周 東

（南京廣播電視大學(xué)，江蘇 南京 210002）

虛擬機(jī)之間通訊安全研究與實(shí)踐

周 東

（南京廣播電視大學(xué)，江蘇 南京 210002）

現(xiàn)如今互聯(lián)網(wǎng)蓬勃發(fā)展，云計(jì)算技術(shù)和各種云端的應(yīng)用也越來越廣泛，其中基礎(chǔ)設(shè)施即服務(wù)IaaS（Infrastructure as a Service）這種云端服務(wù)使用虛擬化技術(shù)來達(dá)成部署云端服務(wù)環(huán)境是常用的方式，然而位于同一架構(gòu)之下的用戶虛擬機(jī)之間的資料傳輸以及管理方面的安全問題對(duì)于云端服務(wù)提供商的管理員而言是一個(gè)挑戰(zhàn)。文章提出一種建議，為既有虛擬化技術(shù)架構(gòu)提供一種監(jiān)測方法，通過此種方法來實(shí)現(xiàn)用戶虛擬服務(wù)器之間的資料傳輸，經(jīng)過用戶授權(quán)且受到信任才允許訪問以及在允許狀況之外的情況發(fā)生時(shí)，能夠發(fā)出警告并及時(shí)阻止，以防事態(tài)擴(kuò)大。希望通過文章提出的建議方法解決用戶之間分享資料時(shí)會(huì)出現(xiàn)的通訊安全問題，如未經(jīng)授權(quán)的讀取、未經(jīng)授權(quán)的連接以及在上述狀況發(fā)生時(shí)，能及時(shí)通知管理員以便介入處理。

云計(jì)算；云計(jì)算安全；跨虛擬機(jī)器攻擊；虛擬化技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，云計(jì)算技術(shù)被提出，各種云端應(yīng)用也隨之應(yīng)運(yùn)而生。在實(shí)現(xiàn)部署各種云端計(jì)算服務(wù)的架構(gòu)以及量化計(jì)算資源作統(tǒng)一管理中，虛擬化技術(shù)是經(jīng)常被使用的技術(shù)，而其中基礎(chǔ)架構(gòu)及服務(wù)（IaaS）這種環(huán)境，是云服務(wù)供應(yīng)商將自己所擁有的數(shù)據(jù)中心的計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等硬件資源量化，根據(jù)用戶的需求分配所需的資源，并進(jìn)行適當(dāng)?shù)嘏渲?，相關(guān)運(yùn)用如Amazon的EC2。用戶在申請過程中提出所需要的CPU數(shù)量、內(nèi)存的大小、硬盤的儲(chǔ)存空間大小等參數(shù)，Amazon在收到需求之后，隨即量化數(shù)據(jù)中心的硬件資源并創(chuàng)建出一臺(tái)虛擬服務(wù)器給用戶。而在虛擬服務(wù)器（或稱虛擬機(jī)）之間的資料傳輸產(chǎn)生的數(shù)據(jù)安全問題以及云計(jì)算服務(wù)供應(yīng)商管理員所能介入作進(jìn)一步處理的能力，就是本文的目標(biāo)與重點(diǎn)。本文提出一種建議與方法，用以確保用戶傳輸資料時(shí)的安全以及云計(jì)算服務(wù)供應(yīng)商及時(shí)介入為用戶解決問題的能力。

1　云計(jì)算虛擬化安全威脅

虛擬化是云計(jì)算的核心技術(shù)，同時(shí)也是其有別于傳統(tǒng)計(jì)算方式的重要特征。通過對(duì)物理資源進(jìn)行虛擬化，不但提升了硬件資源的利用率，還使得資源具有動(dòng)態(tài)可擴(kuò)展性，可以根據(jù)用戶的實(shí)際需求動(dòng)態(tài)分配，為用戶提供彈性的計(jì)算資源。但虛擬化同時(shí)也產(chǎn)生了更多的安全問題，而且傳統(tǒng)的安全防護(hù)措施已經(jīng)不能夠滿足云計(jì)算的需求。

以下列出了虛擬化環(huán)境中需要考慮的幾個(gè)主要安全威脅：

（1）虛擬機(jī)之間流量不可控。在虛擬化環(huán)境中，每臺(tái)物理機(jī)上都承載著多臺(tái)虛擬機(jī)，虛擬機(jī)之間通過虛擬化平臺(tái)提供的虛擬交換機(jī)（vSwitch）進(jìn)行通信，同一個(gè)虛擬交換機(jī)上的虛擬機(jī)是可以相互通信的，如果這些虛擬機(jī)不屬于同一用戶，則可能會(huì)造成相互攻擊和數(shù)據(jù)泄露。同時(shí)傳統(tǒng)的防護(hù)手段位于物理主機(jī)的邊緣，如果一臺(tái)物理機(jī)中的多臺(tái)虛擬機(jī)之間發(fā)生通信，這部分流量將無法被外部安全設(shè)備監(jiān)控和保護(hù)。

（2）虛擬機(jī)之間共享資源的競爭與沖突。在虛擬化環(huán)境中，由于多臺(tái)虛擬機(jī)共享同一物理機(jī)資源，所以可能會(huì)造成資源沖突和競爭。如果沒有正確配置和限制單一虛擬機(jī)的可用資源，則可能會(huì)造成個(gè)別虛擬機(jī)惡意占用資源，從而導(dǎo)致其他虛擬機(jī)出現(xiàn)拒絕服務(wù)的現(xiàn)象。另一方面，如果同一物理機(jī)上的多臺(tái)虛擬機(jī)同時(shí)進(jìn)行病毒掃描等大量占用物理資源的動(dòng)作，當(dāng)物理機(jī)資源耗盡時(shí)就會(huì)造成宕機(jī)，導(dǎo)致虛擬機(jī)業(yè)務(wù)中斷。

（3）云平臺(tái)對(duì)虛擬機(jī)的控制。由于虛擬機(jī)完全受到云平臺(tái)的控制，并且通常同一個(gè)云平臺(tái)中管理著節(jié)點(diǎn)中的所有虛擬機(jī)，所以云平臺(tái)自身的安全就顯得尤為重要。如果云平臺(tái)組件遭到病毒感染或者篡改，輕則云服務(wù)的運(yùn)行受到影響，重則導(dǎo)致用戶數(shù)據(jù)丟失或泄露，虛擬機(jī)資源被非法用戶控制。

（4）云數(shù)據(jù)安全存在風(fēng)險(xiǎn)。首先，大量用戶數(shù)據(jù)集中存儲(chǔ)，很容易被黑客大規(guī)模攻擊；其次，多租戶共享存儲(chǔ)資源，系統(tǒng)數(shù)據(jù)和用戶數(shù)據(jù)共存，導(dǎo)致無法對(duì)重要數(shù)據(jù)進(jìn)行特殊保護(hù)，如果對(duì)不同用戶的存儲(chǔ)數(shù)據(jù)隔離不當(dāng)，則會(huì)造成數(shù)據(jù)泄露的風(fēng)險(xiǎn)；最后，虛擬機(jī)數(shù)據(jù)大多以明文存儲(chǔ)，一旦遭到黑客入侵，由于虛擬機(jī)間之間流量不可視且缺乏流量行為審計(jì)，黑客將可以輕易將數(shù)據(jù)轉(zhuǎn)到其他虛擬機(jī)或外部服務(wù)器，用戶很難發(fā)現(xiàn)數(shù)據(jù)失竊。

（5）云計(jì)算管理權(quán)限問題。在傳統(tǒng)的IDC數(shù)據(jù)機(jī)房中，用戶直接租用服務(wù)器或機(jī)柜，服務(wù)器權(quán)限大多由用戶自己管理，而管理員只負(fù)責(zé)機(jī)房網(wǎng)絡(luò)環(huán)境、物理機(jī)狀態(tài)等維護(hù)。在云計(jì)算環(huán)境中，用戶失去了對(duì)物理機(jī)的控制，而管理員則擁有更高權(quán)限，極有可能是因?yàn)楣芾韱T有意或無意的操作導(dǎo)致用戶服務(wù)的終止，甚至數(shù)據(jù)丟失。

2　系統(tǒng)架構(gòu)設(shè)計(jì)與建議

2.1 系統(tǒng)架構(gòu)

本文所使用的云服務(wù)架構(gòu)是VMware推出的vSphere架構(gòu)（見圖1）。

圖1　VMware公司vSphere的架構(gòu)

可以看到，此架構(gòu)雖然稍顯龐大，但是很好理解，Hypervisor為VMware公司出品的VMware ESXi以及建立在VMware ESXi上的VM虛擬機(jī)器，統(tǒng)一管理兩者以及其他資源的管理中心VMware vCenter Server以及最后讓管理員能遠(yuǎn)程登錄VMware vCenter Server和VMware ESXi進(jìn)行管理的VMware vSphere Client客戶端。

VMware是虛擬化技術(shù)領(lǐng)域的領(lǐng)導(dǎo)者，擁有豐富的技術(shù)專利，成熟的架構(gòu)以及市場環(huán)境，所以使用VMware架構(gòu)最大的優(yōu)勢即部署云計(jì)算環(huán)境的過程中所遇到的問題會(huì)比較少，如令人頭痛的兼容性問題、硬件支援特性等，VMware都有完善的測試與問題解決方案以及部署過程中遇到問題時(shí)所能獲得的技術(shù)支持能力也非常強(qiáng)大，所以本文使用此架構(gòu)進(jìn)行實(shí)際操作。另一方面，VMware的vSphere也提供各種企業(yè)應(yīng)用，如不停機(jī)的虛擬機(jī)器遷移等，更詳細(xì)的資料可以參考VMware的官方網(wǎng)站。

2.2 系統(tǒng)架構(gòu)設(shè)計(jì)

本文建議在構(gòu)建完云計(jì)算環(huán)境之后，在用戶部署的虛擬機(jī)（以下稱為VM）的驅(qū)動(dòng)程序中，附加VM與VM之間傳輸資料的功能之外，還必須有主機(jī)入侵防御系統(tǒng)等詳細(xì)讀取規(guī)則的監(jiān)視模塊，此監(jiān)視模塊能監(jiān)視VM之間的資料傳輸行為，判斷是否異常以及是否經(jīng)過授權(quán)等。而異常狀況可以通知用戶或是云服務(wù)管理員介入處理，監(jiān)視模塊的概念如圖2所示。

在每個(gè)VM所安裝的行為監(jiān)視模塊中，如發(fā)現(xiàn)異常行為，則會(huì)通過報(bào)警機(jī)制通報(bào)用戶或是管理員，通知用戶受到攻擊或受異常行為干擾，而通知管理員的目的在于，對(duì)一些連續(xù)攻擊或是困擾用戶的攻擊，管理員可以通過較高的權(quán)限進(jìn)行處理，如阻斷VM雙方的通訊，甚至能迫使攻擊者的VM停機(jī)，然而讓攻擊者VM停機(jī)的做法必須事先確定用戶規(guī)范，如明文規(guī)定用戶出現(xiàn)惡意行為，管理員有權(quán)進(jìn)行關(guān)停其虛擬服務(wù)器等聲明，以避免用戶與管理員之間產(chǎn)生糾紛。

最后本文所建議的監(jiān)視模塊是與驅(qū)動(dòng)程序做捆綁安裝的，目的在于解決Hypervisor以及虛擬服務(wù)器的最佳化問題。安裝主機(jī)入侵防御系統(tǒng)應(yīng)該也能解決一些用戶安全上的問題，然而此類軟件大多并非為虛擬化架構(gòu)所打造，所以本文提出與驅(qū)動(dòng)程序捆綁的方案更易操作。

2.3 系統(tǒng)架構(gòu)實(shí)踐

圖2　監(jiān)視模塊概念

部署VMWarev Sphere所需的運(yùn)行環(huán)境，最基本的是安裝VMware ESXi（Hypervisor）的服務(wù)器一臺(tái)，安裝運(yùn)行vCenter Server的服務(wù)器一臺(tái)以及執(zhí)行vSphere Client用以遠(yuǎn)程登錄vCenter Server的個(gè)人電腦或是筆記本電腦。其中VMware ESXi所需的硬件重點(diǎn)是支持硬件虛擬化技術(shù)的至少兩個(gè)CPU以及至少4GB的內(nèi)存，并且不接受雙核心CPU，不符合需求的硬件在安裝VMware ESXi過程中會(huì)中斷。另一方面，負(fù)責(zé)安裝vCenter Server的服務(wù)器，最主要的需求是安裝64位服務(wù)器操作系統(tǒng)。最后作為安裝 vSphere Client遠(yuǎn)程登錄vCenter Server的電腦，只要是普通個(gè)人電腦或是筆記本電腦都能流暢運(yùn)行，并無特別的硬件需求。

順利安裝完成之后即可利用vSphere Client連入vCenter Server對(duì)VMware ESXi做管理，依照用戶需求的資源建立VM虛擬機(jī)，部署完成后即可套用本文提出的建議和方法。虛擬服務(wù)器的驅(qū)動(dòng)程序中所附加的VM之間資料傳輸功能的相關(guān)行為監(jiān)視模塊范例，如圖3所示。

通過此模塊可以檢測出異常行為，并將異常行為分類顯示在頁面上，并列出詳細(xì)的來源VM與目標(biāo)VM兩者的IP地址、事件發(fā)生的時(shí)間點(diǎn)等，接著便是通知用戶或管理員相關(guān)的警告信息，概念范例如圖4所示。

此警告信息可以通過各種方式發(fā)送給管理員或用戶，可以通過電腦網(wǎng)絡(luò)，或者通過短信來通知用戶及管理員，以便增加用戶使用上的安全以及管理員接收信息協(xié)助用戶處理事件的能力。

借由以上架構(gòu)的建議和方法來完成VM之間安全的、經(jīng)過用戶授權(quán)的資料傳輸，而通知管理員事件的最大用意在于管理員可以動(dòng)用管理權(quán)限對(duì)惡意用戶做封鎖，另一方面通知用戶相關(guān)事件則是可以避免損失擴(kuò)大。

3　結(jié)語

希望本文的建議與方法，方便用戶在虛擬服務(wù)器之間傳輸資料的同時(shí)，防范非法的或是未經(jīng)授權(quán)的讀取，也在用戶受到對(duì)方惡意騷擾時(shí)，能讓云計(jì)算服務(wù)供應(yīng)商管理員有辦法得知并給予用戶一些幫助，協(xié)助用戶進(jìn)行處理。

圖3　VM之間資料傳輸功能相關(guān)的行為監(jiān)視模塊范例

本文提出的方法依然有很多地方需要改進(jìn)，例如通知管理員的機(jī)制。希望未來可以在各種智能手機(jī)上運(yùn)行，通過信息發(fā)送或是其他方式通知云計(jì)算服務(wù)供應(yīng)商管理員突發(fā)狀況，而同樣的通知機(jī)制也可以套用在用戶身上。

圖4　通知用戶或管理員的警告信息，并連帶攻擊記錄

最后，本文所提出的建議與方法，目的是期望有更多方案可以為廣大云計(jì)算用戶帶來便利的同時(shí)，也能兼顧用戶的數(shù)據(jù)安全。且不管是用戶還是管理員，只要是云計(jì)算架構(gòu)的一員，都能夠?yàn)樵朴?jì)算架構(gòu)的數(shù)據(jù)安全作出自己的努力。

［1］蔡天浩，陳彥仲，黃秀娟，等.一種應(yīng)用于虛擬平臺(tái)之實(shí)體隔離機(jī)制［M］.臺(tái)北：中華電信研究所資通安全研究室，2011.

［2］王笑帝，張?jiān)朴?，劉鏑，等.云計(jì)算虛擬化安全技術(shù)研究［J］.電信科學(xué)，2015（6）：1-5.

［3］RAJKUMAR B，CHEE S Y，SRIKUMANR V，et al.Cloud computing and emerging IT platforms：Vision，hype，and reality for delivering computing as the 5th utility［D］.Australia：the University of Melbourne，2009.

［4］REINER S，TRENT J，ENRIQUILLO V，et al.Building a Mac-Based Security Architecture for the Xen Open-Source Hypervisor［J］.IBM Thomas Watson Research Center，2005（11）：5-9.

Research and Implementation for the Communication Security of VM to VM

Zhou Dong
（Nanjing Radio and TV University， Nanjing 210002， China）

Nowadays the Internet development is vigorous and the cloud computing technologies are proposed and each kind of cloud computing application is also widespread. The cloud service， IaaS（Infrastructure as a Service）， is often deployed by virtualization technologies. The security issue of data transmission and management between virtual Machines is a big challenge of each cloud service provider.This paper proposes a monitoring method that makes sure the data transmission between virtual Machines authorized and data accessed with trust. Moreover， the system can give the user and the manager warning messages to prevent the insecure situation expansion. We hope our suggestion could solve security problem that appears when users sharing data. For example， the unauthorized accessing and the unauthorized connecting occur and the system can immediately notice the clouds service managers to solve problems. In hope that this paper can really improve the cloud computing security.

cloud computing； cloud security； virtualization； Inter-VM attack

周東（1982— ），男，江蘇宿遷，科長，工程師；研究方向：計(jì)算機(jī)網(wǎng)絡(luò)。