虛擬化數(shù)據(jù)中心的安全問題分析

1、虛擬化數(shù)據(jù)中心的安全問題分析 【 摘 要 】 隨著互聯(lián)網(wǎng)發(fā)展和云計算概念的提出，虛擬化普及的速度迅速提高。建設(shè)利用虛擬化技術(shù)提供服務(wù)的虛擬化數(shù)據(jù)中心也成為it企業(yè)新的發(fā)展方向。虛擬化數(shù)據(jù)中心相對傳統(tǒng)的數(shù)據(jù)中心在安全方面提出了新的挑戰(zhàn)。本文就虛擬化數(shù)據(jù)中心在計算、網(wǎng)絡(luò)、存儲和管理等方面存在的安全問題進行了分析，提出了應(yīng)對策略。 【 關(guān)鍵詞 】 虛擬化； 安全問題；計算機網(wǎng)絡(luò)；虛擬存儲 1 引言 虛擬化技術(shù)早在上世紀60年代由ibm提出。隨著互聯(lián)網(wǎng)發(fā)展和云計算的概念提出，在過去幾年內(nèi)，虛擬化普及的速度迅速提高。據(jù)emc公司ceo joe tucci稱，大部分vmware客戶已經(jīng)計劃在未來3年內(nèi)實現(xiàn)

2、其50%的it基礎(chǔ)設(shè)施的虛擬化。 虛擬化技術(shù)可以擴大硬件的容量，簡化軟件的重新配置過程，允許一個平臺同時運行多個操作系統(tǒng)，并且應(yīng)用程序都可以在相互獨立的空間內(nèi)運行而互不影響，從而顯著提高計算機的工作效率。虛擬化的好處是可以為多個項目和環(huán)境提供更快的速度和靈活性，但不利的方面主要是虛擬機和環(huán)境的安全一般并未被考慮，并不是因為這些實施項目的安全性有技術(shù)難度，而是因為安全問題是實施大范圍虛擬化的人員所未知的領(lǐng)域。換句話說，實施虛擬化時一般沒有考慮它所帶來的新安全風險。 2 虛擬化及虛擬化數(shù)據(jù)中心 2.1 虛擬化及其特點 虛擬化的含義非常廣泛， 一種比較通俗的定義就是： 虛擬化就是淡化用戶對于物理計算

3、資源， 如處理器、內(nèi)存、i/o 設(shè)備的直接訪問， 取而代之的是用戶訪問邏輯的資源， 而后臺的物理連接則由虛擬化技術(shù)來實現(xiàn)和管理。這個定義形象地說明了虛擬化的基本作用， 其實就是要屏蔽掉傳統(tǒng)方式下， 用戶部署應(yīng)用時需要考慮的物理硬件資源屬性， 而是更著重于應(yīng)用真正使用到的邏輯資源。虛擬化是分區(qū)組合， 因此在一個物理平臺上多個虛擬機可以同時運行， 每個虛擬機之間互不影響。 虛擬化的主要特點。 （1）封閉。虛擬單元的所有的環(huán)境被存放在一個單獨的文件中； 為應(yīng)用展現(xiàn)的是標準化的虛擬硬件， 保證兼容性； 整個磁盤分區(qū)被存儲為一個文件，易于備份， 轉(zhuǎn)移和拷貝。 （2）隔離。虛擬化能夠提供理想化的物理機，每

4、個虛擬機互相隔離； 數(shù)據(jù)不會在虛擬機之間泄露；應(yīng)用只能在配置好的網(wǎng)絡(luò)連接上進行通訊。 （3）分區(qū)。大型的、擴展能力強的硬件能夠被用來作為多立的服務(wù)器使用； 在一個單獨的物理系統(tǒng)上可以運行多個操作系統(tǒng)和應(yīng)用； 計算資源可以被放置在資源池中， 并能夠被有效地控制。 2.2 虛擬化數(shù)據(jù)中心及其特點 虛擬化數(shù)據(jù)中心是指采用虛擬化技術(shù)構(gòu)建的基礎(chǔ)設(shè)施資源池化的數(shù)據(jù)中心，虛擬化后的數(shù)據(jù)中心將整個數(shù)據(jù)中心的計算、網(wǎng)絡(luò)、存儲等基礎(chǔ)資源當作可按需分割的資源供集中調(diào)配。 虛擬化數(shù)據(jù)中心的關(guān)鍵是服務(wù)器虛擬化。邏輯分割一臺x86服務(wù)器的cpu、內(nèi)存、磁盤、i/o等硬件，構(gòu)造多個虛擬機（vm）的技術(shù)發(fā)展迅猛，并大量部署在

5、數(shù)據(jù)中心。服務(wù)器的虛擬化提供了計算資源按需調(diào)配的手段，而虛擬化的數(shù)據(jù)中心是計算與網(wǎng)絡(luò)、存儲等深度融合而成，因此，要使服務(wù)器虛擬化的優(yōu)勢能順利實現(xiàn)，必須有合適的網(wǎng)絡(luò)、存儲與之匹配，并在一定層面還要制定虛擬化的管理策略。 3 虛擬化軟件自身的安全問題 從表面上講，虛擬化的bsd客戶端與真正的單個設(shè)備具有同樣的安全威脅和問題，這一點毋庸置疑。然而，主要的區(qū)別還在于額外的管理層：hypervisor。hypervisor實際上是另一個操作系統(tǒng)，它管理主機oc和客戶端os之間的通信。管理員不用擔心單個設(shè)備上的單個bsd，而是必須關(guān)注第三個操作系統(tǒng)的安全。 在安全方面，我們不能對虛擬化想當然，而且應(yīng)該比物

6、理和專用操作系統(tǒng)及設(shè)備的日常威脅更加警惕。筆者認為虛擬軟件安全的現(xiàn)實影響主要有幾個方面。 3.1 攻擊管理接口 一般情況下，vmm/hypervisor采用非仿真硬件接入的通信模式管理主機和客戶端之間的用戶交互，例如控制鼠標在管理gui中的虛擬事例上的移動。 我們看一個例子，從主機向客戶端上的虛擬cd加載iso文件的情況。首先，主機上的vmware進程必須能夠接入iso文件。這一般不是問題，因為vmware進程作為一個高級用戶運行，具有較高的權(quán)限。接下來，客戶端上必須有一個進程知道如何與主機上的進程通信。這要求在客戶端上安裝軟件，通過hypervisor進行命令調(diào)用而與主機vmm通信?？蛻舳斯?/p>

7、理子系統(tǒng)向主機發(fā)起呼叫，一般通過指定的管道發(fā)起，要求主機代替客戶端啟動硬件調(diào)用，“欺騙”客戶端認為它正在通過物理驅(qū)動器接入物理cd。這是vmware從主機向客戶端加載cd的基本例子。 這個過程很簡單，但對安全性極為重要，因為我們創(chuàng)建了一個在主機和客戶端上作為超級用戶運行的未檢查的系統(tǒng)，可以被惡意攻擊者操縱和利用。這種延遲接入使惡意攻擊者能夠在客戶端上實施破壞性報復(fù)行動，最初簡單的數(shù)據(jù)攔截攻擊可能很快演變?yōu)閷φ麄€虛擬化數(shù)據(jù)基礎(chǔ)設(shè)施的全面攻擊。 3.2 避開虛擬機 要避開虛擬機，需要依次迂回進入硬件和操作系統(tǒng)設(shè)計。在基于x86的cpu，ring 0（通常指內(nèi)核模式）是cpu的一部分，在這里管理內(nèi)核

8、級進程。同樣，ring 3（或用戶模式）是對用戶級進程分配處理空間的地方。虛擬化操作系統(tǒng)要求ring 0接入cpu，就如同真正的本地安裝的操作系統(tǒng)。物理和虛擬操作系統(tǒng)都需要一定數(shù)量的內(nèi)核代碼（例如中斷表格和視圖）在ring 0中運行，并且始終知道這些代碼在ram中位于何處。 與物理操作系統(tǒng)不同的是，虛擬客戶端不可能像獨立的機器那樣，將中斷表格放置在ram中的同一個位置，主機的中斷表格已經(jīng)占用了內(nèi)存中的該位置。因此，盡管客戶端認為其中斷表格可能位于其虛擬ram中的0x0000ffff處（表格始終存儲在這個特定操作系統(tǒng)中），但主機實際上已經(jīng)通過透明的hypervisor將這個位置映射到物理ram中

9、的0x1234abcd位置，對虛擬系統(tǒng)隱藏了實際位置。然而，這是一個內(nèi)核級空間，即使主機hypervisor已經(jīng)針對客戶端處理了中斷表格的實際位置，虛擬表格仍必須從實際cpu上有權(quán)限的ring0運行（并駐留在其中）。 一般用戶也無法知道在虛擬ring 0中發(fā)生了什么，但是vmm翻譯該呼叫，并通過ipc將該呼叫交付給運行在主機上的超級用戶，如果攻擊者找到利用虛擬微代碼的方式，則他們可能會操縱主機內(nèi)核和cpu。這叫做虛擬機躲避：跳出虛擬環(huán)境的限制，并進入物理環(huán)境。 3.3 虛擬機檢測 在攻擊者發(fā)起對虛擬環(huán)境的攻擊之前，攻擊者必須知道虛擬機在何處，以及他目前是否在一個虛擬機上。如果可以從本地接入平臺

10、，例如通過ssh接入控制終端，就會有信號指出機器已被虛擬化。mac地址、進程列表、機器上安裝的文件、驅(qū)動程序等容易檢測到的項目，只需敲擊幾下鍵盤即可訪問。然而，除了這些基本項目之外，有許多攻擊可幫助攻擊者檢測機器是否運行在虛擬環(huán)境中，有時甚至返回關(guān)鍵信息，例如客戶端的中斷表格的當前位置。 綜上，攻擊者只需花時間攻擊一臺虛擬機，這樣就可以破壞一個閉合網(wǎng)絡(luò)中的其它虛擬機，并最終避開虛擬vmm環(huán)境，接入主機。如果攻擊者的目的是攻擊盡可能多的機器，而且攻擊者知道某個系統(tǒng)組全是虛擬系統(tǒng)，則基于hypervisor的攻擊將提供最有利的攻擊池。這種多個虛擬內(nèi)核之間受保護的接入共享可能為所有類型的攻擊打開了方

11、便之門。如果攻擊者可以操縱并控制多平臺虛擬化主機上的hypervisor，則攻擊者就可以控制每個接入hypervisor的客戶端的所有軟硬件命令。這種攻擊相當于擁有了數(shù)據(jù)中心內(nèi)的每一臺服務(wù)器，可深入到cpu和總線級別。 4 虛擬化環(huán)境下的網(wǎng)絡(luò)安全問題 盡管hypervisor是虛擬化的“主控制器程序”，但它不是具有安全風險的唯一虛擬化抽象層。對于任何虛擬化系統(tǒng)，另一個關(guān)鍵方面是網(wǎng)絡(luò)層。由于虛擬化的數(shù)據(jù)中心是計算、存儲、網(wǎng)絡(luò)三種資源深度融合而成，因此主機虛擬化技術(shù)能夠順利實現(xiàn)必須由合適的網(wǎng)絡(luò)安全策略與之匹配，否則一切都無從談起。 4.1 網(wǎng)絡(luò)安全挑戰(zhàn) 傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)安全包含縱向安全策略和橫向安

12、全策略，無論是哪種策略，傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)安全都只關(guān)注業(yè)務(wù)流量的訪問控制，將流量安全控制作為唯一的規(guī)劃考慮因素。而虛擬化數(shù)據(jù)中心的網(wǎng)絡(luò)安全模型則需要由二維平面轉(zhuǎn)變?yōu)槿S空間，即網(wǎng)絡(luò)安全策略能夠滿足動態(tài)遷移到其它物理服務(wù)器，并且實現(xiàn)海量用戶、多業(yè)務(wù)的隔離。 4.2 網(wǎng)絡(luò)安全策略 4.2.1 vlan擴展 虛擬化數(shù)據(jù)中心作為集中資源對外服務(wù)，面對的是成倍增長的用戶，承載的服務(wù)是海量的，尤其是面向公眾用戶的運營云平臺。數(shù)據(jù)中心管理人員不但要考慮虛擬機或者物理機的安全，還需要考慮在大量用戶、不同業(yè)務(wù)之間的安全識別與隔離。 要實現(xiàn)海量用戶的識別與安全隔離，需要為虛擬化數(shù)據(jù)中心的每一個用戶提供一個唯一的標識

13、。目前看vlan是最好的選擇，但由于vlan數(shù)最多只能達到4096，無法滿足虛擬化數(shù)據(jù)中心業(yè)務(wù)開展，因此需要對vlan進行擴展。 4.2.2 隔離手段與網(wǎng)關(guān)選擇 虛擬化數(shù)據(jù)中心關(guān)注的重點是實現(xiàn)整體資源的靈活調(diào)配，因此在考慮網(wǎng)絡(luò)安全控制時必須考慮網(wǎng)絡(luò)安全能支撐計算資源調(diào)配的靈活性，只有將二者結(jié)合才能實現(xiàn)虛擬化數(shù)據(jù)中心網(wǎng)絡(luò)安全的最佳配置。當主機資源在同一個二層網(wǎng)絡(luò)內(nèi)被調(diào)配時，多數(shù)應(yīng)用才能保持連續(xù)性。為滿足計算資源的靈活調(diào)配，應(yīng)該構(gòu)建二層網(wǎng)絡(luò)，否則一旦跨網(wǎng)段將導(dǎo)致應(yīng)用中斷或長時間的業(yè)務(wù)影響。 基于上述思想，網(wǎng)絡(luò)安全控制點盡量上移，并且服務(wù)器網(wǎng)關(guān)盡量不設(shè)在防火墻上。因為防火墻屬于強控制設(shè)施，網(wǎng)關(guān)一旦在

14、防火墻上靈活性將大大地受到限制。 4.2.3 安全策略動態(tài)遷移 虛擬化數(shù)據(jù)中新帶來的最大挑戰(zhàn)就是網(wǎng)絡(luò)安全策略要跟隨虛擬機自動遷移。在創(chuàng)建虛擬機或虛擬機遷移時，虛擬機主機需要能夠正常運行，除了在服務(wù)器上的資源合理調(diào)度，其網(wǎng)絡(luò)連接的合理調(diào)度也是必須的。 例如，虛擬機1從psrv1上遷移到psrv2上，其網(wǎng)絡(luò)連接從原來的由psrv1上vswitcha的某個端口組接入到邊界switch1，變成由psrv2上vswitchb的某個端口組接入到邊界 switch2。若遷移后對應(yīng)的邊界 switch的網(wǎng)絡(luò)安全配置不合適，會造成虛擬機1遷移后不能正常使用。尤其是原先對虛擬機1的訪問設(shè)置了安全隔離acl，以屏蔽

15、非法訪問保障虛擬機1上業(yè)務(wù)運行服務(wù)質(zhì)量。因此在發(fā)生虛擬機創(chuàng)建或遷移時，需要同步調(diào)整相關(guān)的網(wǎng)絡(luò)安全配置。為了保證虛擬機的業(yè)務(wù)連續(xù)性，除了虛擬化軟件能保證虛擬機在服務(wù)器上的快速遷移，相應(yīng)的網(wǎng)絡(luò)連接配置遷移也需要實時完成。 5 存儲虛擬化的安全保護問題 存儲虛擬化允許同一個虛擬池上存儲設(shè)備的簡單數(shù)據(jù)遷移以及異構(gòu)磁盤子系統(tǒng)的復(fù)制，因此，關(guān)鍵數(shù)據(jù)的第二份拷貝就必須有和第一份數(shù)據(jù)同樣的安全級別。舉個很簡單的例子，針對災(zāi)難恢復(fù)的企業(yè)重要數(shù)據(jù)的第二份拷貝就需要和第一份數(shù)據(jù)同樣嚴格的安全級別，需要控制它的訪問級別和安全保護。 在存儲虛擬化后，虛擬化管理軟件應(yīng)能全面管理ip san、fc san、nas 等不同虛

16、擬對象，通過上層應(yīng)用封裝對用戶提供一致的管理界面，屏蔽底層對象的差異性。在存儲虛擬化環(huán)境中，針對不同的、異構(gòu)的虛擬存儲對象，應(yīng)根據(jù)各自存儲設(shè)備的特點，綜合運用不同存儲設(shè)備之間的安全防護機制構(gòu)建全方位的安全防護體系。 5.1 資源隔離和訪問控制 在存儲虛擬化之后，應(yīng)用不需要關(guān)心數(shù)據(jù)實際存儲的位置，只需要將數(shù)據(jù)提交給虛擬卷或虛擬磁盤，由虛擬化管理軟件將數(shù)據(jù)分配在不同的物理介質(zhì)。這就可能導(dǎo)致不同保密要求的資源存在于同一個物理存儲介質(zhì)上，安全保密需求低的應(yīng)用/主機有可能越權(quán)訪問敏感資源或者高安全保密應(yīng)用/主機的信息，為了避免這種情況的發(fā)生，虛擬化管理軟件應(yīng)采用多種訪問控制管理手段對存儲資源進行隔離和訪

17、問控制，保證只有授權(quán)的主機/應(yīng)用能訪問授權(quán)的資源，未經(jīng)授權(quán)的主機/應(yīng)用不能訪問，甚至不能看到其他存儲資源的存在。 5.2 數(shù)據(jù)加密保護 在各類安全技術(shù)中，加密技術(shù)是最常見也是最基礎(chǔ)的安全防護手段，在存儲虛擬化后，數(shù)據(jù)的加密保護仍然是數(shù)據(jù)保護的最后一道防線。在存儲虛擬化實踐中，對數(shù)據(jù)的加密存在于數(shù)據(jù)的傳輸過程中和存儲過程中。對數(shù)據(jù)傳輸過程中的加密保護能保護數(shù)據(jù)的完整性、機密性和可用性，防止數(shù)據(jù)被非法截獲、篡改和丟失。對數(shù)據(jù)存儲的加密能實現(xiàn)數(shù)據(jù)的機密性，完整性和可用性，還能防止數(shù)據(jù)所在存儲介質(zhì)意外丟失或者不可控的情況下數(shù)據(jù)自身的安全。 5.3 基于存儲的分布式入侵檢測系統(tǒng) 基于存儲的入侵檢測系統(tǒng)嵌

18、入在存儲系統(tǒng)中，能對存儲設(shè)備的所有讀寫操作進行抓取、統(tǒng)計和分析，對可疑行為進行報警。由于基于存儲的入侵檢測系統(tǒng)是運行在存儲系統(tǒng)之上，擁有獨立的硬件和獨立的操作系統(tǒng)，與主機獨立，能夠在主機被入侵后繼續(xù)對存儲介質(zhì)上的信息提供保護。在存儲虛擬化網(wǎng)絡(luò)中，應(yīng)在系統(tǒng)的關(guān)鍵路徑上部署基于存儲的入侵檢測系統(tǒng)，建立全網(wǎng)統(tǒng)一的管理中心，統(tǒng)一管理入侵檢測策略，實現(xiàn)特征庫的實時更新和報警事件及時響應(yīng)。 6 虛擬化數(shù)據(jù)中心的安全管理問題 虛擬化數(shù)據(jù)中心需要新類型的管理員，系統(tǒng)、網(wǎng)絡(luò)和安全管理員應(yīng)進一步擴展他們所掌握的知識，了解虛擬化帶來的新概念。在虛擬世界中，不僅所有這些概念從硬件轉(zhuǎn)向軟件（許多情況下是從軟件內(nèi)核領(lǐng)域向用戶領(lǐng)域轉(zhuǎn)移），而且這些概念一直處于混亂和“封閉狀態(tài)”，不適用于傳統(tǒng)接入方法。管理員不能走近虛擬交換機，插入筆記本電腦，添加一個網(wǎng)絡(luò)分路器，可靠地對一個端口進行映射，或者查看虛擬設(shè)備的統(tǒng)計信息。所有這些能力和知識已經(jīng)超出專業(yè)管理員的能力范圍，而且對軟件控制器、管理gui、專用內(nèi)核模塊和二進制系統(tǒng)隱藏，已經(jīng)進入了只有設(shè)計人員和開發(fā)人員知道如何真正管理設(shè)備的時代。 為此，虛擬化數(shù)據(jù)中心要制定可行的管理策略，并建議包括幾方面內(nèi)容：1） 制