索世恒

（文化和旅游部信息中心，北京 100020）

在當(dāng)前的云計(jì)算體系下，虛擬技術(shù)作為其中的代表，所能承載的業(yè)務(wù)也在逐漸變化之中，核心業(yè)務(wù)的影響越來越明，因此其信息安全問題逐漸得到了社會(huì)的廣泛關(guān)注。在當(dāng)前虛擬化環(huán)境中，信息安全風(fēng)險(xiǎn)一直制約著虛擬化技術(shù)的發(fā)展，所以針對(duì)這種問題，就需要工作人員能夠進(jìn)一步了解信息安全風(fēng)險(xiǎn)問題，提出應(yīng)對(duì)措施，切實(shí)保證系統(tǒng)安全。

1 虛擬化環(huán)境中的信息安全風(fēng)險(xiǎn)

1.1 虛擬化環(huán)境中的傳統(tǒng)安全問題依然存在

從相關(guān)技術(shù)的發(fā)展情況來看，虛擬化環(huán)境中的傳統(tǒng)安全風(fēng)險(xiǎn)情況尚未得到有效解決。例如，在當(dāng)前虛擬化的環(huán)境中，物理服務(wù)器的體系結(jié)構(gòu)得到了分解，并以不同的業(yè)務(wù)承載形式表現(xiàn)出來，在這種情況下，操作系統(tǒng)本身的漏洞、業(yè)務(wù)系統(tǒng)問題等都會(huì)造成問題運(yùn)行問題，尤其是防病毒系統(tǒng)、文件存儲(chǔ)安全問題等還存在很大的改進(jìn)空間[1]。

同時(shí)，對(duì)系統(tǒng)資源的爭(zhēng)奪已經(jīng)成為虛擬機(jī)功能的重要組成部分，在正常的系統(tǒng)運(yùn)行階段，需要通過多個(gè)虛擬機(jī)同時(shí)運(yùn)行的基礎(chǔ)上，同時(shí)為了考慮未來的病毒更新的業(yè)務(wù)要求，盡可能避免網(wǎng)絡(luò)負(fù)擔(dān)問題而對(duì)虛擬機(jī)的運(yùn)行產(chǎn)生影響。

1.2 虛擬化環(huán)境中本身存在缺陷

在虛擬化客戶端體系下，傳統(tǒng)的Hypervisor 管理層的屬性要求，避免造成安全問題。這是因?yàn)镠ypervisor 管理層本身具有特殊性，為了可以有效適應(yīng)物理服務(wù)器的運(yùn)行要求之后，通過一套具有穩(wěn)定性的物理硬件來實(shí)現(xiàn)多種模式下的虛擬操作。在這種操作特征下，Hyperbisor 作為一種新的軟件層，其完整性并不理想，并且系統(tǒng)的漏洞或者管理員安全配置不當(dāng)都會(huì)到引發(fā)安全隱患問題。例如，當(dāng)虛擬機(jī)在物理服務(wù)器之間遷移時(shí)，不會(huì)產(chǎn)生警告，增加出現(xiàn)風(fēng)險(xiǎn)的隱患；或者在虛擬機(jī)共享數(shù)據(jù)或者重新分配資源時(shí)，也有可能造成內(nèi)存泄露風(fēng)險(xiǎn)。除此之外，少數(shù)不法分子會(huì)通過Hyperbisor 層的運(yùn)行虛擬機(jī)內(nèi)部子操作系統(tǒng)，開展超越虛擬機(jī)范圍的攻擊，在進(jìn)入到子系統(tǒng)內(nèi)部后，攻擊會(huì)蔓延至升整個(gè)虛擬服務(wù)器，造成巨大損失。

1.3 虛擬機(jī)的管理存在問題

虛擬機(jī)本身存在一定的安全管理問題，在虛擬化環(huán)境下，隨著設(shè)備運(yùn)行時(shí)間的增加，會(huì)導(dǎo)致管理終端數(shù)量快速增長(zhǎng)，相對(duì)應(yīng)的，安全防護(hù)范圍也在逐漸擴(kuò)大。而管理網(wǎng)絡(luò)與生產(chǎn)網(wǎng)絡(luò)之間未實(shí)現(xiàn)隔離，這會(huì)導(dǎo)致管理人員在維護(hù)虛擬化平臺(tái)階段，難以對(duì)虛擬機(jī)的自動(dòng)設(shè)置、遷移過程等做全面追蹤管理，一些潛在的安全風(fēng)險(xiǎn)無法被及時(shí)發(fā)現(xiàn)[2]。同時(shí)，虛擬機(jī)運(yùn)行過程中會(huì)產(chǎn)生大量且難以計(jì)算的數(shù)據(jù)，對(duì)這些數(shù)據(jù)的監(jiān)控與識(shí)別存在難度，若不能及時(shí)對(duì)這些數(shù)據(jù)進(jìn)行做監(jiān)控，會(huì)導(dǎo)致物理主機(jī)的安全風(fēng)險(xiǎn)增加，并向其他虛擬機(jī)傳染“虛擬機(jī)溢出”的補(bǔ)丁，引發(fā)安全問題。

2 虛擬化環(huán)境下信息安全防護(hù)體系的構(gòu)建策略

針對(duì)虛擬化環(huán)境下所構(gòu)建的新型信息安全防護(hù)方案，是以不同虛擬安全防護(hù)為基礎(chǔ)逐漸演變的，滿足信息系統(tǒng)合規(guī)性審計(jì)要求，是一種多層次的綜合安全防護(hù)系統(tǒng)。

2.1 病毒防護(hù)

傳統(tǒng)的虛擬化環(huán)境下病毒防護(hù)解決方案，主要是通過安裝Agent 代理程序來實(shí)現(xiàn)的，通過Agent 代理程序在虛擬主機(jī)操作系統(tǒng)中構(gòu)建病毒安全防護(hù)網(wǎng)絡(luò)，并且在整合服務(wù)器虛擬化之后，完成對(duì)病毒的實(shí)時(shí)防護(hù)。在這種模式下，虛擬化信息環(huán)境下的病毒防護(hù)同樣需要在虛擬操作系統(tǒng)中安裝相應(yīng)的病毒防護(hù)Agent 代理程序。從效果來看，這種方法的工作效率第一，并且若沒有及時(shí)安裝程序，系統(tǒng)將會(huì)面臨較大的安全風(fēng)險(xiǎn)。

針對(duì)上述問題，本文提出了一種新的病毒防護(hù)對(duì)策：通過Vmshield 接口來實(shí)現(xiàn)虛擬主機(jī)與虛擬系統(tǒng)之間的安全防護(hù)，通過Vmshield 接口，不需要在虛擬主機(jī)操作系統(tǒng)中安裝Ggent 程序，實(shí)現(xiàn)了虛擬主機(jī)系統(tǒng)無代理的安全防護(hù)模式。在這種模式下，不會(huì)消耗費(fèi)配合虛擬主機(jī)的計(jì)算機(jī)資源與其他網(wǎng)絡(luò)資源消耗，不僅可以充分使用各種網(wǎng)絡(luò)計(jì)算，還能實(shí)現(xiàn)對(duì)系統(tǒng)的實(shí)時(shí)病毒防護(hù)。

在這種改進(jìn)后的病毒防護(hù)模式中，虛擬網(wǎng)絡(luò)環(huán)境下的訪問控制得到了充分改進(jìn)，與傳統(tǒng)的硬件防火墻相比，改進(jìn)后的病毒防護(hù)防火墻得到了進(jìn)一步完善，成為一種建立在硬件系統(tǒng)基礎(chǔ)上的防火墻模式，能夠提供各種基于狀態(tài)檢測(cè)的訪問控制，實(shí)現(xiàn)基于虛擬交換機(jī)的網(wǎng)絡(luò)控制與虛擬系統(tǒng)之間的區(qū)域巡邏，所以面對(duì)各種不法分子的攻擊都具有很強(qiáng)的攔截能力。

2.2 虛擬流量分析

2.2.1 縱向虛擬流量技術(shù)分析

在通過現(xiàn)有成熟的安全技術(shù)來解決普遍性的安全危險(xiǎn)之后，虛擬化環(huán)境下的安全防護(hù)范圍進(jìn)一步拓展，還需要考慮“虛擬機(jī)虛擬機(jī)”、“虛擬機(jī)客戶端”之間的安全問題[3]。在這種特殊的需求下，虛擬環(huán)境下的流量流向在安全防護(hù)中發(fā)揮著重要作用，可以成為安全管理的重要組成部分。

從目前相關(guān)技術(shù)的發(fā)展情況來看，大部分?jǐn)?shù)據(jù)中心在虛擬化建設(shè)中都處于單中心虛擬階段，在虛擬化環(huán)境中建立了虛擬計(jì)算池，并逐步將各個(gè)應(yīng)用系統(tǒng)轉(zhuǎn)移到虛擬平臺(tái)上。在這個(gè)階段的主要特征，就是虛擬服務(wù)器與實(shí)體服務(wù)器是共存的，所以出于信息安全的考慮，需要將各種重要業(yè)務(wù)部署到實(shí)體服務(wù)器上，而虛擬服務(wù)器可以承擔(dān)各種非重要的業(yè)務(wù)。

在基于虛擬流量的信息安全閥防護(hù)中，可以搭建客戶端的虛擬平臺(tái)，該階段虛擬環(huán)境下的網(wǎng)絡(luò)流量以縱向?yàn)橹?，主要面?duì)外部客戶到虛擬機(jī)的訪問需求，并且在相同的宿主機(jī)上，多個(gè)虛擬機(jī)可以采用物理接入交換機(jī)的方法與客戶端完成數(shù)據(jù)過濾。在這種情況下，通過虛擬服務(wù)器的大部分訪問過程需要經(jīng)過安全設(shè)備與接入機(jī)的認(rèn)證，保證了安全。同時(shí)為了提高安全防護(hù)效果，還可以在業(yè)務(wù)服務(wù)器的邊界部署各類網(wǎng)關(guān)類安全產(chǎn)品，并在數(shù)據(jù)交互的物理交換機(jī)上部署網(wǎng)絡(luò)審計(jì)系統(tǒng)或者入侵檢測(cè)系統(tǒng)，確?？梢栽谔摂M化環(huán)境下對(duì)各類病毒進(jìn)行檢測(cè)。

2.2.2 橫向虛擬流量技術(shù)分析

而在構(gòu)建虛擬化平臺(tái)后，企業(yè)在信息安全管理中，可以將大部分業(yè)務(wù)遷移到虛擬平臺(tái)上，并根據(jù)不同業(yè)務(wù)種類的特征，在虛擬平臺(tái)上劃分不同的安全域，具體結(jié)構(gòu)如圖1所示。

圖1 橫向虛擬流量的安全防護(hù)結(jié)構(gòu)

在按照?qǐng)D1的結(jié)構(gòu)完成劃分后，同一層次上的不同安全域與統(tǒng)一安全域之間的虛擬機(jī)互訪數(shù)量越來越多，此時(shí)的訪問就是橫向訪問。而在相同宿主機(jī)上不同虛擬機(jī)交互下所出現(xiàn)的網(wǎng)絡(luò)流量，不會(huì)通過物理接入到虛擬機(jī)中，可以對(duì)各類信息流的分類監(jiān)控。

2.3 入侵檢測(cè)與保護(hù)

從虛擬環(huán)境信息安全的角度來看，任何防護(hù)措施都不可避免的存在瑕疵，因此依然面臨系統(tǒng)安全性的威脅。而針對(duì)這種問題，則需要通過入侵檢測(cè)技術(shù)，對(duì)各種進(jìn)入到虛擬網(wǎng)絡(luò)環(huán)境內(nèi)部的安全因素進(jìn)行識(shí)別。為了實(shí)現(xiàn)上述目標(biāo)，可以在VMware 的NSX環(huán)境中，依靠NSX 的專用接口對(duì)虛擬交換機(jī)允許交換機(jī)或者端口做識(shí)別，在這種情況下的虛擬IDS 傳感器可以感知不同虛擬段上的流量，并形成歷史數(shù)據(jù)。而當(dāng)發(fā)現(xiàn)某一虛擬段上的流量數(shù)據(jù)明顯區(qū)別與歷史數(shù)據(jù)時(shí)，則可以認(rèn)為該虛擬段存在問題，需要及時(shí)查看。

除了提供系統(tǒng)的IPS 系統(tǒng)功能外，相關(guān)人員還可以在虛擬環(huán)境中，基于policy-based 監(jiān)控與分析工具，實(shí)現(xiàn)更加精確的流量監(jiān)控，并對(duì)各類網(wǎng)絡(luò)行為做分析，提高安全性。

3 結(jié)束語

從本次研究結(jié)果可知，現(xiàn)階段的虛擬化環(huán)境下的信息安全防護(hù)情況并不理想，這就要求工作人員必須要構(gòu)建全面的信息安全防護(hù)體系，通過層次性的信息安全結(jié)構(gòu)，對(duì)虛擬環(huán)境中的各類安全因素進(jìn)行識(shí)別，切實(shí)避免信息安全事件發(fā)生。