近年來，云計算受到了學術界和產業界的一致關注。隨著云計算應用的日益復雜。其安全性要求也越來越高。而且傳統的IT系統是封閉的，存在于企業內部，對外暴露的只是網頁服務器、郵件服務器等少數接口，因此只需要在出口設置防火墻、訪問控制等安全措施，就可以解決大部分安全問題。但在云環境下，云暴露在公開的網絡中，任何一個節點及它們的網絡都可能受到攻擊，存在諸多安全隱患。

　　云計算中的安全包括身份和訪問管理、數據安全、隱私保護、虛擬化安全等。圖l描述了虛擬化角度下的云計算架構。節點的物理硬件和網絡物理硬件通過多層虛擬化的邏輯簡化過程形成了彈性化的計算、存儲和網絡帶寬3者整合的虛擬資源池．提供了隨需而選的資源共享、分配、管控平臺，用戶可根據上層的數據和業務形態的不同需求，搭配出各種互相隔離的應用。這樣通過虛擬技術，就形成一個服務導向的可伸縮的lT基礎架構，可以提供云計算服務。比如Amazon EC2(elastic compute cloud)，它為用戶提供了大量的虛擬資源，用戶只需根據自己的需要創建虛擬機實例。從而通過這些資源完成用戶的任務。
 

　　專家大多認為．云計算與傳統IT環境最大的區別在于其虛擬的計算環境，也正是這一區別導致其安全問題變得異常“棘手”。身份管理、數據安全等問題可以通過現有的訪問控制策略、數據加密等傳統安全手段來解決，而虛擬化作為云計算最重要的技術，且虛擬環境是云計算的獨特環境。傳統的安全措施很難從根本上解決問題，必須采取新的安全策略。

　　1、虛擬化技術

　　云計算的特征體現為虛擬化、分布式和動態可擴展。虛擬化是云計算最主要的特點。每一個應用部署的環境和物理平臺是沒有關系的，通過虛擬平臺進行管理、擴展、遷移、備份，種種操作都是通過虛擬化技術完成。虛擬化技術是一種調配計算資源的方法．它將應用系統的不同層面——硬件、軟件、數據、網絡、存儲等一一隔離開來，從而打破數據中心、服務器、存儲、網絡、數據和應用中的物理設備之間的劃分，實現架構動態化．并實現集中管理和動態使用物理資源及虛擬資源。圖2顯示的是一個典型的虛擬機系統。其中,虛擬機監控器(virtual machine monitor，VMM)，又稱為監管程序(Hypervisor)，是虛擬化技術的核心。通過在計算機系統上添加一個虛擬機監控程序軟件對計算機系統進行虛擬化．在物理機上構建一個虛擬機系統，每個虛擬機(VM)運行自己的客戶機操作系統(GuestOS)。這可以說是云計算的一個雛形。

　　現在，整個IT環境已逐步向云計算時代跨越，虛擬化技術也從最初的側重于整合數據中心內的資源．發展到可以跨越IT架構實現包括資源、網絡、應用和桌面在內的多種虛擬化．這些都促進了云計算模式的形成。大部分軟件和硬件已經對虛擬化有一定支持，可以把各種IT資源、軟件、硬件、操作系統和存儲網絡等要素都進行虛擬化，放在云計算平臺中統一管理。

　　2、虛擬化安全問題研究

　　2.1 虛擬化的安全問題

　　虛擬化技術對于云計算而言是非常重要的，所以，虛擬化的安全也直接關系到云計算的安全。從目前研究來看，云計算的虛擬化安全問題主要集中在以下幾點。

　　(1)VM Hopping

　　一臺虛擬機可能監控另一臺虛擬機甚至會接人到宿主機．這稱為VM Hopping。如果兩個虛擬機在同一臺宿主機上．一個在虛擬機1上的攻擊者通過獲取虛擬機2的IP地址或通過獲得宿主機本身的訪問權限可接人到虛擬機2。攻擊者監控虛擬機2的流量，可以通過操縱流量攻擊．或改變它的配置文件．將虛擬機2由運行改為離線，造成通信中斷。當連接重新建立時．通信將需要重新開始。

　　(2)VM Escape

　　VM Escape攻擊獲得Hypervisor的訪問權限．從而對其他虛擬機進行攻擊。若一個攻擊者接人的主機運行多個虛擬機，它可以關閉Hypervisor，最終導致這些虛擬機關閉。

　　(3)遠程管理缺陷

　　Hypervisor通常由管理平臺來為管理員管理虛擬機。例如，Xen用XenCenter管理其虛擬機。這些控制臺可能會引起一些新的缺陷．例如跨站腳本攻擊、SQL入侵等。

　　(4)拒絕服務(DoS)的缺陷

　　在虛擬化環境下，資源(如CPU、內存、硬盤和網絡)由虛擬機和宿主機一起共享。因此，DOS攻擊可能會加到虛擬機上從而獲取宿主機上所有的資源．因為沒有可用資源，從而造成系統將會拒絕來自客戶的所有請求。

　　(5)基于Rootkit的虛擬機

　　Rootkit概念出現在Unix中，它是一些收集工具，能夠獲得管理員級別的計算機或計算機網絡訪問。如果Hypervisor被Rootkit控制．Rootkit可以得到整個物理機器的控制權。

　　(6)遷移攻擊

　　遷移攻擊可以將虛擬機從一臺主機移動到另一臺，也可以通過網絡或USB復制虛擬機。虛擬機的內容存儲在Hypervisor的一個文件中。如圖3所示。在虛擬機移動到另一個位置的過程中，虛擬磁盤被重新創建．攻擊者能夠改變源配置文件和虛擬機的特性。一旦攻擊者接觸到虛擬磁盤．攻擊者有足夠的時間來打破所有的安全措施，例如密碼、重要認證等。由于該虛擬機是一個實際虛擬機的副本，難以追蹤攻擊者的此類威脅。
 

　　除此以外。虛擬機和主機之間共享剪切板可能造成安全問題。若主機記錄運行在主機上的虛擬機的登錄按鍵和屏幕操作，如何確保主機日志的安全也是一個問題。

 

　　2.2虛擬化安全分層分析

　　目前對虛擬化安全的研究綜合起來可以歸結為兩個方面：一個是虛擬化軟件的安全；另一個是虛擬服務器的安全。

　　(1)虛擬化軟件的安全

　　該軟件層直接部署于裸機之上，提供能夠創建、運行和銷毀虛擬服務器的能力。主機層的虛擬化能通過任何虛擬化模式完成，包括操作系統級虛擬化(Solaris container、BSDiail、Linax．Vserver)、半虛擬化(硬件和Xen、VMware的結合)或基于硬件的虛擬化(Xen、VMwaxe、Microsoft Hyper-V)。

　　這一層的特點是虛擬機的安全．其中Hypervisor作為虛擬機的核心。要確保安全。目前有兩種攻擊方式，一是惡意代碼通過應用程序接口(API)攻擊，因虛擬機通過調用AP!向Hypervisor發出請求．Hypervisor要確保虛擬機只會發出經過認證和授權的請求。二是通過網絡對Hypervisor進行攻擊。通常，Hypervisor所使用的網絡接口設備也是虛擬機所使用的。如果網絡配置得不是很嚴格，這意味著虛擬機可以連接到Hypervisor的IP地址，并且可以在Hypervisor的登錄密碼沒有使用強密碼保護的情況下入侵到Hypervisor。這種不嚴格的網絡配置還可能導致對Hypervisor的DoS攻擊．使得外網無法鏈接到Hypervisor去關閉這些有問題的虛擬機。

　　(2)虛擬服務器的安全

　　虛擬服務器位于虛擬化軟件之上。服務器的虛擬化相對于之前的服務器，變化最大的一點是網絡架構。網絡架構的改變相應地產生了許多安全問題。采用虛擬化技術前，用戶可以在防火墻設備商建立多個隔離區．對不同服務器采用不同的規則進行管理．由于隔離區的存在。對一個服務器的攻擊不會擴散到其他服務器。采用虛擬服務器后．所有的虛擬機會集中連接到同一臺虛擬交換機與外部網絡通信，會造成安全問題的擴散。服務器虛擬化后。每一臺服務器都將支持若干個資源密集型的應用程序．可能出現負載過重．甚至會出現物理服務器崩潰的狀況。在管理程序設計過程中的安全隱患會傳染到同臺物理主機上的虛擬機．造成虛擬機溢出，此時的虛擬機從管理程序脫離出來，黑客可能進入虛擬機管理程序，能夠避開虛擬機安全保護系統．對虛擬機進行危害。

　　另外．虛擬機遷移以及虛擬機問的通信將會大大增加服務器遭受滲透攻擊的機會。虛擬服務器或客戶端面臨著許多主機安全威脅．包括接人和管理主機的密鑰被盜，攻擊來打補丁的主機．在脆弱的服務標準端口偵聽，劫持未采取合適安全措施的賬戶等。面對以上不安全因素，目前研究發現。可以采取以下措施：

• 針對網絡架構的變化，在每臺虛擬機上都安裝防毒軟件或者其他種類的殺毒軟件；
• 避免服務器過載崩潰，要不斷監視服務器的硬件利用率，并進行容量分析，使用容錯服務器或容錯軟件是一個好的選擇;
• 為阻止虛擬機溢出。在數據庫和應用層問設置防火墻,通過隔離虛擬機實現從網絡上脫機保存虛擬化環境;
• 選擇具有可信平臺模塊(trusted platform module，TPM)的虛擬服務器：
• 安裝時為每臺虛擬服務器分配一個獨立的硬盤分區。以便進行邏輯隔離；
• 每臺虛擬服務器應通過VLAN和不同的IP地址網段的方式進行邏輯隔離．需要通信的虛擬服務器間通過VPN進行網絡連接：
• 進行有計劃的備份，包括完整、增量或差量備份方式，進行虛擬化的災難恢復。

　　3、基于Xen平臺安全問題分析

　　為了研究方便．筆者選擇Xen搭建云計算平臺．分析Xen是怎樣解決虛擬化安全問題的．并認識Xen未解決的問題，從而對云計算虛擬化的安全問題有更深一步的認識。

　　3.1 Xen概述及其與VMware的比較

　　Xen是一種基于虛擬機煉控器Xen Hypervisor的虛擬機體系結構．由劍橋大學開發。Xen Hypervisor作為虛擬機臨控器直接運行在硬件上，提供虛擬化環境。同時，在Xen Hypervisor上運行一個具有管理接口(administrativeconsole)的虛擬機(Domain 0)作為Xen Hypervisor的擴展．管理Xen hypervisor和其他虛擬機實例(Domain U)。
 

　　跟Xen比較起來．VMware是完全仿真計算機，理論上操作系統可不需更改就直接存虛擬機器上執行，但是VMware不夠靈活。通常Xen采用半虛擬化技術，雖然操作系統必須進行顯式地修改(“移植”)以在Xen上運行，但是提供給用戶應用的兼容性強。這使得Xen無需特殊硬件支持，就能達到高性能的虛擬化。文獻表明．肖用Linux自帶的網絡服務測試工具測試VMware和Xen的虛擬網絡性能時，隨著請求文件長度的變大．每秒鐘處理的請求數均降低．Xen的虛擬網絡性能與真實主機接近，而比VMware虛擬網絡的性能好。目前，Intel等公司的努力使Xen已經支持完全虛擬化。更重要的是．Xen是開源的，因此選用Xen搭建云計算環境是一個不錯的選擇。

　　3.2 Xen已解決的安全問題

　　(1)Xen的訪問控制

　　云計算虛擬化面臨諸多安全問題，有效采取訪問控制策略能有效解決非法登錄、虛擬機流量監控等安全問題。Xen通過自己的訪問控制模塊(Access control module，ACM)。能有效解決諸多訪問不當造成的安全問題。

　　ACM實現了兩種策略機制,分別是中國墻(Chinesewall)策略和簡單類型強制(simple type enforcement．STE)策略。其中，中圍墻策略定義了一組中國墻類型，并因此定義沖突集，然后根據類型定義標簽．該策略根據標簽來進行判斷，若兩個虛擬機的標簽處在同一個沖突集中．則不能同時在相同的系統上運行．因此該機制主要用于虛擬機之間的信息流控制。STE策略亦定義了一組類型(該類型針對的是域所擁有的資源)，然后根據類型定義標簽，要求當上體擁有客體標簽時．主體才能訪問客體．以此來控制資源共享。除此以外，Xen的Domain 0用戶可以根據自己的需求制定安全策略史檔．當虛擬機請求與別的虛擬機進行通信或訪問資源時．ACM模塊能根據用戶定義的策略判斷．以此達到對虛擬機的資源進行控制以及對虛擬機之間的信息流進行控制的目的。

　　(2)Xen的可信計算

　　可信計算技術是一種新興的信息安全手段，其安全措施是通過構建信任鏈來防御攻擊。通過傳遞機制，在系統啟動時可將B10S中最先啟動的代碼BIOS boot loader作為整個信任鏈的起點，依次逐級向上傳遞系統控制權并構建信任鏈，直到應用層。可信計算可以有效彌補傳統安全防議無法提供的有關通信終點節點完整性與可信性差的問題。

　　可信計算平臺是能夠提供可信計算服務的計算機軟硬件實體．它能夠提供系統的可靠性、可用性以及信息和行為的安全性。因此，建立可信平臺是應對云計算安全的一種重要手段。而可信平臺模塊(TPM)是可信計算的基石。

　　TPM實際上是一個含有密碼運算部件和存儲部件的系統級芯片，是云計算平臺重要的防篡改組件，這能有效保證平臺的安全。相對于傳統物理平臺，可信平臺在Xen等虛擬化平臺上實現TPM，有一定的優越性。平時計算機裝了太多軟件，這使得構建信任鏈變得很復雜。相對而言，使用虛擬機(VM)配合虛擬可信平臺模塊(vTPM)組成虛擬終端可信平臺要方便得多例。這是因為虛擬終端可信平臺通常只為處理某種特定任務而產生，可由用戶自定義其所需功能，所以功能相對簡單，更容易構建信任鏈。此平臺可以來處理需要安全保障的在線服務或敏感數據的訪問。

　　現在，Xen 3.0以上的版本都能支持vTPM的實現．vTPM能實現虛擬計算系統中虛擬機的安全可靠。vTPM可以使平臺上的每個虛擬機利用其功能．讓每個需要TPM功能的虛擬機都感覺是在訪問自己私有的TPM一樣。在平臺搭建中。可以創建多個虛擬TPM，這樣每一個如實地效仿硬件TPM的功能，可有效維護各個虛擬機的安全．從而使Xen搭建的云計算平臺處于較穩定狀態。

　　3.3 Xen的現有問題及解決策略

　　目前的Xen的安全性還有較多的安全問題。比如，Domain 0是一個安全瓶頸，其功能較其他域強，所以容易被敵手發起蠕蟲、病毒、DoS等各種攻擊，如果Domain 0癱瘓或者被敵手攻破，那么將破壞整個虛擬機系統。Xen的隱通道問題沒有解決。在Xen上就不可能運行高安全等級的操作系統。虛擬機共享同一套硬件設備，一些網絡安全協議可能更加容易遭到惡意破壞和惡意實施。Xen提供了方便的保存和恢復機制．使得操作系統數據的回滾和重放非常容易，但這些將影響操作本身的密碼特性。除此之外，在Xen中，由于安全機制做在Guest OS中，所以不能保證VMM的安全。Xen只能限制頁表一級的內存I/O地址空間．而中斷和I/0端口地址空間的粒度要比頁表小得多．如果不同虛擬機中的驅動不幸被分配到同一個頁表空間，那么它們就可以訪問對方的內存地址空間，造成安全問題。

　　針對Domain 0的問題。可削弱它的功能。將其功能分解到其他域．這將會適當減少Domain 0的瓶頸作用。具體的策略需要進一步研究。對于敏感數據要進行多次擦除防止再恢復。另外，Xen的ACM模塊不能完全解決設備隔離和資源隔離問題，將Xen和LaGrande技術結合是一個不錯的選擇。LaGrande是lnfel將要實施的一種硬件技術，它是一組通用的硬件安全增強組件．用來防止敏感的信息被惡意軟件攻擊．其安全功能將被整合到處理器和芯片集中．能有效增強設備隔離，實現I/O保護、內存越界保護、鍵盤、顯示的隔離保護等。總之，在之后的工作中，需要慢慢解決虛擬化的安全問題，這是云計算安全的關鍵。

　　4、業界對虛擬化安全的努力

　　針對傳統安全防火墻技術不能有效監控虛擬機流量的問題,mtor Networks公司使用VMware的API來開發虛擬安全分析器，以檢測虛擬交換機流量——在虛擬層之上的網絡層流量。該公司也開發了虛擬網絡防火墻，該防火墻基于虛擬機管理器，可認證有狀態的虛擬防火墻，檢查所有通過虛擬機的數據分組，組織所有未經批準的連接和允許對數據分組進行更深層次的檢查，確保了虛擬機間通信的安全。針對虛擬環境的安全問題，目前Resolution EntERPrise公司提出要對虛擬化環境采取深層防護戰略．這是一個像城堡一樣的防護模型，通過執行相應的策略實現對云計算虛擬資源池的保護。這個新發明值得進一步去研究。

　　除此以外．開源Xen管理程序社區Xen.org已經開始實施Xen云平臺(XCP)計劃。目的是在云環境中利用領先的Xen管理程序．為未來的云服務提供安全的、經過驗證的開源基礎設施乎臺。目前。已經發布了XCPl.0及其修正版，并將慢慢發布更加穩定的版本。這將有助于建立更加穩定的云計算平臺。

　　5、結束語

　　虛擬化打開了云計算的大門，而云計算的本質正是虛擬化服務。作為一個新的網絡計算，云計算面臨著諸多安全問題．而虛擬化安全作為云計算的特有安全問題，需要重點關注。后期研究的重點集中在虛擬機的隔離，虛擬機流量的監控和虛擬的可信平臺的穩固上。只有解決這些問題題，才能夠確保云計算平臺的虛擬化安全，從而放心地使用云計算。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：云計算的虛擬化安全問題

本文網址：http://www.guhuozai8.cn/html/consultation/1083972916.html