◆魏力鵬 王皓然

虛擬化服務器安全防護系統(tǒng)的設計與實現(xiàn)

◆魏力鵬 王皓然

（貴州電網(wǎng)有限責任公司信息中心 貴州 550002）

除了具有傳統(tǒng)物理服務器的安全風險之外，虛擬化服務器架構同時因虛擬化而帶入了一些新的安全風險，如虛擬服務器間互相攻擊、安全狀態(tài)不一致、運行環(huán)境不一致、資源占用風暴等，針對上述虛擬服務器的安全風險，設計并實現(xiàn)一套基于VMware的安全防護系統(tǒng)，在病毒防護、補丁防護、惡意軟件防護、入侵檢測及防護、訪問控制、完整性監(jiān)控、日志審計、數(shù)據(jù)隔離等方面對虛擬主機和虛擬系統(tǒng)進行了全面防護。

虛擬化服務器; 安全防護系統(tǒng)；服務器安全

0 引言

近年來，隨著云計算的迅猛發(fā)展，服務器虛擬化也越來越受到人們的關注。服務器虛擬化是一種從邏輯角度對資源進行重新配置的方法，通過采用邏輯的方式對物理資源進行配置，即可以在同一個物理服務器上運行多個操作系統(tǒng)，也可以在多個物理服務器上運行一個操作系統(tǒng)。服務器虛擬化打破了物理的局限，有利于實現(xiàn)更高效的資源管理、更有效的資源利用，是一種非常好的資源優(yōu)化整合方式。除了具有傳統(tǒng)物理服務器的安全風險之外，虛擬化服務器架構同時因虛擬化而帶入了一些新的安全風險，針對這些新的安全風險，作者設計并實現(xiàn)了一套基于VMware的安全防護系統(tǒng)。

1 虛擬化服務器架構中存在的安全風險

虛擬化服務器基于物理服務器，因此面臨著傳統(tǒng)物理服務器的各種安全風險，同時由于虛擬服務器之間的數(shù)據(jù)交換、計算資源池共享等，還帶入了一些新的安全風險。傳統(tǒng)的安全技術手段不但難以針對這些新的安全風險進行全面防護，還容易產生大量的資源消耗，導致難以發(fā)揮出虛擬化服務器架構的優(yōu)勢。這些新的安全風險包括：

1.1虛擬服務器間互相攻擊

在采用傳統(tǒng)安全防護模式進行保護時，一般會在物理主機與外面的邊緣位置進行保護，如隔離防火墻，這能夠很好地保護物理主機不受外部攻擊的威脅。但是在同一物理主機內部的不同虛擬服務器直接，仍然存在著相互攻擊和相互入侵的安全風險。攻擊者有可能通過攻擊某一臺存在漏洞的虛擬服務器，并以此為跳板攻擊其它虛擬服務器，進而給整個虛擬化環(huán)境帶來嚴重威脅。因此，對于虛擬服務器的使用者來說，系統(tǒng)仍然是不安全的。

1.2安全狀態(tài)不一致

采用虛擬化技術之后，使服務具備了更高的靈活性和負載均衡，虛擬服務器可以按需啟停。但是虛擬服務器的按需啟停卻導致了安全狀態(tài)滯后的安全風險，主要原因在于虛擬服務器在關閉時，關閉瞬間的各種安全狀態(tài)也將同時得到保存，如病毒防護等；當虛擬服務器再次啟動時，所保存的安全狀態(tài)與其它一直在線運行的虛擬服務器的安全狀態(tài)相比，可能存在滯后和脫節(jié)的情況，如病毒庫的更新。因此，對于虛擬服務器的使用者來說，系統(tǒng)的安全狀態(tài)是不一致的。

1.3運行環(huán)境不一致

在虛擬服務器上更新安全補丁時，如果定期采用傳統(tǒng)方式對階段性發(fā)布的安全補丁進行測試和手工安裝，一方面新更新的安全補丁可能影響到系統(tǒng)功能，導致未測試的異常出現(xiàn)；另一方面如果采用集中式更新系統(tǒng)補丁，則整個過程需要大量人力物力的支撐，增加了成本。而采用單虛擬服務器按需式更新安全補丁，則面臨著安全狀態(tài)不一致的風險。

1.4資源占用風暴

在虛擬化環(huán)境中為每一臺虛擬服務器單獨安裝防病毒軟件，一方面面臨安全狀態(tài)不一致的風險；另一方面在資源占用上也面臨風險：每一臺虛擬服務器上的防病毒軟件都會產生一定物理資源消耗，特別是當所有虛擬服務器上的防病毒軟件同時進行安全掃描或更新時，資源占用風暴將不可避免，嚴重時甚至可能導致物理主機崩潰。

1.5虛擬化工具漏洞風險

無論是采用VMware或其它工具進行虛擬化，這些工具都不可避免地存在漏洞，攻擊者有可能利用工具的漏洞，取得平臺管理權限，進而攻擊其中的虛擬化服務器。

1.6數(shù)據(jù)安全風險

服務器虛擬化之后，不同虛擬服務器的數(shù)據(jù)存儲在共享的物理存儲設備中，在沒有嚴格數(shù)據(jù)隔離措施的情況下，一旦某臺虛擬服務器受到攻擊，其它虛擬服務器也面臨數(shù)據(jù)受到侵害的風險。

1.7系統(tǒng)復制風險

攻擊者通過獲取虛擬機控制器的管理權限，就可以復制其中的虛擬服務器。在其它平臺部署復制后的虛擬服務器，攻擊者就有充足的時間破解其中的安全防護系統(tǒng)、獲取其中的重要數(shù)據(jù)，甚至用修改后的虛擬服務器替換原來的虛擬服務器，而整個過程將難以被察覺。

2 虛擬化服務器安全防護設計

針對虛擬化服務器架構中存在的安全風險，可以在以下幾個方面進行安全防護：

2.1實現(xiàn)無代理病毒防護

在虛擬化環(huán)境中，一臺物理服務器往往承載著多個虛擬服務器，如何有效降低病毒掃描負載，直接影響到整個虛擬化平臺的使用效率。結合VMware的NSX技術架構，可以提供了針對虛擬化服務器及桌面的無代理病毒防護，解決傳統(tǒng)有代理防病毒方式無法適應虛擬化架構的問題，特別是防病毒掃描風暴和病毒定義升級風暴等問題。

2.2通過監(jiān)控Hypervisor底層服務器進行虛擬架構保護

虛擬平臺底層服務器上不安裝任何防護軟件，而是在一臺特定的虛擬服務器上部署安全監(jiān)控代理，以命令行或者API接口的方式訪問平臺底層配置文件/日志、VM配置文件。

2.3保障平臺安全運行環(huán)境

限制服務器主機上的端口開放和訪問情況，確保服務器上只開放允許的服務端口，并進行細粒度的訪問控制管理。通過進程白名單技術，確保虛擬服務器只允許業(yè)務所需的進程和程序。提供緩沖區(qū)溢出、進程注入等漏洞攻擊行為的檢測及保護能力，在虛擬服務器未及時更新補丁時進行有效保護。通過監(jiān)控虛擬服務器操作系統(tǒng)日志，及時掌握當前面臨的威脅及風險狀況。

2.4提供可信網(wǎng)絡訪問

策略管理服務器制定統(tǒng)一的防火墻規(guī)則，并且自動下發(fā)到終端進行執(zhí)行，且不允許終端用戶隨意修改。可以通過防火墻策略限定終端用戶能不能訪問某些特定資源，或者進行特定網(wǎng)絡連接（如基于IP、端口、應用程序等參數(shù)）。避免虛擬服務器間的惡意攻擊及訪問，彌補傳統(tǒng)防火墻只能監(jiān)控阻止外部攻擊的不足。

2.5實現(xiàn)業(yè)務隔離

提供基于進程、文件級別的應用程序控制功能，自動收集并識別虛擬服務器上運行的業(yè)務進程及服務，并根據(jù)進程的繼承和調用關系，在確保業(yè)務進程和業(yè)務操作正常運行的前提下，阻止可信范圍之外的其它應用程序的安裝和運行，防止因為軟件的隨意安裝或者程序的運行可能導致的病毒感染、惡意代碼執(zhí)行風險。

2.6實現(xiàn)系統(tǒng)資源調用限制

操作系統(tǒng)的每項進程、服務和功能都有其明確定義，可以預先記錄它們的已知行為。在其執(zhí)行資源調用之前，由安全防護系統(tǒng)進行評估并確保有效性，只有經(jīng)過驗證的調用才能傳遞給操作系統(tǒng)執(zhí)行。

3 虛擬化服務器安全防護系統(tǒng)實現(xiàn)

圖1 虛擬化服務器安全防護系統(tǒng)架構圖

虛擬化服務器安全防護系統(tǒng)架構圖如圖1，由四個部分組成，其中：

（1）虛擬網(wǎng)關：部署在防護墻，用于保護虛擬平臺邊緣安全，提供DHCP、NAT、統(tǒng)一防火墻、負責均衡、VPN、端口隔離等功能。

（2）安全代理：部署于物理服務器中，為整個物理服務器提供反病毒引擎和反病毒數(shù)據(jù)庫，每個虛擬服務器中無需部署引擎及反病毒數(shù)據(jù)庫，安全代理實現(xiàn)了性能開銷更低的一對多安全防護。

（3）虛擬應用：部署在虛擬服務器中，提供無代理病毒查殺、IDS/IPS、程序保護、程序控管、完整性監(jiān)控及日志審計等功能。為虛擬化平臺安全防護提供安全接口使用，數(shù)據(jù)文件通過接口傳遞給安全代理進行掃描。

（4）安全中心：負責統(tǒng)一更新病毒庫、提供可信數(shù)據(jù)訪問。通過建立并維護一個掃描文件的全局緩存，保存已經(jīng)經(jīng)過安全掃描的文件，則以后虛擬機再訪問該文件時將無需再次進行掃描。這種做法降低了資源消耗，提高了資源利用率。

（5）管理中心：使管理員能夠進行安全策略管理并將安全策略應用于服務器，以及安全更新和生成報告?？捎糜诠芾?、部署、報告、記錄和集成第三方安全服務，實現(xiàn)基于角色的訪問控制以及職責分離。

圖2 虛擬化服務器安全防護系統(tǒng)功能模塊圖

虛擬化服務器安全防護系統(tǒng)功能模塊圖如圖2，其主要功能包括：

（1）病毒防護：針對虛擬化環(huán)境中存在的安全狀態(tài)不一致和資源占用風暴問題，通過實現(xiàn)虛擬化層的病毒防護模塊提供無代理病毒防護。采用啟發(fā)式掃描，及時查殺病毒。

（2）補丁防護：通過虛擬補丁技術對虛擬服務器進行評估，并自動為每個虛擬服務器提供全面的漏洞修補。在沒有安裝補丁程序之前，提供針對漏洞攻擊的攔截。

（3）惡意軟件防護：集成VMware vShield Endpoint API，無需占用虛擬機資源即可防止VMware虛擬機受到病毒、木馬等惡意軟件的侵害，從而為虛擬環(huán)境中的復雜攻擊干擾安全提供防護。

（4）Web應用防護：防止跨站腳本攻擊和其他Web應用程序漏洞。提供包含攻擊者、攻擊時間等概要信息的自動通知。

（5）入侵防護：通過阻斷SQL注入攻擊、拒絕服務攻擊、蠕蟲病毒侵入攻擊等行為。為服務器提供了高安全度的保護。檢查所有傳入和傳出數(shù)據(jù)包，不允許協(xié)議修改、違反安全策略等可能導致攻擊的內容有可乘之機。

（6）訪問控制：提供基于狀態(tài)檢測的訪問控制功能，實現(xiàn)基于虛擬交換機（vNIC）網(wǎng)口的訪問控制，實現(xiàn)虛擬系統(tǒng)之間的邏輯隔離，同時對各種泛洪攻擊進行識別和攔截。根據(jù)流量管理協(xié)議阻斷非法流量、優(yōu)化流量分布。

（7）入侵檢測：以協(xié)議為基礎，提供基于策略的監(jiān)控和分析工具，更精確地對流量進行監(jiān)控、分析和訪問控制，同時進行網(wǎng)絡行為分析，為在無人值守的環(huán)境下快速準確地檢測入侵行為。將攻擊特征與特征庫進行匹配，記錄新的攻擊特征，不斷完善特征庫。

（8）完整性監(jiān)控：支持基于基線（Baseline）的文件、目錄、注冊表等關鍵文件監(jiān)控功能，如果這些關鍵位置被惡意篡改或感染病毒，系統(tǒng)自動向管理員發(fā)出警報，并記錄問題，從而提高了系統(tǒng)的安全性。

（9）日志審計：提供詳盡的系統(tǒng)日志和報告功能。除了記錄功能日志外，還結合虛擬服務器操作系統(tǒng)日志和安全防護系統(tǒng)運行日志，進行統(tǒng)一的統(tǒng)計和分析，并生成報表。

（10）數(shù)據(jù)隔離：提供動態(tài)存儲管理，根據(jù)虛擬服務器需求自動調整其存儲空間，限制其對存儲空間的訪問，從而實現(xiàn)數(shù)據(jù)的嚴格隔離，避免數(shù)據(jù)安全風險。利用VMware的VMsafe技術，所有虛擬機之間的數(shù)據(jù)流量進行檢查。

（11）應用隔離：支持分離虛擬應用，從而避免虛擬應用之間的相互感染。利用基于簽名的入侵防御功能，來保護HTTP、FTP等關鍵業(yè)務服務免遭攻擊。

（12）雙向狀態(tài)防火墻：進行細粒度過濾，針對網(wǎng)絡的設計策略以及基于IP協(xié)議的位置感知功能，縮小服務器的受攻擊范圍。集中管理服務器防火墻策略，防止拒絕服務攻擊并檢測偵察掃描。

4 結束語

通過設計和實現(xiàn)虛擬化服務器安全防護系統(tǒng)，在病毒防護、補丁防護、惡意軟件防護、入侵檢測及防護、訪問控制、完整性監(jiān)控、日志審計、數(shù)據(jù)隔離等方面實現(xiàn)了全面防護，很好地解決了虛擬化服務器架構中存在的虛擬服務器之間互相攻擊、安全狀態(tài)不一致、運行環(huán)境不一致、資源占用風暴等安全風險，使系統(tǒng)降低了安全威脅出現(xiàn)到可以真正進行防御的時間差，具備了抵抗最新安全威脅的能力，提高了服務器的安全性，從而保障了業(yè)務應用的高可用性。

[1]孫梅玲，李降宇，王寅永.基于虛擬化環(huán)境的信息安全防護體系構建[J].網(wǎng)絡安全技術與應用，2017.

[2]陳藝文.虛擬數(shù)據(jù)中心安全防護的調研分析[D].廣東:華南理工大學，2013.

[3]王皓然.虛擬化安全完整性監(jiān)控研究與實現(xiàn)[J].貴州電力技術，2016.

[4]張凱.云計算環(huán)境下虛擬化服務器的安全分析[J].信息與電腦(理論版)，2016.

[5]王煥民，裴華艷.云計算環(huán)境下虛擬化服務器的安全研究[J].鐵路計算機應用，2014.

[6]趙源.眾達能源公司信息系統(tǒng)網(wǎng)絡安全體系設計與實施[D].吉林:長春理工大學，2014.

[7]鄭富華.華為云計算環(huán)境下虛擬化服務器的安全問題研究[J].電腦迷，2017.

[8]劉俊琪.服務器虛擬化安全風險及防護措施研究[J].電腦知識與技術，2017.

[9]阮俊杰.淺談入侵防護系統(tǒng)在供電局網(wǎng)絡安全建設中的應用[J].網(wǎng)絡安全技術與應用，2016.