郭晶 杜平

摘? ?要：云計算通過虛擬化技術(shù)實現(xiàn)網(wǎng)絡(luò)按需調(diào)用集中共享資源，也引入了新的信息安全風險。文章分析了虛擬化面臨各種威脅所對應的解決技術(shù)，通過無代理方式，從虛擬機外部為虛擬機中運行的系統(tǒng)提供高級保護。同時，從入侵檢測、通信訪問控制、防惡意軟件以及防病毒等方面制定有效、全面的安全防護方案，完善企業(yè)云計算虛擬化信息安全防護體系，提高企業(yè)云計算虛擬化信息安全防護水平。

關(guān)鍵詞：虛擬化;無代理;虛擬機監(jiān)控;入侵檢測

Abstract： Cloud computing uses virtualization technology to realize network call on demand and centralized sharing of resources， which also introduces new information security risks. This paper analyzes the corresponding solutions to the threats faced by virtualization， and provides advanced protection for the system running in the virtual machine from the outside through the agent-free way. And from the aspects of intrusion detection， communication access control， anti malware and anti-virus， we should formulate effective and comprehensive security protection scheme， improve the information security protection system of enterprise cloud computing virtualization， and improve the information security protection level of enterprise cloud computing virtualization.

Key words： virtualization;agentless;virtual machine monitoring;intrusion detection

1 引言

當前以云計算等為代表的新一代信息通信技術(shù)與智能電網(wǎng)業(yè)務不斷融合，創(chuàng)新活躍，發(fā)展迅猛，催生出新興業(yè)態(tài)和新的應用。云計算通過虛擬化技術(shù)實現(xiàn)網(wǎng)絡(luò)按需調(diào)用集中共享資源（如軟硬件、數(shù)據(jù)和應用），提高IT資源利用率和動態(tài)分配、靈活擴展能力，消除重復建設(shè)[1]。云計算虛擬化技術(shù)應用促進大型企業(yè)信息化業(yè)務架構(gòu)的革新，但也引入了新的信息安全風險。本文分析企業(yè)云計算虛擬化信息安全防護的特點和需求，制定基于主機虛擬化的安全防護方案，為后續(xù)虛擬化技術(shù)應用的安全防護提供有效支撐。

2 虛擬化面臨的安全威脅及分析

就目前虛擬機安全遇到的威脅挑戰(zhàn)來看，主要集中在虛擬機逃逸、虛擬機遷移、虛擬環(huán)境網(wǎng)絡(luò)安全、外部對虛擬機修改、拒絕服務、數(shù)據(jù)存儲安全等問題，以及傳統(tǒng)主機中遇到的惡意代碼、病毒攻擊等問題。常見的虛擬化安全威脅以及應對方式有八個方面。

（1）虛擬機逃逸：即虛擬機進程繞過VMM直接控制底層物理資源，應對方式為正確配置VMM和虛擬機的交互方式，增強訪問控制。

（2）虛擬機遷移：即攻擊者借助某臺虛擬機控制其他虛擬機或VMM。應對方式為增強隔離性。

（3）虛擬機之間互相監(jiān)視：即虛擬機能看到其他虛擬機的內(nèi)存、磁盤等信息。應對方式為增強隔離性。

（4）拒絕服務：即某虛擬機占用所有資源致VMM無法給其他虛擬機提供資源。應對方式為限制虛擬機申請資源的數(shù)量。

（5）網(wǎng)絡(luò)安全：嗅探、ARP欺騙以及無法監(jiān)控虛擬機之間的流量。應對方式為網(wǎng)絡(luò)隔離，禁止混雜模式，使用安全防護軟件，采用支持虛擬機網(wǎng)絡(luò)流量監(jiān)控的通信技術(shù)。

（6）虛擬機監(jiān)視器的安全：受非法控制和篡改。應對方式為采用可信計算技術(shù)以及安全防護軟件。

（7）惡意軟件：非法控制虛擬機和VMM，破壞系統(tǒng)正常運行。應對方式為采用可信計算技術(shù)以及用虛擬機自省實現(xiàn)安全防護。

（8）數(shù)據(jù)存儲的安全：數(shù)據(jù)的安全存儲、數(shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄浴?shù)據(jù)的容錯性和可恢復性。應對方式為通過環(huán)境安全技術(shù)、冗余存儲機制、數(shù)據(jù)加密存儲和傳輸技術(shù)，以及數(shù)據(jù)訪問主體的身份管理與鑒權(quán)技術(shù)進行數(shù)據(jù)存儲安全防護[2]。

由于虛擬化面臨的威脅眾多，要實現(xiàn)一個全面的虛擬化安全防護系統(tǒng)，首先需要獲取虛擬機的運行狀態(tài)和系統(tǒng)信息，對虛擬機的運行狀態(tài)進行分析和相關(guān)處理，以達到虛擬化安全防護的目標。

3 主要難點

（1）傳統(tǒng)的企業(yè)網(wǎng)絡(luò)劃分不同的安全域，并且在不同的安全域之間部署防火墻等網(wǎng)絡(luò)安全設(shè)備。然而在云環(huán)境下，不同的業(yè)務網(wǎng)絡(luò)是構(gòu)建在虛擬網(wǎng)絡(luò)技術(shù)之上，無法采用物理防護設(shè)備[3]。

（2）大多數(shù)虛擬化安全技術(shù)多采用傳統(tǒng)的主機防護方式來增強虛擬機的安全。采用這種技術(shù)需要在每個虛擬機中部署主機防護系統(tǒng)，例如主機防火墻、主機殺毒軟件、主機監(jiān)控系統(tǒng)等。在云計算的模式下，這種侵入式的安全系統(tǒng)部署，不僅會降低虛擬機服務的可信性，還會影響云計算模式的可行性。另外，大量重復部署主機防護產(chǎn)品，會造成系統(tǒng)性能開銷過大、可維護性差等問題[4，5]。

（3）采用虛擬化層安全增強的方式是研究的熱點，目前主流的方式有代理方式和無代理方式，有代理的部署方式也屬于侵入式部署，同樣具有上述性能開銷過大、維護性低的問題。然而，無代理方式是從虛擬機外部直接獲取虛擬機內(nèi)部信息[6]，這種方式不是基于事件驅(qū)動的方式，因此存在實時性不高的問題，虛擬機的安全問題不容易得到及時的反饋[7]。

4 虛擬機安全防護增強方案

本方案在物理服務器搭建安全管理中心，進行統(tǒng)一的系統(tǒng)防護策略配置、安全防護策略庫和病毒庫統(tǒng)一下發(fā)及更新、安全事件審計等。安全功能在管理平臺統(tǒng)一操作，支持單獨和批量管理。

每個虛擬服務器中不單獨安裝安全防護軟件或安全引擎，在物理計算機虛擬化Hypervisor層構(gòu)建安全防護引擎，單個引擎統(tǒng)一保護同一物理計算機上運行的所有虛擬機。通過無代理方式，從虛擬機外部為虛擬機中運行的系統(tǒng)提供高級保護，技術(shù)架構(gòu)如圖1所示。

系統(tǒng)通過無代理、非侵入式的虛擬機監(jiān)控，高效監(jiān)控虛擬機狀態(tài)。在虛擬機監(jiān)視器上利用虛擬機自省工具獲得被監(jiān)控虛擬機的內(nèi)部運行信息進行監(jiān)控，監(jiān)控覆蓋VM運行所涉及的處理器寄存器、內(nèi)存、磁盤、網(wǎng)絡(luò)等全部狀態(tài)和硬件事件。通過采用無代理方式的虛擬機監(jiān)控不僅可以實現(xiàn)同一物理計算機上的虛擬機之間通信的細粒度訪問控制功能，還可針對單獨的網(wǎng)絡(luò)接口進行配置，從而實現(xiàn)高效率的安全防護。比較傳統(tǒng)安全防護方案，虛擬機不再需要單獨安裝安全軟件，避免了硬件資源被冗余消耗，節(jié)省了資源，提升了系統(tǒng)運行效率。

無代理安全防護系統(tǒng)提供全面的安全防護，包括防火墻、入侵檢測、病毒防護功能等。系統(tǒng)采用虛擬防火墻，實現(xiàn)虛擬機的細粒度訪問控制。虛擬機單點防火墻的準入控制基于虛擬端口的訪問控制，實現(xiàn)以虛擬交換機為邊界的虛擬機的細粒度的訪問控制。

在入侵檢測方面，采用虛擬機監(jiān)視器（Hypervisor）攻擊攔截機制，自動檢測虛擬機向外部的攻擊，在不阻斷合法數(shù)據(jù)通信的情況下攔截攻擊包，對系統(tǒng)漏洞攻擊進行欄截，并對異常通信行為進行檢測，根據(jù)策略進行自動響應。

病毒防護方面采用在虛擬機部署輕代理結(jié)合虛擬機自省技術(shù)搜集數(shù)據(jù)的方式，動態(tài)監(jiān)控可疑程序執(zhí)行過程提取協(xié)議信息的分析方法。采用虛擬運行環(huán)境分析方法對惡意程序進行認定，通過構(gòu)造一個面向云平臺的輕量級虛擬機內(nèi)容檢測框架，在其中建立一個隔離的環(huán)境并動態(tài)執(zhí)行可疑文件，由系統(tǒng)觀察文件執(zhí)行的結(jié)果，以便于確定是否為惡意軟件。

5 結(jié)束語

通過對虛擬機自省等關(guān)鍵技術(shù)的深入研究，制定了全面的虛擬機安全防護方案，為大型企業(yè)提供了完備的云計算虛擬化信息安全防護體系，提高企業(yè)云計算虛擬化信息安全防護水平。

參考文獻

[1] 王笑帝，張云勇，劉鏑，等.云計算虛擬化安全技術(shù)研究[J].電信科學，2015， 31（6）：1-5.

[2] 谷子偉.云計算技術(shù)下的虛擬化安全研究[J].無線互聯(lián)科技， 2015（19）：89-90.

[3] 武少杰.云計算下虛擬環(huán)境安全的關(guān)鍵技術(shù)研究[D].鄭州：解放軍信息工程大學，2012.

[4] 謝盈.云計算數(shù)據(jù)中心安全防護技術(shù)研究[J]. 西南民族大學學報（自然科學版），2018， 44（06）：70-74.

[5] 王煥民，裴華艷.云計算環(huán)境下虛擬化服務器的安全研究[J].鐵路計算機應用， 2014， 23（12）：49-51.

[6] 韋銀.基于云計算環(huán)境下的網(wǎng)絡(luò)信息安全技術(shù)[J].網(wǎng)絡(luò)安全技術(shù)與應用， 2018（1）：58-59.

[7] 趙夢.云計算環(huán)境下虛擬化服務器的安全探討[J].電子技術(shù)與軟件工程， 2016（3）：222-222.

[8] 梁繼良，孫家彥，韓暉.大數(shù)據(jù)時代安全可信防御體系[J].網(wǎng)絡(luò)空間安全，2018，9（12）：35-40.