統(tǒng)的邊界防護設(shè)備捕捉不到這些流量，也就不能進行防護。因此基于物理設(shè)備進行邊界防護的手段不適用于對虛擬化環(huán)境的邊界保護。

2.3 虛擬化管理工具自身缺乏保護措施帶來的隱患

虛擬化管理工具為快速配置虛擬化環(huán)境提供了極大的方便，但也正是由于這個原因，導(dǎo)致它極易受到攻擊。一旦惡意攻擊者獲得管理工具的權(quán)限，給整個虛擬化環(huán)境帶來的危害將是巨大甚至是災(zāi)難性的。虛擬機遷移以及虛擬機間的通信將會大大增加服務(wù)器遭受滲透攻擊的機會。此外，還有一些用作測試目的的虛擬機可能會與重要的虛擬機存在于同一虛擬局域網(wǎng)中，這也會給滲透攻擊帶來機會。

2.4 虛擬機補丁引起的安全問題

由虛擬機補丁引起的安全問題有兩種情況：一是安裝補丁的進度跟不上虛擬機系統(tǒng)的實際需要。服務(wù)器虛擬化后，每臺物理服務(wù)器上可以放置多個虛擬機，而每一個虛擬機必須像單獨的物理服務(wù)器那樣安裝補丁和更新系統(tǒng)以便及時修補潛在的安全漏洞。這樣，需要管理的對象相應(yīng)地增多，可能導(dǎo)致虛擬機系統(tǒng)遲滯不同級別的補丁和更新。二是有時用戶會保持少量的重要鏡像，需要時從這些鏡像推出新虛擬機，或者將虛擬機拍一個快照寫入硬盤，需要時利用離線庫中存儲的虛擬機進行災(zāi)難恢復(fù)。但是，這些用于災(zāi)難恢復(fù)的虛擬機可能沒有更新殺毒軟件病毒庫和系統(tǒng)補丁文件，這樣，虛擬機在運行時就可能引發(fā)安全問題。

3.服務(wù)器虛擬化安全防護研究

3.1 細化網(wǎng)絡(luò)設(shè)置、合理進行分類部署

增強虛擬服務(wù)器的邏輯隔離與網(wǎng)絡(luò)隔離，隔離虛擬網(wǎng)絡(luò)既可以按照位置分開虛擬機，即把公共的虛擬機與專用的虛擬機分開，也可以按照服務(wù)類型分開虛擬機，如把系統(tǒng)管理類虛擬服務(wù)器、應(yīng)用程序類虛擬服務(wù)器和數(shù)據(jù)庫虛擬服務(wù)器分開。將各組虛擬機隔離在它們各自的網(wǎng)絡(luò)分段中，即不同的VLAN中，借以最大限度地降低數(shù)據(jù)通過網(wǎng)絡(luò)從一個虛擬機分區(qū)泄漏到另一個虛擬機分區(qū)的風(fēng)險。

虛擬化環(huán)境的邊界防護應(yīng)該具體到每個虛擬機，邊界防護設(shè)備應(yīng)該能識別每個虛擬機并對虛擬機的邊界訪問行為進行控制。從虛擬化的實現(xiàn)原理來看，所有的虛擬化系統(tǒng)都是基于虛擬層實現(xiàn)的。為了達到這樣的目的，邊界防護需要充分利用虛擬層提供的安全服務(wù)。以VMware為例，VMware提供了介于虛擬機器與Hypervisor之間的虛擬層——Vmsafe，Vmsafe一部分位于Hypervisor內(nèi)，另一部分以API的形式提供。Vmsafe能對進出虛擬機的所有流量進行檢測，識別信息的端口、協(xié)議、目的地，對信息的內(nèi)容進行分析以識別入侵行為或者進行病毒檢查。

3.2 提高虛擬化基礎(chǔ)設(shè)施的自身保護、分權(quán)進行訪問控制

虛擬化管理工具是整個系統(tǒng)的管理中樞，所有虛擬機的生成、策略設(shè)置以及維護都可以通過管理工具完成。以VMware為例，VMware虛擬化環(huán)境集中管理控制臺VCenter的本地管理員（超級管理員）擁有最大的管理員權(quán)限，即擁有虛擬化環(huán)境下的所有特權(quán)操作權(quán)限。為了化解虛擬化管理工具自身缺乏保護帶來的安全風(fēng)險，可采取分權(quán)制約的方式。具體分權(quán)方案如下：

(1)定義系統(tǒng)管理員、安全管理員、安全審計員三個角色，三個角色彼此之間不得兼任。

(2)在VCenter和虛擬桌面管理器View Manager中創(chuàng)建這三個角色，并分別進行權(quán)限設(shè)置：系統(tǒng)管理員可以進行日常虛擬機創(chuàng)建和數(shù)據(jù)中心維護工作，但不能刪除虛擬機和審計VCenter系統(tǒng)日志；安全管理員負責(zé)桌面資源池的日常創(chuàng)建和桌面資源池的授權(quán)以及廢止虛擬機的刪除，不能審計VCenter系統(tǒng)日志；安全審計員擁有VCenter數(shù)據(jù)中心的系統(tǒng)日志審計權(quán)限，主要審計系統(tǒng)管理員和安全管理員的操作情況。

(3)在網(wǎng)絡(luò)主干防火墻上設(shè)置僅這三個角色負責(zé)使用的IP地址能夠遠程訪問虛擬機管理中心VCenter。VCenter的本地管理員密碼由系統(tǒng)管理員和安全管理員分段掌握（每段都應(yīng)該設(shè)置強密碼），只有當(dāng)這兩位管理員同時在場并分別輸入正確的密碼時，才能執(zhí)行本地管理員的特權(quán)操作。

這樣三個角色權(quán)限彼此制約，各自獨立完成日常工作，實現(xiàn)三個角色共同管理虛擬化環(huán)境的目標。

3.3 合理配置、加固系統(tǒng)、降低風(fēng)險

通過合理配置虛擬服務(wù)器，系統(tǒng)安全加固，部署安全工具，減少虛擬服務(wù)器被攻擊的機會。

(1)在部署虛擬服務(wù)器的時候，應(yīng)該根據(jù)虛擬服務(wù)器的用途以及可能要承擔(dān)的并發(fā)訪問量，確定物理服務(wù)器的性能與數(shù)量。根據(jù)物理服務(wù)器與虛擬服務(wù)器的比例估算出物理服務(wù)器的硬件配置、電源負荷以及散熱狀況。所有物理機、管理程序、虛擬機的配置和數(shù)量都建在固定模板中，確保配置可控、可管，并將虛擬機管理放入安全策略。

(2)應(yīng)對虛擬化環(huán)境中的所有系統(tǒng)進行安全加固，包括承載虛擬機的物理主機、用于管理虛擬化環(huán)境的vCenter Server以及所有虛擬機。應(yīng)當(dāng)像對待一臺物理服務(wù)器一樣地對虛擬服務(wù)器進行系統(tǒng)安全加固，措施包括系統(tǒng)補丁、應(yīng)用程序補丁、允許運行的服務(wù)、開放的端口等。關(guān)閉所有可控制的物理設(shè)備，只在需要的時候才允許連接。加強對虛擬機生命周期的管理、身份認證和訪問授權(quán)控制。并注意保證同一主機上的虛擬機采取相同的安全保護策略，避免較低安全保護級別的機器影響其他機器的安全。

(3)針對虛擬機網(wǎng)絡(luò)內(nèi)部攻擊問題，必須部署必要的安全工具。在虛擬機上安裝殺毒軟件和惡意軟件防護程序，及時為虛擬機進行漏洞修補和程序升級。微軟和VMware都為自己的基礎(chǔ)設(shè)施產(chǎn)品提供了補丁管理的時間表，訂閱這些廠商的郵件更新列表，當(dāng)有更新補丁時，就可以在第一時間打上補丁。對于用于災(zāi)難恢復(fù)的虛擬機，可以隔一段時間進行一次補丁及病毒庫更新，再重新進行鏡像存放。

(4)利用虛擬化監(jiān)控工具，檢測出未授權(quán)的拷貝和“克隆”虛擬機的行為，確保敏感信息在正確的管控中。針對虛擬機濫用、惡用問題，應(yīng)加強服務(wù)器資源監(jiān)控與容量分析功能，對所占用資源進行定期報告，對突發(fā)變化進行報警。同時嚴格設(shè)計基于業(yè)務(wù)邏輯的訪問控制策略，進行虛擬機加密、訪問授權(quán)和跟蹤審計等安全控制。

3.4 制定安全管理制度、加強安全風(fēng)險評估

虛擬化安全管理是一項系統(tǒng)性工作，僅靠一些技術(shù)手段無法保證安全運行，還要結(jié)合一些管理規(guī)定和策略，以及必要的人員培訓(xùn)，才能最終達到安全保證的要求。

3.4.1 管理制度

(1)制定虛擬機管理制度，明確管理責(zé)任和使用權(quán)限。

(2)制定專門的虛擬機審核、追蹤流程，做好虛擬機的備案工作，避免虛擬機的盲目擴張而導(dǎo)致的管理受控，及時關(guān)停停止使用的虛擬服務(wù)器。

(3)應(yīng)對虛擬化環(huán)境制定應(yīng)急預(yù)案，確保在災(zāi)難發(fā)生時，能迅速應(yīng)對。并定期開展應(yīng)急演練，及時修編完善應(yīng)急預(yù)案，實現(xiàn)動態(tài)管理。

3.4.2 風(fēng)險評估

對虛擬化環(huán)境的安全管理，還應(yīng)包括定期的風(fēng)險評估工作。主要的評估項目包括：日志審計、漏洞掃描、滲透測試、配置核查、鏡像文件一致性核查等內(nèi)容。這些評估項目在非虛擬化環(huán)境中已經(jīng)存在，所不同的是需要針對虛擬化環(huán)境的特殊性進行相應(yīng)的調(diào)整。需要對虛擬機承載的業(yè)務(wù)系統(tǒng)的安全需求進行評估，將具有相同安全需求的虛擬機部署在同一臺主機上，盡量不要把不同安全需求的虛擬機放在一起。

4.結(jié)語

服務(wù)器虛擬化技術(shù)在給用戶節(jié)約資金、帶來快捷服務(wù)的同時，也給信息系統(tǒng)安全帶來不可忽視的問題。為了有效規(guī)避服務(wù)器虛擬化導(dǎo)致的安全風(fēng)險，需要統(tǒng)籌考慮，綜合采取技術(shù)、管理、運維等手段，對服務(wù)器虛擬化帶來的信息安全風(fēng)險進行防范，增強虛擬機技術(shù)的安全性和構(gòu)建可信的虛擬化環(huán)境，對虛擬化系統(tǒng)中各個層次組件做嚴密防護，完善安全管理策略，嚴格執(zhí)行安全措施并加強人員培訓(xùn)，將風(fēng)險控制在可控的范圍之內(nèi)，才能既更好地利用服務(wù)器虛擬化技術(shù)為企業(yè)服務(wù)，又保證信息系統(tǒng)安全，讓服務(wù)器虛擬化技術(shù)發(fā)揮出最大的價值。

[1]吳岳,尤煒.虛擬服務(wù)器部署過程中的安全隱患與防范措施[J].科技資訊,2010(20):16.

[2]盧凱.服務(wù)器虛擬化安全風(fēng)險分析[J].銅仁學(xué)院學(xué)報,2012,14(4):135-136.

[3]刁宇亮.虛擬化安全建設(shè)研究[J].計算機安全,2012(1):65-69.

[4]譚文輝.基于VMware虛擬化的安全分析[J].艦船電子工程,2012,32(5):113-115.