云计算中虚拟化技术的安全研究
【摘要】当今社会,随着IT技术的发展,云计算正处于蓬勃发展的阶段,虚拟化技术也随之越来越成熟和普及。随着虚拟化技术越来越高频率地出现在大众面前,安全保障便成为不可忽视的一个大问题。本文旨在分析虚拟化技术存在的安全问题,尝试着从几个关键的安全风险着手,保障信息和系统安全。
【关键词】虚拟化技术;云计算;安全
随着计算机技术和计算机硬件的快速发展,政府、企业、机关单位对计算机技术的依赖越来越大,产生了大量的应用和数据。伴随着大数据时代的到来,云计算、虚拟化技术普及和发展起来。云计算和虚拟化技术作为新兴的技术,同样面临着更多的安全威胁。云安全联盟在2016年的报告中提出十二大云安全威胁。近日,微软发布了《第22次安全情报报告》,指出了云服务所面临的安全威胁。本文将据此问题,总结云计算中虚拟化技术所面临的安全威胁,并尝试研究解决方案。
一、云计算和虚拟化的概念
云计算,美国国家标准与技术研究院定义:云计算是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问,进入可配置的计算机资源共享池,这些资源能够被快速提供,只需投入很少的管理工作,或与服务供应商进行很少的交互。
云计算并不是一个技术问题,而是一个运维概念,像阿里云那样,将IT服务像水和电一样提供给用户选择使用,并按使用量收费。
虚拟化,指计算元件在虚拟的基础上而不是真实的基础上运行,是一个为了简化管理、优化资源的解决方案。这种把有限的固定的资源根据不同需求进行重新规划以达到最大利用率的思路,在IT领域就叫作虚拟化技术。
虚拟化技术对于云计算而言是一种技术上的支持,可以实现多元化分配资源并提高利用率。
二、虚拟化技术存在的安全风险
(一)虚拟环境的新挑战。首先传统的安全风险依旧存在,病毒传播、数据泄露、恶意代码、DDoS、后门、Rootkit等等,同样无时无刻威胁着虚拟环境。而在虚拟环境中,新技术产生了新的问题,随着虚拟终端的不断增加,带来的一个问题就是资源争夺,运行在同一台主机当中的所有虚拟机会相互争夺有限的物理资源,资源争夺最有可能出现在存储I/O或者网络带宽方面。同时虚拟机之间会产生攻击和防护盲点,一个可能的攻击场景是一个可疑的虚拟机迁移进信任区域,在传统以网络为基础的安全控制措施下,将无法检测到它的不当行为。
(二)虚拟化系统自身的安全问题。Hypervisor是运行在物理宿主机和虚拟机之间的中间软件层,必定会有一些安全漏洞,包括系统自身的完整性;不断更新功能所产生的新的漏洞;来自外部的攻击等。例如Linux平台上的“VMRUN”本地权限提升漏洞,攻击者可以利用此漏洞提升在服务端的权限;Hyper jacking rootkit攻击,在操作系统启动之前先启动VMM,让原来的操作系统执行在此VMM之上,而恶意程序执行在和VMM平行的一个操作系统上,原来的操作系统就无法发现这个恶意程序。
(三)虚拟机对等关系中的安全问题。1.虚拟机逃逸。在虚拟机安全中,有个特殊的漏洞叫作虚拟机逃逸,指的是一个精明的攻击者能够突破虚拟机,获得管理程序并控制在主机上运行的其他虚拟机。AstroArch咨询公司总裁和首席顾问Haletky认为:目前所有公开的逃逸对用于服务器虚拟化的主要管理程序都是无效的,比如vSphere、XenServer和Hyper-V。其实虚拟机本质上也是运行在操作系统上的应用软件,只不过这个应用软件会独立地运行另外一个操作系统。一旦攻击者获得Hypervisor权限,便能够利用Hypervisor执行恶意代码,从而控制宿主机下面的所有虚拟机,甚至可以侵入到网络内部,影响整个云安全。2.虚拟机跳跃。在同一个系统中的虚拟机是通过网络连接共享宿主服务器资源,包括CPU、内存等,这样便给虚拟机跳跃攻击提供途径,恶意程序通过这种共享方式去尝试控制其他虚拟机,虚拟机系统的通信遭到破坏。
(四)虚拟机管理过程中所带来的安全问题。1.管理员由于业务不熟悉或者失误造成的虚拟机系统的配置错误,这种情况就像服务器密码设置太简单一样,在虚拟机环境中的配置漏洞更容易被攻击。2.管理网络与应用网络没有进行有效的隔离,通常虚拟机管理网络是有严格限制,仅有固定的白名单用户才能进行访问,有的应用单位没有配置专门的管理网络,和应用网络共用一网,本身应用网络面向大众,这样变相把管理网络暴露在公共场合。3.普通的软件包括操作系統有着大量的安全漏洞。操作系统无论是windows还是Linux,都有着各种各样的安全漏洞,同样,多年以来,在计算机软件(包括来自第三方的软件,商业的和免费的软件)中已经发现了不计其数能够削弱安全性的缺陷(bug)。这些漏洞是虚拟机系统中的单元应用单位,影响着虚拟化技术的安全。
三、虚拟化安全对策
前面从4个方面简要分析虚拟化技术的安全问题,了解了问题的根源所在,才能有针对性地提出合适的虚拟化安全对策。云计算应用是IT产业的高速发展所带来的新型运维概念和服务概念,同样也面临着各种各样的安全问题,一方面是IT的传统安全问题。一方面是虚拟化技术自身所带来的安全问题,以下提出对应的虚拟化安全对策。
(一)传统的安全手段。传统的安全防护手段在虚拟化技术里可以继续发挥作用。每个虚拟化服务器从传统角度看是一个脱离硬件资源约束的独立服务应用系统,所以同样受到传统服务器的安全威胁,所以做好服务器日常安全防护必不可少。1.日志审计。在一个完整的信息系统里面,日志系统是一个非常重要的功能组成部分。在安全领域,日志可以反映出很多的安全攻击行为,比如登录错误、异常访问等。日志还能提供很多关于网络中所发生事件的信息,包括性能信息、故障检测和入侵检测。有条件的情况下可以设置hips监控。hips监控是基于主机的入侵防御系统,它能监控电脑中文件的运行和对文件的调用,以及对注册表的修改。2.认证和鉴别机制。当用户需要访问服务器时,用户名和密码在大多数情况下是唯一需要的识别数据。而在服务器安全控制体系里,用户需要通过一个加密的安全性令牌来进行特殊的访问服务,比如认证证书的下载和鉴别。3.管理流程。服务器管理工作必须(下转第187页)(上接第185页)有一套规范严谨的管理流程。常见的管理工作包括:服务器定期的安全性能检查、服务器的日常监控、定期数据备份、相关日志操作、密码定期更改、系统补丁修补工作等。
(二)虚拟化系统自身安全防护对策。虚拟化是一门新兴的技术,其所衍生的自身安全问题尤为重要,Hypervisor和虚拟机的安全防护的研究成为专业技術人员研究的重点项目。1.Hypervisor自身系统漏洞的及时修补。虚拟化系统中每一次技术更新都会在软件层中产生新的安全漏洞,几个主机虚拟机管理系统VMware、Hyper-v、Xen等更新产生的漏洞都会对整个云系统产生安全威胁,除了及时打上系统安全漏洞的补丁,可以在网卡层上设置虚拟防火墙来监控虚拟机之间的流量交换,以起到过滤和保护作用;在Hypervisor中引入资源管理控制,保证高优先级虚拟机优先使用;将主机资源进行资源池划分,使不同资源池的虚拟机只能访问所在资源池的资源,防止拒绝服务的危险。2.锁定管理层网络访问。管理网路和应用网络应该相互隔离,限制对管理功能未经授权访问的风险,以应对虚拟机逃逸和虚拟机跳跃所带来的安全隐患。在不同虚拟机之间,用防火墙进行隔离和防护,确保只能处理许可的协议;在主机和虚拟机之间使用IPSEC或强化加密,防止虚拟机和主机之间通信被嗅探和破换;要进行虚拟机之间的通信,可以使用一个在不同网络地址上的独立网络接口卡,这比将虚拟机之间的通信直接推向暴露的网络要安全得多。下面提出具体可实施的安全隔离方法,把整个虚拟化平台划分成一个或多个集群,每个集群分配一个大的子网;接着在所有宿主机上建立一组默认的防火墙规则,默认隔离与其他子网之间的通信;当用户向云平台提交创建虚拟机请求时,云平台自动给用户分配到某个大集群,并在此大集群所属的大子网下给该用户建立一个子网;同时,把虚拟机的虚拟网络接口加入到默认的防火墙规则下实现隔离的约束;当该用户再次创建虚拟机时,虚拟机的IP地址设置成同个集群内的同个子网,同时也把虚拟机的虚拟网络接口加入到默认的防火墙规则下;再将MAC地址与IP地址绑定。这样避免了虚拟机之间相互攻击;可以用于虚拟机的安全隔离。
四、结语
虚拟化安全是云计算安全这个庞大体系的一部分,解决好虚拟化安全问题是保证云计算安全的基础,让更多的人乐于接受云计算,将自己的信息数据安心放到云计算应用中来。如果将云计算的安全威胁比作了集中营,就是希望放到集中营中的安全威胁越来越少,最后集中营能够解散掉,彻底消除各种云计算安全威胁。这个过程一定还有很长的路要走,需要依赖技术、管理和产业等各行业的共同努力才能实现。
【本文系江苏省现代教育技术研究2015年度课题“高职高专图书馆的虚拟化系统应用设计”(项目编号:2015-R-44615)的研究成果之一】
【参考文献】
[1]云安全联盟:2016年的十二大云安全威胁[EB/OL].[2017-08-15].http://netsecurity.51cto.com/art/201603/507516.htm
[2]冯登国等.云计算安全研究[J].软件学报,2011(1):71-83.
[3]邓莉.基于虚拟机迁移的动态资源配置研究[D].武汉:华中科技大学,2013.
版权声明:
1.十号范文网的资料来自互联网以及用户的投稿,用于非商业性学习目的免费阅览。
2.《云计算中虚拟化技术的安全研究》一文的著作权归原作者所有,仅供学习参考,转载或引用时请保留版权信息。
3.如果本网所转载内容不慎侵犯了您的权益,请联系我们,我们将会及时删除。
本栏目阅读排行
栏目最新
- 1在农民收入调查工作动员培训会上讲话
- 22024年领导干部政治素质自评材料(完整)
- 3公司党委党建工作总结报告【完整版】
- 42024年主题教育党建调研开展情况总结
- 52024年度区妇联关于党建工作述职报告(完整)
- 6关于加强企业人才队伍建设调研与思考(完整文档)
- 72024县党员干部抓基层党建工作述职报告
- 8第二批主题教育研讨发言:时刻“以民为本”,听“实言实语”,办实事好事
- 92024关于党员干部法治信仰情况调研报告(2024年)
- 10局网络安全工作责任制落实自查报告(全文)
- 11XX国企分管领导关于党建设引领企业高质量发展研讨发言(范文推荐)
- 122024年第二批主题教育专题读书班研讨发言提纲(6)【完整版】