彭淑芬

(國(guó)家安全生產(chǎn)監(jiān)督管理總局 通信信息中心 , 北京 100713 )

0 引言

隨著IT服務(wù)的專業(yè)化和云計(jì)算的盛行，虛擬化技術(shù)顯得越來越重要。而虛擬機(jī)又是重中之重，它的安全性直接決定云計(jì)算的安全性。虛擬機(jī)除了在服務(wù)器的傳統(tǒng)安全性方面需要保證以外，在資源隔離和共享方面也要采取嚴(yán)格的安全措施[1-2]。服務(wù)器虛擬化的安全性離不開網(wǎng)絡(luò)設(shè)備和安全設(shè)備的虛擬化及安全性。針對(duì)上述問題，本文首先分析了虛擬機(jī)存在的六大安全風(fēng)險(xiǎn)，然后根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T 22239-2008》分析了幾種典型的虛擬機(jī)部署架構(gòu)的安全性，最后以等級(jí)保護(hù)二級(jí)和等級(jí)保護(hù)三級(jí)為例分析了典型的虛擬機(jī)部署架構(gòu)的應(yīng)用。

1 虛擬機(jī)安全問題

虛擬機(jī)技術(shù)將計(jì)算機(jī)物理資源表示成若干個(gè)虛擬域，每個(gè)虛擬域都可以運(yùn)行獨(dú)立的操作系統(tǒng)，作為一臺(tái)獨(dú)立的計(jì)算機(jī)進(jìn)行工作和對(duì)外提供服務(wù)。虛擬機(jī)的體系結(jié)構(gòu)本身可以增強(qiáng)虛擬域操作系統(tǒng)的安全性，因?yàn)樗鼘?duì)虛擬域中的應(yīng)用是透明的，這些運(yùn)行在虛擬域中的應(yīng)用程序通常無法發(fā)現(xiàn)自己運(yùn)行在虛擬域環(huán)境中。根據(jù)虛擬機(jī)的隔離機(jī)制，一個(gè)虛擬域中的惡意程序不會(huì)影響到其他虛擬域，也很難影響到虛擬機(jī)監(jiān)控器和真實(shí)的硬件設(shè)備。而且通過虛擬機(jī)架構(gòu)中用于管理功能的特權(quán)域，可以對(duì)其他虛擬域中的操作系統(tǒng)和應(yīng)用程序進(jìn)行監(jiān)控和掃描。這些都增強(qiáng)了虛擬域的安全性。但是，這種對(duì)安全增強(qiáng)的前提是虛擬機(jī)具有嚴(yán)格的隔離機(jī)制。BlackHat在近幾年提出了多種攻擊Xen虛擬機(jī)監(jiān)控器的方法，這些攻擊都展示出虛擬機(jī)監(jiān)控器的脆弱性和其安全系統(tǒng)的復(fù)雜性。而事實(shí)上，幾乎所有的主流虛擬機(jī)都存在安全漏洞。這就使得虛擬機(jī)安全和云計(jì)算安全成為空談。虛擬機(jī)體系結(jié)構(gòu)帶來的主要安全問題有[3-5]：

（1）虛擬機(jī)監(jiān)控器安全

虛擬機(jī)監(jiān)控器是虛擬機(jī)的核心，可視做小型的操作系統(tǒng)內(nèi)核，主要負(fù)責(zé)CPU調(diào)度、內(nèi)存分配等資源管理工作。如果虛擬機(jī)監(jiān)控器自身受到攻擊，會(huì)使虛擬機(jī)監(jiān)控器無法正常工作，各個(gè)虛擬域也將無法正常運(yùn)行。目前已經(jīng)有方法可以利用漏洞或注入代碼對(duì)虛擬機(jī)進(jìn)行攻擊。

（2）虛擬機(jī)逃逸

虛擬機(jī)提供的隔離機(jī)制如果存在漏洞，就可能會(huì)發(fā)生虛擬機(jī)逃逸。虛擬機(jī)逃逸是指：一個(gè)虛擬域中的用戶利用程序?qū)μ摂M域的操作系統(tǒng)進(jìn)行攻擊，導(dǎo)致能夠通過內(nèi)存映射獲得其他虛擬域甚至特權(quán)域的數(shù)據(jù)和權(quán)限，從而破壞這些虛擬域甚至整個(gè)虛擬機(jī)架構(gòu)的安全性。

（3）虛擬域的安全遷移

虛擬域遷移是虛擬機(jī)技術(shù)中非常重要的一部分。為了更合理地利用資源，根據(jù)需要將虛擬域從一臺(tái)物理機(jī)遷移到另一臺(tái)物理機(jī)中。遷移過程通常需要同步內(nèi)存等動(dòng)態(tài)數(shù)據(jù)，有時(shí)也需要同步虛擬磁盤等靜態(tài)數(shù)據(jù)。遷移時(shí)還應(yīng)當(dāng)使用安全的遷移協(xié)議。協(xié)議不安全會(huì)導(dǎo)致遷移過程中發(fā)生數(shù)據(jù)泄漏，或者數(shù)據(jù)的完整性被破壞，最終導(dǎo)致虛擬域無法正常運(yùn)行。而如果遷移到的目的主機(jī)的計(jì)算平臺(tái)存在安全問題，也會(huì)導(dǎo)致被遷移的虛擬域存在安全威脅。此外，如果攻擊者截獲了某次遷移的數(shù)據(jù)，并將這些數(shù)據(jù)的日后遷移進(jìn)行重放攻擊，也會(huì)破壞虛擬域的完整性。

（4）特權(quán)域安全

很多虛擬機(jī)都存在特權(quán)域允許管理員管理虛擬機(jī)自身和其他虛擬域，例如分配資源，創(chuàng)建、啟動(dòng)、遷移、關(guān)閉和刪除虛擬域，訪問虛擬域的數(shù)據(jù)文件，甚至利用一些機(jī)制訪問虛擬域的內(nèi)存。特權(quán)域的權(quán)限非常大，如果攻擊者通過網(wǎng)絡(luò)或其他手段入侵特權(quán)域并獲得相應(yīng)的管理權(quán)限，將對(duì)運(yùn)行在該虛擬機(jī)中的虛擬域造成嚴(yán)重影響。

（5）共享虛擬化資源池安全問題

云計(jì)算環(huán)境是多用戶環(huán)境，所有用戶的數(shù)據(jù)都在云中存儲(chǔ)和處理。如果數(shù)據(jù)不能有效地隔離，將會(huì)導(dǎo)致用戶私人數(shù)據(jù)被其他用戶盜取、篡改、破壞。這就要求不同用戶的數(shù)據(jù)必須嚴(yán)格隔離，防止用戶讀寫他人的文件。用戶提交的計(jì)算作業(yè)首先被分配在共享虛擬化資源池中。如果不能保證這些計(jì)算作業(yè)是由可信的用戶提交到資源池，將會(huì)導(dǎo)致資源池中的所有共享資源被盜取、篡改以及破壞的危險(xiǎn)。動(dòng)態(tài)的資源在使用完畢或失效后需要立即銷毀，否則將會(huì)造成信息泄漏的危險(xiǎn)。

（6）拒絕服務(wù)

與傳統(tǒng)的網(wǎng)絡(luò)攻擊中的拒絕服務(wù)攻擊不同，由于對(duì)外提供服務(wù)的是運(yùn)行在虛擬機(jī)中的各個(gè)獨(dú)立的虛擬域，因此如果隔離機(jī)制比較完善，那么一個(gè)虛擬域自身漏洞引起的攻擊通常不會(huì)影響其他虛擬域。但是，如果虛擬機(jī)的資源調(diào)度和管理存在問題，當(dāng)一個(gè)虛擬域的工作負(fù)載突然增強(qiáng)時(shí)，特別是網(wǎng)絡(luò)負(fù)載增強(qiáng)時(shí)，也會(huì)影響到其他虛擬域甚至整臺(tái)虛擬機(jī)的正常工作。這就要求虛擬機(jī)監(jiān)控器自身必須穩(wěn)定，實(shí)時(shí)監(jiān)控資源的使用，以便在發(fā)現(xiàn)問題時(shí)能及時(shí)采取應(yīng)對(duì)措施。

2 典型的虛擬機(jī)部署架構(gòu)

在《信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T 22239-2008》中等級(jí)保護(hù)二級(jí)網(wǎng)絡(luò)安全的結(jié)構(gòu)安全方面，要求“應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段”。在訪問控制方面，要求“應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能”；在安全審計(jì)方面，要求“應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄”；而且在邊界完整性檢查、入侵防范、網(wǎng)絡(luò)設(shè)備防護(hù)等方面也有明確要求。級(jí)別越高，安全防護(hù)要求越高，例如等級(jí)保護(hù)三級(jí)網(wǎng)絡(luò)安全在結(jié)構(gòu)安全方面，還要求“應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段”[6]。

虛擬環(huán)境下大部分安全問題都來自于管理不當(dāng)或一些顯而易見的錯(cuò)誤。所以，應(yīng)對(duì)服務(wù)控制臺(tái)與管理工具的訪問實(shí)施嚴(yán)格的控制，并利用管理工具來支持一個(gè)獨(dú)立的網(wǎng)絡(luò)，確保虛擬機(jī)不會(huì)干擾到管理控制臺(tái)對(duì)其他服務(wù)器的控制。同時(shí)，應(yīng)根據(jù)基本要求和應(yīng)用系統(tǒng)的等級(jí)保護(hù)級(jí)別，評(píng)估是否需要增加額外的控制，比如虛擬防火墻或虛擬入侵保護(hù)系統(tǒng)?？赏ㄟ^物理服務(wù)器內(nèi)的虛擬交換設(shè)備來密切觀察用戶是如何使用虛擬機(jī)的，比如交換機(jī)的配置、流量情況，以及虛擬機(jī)自身之間、虛擬機(jī)與外部設(shè)備之間的可訪性。典型的虛擬機(jī)部署架構(gòu)一般包括三種模式：一個(gè)管理中心一個(gè)物理資源池多個(gè)虛擬安全域，一個(gè)管理中心多個(gè)物理資源池多個(gè)虛擬安全域，多個(gè)管理中心多個(gè)物理資源池多個(gè)虛擬安全域。

2.1 一個(gè)管理中心一個(gè)物理資源池多個(gè)虛擬安全域的部署模式

一個(gè)管理中心一個(gè)物理資源池多個(gè)虛擬安全域的部署模式如圖1所示。虛擬化宿主主機(jī)為高端主機(jī)，前端連接支持虛擬化的網(wǎng)絡(luò)設(shè)備（如交換機(jī)、網(wǎng)卡）和邊界訪問控制設(shè)備（如防火墻），后端連接 SAN存儲(chǔ)設(shè)備和虛擬機(jī)管理系統(tǒng)。虛擬化宿主主機(jī)在虛擬機(jī)管理系統(tǒng)中虛擬出了多臺(tái) Windows或 Linux操作系統(tǒng)支撐業(yè)務(wù)系統(tǒng)。相同安全域的主機(jī)之間的數(shù)據(jù)流會(huì)流向交換機(jī)，交換機(jī)按照預(yù)訂的安全策略轉(zhuǎn)發(fā)數(shù)據(jù)包。不同安全域之間的數(shù)據(jù)流會(huì)流向邊界訪問控制設(shè)備，邊界訪問控制設(shè)備按照預(yù)訂的安全規(guī)則允許或禁止不同虛擬安全域之間的數(shù)據(jù)訪問。虛擬化宿主主機(jī)位于同一管理網(wǎng)段，被虛擬機(jī)管理系統(tǒng)管理。在這種部署模式中，雖然虛擬機(jī)采用了MLS（多級(jí)安全系統(tǒng)）技術(shù)進(jìn)行隔離和保護(hù)，滿足 EAL4+（Evaluation Assurance Level）的要求，但是不同安全域的虛擬機(jī)位于同一物理主機(jī)上，虛擬化宿主主機(jī)位于同一管理網(wǎng)段，虛擬機(jī)可能干擾到虛擬機(jī)管理系統(tǒng)對(duì)其他安全域虛擬機(jī)的控制，安全性僅符合等級(jí)保護(hù)一級(jí)的結(jié)構(gòu)安全要求，不符合等級(jí)保護(hù)二級(jí)的結(jié)構(gòu)安全要求。

圖1 一個(gè)管理中心一個(gè)物理資源池多個(gè)虛擬安全域

2.2 一個(gè)管理中心多個(gè)物理資源池多個(gè)虛擬安全域的部署模式

一個(gè)管理中心多個(gè)物理資源池多個(gè)虛擬安全域的部署模式如圖2所示。虛擬化宿主主機(jī)為高端主機(jī)，每個(gè)虛擬化宿主主機(jī)池的前端連接各自支持虛擬化的網(wǎng)絡(luò)設(shè)備（如交換機(jī)、網(wǎng)卡）和普通的邊界訪問控制設(shè)備（如防火墻），后端連接同一 SAN存儲(chǔ)設(shè)備和虛擬機(jī)管理系統(tǒng)。虛擬化宿主主機(jī)在虛擬機(jī)管理系統(tǒng)中虛擬出了多臺(tái) Windows或Linux操作系統(tǒng)支撐業(yè)務(wù)系統(tǒng)。相同安全域的主機(jī)之間的數(shù)據(jù)流會(huì)流向交換機(jī)，交換機(jī)按照預(yù)定的安全策略轉(zhuǎn)發(fā)數(shù)據(jù)包。不同安全域之間的數(shù)據(jù)流會(huì)流向邊界訪問控制設(shè)備，邊界訪問控制設(shè)備按照預(yù)訂的安全規(guī)則允許或禁止不同虛擬安全域之間的數(shù)據(jù)訪問。不同物理資源池的虛擬化宿主主機(jī)位于不同的管理網(wǎng)段，被虛擬機(jī)管理系統(tǒng)管理。在這種部署模式中，不同安全域的虛擬機(jī)位于不同的物理服務(wù)器上，不同安全域的虛擬機(jī)的管理網(wǎng)段也不相同，虛擬機(jī)不易干擾到虛擬機(jī)管理系統(tǒng)對(duì)其他安全域虛擬機(jī)的控制。這基本符合等級(jí)保護(hù)二級(jí)的結(jié)構(gòu)安全要求，只是由同一虛擬機(jī)管理系統(tǒng)管理存在一定風(fēng)險(xiǎn)。

2.3 多個(gè)管理中心多個(gè)物理資源池多個(gè)虛擬安全域的部署模式

圖2 一個(gè)管理中心多個(gè)物理資源池多個(gè)安全域

圖3 多個(gè)管理中心多個(gè)物理資源池多個(gè)安全域

多個(gè)管理中心多個(gè)物理資源池多個(gè)虛擬安全域的部署模式如圖3所示。虛擬化宿主主機(jī)為高端主機(jī)，每個(gè)虛擬化宿主主機(jī)池的前端鏈接各自支持虛擬化的網(wǎng)絡(luò)設(shè)備（如交換機(jī)、網(wǎng)卡）和普通的邊界訪問控制設(shè)備（如防火墻），后端連接同一 SAN存儲(chǔ)設(shè)備和各自的虛擬機(jī)管理系統(tǒng)。虛擬化宿主主機(jī)在虛擬機(jī)管理系統(tǒng)中虛擬出了多臺(tái)Windows或 Linux操作系統(tǒng)支撐業(yè)務(wù)系統(tǒng)。相同安全域的主機(jī)之間的數(shù)據(jù)流會(huì)流向交換機(jī)，交換機(jī)按照預(yù)訂的安全策略轉(zhuǎn)發(fā)數(shù)據(jù)包。不同安全域之間的數(shù)據(jù)流會(huì)流向邊界訪問控制設(shè)備，邊界訪問控制設(shè)備按照預(yù)訂的安全規(guī)則允許或禁止不同虛擬安全域之間的數(shù)據(jù)訪問。不同物理資源池的虛擬化宿主主機(jī)位于不同的管理網(wǎng)段，且被不同的虛擬機(jī)管理系統(tǒng)管理。每個(gè)安全域的物理資源池、虛擬機(jī)、管理中心均相互獨(dú)立，完全符合等級(jí)保護(hù)二級(jí)的結(jié)構(gòu)安全要求。虛擬機(jī)不會(huì)干擾到其他安全域的虛擬機(jī)管理系統(tǒng)對(duì)其安全域的虛擬機(jī)的控制。

3 典型的虛擬機(jī)部署架構(gòu)的應(yīng)用

按照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求 GB/T 22239-2008》中等級(jí)保護(hù)一級(jí)關(guān)于結(jié)構(gòu)安全的要求，Web服務(wù)器、應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器可以位于一臺(tái)虛擬機(jī)，也可以分別位于三個(gè)不同虛擬安全域的三臺(tái)虛擬機(jī)中。所以，等級(jí)保護(hù)一級(jí)的信息系統(tǒng)可以部署在一個(gè)管理中心一個(gè)物理資源池多個(gè)虛擬安全域的環(huán)境中。

按照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求 GB/T 22239-2008》中等級(jí)保護(hù)二級(jí)關(guān)于結(jié)構(gòu)安全的要求，Web服務(wù)器和應(yīng)用服務(wù)器位于同一物理資源池的同一個(gè)或者兩個(gè)不同的虛擬機(jī)，數(shù)據(jù)庫(kù)服務(wù)器位于不同物理資源池的虛擬機(jī)。所以，等級(jí)保護(hù)二級(jí)的信息系統(tǒng)至少需要部署在一個(gè)管理中心多個(gè)物理資源池多個(gè)安全域的環(huán)境中。

按照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求 GB/T 22239-2008》中等級(jí)保護(hù)三級(jí)關(guān)于結(jié)構(gòu)安全的要求，Web服務(wù)器位于一個(gè)物理資源池的一個(gè)虛擬機(jī)，應(yīng)用服務(wù)器位于另一物理資源池的一個(gè)虛擬機(jī)，數(shù)據(jù)庫(kù)服務(wù)器位于與應(yīng)用服務(wù)器相同（或不同）物理資源池但與 Web服務(wù)器不同物理資源池的虛擬機(jī)。所以，等級(jí)保護(hù)三級(jí)的信息系統(tǒng)至少需要部署在一個(gè)管理中心多個(gè)物理資源池多個(gè)安全域的環(huán)境中，條件許可的情況下部署在多個(gè)管理中心多個(gè)物理資源池多個(gè)安全域的環(huán)境中更安全。

4 結(jié)論

虛擬機(jī)技術(shù)會(huì)越來越廣泛地應(yīng)用于不同保護(hù)等級(jí)的信息系統(tǒng)中，上述三種虛擬機(jī)部署模式滿足基本要求中第一級(jí)、第二級(jí)和第三級(jí)的結(jié)構(gòu)安全要求?！缎畔⑾到y(tǒng)安全等級(jí)保護(hù)基本要求 GB/T 22239-2008》中有關(guān)網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)方面的技術(shù)要求同樣適用于基于虛擬機(jī)的信息系統(tǒng)，以后會(huì)深入探討虛擬機(jī)環(huán)境下主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)方面的問題。

[1]秦中元, 沈日勝, 張群芳,等.虛擬機(jī)系統(tǒng)安全綜述[J].計(jì)算機(jī)應(yīng)用研究, 2012,29(5):1618-1622.

[2]胡小龍, 蔣光慶, 郭玉東, 等.基于協(xié)作型VMM的虛擬機(jī)網(wǎng)絡(luò)訪問控制技術(shù)研究[J].小型微型計(jì)算機(jī)系統(tǒng), 2014, 35(4):883-888.

[3]孫磊, 楊星, 馬自堂.云環(huán)境下基于BN模型的虛擬機(jī)安全部署模型[J].計(jì)算機(jī)科學(xué), 2013, 40(3): 210-214.

[4]蔡志強(qiáng), 丁麗萍, 賀也平.一種基于虛擬機(jī)的動(dòng)態(tài)內(nèi)存泄露檢測(cè)方法[J].計(jì)算機(jī)應(yīng)用與軟件, 2012, 29(9): 10-13.

[5]梁彪, 秦中元, 沈日勝, 等.一種虛擬機(jī)訪問控制安全模型[J].計(jì)算機(jī)應(yīng)用研究, 2014, 31(1): 231-235.

[6]GB/T 22239-2008信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S].北京:中國(guó)標(biāo)準(zhǔn)出版社, 2008.