虚拟化安全建设研究

前言

    随着虚拟化技术的蓬勃发展，大量的虚拟化技术被应用到信息系统建设中，对于提高企业物理设备使用率、降低能耗、减少管理维护量等方面带来了诸多的好处。虚拟化技术就其本质而言属于一种资源管理技术，它将物理资源转变为逻辑上可以管理的资源，使企业能更充分地控制与管理各种资源。虚拟化技术中应用最广泛的当属服务器虚拟化，这种技术通过一台或多台物理服务器构建成一个虚拟化环境，在这个虚拟化环境中虚拟出数个甚至数十个虚拟系统，每个虚拟系统对外提供一种或多种服务，各个系统之间相互独立。通过物理的几台服务器和虚拟化软件实现了原来需要数十台设备才能提供的服务。

    虚拟化技术为人们带来便利的同时，也为信息安全提出了新的问题。本文对虚拟化安全与传统安全的不同以及由此带来的挑战进行了分析，并从边界防护、病毒防护、补丁管理以及虚拟化基础设施安全四个方面分别阐述如何进行安全防护。

1 虚拟化安全面临的挑战

    由于虚拟化模糊传统边界、虚拟机数量激增等特点，为目前常见的安全防护手段提出了新的挑战，主要体现在以下方面：

    一是由于网络边界的虚拟化使传统网络边界的防护手段失效。在传统的网络结构中，网络边界一般通过物理的服务器、网络设备、网络接口进行识别，防火墙和入侵检测设备可以采用串接和旁路的方式捕获进出边界的流量并按照预设的策略执行防护动作。但随着虚拟化实施之后，系统之间的边界不单单是以物理设备的形式存在。比如在物理服务器中虚拟出多个服务器，这些虚拟机之间以及虚拟机与宿主机之间的通信都只会在服务器内完成，不会与外部网络发生交互，传统的边界防护设备捕捉不到这些流量，也就不能进行防护。因此基于物理设备进行边界防护的手段不适用于对虚拟化环境的边界保护。

    二是虚拟系统数量的快速增长带来的对计算环境基础防护软件管理的难题和资源消耗的难题。在传统安全中，病毒防护和系统补丁是每个服务器都必须采取的基本安全措施，在应用虚拟化环境之后，这样的安全防护仍然是最基本也是必须的。但问题在于，由于虚拟系统的数量较物理系统数量大大增加，为每个虚拟系统都进行病毒防护和补丁管理将大大提高系统管理的成本；另一方面，每个虚拟系统采用这样的防护手段将占用物理系统大量的存储资源，如果虚拟系统同时进行病毒查杀，更会占据物理服务器的运算资源，降低系统对外提供服务的能力。

    三是虚拟化管理工具自身缺乏保护措施带来的隐患。虚拟化管理工具为快速配置虚拟化环境提供了极大的方便，但也正是由于这个原因，导致它极易受到攻击。一旦恶意攻击者获得管理工具的权限，给整个虚拟化环境带来的危害将是巨大甚至是灾难性的。

2 安全建设研究

    2.1虚拟层的安全服务

    从虚拟化的实现原理来看，所有的虚拟化系统都是基于虚拟层实现的，因此在研究具体的防护措施之前，我们先讨论虚拟层提供的安全服务。

    以VMware为例，VMware提供了介于虚拟机器与Hypervisor之间的虚拟层—Vmsafe，Vmsafe一部分位于Hypervisor内，另一部分以API的形式提供。Vmsafe能对进出虚拟机的所有流量进行检测，这样可以对这个虚拟环境中的所有虚拟机进行保护。但是，VMsafe不能对虚拟机内的系统提供保护，只能对外来恶意行为进行防护，因此仍然必须保证运行的虚拟机是安全的。

    2.2边界防护

    前面已经提到，在采用虚拟化之后，网络边界应重新定义，网络防护的边界应该具体到每个虚拟机，因此，边界防护设备应该能识别每个虚拟机并对虚拟机的边界访问行为进行控制。为了达到这样的目的，虚拟化环境的边界防护需要充分利用虚拟层提供的安全服务，如VMware的VMsafe，对进出虚拟机的所有流量进行检测，识别信息的端口、协议、目的地，对信息的内容进行分析以识别入侵行为或者进行病毒检查。

    下面我们以Juniper的vGW网关为例，说明虚拟化环境中的边界防护设备的工作原理。vGW网关是基于hypervisor的运行在虚拟机管理程序内部的防火墙，它在内核中执行安全处理，实现状态防火墙，病毒防护以及入侵检测系统的功能。

    vGW网关分为vGWENGINE、PartnerServer、SECURITY DESIGN For vGW三部分，其中vGW ENGINE工作在虚拟化软件的内核层，截获上层虚拟机的所有数据流量，并将截获的数据全部转发到PartnerServer进行数据处理，完成病毒查杀、入侵行为监测或是网络流量审计；

    SECURITY DESIGN For vGW管理每个虚拟机的安全策略；由vGW ENGINE根据SECURITY DESIGN For vGW的安全策略以及PartnerServer的分析结果，对虚拟机的访问行为进行阻断或是放行。vGW网关的组成如图1所示。

图1 vGW网关组成

    2.3病毒防护

    在虚拟化环境中的病毒防护解决思路有两种，一种是基于虚拟层的安全服务，在物理服务器上只安装一次病毒防护系统，通过这个系统对这台物理服务器上的所有虚拟机提供病毒查杀服务；另一种是在所有虚拟机上安装病毒防护系统，但为了避免多套病毒系统同时查杀给系统带来性能降低的问题，利用动态调度、优化扫描等手段提高病毒检查的效率。

    2.3.1基于虚拟层安全服务实现

    基于虚拟层安全服务实现的病毒防护的解决思路是在物理服务器上生成一个专门用于提供病毒查杀服务的安全虚拟机，其他虚拟机的病毒查杀服务会通过病毒防护系统的瘦客户端程序提交到虚拟化管理软件，由虚拟化管理软件调度安全虚拟机提供病毒服务。由于物理服务器上只有一台安全虚拟机，管理员只需要对这一台虚拟机的病毒防护系统进行维护，升级病毒特征库，这台物理服务器上所有的虚拟机都能得到防护。

    我们以趋势科技的Deep Security系统为例，这个系统分为Deep Security Virtual Appliance、Deep Security Agent以及Deep Security Manager。

    (1)DeepSecurityVirtualAppliance(DSVA)：运行在VMwarev Sphere虚拟机器上，为IDS/IPS、网络应用程序保护、应用程序管控及防火墙保护等执行安全策略。

    (2)Deep Security Agent(DSA)：部署在受保护的服务器或者虚拟机上的一个轻小的软件，协助执行管理中心设置的安全策略(IDS/IPS、网络应用程序保护、应用程序控管、防火墙、完整性监控及日志审计)。

    (3)Deep Security Manager(DSM)：集中管理病毒防护系统的安全策略和配置，使管理员能够创建安全配置并应用在服务器上，监控警报，对威胁采取预防措施，分发安全更新到各服务器并生成报告。

    Deep Security系统的层次结构如图2所示。

图2 系统组成

    在安全虚拟机中运行的Partner Agent对应DeepSecurity系统的DSVA，调用Shield EndpointLibrary中的安全函数，执行实际的病毒查杀；运行在GuestVM中ThinAgent对应于DSA，将虚拟机的病毒查杀请求以及查杀内容传递给Partner Agent；Partner Management Console对应DSM，是制定系统病毒查杀的策略。

    利用这种方式的病毒查杀系统，可以实现虚拟机文件访问时的被动病毒扫描和虚拟机的定制扫描。

    (1)文件访问时的被动病毒扫描流程如图3所示。

图3 文件访问扫描过程

    当虚拟机中的文件发生打开或关闭的行为时，触发驻留在虚拟机上的杀毒引擎，并将杀毒请求转发到安全虚拟机进行病毒查杀完后，将结果反馈给杀毒引擎。

    (2)定制扫描阶段的流程如图4所示。

图4 定制扫描过程

    在定制扫描阶段，由虚拟机通过病毒引擎发起查毒请求给安全虚拟机，由安全虚拟机对该机请求的内容进行查杀。

    2.3.2 基于资源动态调度

    第二种病毒查杀系统的解决思路是对物理服务器中的所有虚拟机分别安装病毒防护软件，但采用资源动态调度和扫描优化，提高病毒查杀速度，降低对系统性能的影响，这种解决思路的代表是Symantec。

    在Symantec的Endpoint Protection系统采用了“资源平衡（Resource Leveling）”的技术，对同一物理服务器中的病毒查杀行为进行调整，避免同时有多个虚拟机查毒。同时为了提高病毒查杀的效率，还采用了虚拟映像文件例外、虚拟客户端标记、扫描结果缓存共享等技术。虚拟映像文件例外是针对由同一模板生成的虚拟机，由于系统配置、系统文件等都是相同的，因此将这些文件加入白名单，不进行扫描；虚拟客户端标记是指根据生成虚拟机的不同虚拟化软件进行标记，为下一步管理和相关策略制定提供依据；扫描结果缓存共享是指对同一虚拟环境中已经扫描的文件结果保存到缓存中，当在其他虚拟机中遇到同样的文件时不再重复扫描，只需要查询缓存的扫描结果即可，不需要二次扫描。

    2.4 补丁管理

    在虚拟化环境中的补丁管理同传统环境是一样的，但是补丁管理不像病毒管理可以针对虚拟化环境进行诸多的优化，目前来说还没有找到比较好的，既提高效率又节约空间的适合于虚拟化环境的补丁管理解决方案。但即使这样，对每个虚拟机进行补丁的安装和升级也是必须的，同时为了保证各个虚拟机之间补丁都升级到最新的版本，应对休眠的虚拟机也要打上补丁。

    对于休眠虚拟机的补丁管理，可以采用操作系统的计划管理功能，在补丁分发系统有新升级的补丁时，在指定的时刻将休眠的虚拟机唤醒，完成补丁的升级后再将虚拟机关闭，保证在虚拟化环境中的所有虚拟机都安装了最新的补丁。

    2.5 虚拟化基础设施的保护

    在虚拟化环境中的系统管理工具是基础设施之一，也是整个系统的管理中枢，所有虚拟机的生成、策略设置以及维护都可以通过管理工具完成，可以说，管理工具就是通向虚拟化环境的一道门，如何才能把门看好，只允许合法的人员访问授权的资源，拒绝非法的访问行为，强身份认证是解决这个问题的办法。

    在系统管理工具之前部署硬件的身份认证设备，对所有访问管理工具的请求进行拦截，对所有用户身份进行认证，认证方式可以基于证书、硬件设备、AD域等；认证通过后，该身份认证设备应对访问管理工具的命令进行解析，只允许授权的管理员执行授权的命令，对管理员越权的命令请求一律阻止；对于用户与管理工具之间的访问也由身份认证设备代理，身份认证设备与管理工具之间通过SSH的方式通信；同时对所有访问请求行为、发送的命令等进行审计，以实现对事后操作员操作行为的追溯。

3 小结

    虚拟化涉及的方方面面的内容是比较多的，相应的对安全建设内容也是广泛的。本文主要阐述了边界防护、病毒防护、补丁管理以及虚拟化基础设施保护四个主要的问题，但要切实保护好虚拟化环境信息安全，还需要其他方面的配合，比如采用加密技术保护虚拟机镜像文件、采用物理分区技术对不同安全需求的虚拟机进行隔离等都是保护方法之一。虽然虚拟化技术的应用为传统的信息安全带来了巨大的挑战，但虚拟化的浪潮是不可避免的，只有在适应新技术发展的形式下，转变思路，开拓创新、积极应对新挑战带来的新机遇，才能在未来信息化安全建设中占有一席之地。

核心关注：拓步ERP系统平台是覆盖了众多的业务领域、行业应用，蕴涵了丰富的ERP管理思想，集成了ERP软件业务管理理念，功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理，全面涵盖了企业关注ERP管理系统的核心领域，是众多中小企业信息化建设首选的ERP管理软件信赖品牌。

转载请注明出处：拓步ERP资讯网http://www.toberp.com/

本文标题：虚拟化安全建设研究

本文网址：http://www.toberp.com/html/consultation/1083955822.html