王 瑛，裴 升，李大勇，李海波，劉坤禹，周 波

（1.中國電子科技集團公司第三十研究所，四川 成都 610041；2.北京北方車輛集團有限公司，北京 100072）

0 引言

云計算（Cloud Computing）是當今IT 界的熱門技術(shù)。借助云計算網(wǎng)絡(luò)服務(wù)，管理者可以在瞬息之間處理數(shù)以千萬計甚至億計的信息，實現(xiàn)接近超級計算機甚至更強的效能。此外，用戶可以按需彈性地使用這些資源和服務(wù)，并將計算能力視為能夠隨時隨地使用的信息公用設(shè)施。

虛擬化作為實現(xiàn)云計算能力的基礎(chǔ)性技術(shù)，有利于資源的整合和透明存取，幫助云計算大大降低了復(fù)雜度、提升了運行效率，從而使云計算能夠在信息領(lǐng)域得到越來越廣泛的應(yīng)用。然而，虛擬化在技術(shù)和實現(xiàn)層面存在脆弱性和安全風險。虛擬機之間、虛擬機與宿主機之間的越權(quán)訪問是虛擬化環(huán)境正常工作的極大隱患。通過對虛擬化安全監(jiān)測及評估的研究，及時發(fā)現(xiàn)虛擬環(huán)境在運行狀態(tài)和行為表現(xiàn)兩方面的安全問題，使管理員能夠?qū)μ摂M環(huán)境的運行情況進行準確把握，及時處置風險，保證虛擬化環(huán)境中信息資產(chǎn)的安全[1-2]。

對計算環(huán)境運行情況進行監(jiān)控是信息安全的基本手段之一。在該領(lǐng)域已經(jīng)有許多成熟的商業(yè)或開源解決方案，如Ganglia、Nagios、BackTrackert 和Livewire 等[3]。Ganglia 是傳統(tǒng)集群監(jiān)控軟件的代表，主要用于收集系統(tǒng)級的信息如CPU 利用率、磁盤空間信息，并且由于其良好的性能和簡單直觀的特點受到廣泛歡迎。Nagios 是一款網(wǎng)絡(luò)主機監(jiān)控軟件，能監(jiān)視本地或遠程主機以及服務(wù)，同時提供異常通知。在傳統(tǒng)領(lǐng)域監(jiān)控手段向虛擬化環(huán)境遷移的典型產(chǎn)品方面，有虛擬環(huán)境日志監(jiān)控系統(tǒng)BackTrackert和VMWare 虛擬化環(huán)境監(jiān)控器Livewire。但這些監(jiān)控手段大多仍針對虛擬化后的原有計算設(shè)施的監(jiān)控能力，對虛擬機管理器、虛擬機調(diào)度器和虛擬化安全設(shè)備等新要素的關(guān)注不足。值得注意的是，上述要素的監(jiān)控對于構(gòu)建完善的虛擬化虛擬體系而言是不可或缺的，甚至意義更重大。

論文的第1 節(jié)簡要介紹了虛擬化環(huán)境監(jiān)測的關(guān)注點；第2 節(jié)給出了虛擬化環(huán)境的監(jiān)測系統(tǒng)，以及關(guān)聯(lián)的監(jiān)測組件結(jié)構(gòu)及功能；第3 節(jié)提出了云計算虛擬化安全評估方法，包括評估過程和安全風險量化途徑；第4 節(jié)總結(jié)了全文。

1 虛擬化環(huán)境監(jiān)測關(guān)注點

近年來，計算機硬件技術(shù)遵循摩爾定律迅猛發(fā)展，但現(xiàn)有操作系統(tǒng)無法充分利用多核硬件平臺的并行性潛能，造成了嚴重的資源和能源浪費。在這種背景下，能夠提高硬件資源利用率的虛擬化技術(shù)應(yīng)運而生。從高性能計算中心到個人電腦，虛擬化技術(shù)通過將物理平臺虛擬成多個計算平臺，能夠極大提高硬件資源的使用效率，降低擁有者的運維成本。

但是虛擬化技術(shù)在解決已有信息安全問題的同時又帶來了新的安全問題。虛擬化技術(shù)現(xiàn)在仍在發(fā)展，并且功能越來越強大，但是其安全漏洞也隨之增加。

1.1 虛擬化環(huán)境面臨的安全威脅

針對虛擬機操作系統(tǒng)內(nèi)核級的攻擊可以突破系統(tǒng)邊界，造成比在非虛擬化環(huán)境中更大的危害。虛擬化的邊界模糊、流動性和內(nèi)存共享等特性，使其面臨較多新的安全威脅。這些威脅給安全防護的實現(xiàn)帶來了極大的沖擊。目前，主要面臨以下3 個層面的安全威脅。

1.1.1 基礎(chǔ)設(shè)施層面的安全威脅

虛擬化環(huán)境面臨多種類型的安全威脅，如網(wǎng)絡(luò)攻擊、滲透和信息竊取等傳統(tǒng)網(wǎng)絡(luò)安全威脅，以及新引入的越權(quán)訪問、反向控制和內(nèi)存泄露等安全威脅。由于虛擬化擁有的特性，拒絕服務(wù)攻擊是惡意用戶針對虛擬化在網(wǎng)絡(luò)安全方面的主要攻擊類型。

1.1.2 應(yīng)用與桌面層面的安全威脅

服務(wù)的網(wǎng)絡(luò)化趨勢也推動了虛擬化環(huán)境的變化。與傳統(tǒng)的基于操作系統(tǒng)、數(shù)據(jù)庫的瀏覽器/服務(wù)器系統(tǒng)（Brower/Server，B/S）或客戶機/服務(wù)器系統(tǒng)（Client/Server，C/S）相比，虛擬化服務(wù)調(diào)用方式具有統(tǒng)一接口、多租戶、動態(tài)和復(fù)雜業(yè)務(wù)實現(xiàn)等特點，因此在服務(wù)安全、身份認證和訪問控制等方面也具有相應(yīng)的安全需求。

1.1.3 數(shù)據(jù)層面的安全威脅

虛擬化環(huán)境中數(shù)據(jù)威脅主要表現(xiàn)為內(nèi)部的數(shù)據(jù)泄漏和濫用。由于數(shù)據(jù)和業(yè)務(wù)應(yīng)用由云服務(wù)提供商控制和維護，在這種模式下如何實現(xiàn)虛擬化環(huán)境內(nèi)部的安全管理、職責分離和審計追蹤，如何避免多客戶共存帶來的潛在數(shù)據(jù)風險，如何確保數(shù)據(jù)的私有性及傳輸數(shù)據(jù)的抗監(jiān)聽風險等都是需要重點考慮和關(guān)注的安全問題。

1.2 虛擬化環(huán)境監(jiān)測目標

虛擬化監(jiān)測借鑒了網(wǎng)絡(luò)、主機監(jiān)控審計和入侵檢測等傳統(tǒng)安全手段的優(yōu)點，同時又側(cè)重考慮了虛擬化風險的特點。虛擬化監(jiān)測通常關(guān)注服務(wù)器虛擬化、存儲虛擬化和網(wǎng)絡(luò)虛擬化等模式的運行狀態(tài)和安全脆弱性，監(jiān)測目標包括以下幾點。

（1）隔離機制。虛擬化的一般運行模式包括：多個組織共享一個虛擬機；在一臺計算機上，多種密級要求的業(yè)務(wù)并存；在物理機上的服務(wù)合并；一個硬件平臺承載多個操作系統(tǒng)等。由于在這幾種運行模式中均存在著隔離的要求，這就要求管理者正確嚴格劃分虛擬區(qū)間，并隨時監(jiān)控虛擬機狀態(tài)。如果處理不當，就會產(chǎn)生因數(shù)據(jù)泄露或跳板攻擊導(dǎo)致系統(tǒng)全面癱瘓的嚴重后果。

（2）遷移過程。在虛擬環(huán)境中，一臺服務(wù)器可能跨越不同的物理設(shè)備。比如，進行數(shù)據(jù)災(zāi)備或是性能擴充時，在不同物理設(shè)備之間遷移。遷移過程的安全管理更加復(fù)雜，因為隨著網(wǎng)絡(luò)地址、端口等特性的變化，安全設(shè)置很容易出現(xiàn)問題。

（3）虛擬機管理器行為。宿主機對運行在其上的虛擬機應(yīng)當具有完全的控制權(quán)，且對虛擬機的監(jiān)測、改變、通信都在宿主機上完成。由于宿主機能夠監(jiān)控所有虛擬機的網(wǎng)絡(luò)數(shù)據(jù)，因此對于宿主機的安全要進行嚴格管理。

（4）虛擬機行為。虛擬機的設(shè)計目的是分享主機的資源并提供隔離，但由于技術(shù)的限制和虛擬化軟件的漏洞，在某些情況下虛擬機里運行的程序會繞過底層，從而取得宿主機的控制權(quán)。由于宿主機的特權(quán)地位，如果宿主機被控制則整個安全模型會全面崩潰。

（5）虛擬化性能。由于虛擬機和宿主機共享資源，虛擬機會強制占用一些資源，使得其他虛擬機拒絕服務(wù)。通常的做法是限制單一虛擬機的可用資源，防止虛擬機無節(jié)制地濫用導(dǎo)致的拒絕服務(wù)攻擊。

（6）虛擬化網(wǎng)絡(luò)安全。由于虛擬化網(wǎng)絡(luò)環(huán)境的特點，虛擬機之間的網(wǎng)絡(luò)流量有可能不會通過物理網(wǎng)絡(luò)設(shè)備而直接以其他方式交換，從而逃避傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備的監(jiān)管，造成安全盲點。

2 虛擬化環(huán)境監(jiān)測系統(tǒng)

為能夠覆蓋云計算中虛擬化環(huán)境的監(jiān)測關(guān)注點，盡早發(fā)現(xiàn)攻擊行為并及時阻斷，需要圍繞云基礎(chǔ)設(shè)施的關(guān)鍵要素構(gòu)建虛擬化環(huán)境監(jiān)測系統(tǒng)。虛擬化環(huán)境監(jiān)測系統(tǒng)能夠感知虛擬機資源狀態(tài)、控制流和數(shù)據(jù)流的行為屬性等態(tài)勢，精確區(qū)分出惡意攻擊，保護計算域工作；加強虛擬域之間信息流控制，并對虛擬機行為進行審計；呈現(xiàn)系統(tǒng)資源及服務(wù)運行情況，使管理者和用戶更直觀地了解系統(tǒng)的可用性和安全性等。其監(jiān)控內(nèi)容包括：

（1）虛擬機運行時，CPU、內(nèi)存、外設(shè)狀態(tài)；

（2）虛擬機的創(chuàng)建、銷毀以及伸縮、遷移；

（3）虛擬機網(wǎng)絡(luò)流量、網(wǎng)絡(luò)服務(wù)狀態(tài)以及虛擬資源池狀態(tài)；

（4）虛擬環(huán)境安全重構(gòu)過程、虛擬機鏡像管理。

虛擬化環(huán)境監(jiān)測系統(tǒng)采集的數(shù)據(jù)來自Hypervisor、虛擬機及虛擬應(yīng)用軟件等，具有分布性、冗余性、多樣性、不準確性和不完整性等特點。虛擬計算環(huán)境中基礎(chǔ)硬件、網(wǎng)絡(luò)設(shè)備及邊界安全設(shè)備的數(shù)據(jù)采集與傳統(tǒng)方法一致，但其分布式、層次化的特點使數(shù)據(jù)采集過程更加復(fù)雜。由于對虛擬機的狀態(tài)探測必須深入至虛擬機內(nèi)部或Hypervisor 層次中以內(nèi)省方式運行，此時探針的位置和采集策略發(fā)生了變化，需要檢測的事件種類增加，如虛擬機休眠、備份、遷移中產(chǎn)生的安全事件，或是虛擬網(wǎng)絡(luò)設(shè)備中匹配到的風險流量等。

虛擬化環(huán)境監(jiān)測系統(tǒng)通過策略驅(qū)動，其組件包括運行于虛擬機和虛擬設(shè)備中的帶內(nèi)監(jiān)視器、嵌入Hypervisor 中的帶外監(jiān)視模塊、監(jiān)控服務(wù)器、可視化用戶接口和數(shù)據(jù)庫。其結(jié)構(gòu)如圖1 所示。

圖1 虛擬化環(huán)境監(jiān)測系統(tǒng)結(jié)構(gòu)

虛擬化環(huán)境監(jiān)測系統(tǒng)結(jié)構(gòu)中的各個部分的功能如下文所述。

（1）帶內(nèi)監(jiān)視器與虛擬機Guest 操作系統(tǒng)位于同一特權(quán)級，用于監(jiān)視虛擬機操作系統(tǒng)的執(zhí)行中的狀態(tài)變化和行為事件，并根據(jù)監(jiān)控服務(wù)器下發(fā)的監(jiān)控規(guī)則和策略對虛擬機操作系統(tǒng)的行為進行檢查和審計，如識別虛擬機跨域訪問和檢測虛擬機資源過度使用。

（2）嵌入Hypervisor 中的監(jiān)視模塊以帶外方式運行，利用其位于虛擬機管理器層面的優(yōu)勢，通過硬件的行為監(jiān)控來監(jiān)視虛擬機操作系統(tǒng)的狀態(tài)變化和事件行為，從而為帶內(nèi)監(jiān)視器提供較強的保護能力。此外，監(jiān)視模塊可以感知帶內(nèi)監(jiān)視器的狀態(tài)變化，保證帶內(nèi)監(jiān)控工具不受攻擊，保持其可信性。

（3）監(jiān)控服務(wù)器位于虛擬化基礎(chǔ)設(shè)施外部，其核心功能與應(yīng)用程序進行隔離的特點可以有效保證其不受攻擊。其主要作用是維護系統(tǒng)資源模型、制訂并下達安全策略、聚合安全數(shù)據(jù)、分析并處置安全事件以及向用戶呈現(xiàn)虛擬化環(huán)境的安全信息。監(jiān)控服務(wù)器根據(jù)監(jiān)控安全事件信息所反映的虛擬化環(huán)境實時安全狀態(tài)，并基于預(yù)先制訂的安全目標和告警規(guī)則與虛擬化環(huán)境的控制器通信，實現(xiàn)安全監(jiān)測與防護的聯(lián)動。

（4）可視化用戶接口以多種視圖呈現(xiàn)的方式方便管理員和用戶快速地查看、下載監(jiān)控信息，同時針對不同的用戶角色提供不同的信息可見度。管理員用戶可以查看全部監(jiān)控信息并且具有調(diào)整安全監(jiān)控策略的權(quán)限，而普通用戶只能獲得自己使用的資源（虛擬機）或服務(wù)的信息。在接口的可視化呈現(xiàn)方面通過物理機－虛擬機視圖、用戶－虛擬機視圖和應(yīng)用－虛擬機視圖將物理資源、虛擬資源和應(yīng)用這3 個層次聯(lián)系起來。

（5）數(shù)據(jù)庫實現(xiàn)監(jiān)控信息和系統(tǒng)運行日志的存儲能力。根據(jù)安全目標和安全策略的需要，數(shù)據(jù)庫中的數(shù)據(jù)將保存幾個月或更長的時間。

為了使監(jiān)測得到的數(shù)據(jù)便于安全評估過程處理，在信息采集后必須首先進行標準化。標準化的目的是為了避免來自多源的信息由于異構(gòu)性而引起的混亂，為安全評估構(gòu)建提供統(tǒng)一定義的源數(shù)據(jù)集。標準化的首要步驟是消除重復(fù)報警并聚合取值相近的數(shù)據(jù)，這樣可以大大節(jié)省需要傳遞的數(shù)據(jù)占用的帶寬；其次通過二值化、歸一化處理將不同類型的參數(shù)值映射至同一類型空間中，避免數(shù)據(jù)的多樣性增加分析處理的復(fù)雜度。標準化的具體實現(xiàn)方法包括Min-max 標準化、Z-score 標準化、Decimal scaling 和枚舉方法等[4]。

3 虛擬化環(huán)境安全評估

3.1 安全評估方法

虛擬化安全防護不是靜態(tài)的、孤立的、一成不變的過程。安全手段的實時運行狀態(tài)信息需要通過監(jiān)測手段得到及時匯總并進行關(guān)聯(lián)分析，從而發(fā)現(xiàn)單方面難以辨別出的、潛在的安全問題和安全威脅，從而在安全事件發(fā)生時及時調(diào)用響應(yīng)措施加以應(yīng)對，由此確保虛擬化環(huán)境運行在高安全等級之上。虛擬化環(huán)境安全評估方法主要由安全目標識別、虛擬化安全監(jiān)測、安全威脅過程建模、安全風險量化、安全策略回歸等過程組成。該評估方法具有重點突出、特征匹配、閉環(huán)完善的特點。評估方法流程如圖2 所示。

圖2 虛擬化環(huán)境安全評估方法流程

圖2 從虛擬化環(huán)境的安全目標識別開始，到安全策略回歸，完成對整個虛擬化環(huán)境安全的評估。具體的評估過程描述如下。

（1）安全目標識別：對目標虛擬化環(huán)境的關(guān)鍵信息資產(chǎn)和安全需求進行分析，確認需要保護的安全目標，包括通常意義上價值較大的目標，如數(shù)據(jù)庫服務(wù)器、關(guān)鍵業(yè)務(wù)系統(tǒng)和管理程序等。

（2）虛擬化安全監(jiān)測：依賴在虛擬化環(huán)境中部署的帶內(nèi)、帶外檢測模塊，感知虛擬機資源狀態(tài)、控制流和數(shù)據(jù)流的行為屬性等態(tài)勢，對虛擬化環(huán)境的資產(chǎn)主體、防御主體、威脅主體和脆弱性進行參數(shù)抽取。

（3）安全威脅過程建模：根據(jù)虛擬化環(huán)境脆弱性特征和安全監(jiān)測的結(jié)果進行建模，識別虛擬化環(huán)境所有可能存在的風險路徑，并輸出風險過程模型，用于明確系統(tǒng)中存在安全風險的類型。

（4）安全風險量化：根據(jù)風險過程模型計算安全目標所面臨的最大風險概率、潛在的風險路徑和系統(tǒng)的安全風險指數(shù)，用以衡量虛擬化環(huán)境下各類安全威脅的相對大小，以指導(dǎo)安全防護手段的實施。

（5）安全策略回歸：在改進環(huán)節(jié)完成后，針對可能存在的殘留風險調(diào)整安全策略，并通過安全監(jiān)測定期監(jiān)測風險的變化情況，觸發(fā)新一輪的安全評估周期。

3.2 安全風險量化

安全風險量化是虛擬化環(huán)境安全評估的核心過程。它根據(jù)監(jiān)測取得的安全事件和狀態(tài)數(shù)據(jù)，針對安全防護目標，計算其面臨的各類風險概率和指標，其結(jié)論可以直接應(yīng)用于安全措施的完善和改進。指標是虛擬化環(huán)境中某一安全參數(shù)匯總、計算的結(jié)果，代表了標準化后虛擬化環(huán)境某項安全特征的狀態(tài)。由于指標之間可能存在依賴關(guān)系，因此狀態(tài)取值可能常發(fā)生變化。

安全風險量化的方式是逐步計算虛擬化安全指標體系。指標體系由完成評估目標的一系列指標以層次化的方式構(gòu)成，指標間通過要素的關(guān)聯(lián)程度定義不同的權(quán)值，較為上層的指標由所有相關(guān)的下層指標經(jīng)過權(quán)值計算得到?？茖W的指標體系能夠較完整地反映當前虛擬化環(huán)境中存在的安全風險，對于提升虛擬化環(huán)境的應(yīng)急響應(yīng)能力、緩解攻擊的危害、發(fā)現(xiàn)潛在惡意的入侵行為、提高系統(tǒng)的反擊能力等都具有十分重要的意義[5]。安全評估指標體系如圖3 所示。

圖3 虛擬化環(huán)境安全評估指標體系

具體地，指標由數(shù)據(jù)源產(chǎn)生的原始數(shù)據(jù)經(jīng)一定的變換得到，指標根據(jù)其構(gòu)成綜合安全指數(shù)的占比和粒度可以分為一級、二級、三級和葉指標等幾類。葉指標作為獨立性較強、層次最低的指標，是構(gòu)成其余大部分指標的基本要素。三級和二級指標是經(jīng)過一定程度匯總后的指標，可以反映較為上層的安全參數(shù)特征。一級指標是粒度最粗、最宏觀的態(tài)勢指標，直接體現(xiàn)虛擬化環(huán)境的綜合安全情況。

監(jiān)控服務(wù)器先匯總?cè)~指標使用到的所有原始數(shù)據(jù)，經(jīng)安全資產(chǎn)分布、聚集程度判定、增長度評估及權(quán)重計算等形成初級指標量化數(shù)值；然后依據(jù)指標體系的定義逐步求精，對虛擬化環(huán)境的流量、服務(wù)狀態(tài)、資源消耗、漏洞狀態(tài)、防護措施、安全遷移和隔離等指數(shù)給出初步計算結(jié)果；進而匯集成虛擬化網(wǎng)絡(luò)、存儲、服務(wù)器安全和脆弱性4 類較宏觀的指標；最終得到的虛擬化環(huán)境綜合安全指數(shù)，可用于反映虛擬化環(huán)境的整體安全情況，即內(nèi)部、外部威脅對虛擬化環(huán)境中應(yīng)用服務(wù)和數(shù)據(jù)的機密性、完整性和服務(wù)的可用性造成威脅的嚴重程度。

表1 展示了在虛擬化環(huán)境中安全事件發(fā)生的可能性及其對業(yè)務(wù)的影響兩個參數(shù)共同作用下的風險級別。

風險值用0～8 的數(shù)字來表示。其中：低風險為0～2；中風險為3～5；高風險為6～8。管理員通過對風險值的理解和觀察，能夠迅速掌握虛擬化環(huán)境安全級別和脆弱性的分布，使安全控制的目標更有針對性。在安全事件發(fā)生之前針對不同安全級制定相應(yīng)的策略預(yù)案，在威脅到來時從容應(yīng)對，實現(xiàn)重點防護重要資產(chǎn)，確保業(yè)務(wù)連續(xù)性，使得系統(tǒng)整體的應(yīng)急響應(yīng)過程更加有效。

4 結(jié)語

本文通過歸納現(xiàn)有虛擬化環(huán)境監(jiān)測分析方法，以及通過聚焦虛擬化安全檢測目標，設(shè)計了一種新的云計算虛擬化環(huán)境安全監(jiān)測系統(tǒng)。通過策略驅(qū)動，將監(jiān)測組件模塊嵌入Hypervisor 層次，并給出了系統(tǒng)的關(guān)鍵結(jié)構(gòu)組件以及功能要求。此外，提出了通過目標識別、安全監(jiān)測、過程建模、風險量化和策略回歸等流程進行安全監(jiān)測數(shù)據(jù)分析的虛擬化環(huán)境安全評估方法，并細致闡述了安全量化的指標體系。本文所提方法通過集成安全監(jiān)測系統(tǒng)和安全監(jiān)測方法，可發(fā)現(xiàn)傳統(tǒng)方法難以辨別的潛在安全威脅，為今后實現(xiàn)虛擬化環(huán)境安全管理和響應(yīng)水平提升打下堅實的基礎(chǔ)。