王 瑛,裴 升,李大勇,李海波,劉坤禹,周 波
(1.中國(guó)電子科技集團(tuán)公司第三十研究所,四川 成都 610041;2.北京北方車輛集團(tuán)有限公司,北京 100072)
云計(jì)算(Cloud Computing)是當(dāng)今IT 界的熱門技術(shù)。借助云計(jì)算網(wǎng)絡(luò)服務(wù),管理者可以在瞬息之間處理數(shù)以千萬(wàn)計(jì)甚至億計(jì)的信息,實(shí)現(xiàn)接近超級(jí)計(jì)算機(jī)甚至更強(qiáng)的效能。此外,用戶可以按需彈性地使用這些資源和服務(wù),并將計(jì)算能力視為能夠隨時(shí)隨地使用的信息公用設(shè)施。
虛擬化作為實(shí)現(xiàn)云計(jì)算能力的基礎(chǔ)性技術(shù),有利于資源的整合和透明存取,幫助云計(jì)算大大降低了復(fù)雜度、提升了運(yùn)行效率,從而使云計(jì)算能夠在信息領(lǐng)域得到越來(lái)越廣泛的應(yīng)用。然而,虛擬化在技術(shù)和實(shí)現(xiàn)層面存在脆弱性和安全風(fēng)險(xiǎn)。虛擬機(jī)之間、虛擬機(jī)與宿主機(jī)之間的越權(quán)訪問(wèn)是虛擬化環(huán)境正常工作的極大隱患。通過(guò)對(duì)虛擬化安全監(jiān)測(cè)及評(píng)估的研究,及時(shí)發(fā)現(xiàn)虛擬環(huán)境在運(yùn)行狀態(tài)和行為表現(xiàn)兩方面的安全問(wèn)題,使管理員能夠?qū)μ摂M環(huán)境的運(yùn)行情況進(jìn)行準(zhǔn)確把握,及時(shí)處置風(fēng)險(xiǎn),保證虛擬化環(huán)境中信息資產(chǎn)的安全[1-2]。
對(duì)計(jì)算環(huán)境運(yùn)行情況進(jìn)行監(jiān)控是信息安全的基本手段之一。在該領(lǐng)域已經(jīng)有許多成熟的商業(yè)或開(kāi)源解決方案,如Ganglia、Nagios、BackTrackert 和Livewire 等[3]。Ganglia 是傳統(tǒng)集群監(jiān)控軟件的代表,主要用于收集系統(tǒng)級(jí)的信息如CPU 利用率、磁盤空間信息,并且由于其良好的性能和簡(jiǎn)單直觀的特點(diǎn)受到廣泛歡迎。Nagios 是一款網(wǎng)絡(luò)主機(jī)監(jiān)控軟件,能監(jiān)視本地或遠(yuǎn)程主機(jī)以及服務(wù),同時(shí)提供異常通知。在傳統(tǒng)領(lǐng)域監(jiān)控手段向虛擬化環(huán)境遷移的典型產(chǎn)品方面,有虛擬環(huán)境日志監(jiān)控系統(tǒng)BackTrackert和VMWare 虛擬化環(huán)境監(jiān)控器Livewire。但這些監(jiān)控手段大多仍針對(duì)虛擬化后的原有計(jì)算設(shè)施的監(jiān)控能力,對(duì)虛擬機(jī)管理器、虛擬機(jī)調(diào)度器和虛擬化安全設(shè)備等新要素的關(guān)注不足。值得注意的是,上述要素的監(jiān)控對(duì)于構(gòu)建完善的虛擬化虛擬體系而言是不可或缺的,甚至意義更重大。
論文的第1 節(jié)簡(jiǎn)要介紹了虛擬化環(huán)境監(jiān)測(cè)的關(guān)注點(diǎn);第2 節(jié)給出了虛擬化環(huán)境的監(jiān)測(cè)系統(tǒng),以及關(guān)聯(lián)的監(jiān)測(cè)組件結(jié)構(gòu)及功能;第3 節(jié)提出了云計(jì)算虛擬化安全評(píng)估方法,包括評(píng)估過(guò)程和安全風(fēng)險(xiǎn)量化途徑;第4 節(jié)總結(jié)了全文。
近年來(lái),計(jì)算機(jī)硬件技術(shù)遵循摩爾定律迅猛發(fā)展,但現(xiàn)有操作系統(tǒng)無(wú)法充分利用多核硬件平臺(tái)的并行性潛能,造成了嚴(yán)重的資源和能源浪費(fèi)。在這種背景下,能夠提高硬件資源利用率的虛擬化技術(shù)應(yīng)運(yùn)而生。從高性能計(jì)算中心到個(gè)人電腦,虛擬化技術(shù)通過(guò)將物理平臺(tái)虛擬成多個(gè)計(jì)算平臺(tái),能夠極大提高硬件資源的使用效率,降低擁有者的運(yùn)維成本。
但是虛擬化技術(shù)在解決已有信息安全問(wèn)題的同時(shí)又帶來(lái)了新的安全問(wèn)題。虛擬化技術(shù)現(xiàn)在仍在發(fā)展,并且功能越來(lái)越強(qiáng)大,但是其安全漏洞也隨之增加。
針對(duì)虛擬機(jī)操作系統(tǒng)內(nèi)核級(jí)的攻擊可以突破系統(tǒng)邊界,造成比在非虛擬化環(huán)境中更大的危害。虛擬化的邊界模糊、流動(dòng)性和內(nèi)存共享等特性,使其面臨較多新的安全威脅。這些威脅給安全防護(hù)的實(shí)現(xiàn)帶來(lái)了極大的沖擊。目前,主要面臨以下3 個(gè)層面的安全威脅。
1.1.1 基礎(chǔ)設(shè)施層面的安全威脅
虛擬化環(huán)境面臨多種類型的安全威脅,如網(wǎng)絡(luò)攻擊、滲透和信息竊取等傳統(tǒng)網(wǎng)絡(luò)安全威脅,以及新引入的越權(quán)訪問(wèn)、反向控制和內(nèi)存泄露等安全威脅。由于虛擬化擁有的特性,拒絕服務(wù)攻擊是惡意用戶針對(duì)虛擬化在網(wǎng)絡(luò)安全方面的主要攻擊類型。
1.1.2 應(yīng)用與桌面層面的安全威脅
服務(wù)的網(wǎng)絡(luò)化趨勢(shì)也推動(dòng)了虛擬化環(huán)境的變化。與傳統(tǒng)的基于操作系統(tǒng)、數(shù)據(jù)庫(kù)的瀏覽器/服務(wù)器系統(tǒng)(Brower/Server,B/S)或客戶機(jī)/服務(wù)器系統(tǒng)(Client/Server,C/S)相比,虛擬化服務(wù)調(diào)用方式具有統(tǒng)一接口、多租戶、動(dòng)態(tài)和復(fù)雜業(yè)務(wù)實(shí)現(xiàn)等特點(diǎn),因此在服務(wù)安全、身份認(rèn)證和訪問(wèn)控制等方面也具有相應(yīng)的安全需求。
1.1.3 數(shù)據(jù)層面的安全威脅
虛擬化環(huán)境中數(shù)據(jù)威脅主要表現(xiàn)為內(nèi)部的數(shù)據(jù)泄漏和濫用。由于數(shù)據(jù)和業(yè)務(wù)應(yīng)用由云服務(wù)提供商控制和維護(hù),在這種模式下如何實(shí)現(xiàn)虛擬化環(huán)境內(nèi)部的安全管理、職責(zé)分離和審計(jì)追蹤,如何避免多客戶共存帶來(lái)的潛在數(shù)據(jù)風(fēng)險(xiǎn),如何確保數(shù)據(jù)的私有性及傳輸數(shù)據(jù)的抗監(jiān)聽(tīng)風(fēng)險(xiǎn)等都是需要重點(diǎn)考慮和關(guān)注的安全問(wèn)題。
虛擬化監(jiān)測(cè)借鑒了網(wǎng)絡(luò)、主機(jī)監(jiān)控審計(jì)和入侵檢測(cè)等傳統(tǒng)安全手段的優(yōu)點(diǎn),同時(shí)又側(cè)重考慮了虛擬化風(fēng)險(xiǎn)的特點(diǎn)。虛擬化監(jiān)測(cè)通常關(guān)注服務(wù)器虛擬化、存儲(chǔ)虛擬化和網(wǎng)絡(luò)虛擬化等模式的運(yùn)行狀態(tài)和安全脆弱性,監(jiān)測(cè)目標(biāo)包括以下幾點(diǎn)。
(1)隔離機(jī)制。虛擬化的一般運(yùn)行模式包括:多個(gè)組織共享一個(gè)虛擬機(jī);在一臺(tái)計(jì)算機(jī)上,多種密級(jí)要求的業(yè)務(wù)并存;在物理機(jī)上的服務(wù)合并;一個(gè)硬件平臺(tái)承載多個(gè)操作系統(tǒng)等。由于在這幾種運(yùn)行模式中均存在著隔離的要求,這就要求管理者正確嚴(yán)格劃分虛擬區(qū)間,并隨時(shí)監(jiān)控虛擬機(jī)狀態(tài)。如果處理不當(dāng),就會(huì)產(chǎn)生因數(shù)據(jù)泄露或跳板攻擊導(dǎo)致系統(tǒng)全面癱瘓的嚴(yán)重后果。
(2)遷移過(guò)程。在虛擬環(huán)境中,一臺(tái)服務(wù)器可能跨越不同的物理設(shè)備。比如,進(jìn)行數(shù)據(jù)災(zāi)備或是性能擴(kuò)充時(shí),在不同物理設(shè)備之間遷移。遷移過(guò)程的安全管理更加復(fù)雜,因?yàn)殡S著網(wǎng)絡(luò)地址、端口等特性的變化,安全設(shè)置很容易出現(xiàn)問(wèn)題。
(3)虛擬機(jī)管理器行為。宿主機(jī)對(duì)運(yùn)行在其上的虛擬機(jī)應(yīng)當(dāng)具有完全的控制權(quán),且對(duì)虛擬機(jī)的監(jiān)測(cè)、改變、通信都在宿主機(jī)上完成。由于宿主機(jī)能夠監(jiān)控所有虛擬機(jī)的網(wǎng)絡(luò)數(shù)據(jù),因此對(duì)于宿主機(jī)的安全要進(jìn)行嚴(yán)格管理。
(4)虛擬機(jī)行為。虛擬機(jī)的設(shè)計(jì)目的是分享主機(jī)的資源并提供隔離,但由于技術(shù)的限制和虛擬化軟件的漏洞,在某些情況下虛擬機(jī)里運(yùn)行的程序會(huì)繞過(guò)底層,從而取得宿主機(jī)的控制權(quán)。由于宿主機(jī)的特權(quán)地位,如果宿主機(jī)被控制則整個(gè)安全模型會(huì)全面崩潰。
(5)虛擬化性能。由于虛擬機(jī)和宿主機(jī)共享資源,虛擬機(jī)會(huì)強(qiáng)制占用一些資源,使得其他虛擬機(jī)拒絕服務(wù)。通常的做法是限制單一虛擬機(jī)的可用資源,防止虛擬機(jī)無(wú)節(jié)制地濫用導(dǎo)致的拒絕服務(wù)攻擊。
(6)虛擬化網(wǎng)絡(luò)安全。由于虛擬化網(wǎng)絡(luò)環(huán)境的特點(diǎn),虛擬機(jī)之間的網(wǎng)絡(luò)流量有可能不會(huì)通過(guò)物理網(wǎng)絡(luò)設(shè)備而直接以其他方式交換,從而逃避傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備的監(jiān)管,造成安全盲點(diǎn)。
為能夠覆蓋云計(jì)算中虛擬化環(huán)境的監(jiān)測(cè)關(guān)注點(diǎn),盡早發(fā)現(xiàn)攻擊行為并及時(shí)阻斷,需要圍繞云基礎(chǔ)設(shè)施的關(guān)鍵要素構(gòu)建虛擬化環(huán)境監(jiān)測(cè)系統(tǒng)。虛擬化環(huán)境監(jiān)測(cè)系統(tǒng)能夠感知虛擬機(jī)資源狀態(tài)、控制流和數(shù)據(jù)流的行為屬性等態(tài)勢(shì),精確區(qū)分出惡意攻擊,保護(hù)計(jì)算域工作;加強(qiáng)虛擬域之間信息流控制,并對(duì)虛擬機(jī)行為進(jìn)行審計(jì);呈現(xiàn)系統(tǒng)資源及服務(wù)運(yùn)行情況,使管理者和用戶更直觀地了解系統(tǒng)的可用性和安全性等。其監(jiān)控內(nèi)容包括:
(1)虛擬機(jī)運(yùn)行時(shí),CPU、內(nèi)存、外設(shè)狀態(tài);
(2)虛擬機(jī)的創(chuàng)建、銷毀以及伸縮、遷移;
(3)虛擬機(jī)網(wǎng)絡(luò)流量、網(wǎng)絡(luò)服務(wù)狀態(tài)以及虛擬資源池狀態(tài);
(4)虛擬環(huán)境安全重構(gòu)過(guò)程、虛擬機(jī)鏡像管理。
虛擬化環(huán)境監(jiān)測(cè)系統(tǒng)采集的數(shù)據(jù)來(lái)自Hypervisor、虛擬機(jī)及虛擬應(yīng)用軟件等,具有分布性、冗余性、多樣性、不準(zhǔn)確性和不完整性等特點(diǎn)。虛擬計(jì)算環(huán)境中基礎(chǔ)硬件、網(wǎng)絡(luò)設(shè)備及邊界安全設(shè)備的數(shù)據(jù)采集與傳統(tǒng)方法一致,但其分布式、層次化的特點(diǎn)使數(shù)據(jù)采集過(guò)程更加復(fù)雜。由于對(duì)虛擬機(jī)的狀態(tài)探測(cè)必須深入至虛擬機(jī)內(nèi)部或Hypervisor 層次中以內(nèi)省方式運(yùn)行,此時(shí)探針的位置和采集策略發(fā)生了變化,需要檢測(cè)的事件種類增加,如虛擬機(jī)休眠、備份、遷移中產(chǎn)生的安全事件,或是虛擬網(wǎng)絡(luò)設(shè)備中匹配到的風(fēng)險(xiǎn)流量等。
虛擬化環(huán)境監(jiān)測(cè)系統(tǒng)通過(guò)策略驅(qū)動(dòng),其組件包括運(yùn)行于虛擬機(jī)和虛擬設(shè)備中的帶內(nèi)監(jiān)視器、嵌入Hypervisor 中的帶外監(jiān)視模塊、監(jiān)控服務(wù)器、可視化用戶接口和數(shù)據(jù)庫(kù)。其結(jié)構(gòu)如圖1 所示。
圖1 虛擬化環(huán)境監(jiān)測(cè)系統(tǒng)結(jié)構(gòu)
虛擬化環(huán)境監(jiān)測(cè)系統(tǒng)結(jié)構(gòu)中的各個(gè)部分的功能如下文所述。
(1)帶內(nèi)監(jiān)視器與虛擬機(jī)Guest 操作系統(tǒng)位于同一特權(quán)級(jí),用于監(jiān)視虛擬機(jī)操作系統(tǒng)的執(zhí)行中的狀態(tài)變化和行為事件,并根據(jù)監(jiān)控服務(wù)器下發(fā)的監(jiān)控規(guī)則和策略對(duì)虛擬機(jī)操作系統(tǒng)的行為進(jìn)行檢查和審計(jì),如識(shí)別虛擬機(jī)跨域訪問(wèn)和檢測(cè)虛擬機(jī)資源過(guò)度使用。
(2)嵌入Hypervisor 中的監(jiān)視模塊以帶外方式運(yùn)行,利用其位于虛擬機(jī)管理器層面的優(yōu)勢(shì),通過(guò)硬件的行為監(jiān)控來(lái)監(jiān)視虛擬機(jī)操作系統(tǒng)的狀態(tài)變化和事件行為,從而為帶內(nèi)監(jiān)視器提供較強(qiáng)的保護(hù)能力。此外,監(jiān)視模塊可以感知帶內(nèi)監(jiān)視器的狀態(tài)變化,保證帶內(nèi)監(jiān)控工具不受攻擊,保持其可信性。
(3)監(jiān)控服務(wù)器位于虛擬化基礎(chǔ)設(shè)施外部,其核心功能與應(yīng)用程序進(jìn)行隔離的特點(diǎn)可以有效保證其不受攻擊。其主要作用是維護(hù)系統(tǒng)資源模型、制訂并下達(dá)安全策略、聚合安全數(shù)據(jù)、分析并處置安全事件以及向用戶呈現(xiàn)虛擬化環(huán)境的安全信息。監(jiān)控服務(wù)器根據(jù)監(jiān)控安全事件信息所反映的虛擬化環(huán)境實(shí)時(shí)安全狀態(tài),并基于預(yù)先制訂的安全目標(biāo)和告警規(guī)則與虛擬化環(huán)境的控制器通信,實(shí)現(xiàn)安全監(jiān)測(cè)與防護(hù)的聯(lián)動(dòng)。
(4)可視化用戶接口以多種視圖呈現(xiàn)的方式方便管理員和用戶快速地查看、下載監(jiān)控信息,同時(shí)針對(duì)不同的用戶角色提供不同的信息可見(jiàn)度。管理員用戶可以查看全部監(jiān)控信息并且具有調(diào)整安全監(jiān)控策略的權(quán)限,而普通用戶只能獲得自己使用的資源(虛擬機(jī))或服務(wù)的信息。在接口的可視化呈現(xiàn)方面通過(guò)物理機(jī)-虛擬機(jī)視圖、用戶-虛擬機(jī)視圖和應(yīng)用-虛擬機(jī)視圖將物理資源、虛擬資源和應(yīng)用這3 個(gè)層次聯(lián)系起來(lái)。
(5)數(shù)據(jù)庫(kù)實(shí)現(xiàn)監(jiān)控信息和系統(tǒng)運(yùn)行日志的存儲(chǔ)能力。根據(jù)安全目標(biāo)和安全策略的需要,數(shù)據(jù)庫(kù)中的數(shù)據(jù)將保存幾個(gè)月或更長(zhǎng)的時(shí)間。
為了使監(jiān)測(cè)得到的數(shù)據(jù)便于安全評(píng)估過(guò)程處理,在信息采集后必須首先進(jìn)行標(biāo)準(zhǔn)化。標(biāo)準(zhǔn)化的目的是為了避免來(lái)自多源的信息由于異構(gòu)性而引起的混亂,為安全評(píng)估構(gòu)建提供統(tǒng)一定義的源數(shù)據(jù)集。標(biāo)準(zhǔn)化的首要步驟是消除重復(fù)報(bào)警并聚合取值相近的數(shù)據(jù),這樣可以大大節(jié)省需要傳遞的數(shù)據(jù)占用的帶寬;其次通過(guò)二值化、歸一化處理將不同類型的參數(shù)值映射至同一類型空間中,避免數(shù)據(jù)的多樣性增加分析處理的復(fù)雜度。標(biāo)準(zhǔn)化的具體實(shí)現(xiàn)方法包括Min-max 標(biāo)準(zhǔn)化、Z-score 標(biāo)準(zhǔn)化、Decimal scaling 和枚舉方法等[4]。
虛擬化安全防護(hù)不是靜態(tài)的、孤立的、一成不變的過(guò)程。安全手段的實(shí)時(shí)運(yùn)行狀態(tài)信息需要通過(guò)監(jiān)測(cè)手段得到及時(shí)匯總并進(jìn)行關(guān)聯(lián)分析,從而發(fā)現(xiàn)單方面難以辨別出的、潛在的安全問(wèn)題和安全威脅,從而在安全事件發(fā)生時(shí)及時(shí)調(diào)用響應(yīng)措施加以應(yīng)對(duì),由此確保虛擬化環(huán)境運(yùn)行在高安全等級(jí)之上。虛擬化環(huán)境安全評(píng)估方法主要由安全目標(biāo)識(shí)別、虛擬化安全監(jiān)測(cè)、安全威脅過(guò)程建模、安全風(fēng)險(xiǎn)量化、安全策略回歸等過(guò)程組成。該評(píng)估方法具有重點(diǎn)突出、特征匹配、閉環(huán)完善的特點(diǎn)。評(píng)估方法流程如圖2 所示。
圖2 虛擬化環(huán)境安全評(píng)估方法流程
圖2 從虛擬化環(huán)境的安全目標(biāo)識(shí)別開(kāi)始,到安全策略回歸,完成對(duì)整個(gè)虛擬化環(huán)境安全的評(píng)估。具體的評(píng)估過(guò)程描述如下。
(1)安全目標(biāo)識(shí)別:對(duì)目標(biāo)虛擬化環(huán)境的關(guān)鍵信息資產(chǎn)和安全需求進(jìn)行分析,確認(rèn)需要保護(hù)的安全目標(biāo),包括通常意義上價(jià)值較大的目標(biāo),如數(shù)據(jù)庫(kù)服務(wù)器、關(guān)鍵業(yè)務(wù)系統(tǒng)和管理程序等。
(2)虛擬化安全監(jiān)測(cè):依賴在虛擬化環(huán)境中部署的帶內(nèi)、帶外檢測(cè)模塊,感知虛擬機(jī)資源狀態(tài)、控制流和數(shù)據(jù)流的行為屬性等態(tài)勢(shì),對(duì)虛擬化環(huán)境的資產(chǎn)主體、防御主體、威脅主體和脆弱性進(jìn)行參數(shù)抽取。
(3)安全威脅過(guò)程建模:根據(jù)虛擬化環(huán)境脆弱性特征和安全監(jiān)測(cè)的結(jié)果進(jìn)行建模,識(shí)別虛擬化環(huán)境所有可能存在的風(fēng)險(xiǎn)路徑,并輸出風(fēng)險(xiǎn)過(guò)程模型,用于明確系統(tǒng)中存在安全風(fēng)險(xiǎn)的類型。
(4)安全風(fēng)險(xiǎn)量化:根據(jù)風(fēng)險(xiǎn)過(guò)程模型計(jì)算安全目標(biāo)所面臨的最大風(fēng)險(xiǎn)概率、潛在的風(fēng)險(xiǎn)路徑和系統(tǒng)的安全風(fēng)險(xiǎn)指數(shù),用以衡量虛擬化環(huán)境下各類安全威脅的相對(duì)大小,以指導(dǎo)安全防護(hù)手段的實(shí)施。
(5)安全策略回歸:在改進(jìn)環(huán)節(jié)完成后,針對(duì)可能存在的殘留風(fēng)險(xiǎn)調(diào)整安全策略,并通過(guò)安全監(jiān)測(cè)定期監(jiān)測(cè)風(fēng)險(xiǎn)的變化情況,觸發(fā)新一輪的安全評(píng)估周期。
安全風(fēng)險(xiǎn)量化是虛擬化環(huán)境安全評(píng)估的核心過(guò)程。它根據(jù)監(jiān)測(cè)取得的安全事件和狀態(tài)數(shù)據(jù),針對(duì)安全防護(hù)目標(biāo),計(jì)算其面臨的各類風(fēng)險(xiǎn)概率和指標(biāo),其結(jié)論可以直接應(yīng)用于安全措施的完善和改進(jìn)。指標(biāo)是虛擬化環(huán)境中某一安全參數(shù)匯總、計(jì)算的結(jié)果,代表了標(biāo)準(zhǔn)化后虛擬化環(huán)境某項(xiàng)安全特征的狀態(tài)。由于指標(biāo)之間可能存在依賴關(guān)系,因此狀態(tài)取值可能常發(fā)生變化。
安全風(fēng)險(xiǎn)量化的方式是逐步計(jì)算虛擬化安全指標(biāo)體系。指標(biāo)體系由完成評(píng)估目標(biāo)的一系列指標(biāo)以層次化的方式構(gòu)成,指標(biāo)間通過(guò)要素的關(guān)聯(lián)程度定義不同的權(quán)值,較為上層的指標(biāo)由所有相關(guān)的下層指標(biāo)經(jīng)過(guò)權(quán)值計(jì)算得到??茖W(xué)的指標(biāo)體系能夠較完整地反映當(dāng)前虛擬化環(huán)境中存在的安全風(fēng)險(xiǎn),對(duì)于提升虛擬化環(huán)境的應(yīng)急響應(yīng)能力、緩解攻擊的危害、發(fā)現(xiàn)潛在惡意的入侵行為、提高系統(tǒng)的反擊能力等都具有十分重要的意義[5]。安全評(píng)估指標(biāo)體系如圖3 所示。
圖3 虛擬化環(huán)境安全評(píng)估指標(biāo)體系
具體地,指標(biāo)由數(shù)據(jù)源產(chǎn)生的原始數(shù)據(jù)經(jīng)一定的變換得到,指標(biāo)根據(jù)其構(gòu)成綜合安全指數(shù)的占比和粒度可以分為一級(jí)、二級(jí)、三級(jí)和葉指標(biāo)等幾類。葉指標(biāo)作為獨(dú)立性較強(qiáng)、層次最低的指標(biāo),是構(gòu)成其余大部分指標(biāo)的基本要素。三級(jí)和二級(jí)指標(biāo)是經(jīng)過(guò)一定程度匯總后的指標(biāo),可以反映較為上層的安全參數(shù)特征。一級(jí)指標(biāo)是粒度最粗、最宏觀的態(tài)勢(shì)指標(biāo),直接體現(xiàn)虛擬化環(huán)境的綜合安全情況。
監(jiān)控服務(wù)器先匯總?cè)~指標(biāo)使用到的所有原始數(shù)據(jù),經(jīng)安全資產(chǎn)分布、聚集程度判定、增長(zhǎng)度評(píng)估及權(quán)重計(jì)算等形成初級(jí)指標(biāo)量化數(shù)值;然后依據(jù)指標(biāo)體系的定義逐步求精,對(duì)虛擬化環(huán)境的流量、服務(wù)狀態(tài)、資源消耗、漏洞狀態(tài)、防護(hù)措施、安全遷移和隔離等指數(shù)給出初步計(jì)算結(jié)果;進(jìn)而匯集成虛擬化網(wǎng)絡(luò)、存儲(chǔ)、服務(wù)器安全和脆弱性4 類較宏觀的指標(biāo);最終得到的虛擬化環(huán)境綜合安全指數(shù),可用于反映虛擬化環(huán)境的整體安全情況,即內(nèi)部、外部威脅對(duì)虛擬化環(huán)境中應(yīng)用服務(wù)和數(shù)據(jù)的機(jī)密性、完整性和服務(wù)的可用性造成威脅的嚴(yán)重程度。
表1 展示了在虛擬化環(huán)境中安全事件發(fā)生的可能性及其對(duì)業(yè)務(wù)的影響兩個(gè)參數(shù)共同作用下的風(fēng)險(xiǎn)級(jí)別。
風(fēng)險(xiǎn)值用0~8 的數(shù)字來(lái)表示。其中:低風(fēng)險(xiǎn)為0~2;中風(fēng)險(xiǎn)為3~5;高風(fēng)險(xiǎn)為6~8。管理員通過(guò)對(duì)風(fēng)險(xiǎn)值的理解和觀察,能夠迅速掌握虛擬化環(huán)境安全級(jí)別和脆弱性的分布,使安全控制的目標(biāo)更有針對(duì)性。在安全事件發(fā)生之前針對(duì)不同安全級(jí)制定相應(yīng)的策略預(yù)案,在威脅到來(lái)時(shí)從容應(yīng)對(duì),實(shí)現(xiàn)重點(diǎn)防護(hù)重要資產(chǎn),確保業(yè)務(wù)連續(xù)性,使得系統(tǒng)整體的應(yīng)急響應(yīng)過(guò)程更加有效。
本文通過(guò)歸納現(xiàn)有虛擬化環(huán)境監(jiān)測(cè)分析方法,以及通過(guò)聚焦虛擬化安全檢測(cè)目標(biāo),設(shè)計(jì)了一種新的云計(jì)算虛擬化環(huán)境安全監(jiān)測(cè)系統(tǒng)。通過(guò)策略驅(qū)動(dòng),將監(jiān)測(cè)組件模塊嵌入Hypervisor 層次,并給出了系統(tǒng)的關(guān)鍵結(jié)構(gòu)組件以及功能要求。此外,提出了通過(guò)目標(biāo)識(shí)別、安全監(jiān)測(cè)、過(guò)程建模、風(fēng)險(xiǎn)量化和策略回歸等流程進(jìn)行安全監(jiān)測(cè)數(shù)據(jù)分析的虛擬化環(huán)境安全評(píng)估方法,并細(xì)致闡述了安全量化的指標(biāo)體系。本文所提方法通過(guò)集成安全監(jiān)測(cè)系統(tǒng)和安全監(jiān)測(cè)方法,可發(fā)現(xiàn)傳統(tǒng)方法難以辨別的潛在安全威脅,為今后實(shí)現(xiàn)虛擬化環(huán)境安全管理和響應(yīng)水平提升打下堅(jiān)實(shí)的基礎(chǔ)。