前言
隨著虛擬化技術(shù)的蓬勃發(fā)展,大量的虛擬化技術(shù)被應用到信息系統(tǒng)建設中,對于提高企業(yè)物理設備使用率、降低能耗、減少管理維護量等方面帶來了諸多的好處。虛擬化技術(shù)就其本質(zhì)而言屬于一種資源管理技術(shù),它將物理資源轉(zhuǎn)變?yōu)檫壿嬌峡梢怨芾淼馁Y源,使企業(yè)能更充分地控制與管理各種資源。虛擬化技術(shù)中應用最廣泛的當屬服務器虛擬化,這種技術(shù)通過一臺或多臺物理服務器構(gòu)建成一個虛擬化環(huán)境,在這個虛擬化環(huán)境中虛擬出數(shù)個甚至數(shù)十個虛擬系統(tǒng),每個虛擬系統(tǒng)對外提供一種或多種服務,各個系統(tǒng)之間相互獨立。通過物理的幾臺服務器和虛擬化軟件實現(xiàn)了原來需要數(shù)十臺設備才能提供的服務。
虛擬化技術(shù)為人們帶來便利的同時,也為信息安全提出了新的問題。本文對虛擬化安全與傳統(tǒng)安全的不同以及由此帶來的挑戰(zhàn)進行了分析,并從邊界防護、病毒防護、補丁管理以及虛擬化基礎設施安全四個方面分別闡述如何進行安全防護。
1 虛擬化安全面臨的挑戰(zhàn)
由于虛擬化模糊傳統(tǒng)邊界、虛擬機數(shù)量激增等特點,為目前常見的安全防護手段提出了新的挑戰(zhàn),主要體現(xiàn)在以下方面:
一是由于網(wǎng)絡邊界的虛擬化使傳統(tǒng)網(wǎng)絡邊界的防護手段失效。在傳統(tǒng)的網(wǎng)絡結(jié)構(gòu)中,網(wǎng)絡邊界一般通過物理的服務器、網(wǎng)絡設備、網(wǎng)絡接口進行識別,防火墻和入侵檢測設備可以采用串接和旁路的方式捕獲進出邊界的流量并按照預設的策略執(zhí)行防護動作。但隨著虛擬化實施之后,系統(tǒng)之間的邊界不單單是以物理設備的形式存在。比如在物理服務器中虛擬出多個服務器,這些虛擬機之間以及虛擬機與宿主機之間的通信都只會在服務器內(nèi)完成,不會與外部網(wǎng)絡發(fā)生交互,傳統(tǒng)的邊界防護設備捕捉不到這些流量,也就不能進行防護。因此基于物理設備進行邊界防護的手段不適用于對虛擬化環(huán)境的邊界保護。
二是虛擬系統(tǒng)數(shù)量的快速增長帶來的對計算環(huán)境基礎防護軟件管理的難題和資源消耗的難題。在傳統(tǒng)安全中,病毒防護和系統(tǒng)補丁是每個服務器都必須采取的基本安全措施,在應用虛擬化環(huán)境之后,這樣的安全防護仍然是最基本也是必須的。但問題在于,由于虛擬系統(tǒng)的數(shù)量較物理系統(tǒng)數(shù)量大大增加,為每個虛擬系統(tǒng)都進行病毒防護和補丁管理將大大提高系統(tǒng)管理的成本;另一方面,每個虛擬系統(tǒng)采用這樣的防護手段將占用物理系統(tǒng)大量的存儲資源,如果虛擬系統(tǒng)同時進行病毒查殺,更會占據(jù)物理服務器的運算資源,降低系統(tǒng)對外提供服務的能力。
三是虛擬化管理工具自身缺乏保護措施帶來的隱患。虛擬化管理工具為快速配置虛擬化環(huán)境提供了極大的方便,但也正是由于這個原因,導致它極易受到攻擊。一旦惡意攻擊者獲得管理工具的權(quán)限,給整個虛擬化環(huán)境帶來的危害將是巨大甚至是災難性的。
2 安全建設研究
2.1虛擬層的安全服務
從虛擬化的實現(xiàn)原理來看,所有的虛擬化系統(tǒng)都是基于虛擬層實現(xiàn)的,因此在研究具體的防護措施之前,我們先討論虛擬層提供的安全服務。
以VMware為例,VMware提供了介于虛擬機器與Hypervisor之間的虛擬層—Vmsafe,Vmsafe一部分位于Hypervisor內(nèi),另一部分以API的形式提供。Vmsafe能對進出虛擬機的所有流量進行檢測,這樣可以對這個虛擬環(huán)境中的所有虛擬機進行保護。但是,VMsafe不能對虛擬機內(nèi)的系統(tǒng)提供保護,只能對外來惡意行為進行防護,因此仍然必須保證運行的虛擬機是安全的。
2.2邊界防護
前面已經(jīng)提到,在采用虛擬化之后,網(wǎng)絡邊界應重新定義,網(wǎng)絡防護的邊界應該具體到每個虛擬機,因此,邊界防護設備應該能識別每個虛擬機并對虛擬機的邊界訪問行為進行控制。為了達到這樣的目的,虛擬化環(huán)境的邊界防護需要充分利用虛擬層提供的安全服務,如VMware的VMsafe,對進出虛擬機的所有流量進行檢測,識別信息的端口、協(xié)議、目的地,對信息的內(nèi)容進行分析以識別入侵行為或者進行病毒檢查。
下面我們以Juniper的vGW網(wǎng)關為例,說明虛擬化環(huán)境中的邊界防護設備的工作原理。vGW網(wǎng)關是基于hypervisor的運行在虛擬機管理程序內(nèi)部的防火墻,它在內(nèi)核中執(zhí)行安全處理,實現(xiàn)狀態(tài)防火墻,病毒防護以及入侵檢測系統(tǒng)的功能。
vGW網(wǎng)關分為vGWENGINE、PartnerServer、SECURITY DESIGN For vGW三部分,其中vGW ENGINE工作在虛擬化軟件的內(nèi)核層,截獲上層虛擬機的所有數(shù)據(jù)流量,并將截獲的數(shù)據(jù)全部轉(zhuǎn)發(fā)到PartnerServer進行數(shù)據(jù)處理,完成病毒查殺、入侵行為監(jiān)測或是網(wǎng)絡流量審計;
SECURITY DESIGN For vGW管理每個虛擬機的安全策略;由vGW ENGINE根據(jù)SECURITY DESIGN For vGW的安全策略以及PartnerServer的分析結(jié)果,對虛擬機的訪問行為進行阻斷或是放行。vGW網(wǎng)關的組成如圖1所示。
圖1 vGW網(wǎng)關組成
2.3病毒防護
在虛擬化環(huán)境中的病毒防護解決思路有兩種,一種是基于虛擬層的安全服務,在物理服務器上只安裝一次病毒防護系統(tǒng),通過這個系統(tǒng)對這臺物理服務器上的所有虛擬機提供病毒查殺服務;另一種是在所有虛擬機上安裝病毒防護系統(tǒng),但為了避免多套病毒系統(tǒng)同時查殺給系統(tǒng)帶來性能降低的問題,利用動態(tài)調(diào)度、優(yōu)化掃描等手段提高病毒檢查的效率。
2.3.1基于虛擬層安全服務實現(xiàn)
基于虛擬層安全服務實現(xiàn)的病毒防護的解決思路是在物理服務器上生成一個專門用于提供病毒查殺服務的安全虛擬機,其他虛擬機的病毒查殺服務會通過病毒防護系統(tǒng)的瘦客戶端程序提交到虛擬化管理軟件,由虛擬化管理軟件調(diào)度安全虛擬機提供病毒服務。由于物理服務器上只有一臺安全虛擬機,管理員只需要對這一臺虛擬機的病毒防護系統(tǒng)進行維護,升級病毒特征庫,這臺物理服務器上所有的虛擬機都能得到防護。
我們以趨勢科技的Deep Security系統(tǒng)為例,這個系統(tǒng)分為Deep Security Virtual Appliance、Deep Security Agent以及Deep Security Manager。
(1)DeepSecurityVirtualAppliance(DSVA):運行在VMwarev Sphere虛擬機器上,為IDS/IPS、網(wǎng)絡應用程序保護、應用程序管控及防火墻保護等執(zhí)行安全策略。
(2)Deep Security Agent(DSA):部署在受保護的服務器或者虛擬機上的一個輕小的軟件,協(xié)助執(zhí)行管理中心設置的安全策略(IDS/IPS、網(wǎng)絡應用程序保護、應用程序控管、防火墻、完整性監(jiān)控及日志審計)。
(3)Deep Security Manager(DSM):集中管理病毒防護系統(tǒng)的安全策略和配置,使管理員能夠創(chuàng)建安全配置并應用在服務器上,監(jiān)控警報,對威脅采取預防措施,分發(fā)安全更新到各服務器并生成報告。
Deep Security系統(tǒng)的層次結(jié)構(gòu)如圖2所示。
圖2 系統(tǒng)組成
在安全虛擬機中運行的Partner Agent對應DeepSecurity系統(tǒng)的DSVA,調(diào)用Shield EndpointLibrary中的安全函數(shù),執(zhí)行實際的病毒查殺;運行在GuestVM中ThinAgent對應于DSA,將虛擬機的病毒查殺請求以及查殺內(nèi)容傳遞給Partner Agent;Partner Management Console對應DSM,是制定系統(tǒng)病毒查殺的策略。
利用這種方式的病毒查殺系統(tǒng),可以實現(xiàn)虛擬機文件訪問時的被動病毒掃描和虛擬機的定制掃描。
(1)文件訪問時的被動病毒掃描流程如圖3所示。
圖3 文件訪問掃描過程
當虛擬機中的文件發(fā)生打開或關閉的行為時,觸發(fā)駐留在虛擬機上的殺毒引擎,并將殺毒請求轉(zhuǎn)發(fā)到安全虛擬機進行病毒查殺完后,將結(jié)果反饋給殺毒引擎。
(2)定制掃描階段的流程如圖4所示。
圖4 定制掃描過程
在定制掃描階段,由虛擬機通過病毒引擎發(fā)起查毒請求給安全虛擬機,由安全虛擬機對該機請求的內(nèi)容進行查殺。
2.3.2 基于資源動態(tài)調(diào)度
第二種病毒查殺系統(tǒng)的解決思路是對物理服務器中的所有虛擬機分別安裝病毒防護軟件,但采用資源動態(tài)調(diào)度和掃描優(yōu)化,提高病毒查殺速度,降低對系統(tǒng)性能的影響,這種解決思路的代表是Symantec。
在Symantec的Endpoint Protection系統(tǒng)采用了“資源平衡(Resource Leveling)”的技術(shù),對同一物理服務器中的病毒查殺行為進行調(diào)整,避免同時有多個虛擬機查毒。同時為了提高病毒查殺的效率,還采用了虛擬映像文件例外、虛擬客戶端標記、掃描結(jié)果緩存共享等技術(shù)。虛擬映像文件例外是針對由同一模板生成的虛擬機,由于系統(tǒng)配置、系統(tǒng)文件等都是相同的,因此將這些文件加入白名單,不進行掃描;虛擬客戶端標記是指根據(jù)生成虛擬機的不同虛擬化軟件進行標記,為下一步管理和相關策略制定提供依據(jù);掃描結(jié)果緩存共享是指對同一虛擬環(huán)境中已經(jīng)掃描的文件結(jié)果保存到緩存中,當在其他虛擬機中遇到同樣的文件時不再重復掃描,只需要查詢緩存的掃描結(jié)果即可,不需要二次掃描。
2.4 補丁管理
在虛擬化環(huán)境中的補丁管理同傳統(tǒng)環(huán)境是一樣的,但是補丁管理不像病毒管理可以針對虛擬化環(huán)境進行諸多的優(yōu)化,目前來說還沒有找到比較好的,既提高效率又節(jié)約空間的適合于虛擬化環(huán)境的補丁管理解決方案。但即使這樣,對每個虛擬機進行補丁的安裝和升級也是必須的,同時為了保證各個虛擬機之間補丁都升級到最新的版本,應對休眠的虛擬機也要打上補丁。
對于休眠虛擬機的補丁管理,可以采用操作系統(tǒng)的計劃管理功能,在補丁分發(fā)系統(tǒng)有新升級的補丁時,在指定的時刻將休眠的虛擬機喚醒,完成補丁的升級后再將虛擬機關閉,保證在虛擬化環(huán)境中的所有虛擬機都安裝了最新的補丁。
2.5 虛擬化基礎設施的保護
在虛擬化環(huán)境中的系統(tǒng)管理工具是基礎設施之一,也是整個系統(tǒng)的管理中樞,所有虛擬機的生成、策略設置以及維護都可以通過管理工具完成,可以說,管理工具就是通向虛擬化環(huán)境的一道門,如何才能把門看好,只允許合法的人員訪問授權(quán)的資源,拒絕非法的訪問行為,強身份認證是解決這個問題的辦法。
在系統(tǒng)管理工具之前部署硬件的身份認證設備,對所有訪問管理工具的請求進行攔截,對所有用戶身份進行認證,認證方式可以基于證書、硬件設備、AD域等;認證通過后,該身份認證設備應對訪問管理工具的命令進行解析,只允許授權(quán)的管理員執(zhí)行授權(quán)的命令,對管理員越權(quán)的命令請求一律阻止;對于用戶與管理工具之間的訪問也由身份認證設備代理,身份認證設備與管理工具之間通過SSH的方式通信;同時對所有訪問請求行為、發(fā)送的命令等進行審計,以實現(xiàn)對事后操作員操作行為的追溯。
3 小結(jié)
虛擬化涉及的方方面面的內(nèi)容是比較多的,相應的對安全建設內(nèi)容也是廣泛的。本文主要闡述了邊界防護、病毒防護、補丁管理以及虛擬化基礎設施保護四個主要的問題,但要切實保護好虛擬化環(huán)境信息安全,還需要其他方面的配合,比如采用加密技術(shù)保護虛擬機鏡像文件、采用物理分區(qū)技術(shù)對不同安全需求的虛擬機進行隔離等都是保護方法之一。雖然虛擬化技術(shù)的應用為傳統(tǒng)的信息安全帶來了巨大的挑戰(zhàn),但虛擬化的浪潮是不可避免的,只有在適應新技術(shù)發(fā)展的形式下,轉(zhuǎn)變思路,開拓創(chuàng)新、積極應對新挑戰(zhàn)帶來的新機遇,才能在未來信息化安全建設中占有一席之地。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:虛擬化安全建設研究
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083955822.html