近年來,云計算受到了學(xué)術(shù)界和產(chǎn)業(yè)界的一致關(guān)注。隨著云計算應(yīng)用的日益復(fù)雜。其安全性要求也越來越高。而且傳統(tǒng)的IT系統(tǒng)是封閉的,存在于企業(yè)內(nèi)部,對外暴露的只是網(wǎng)頁服務(wù)器、郵件服務(wù)器等少數(shù)接口,因此只需要在出口設(shè)置防火墻、訪問控制等安全措施,就可以解決大部分安全問題。但在云環(huán)境下,云暴露在公開的網(wǎng)絡(luò)中,任何一個節(jié)點及它們的網(wǎng)絡(luò)都可能受到攻擊,存在諸多安全隱患。
云計算中的安全包括身份和訪問管理、數(shù)據(jù)安全、隱私保護(hù)、虛擬化安全等。圖l描述了虛擬化角度下的云計算架構(gòu)。節(jié)點的物理硬件和網(wǎng)絡(luò)物理硬件通過多層虛擬化的邏輯簡化過程形成了彈性化的計算、存儲和網(wǎng)絡(luò)帶寬3者整合的虛擬資源池.提供了隨需而選的資源共享、分配、管控平臺,用戶可根據(jù)上層的數(shù)據(jù)和業(yè)務(wù)形態(tài)的不同需求,搭配出各種互相隔離的應(yīng)用。這樣通過虛擬技術(shù),就形成一個服務(wù)導(dǎo)向的可伸縮的lT基礎(chǔ)架構(gòu),可以提供云計算服務(wù)。比如Amazon EC2(elastic compute cloud),它為用戶提供了大量的虛擬資源,用戶只需根據(jù)自己的需要創(chuàng)建虛擬機(jī)實例。從而通過這些資源完成用戶的任務(wù)。
專家大多認(rèn)為.云計算與傳統(tǒng)IT環(huán)境最大的區(qū)別在于其虛擬的計算環(huán)境,也正是這一區(qū)別導(dǎo)致其安全問題變得異常“棘手”。身份管理、數(shù)據(jù)安全等問題可以通過現(xiàn)有的訪問控制策略、數(shù)據(jù)加密等傳統(tǒng)安全手段來解決,而虛擬化作為云計算最重要的技術(shù),且虛擬環(huán)境是云計算的獨特環(huán)境。傳統(tǒng)的安全措施很難從根本上解決問題,必須采取新的安全策略。
1、虛擬化技術(shù)
云計算的特征體現(xiàn)為虛擬化、分布式和動態(tài)可擴(kuò)展。虛擬化是云計算最主要的特點。每一個應(yīng)用部署的環(huán)境和物理平臺是沒有關(guān)系的,通過虛擬平臺進(jìn)行管理、擴(kuò)展、遷移、備份,種種操作都是通過虛擬化技術(shù)完成。虛擬化技術(shù)是一種調(diào)配計算資源的方法.它將應(yīng)用系統(tǒng)的不同層面——硬件、軟件、數(shù)據(jù)、網(wǎng)絡(luò)、存儲等一一隔離開來,從而打破數(shù)據(jù)中心、服務(wù)器、存儲、網(wǎng)絡(luò)、數(shù)據(jù)和應(yīng)用中的物理設(shè)備之間的劃分,實現(xiàn)架構(gòu)動態(tài)化.并實現(xiàn)集中管理和動態(tài)使用物理資源及虛擬資源。圖2顯示的是一個典型的虛擬機(jī)系統(tǒng)。其中,虛擬機(jī)監(jiān)控器(virtual machine monitor,VMM),又稱為監(jiān)管程序(Hypervisor),是虛擬化技術(shù)的核心。通過在計算機(jī)系統(tǒng)上添加一個虛擬機(jī)監(jiān)控程序軟件對計算機(jī)系統(tǒng)進(jìn)行虛擬化.在物理機(jī)上構(gòu)建一個虛擬機(jī)系統(tǒng),每個虛擬機(jī)(VM)運行自己的客戶機(jī)操作系統(tǒng)(GuestOS)。這可以說是云計算的一個雛形。
現(xiàn)在,整個IT環(huán)境已逐步向云計算時代跨越,虛擬化技術(shù)也從最初的側(cè)重于整合數(shù)據(jù)中心內(nèi)的資源.發(fā)展到可以跨越IT架構(gòu)實現(xiàn)包括資源、網(wǎng)絡(luò)、應(yīng)用和桌面在內(nèi)的多種虛擬化.這些都促進(jìn)了云計算模式的形成。大部分軟件和硬件已經(jīng)對虛擬化有一定支持,可以把各種IT資源、軟件、硬件、操作系統(tǒng)和存儲網(wǎng)絡(luò)等要素都進(jìn)行虛擬化,放在云計算平臺中統(tǒng)一管理。
2、虛擬化安全問題研究
2.1 虛擬化的安全問題
虛擬化技術(shù)對于云計算而言是非常重要的,所以,虛擬化的安全也直接關(guān)系到云計算的安全。從目前研究來看,云計算的虛擬化安全問題主要集中在以下幾點。
(1)VM Hopping
一臺虛擬機(jī)可能監(jiān)控另一臺虛擬機(jī)甚至?xí)尤说剿拗鳈C(jī).這稱為VM Hopping。如果兩個虛擬機(jī)在同一臺宿主機(jī)上.一個在虛擬機(jī)1上的攻擊者通過獲取虛擬機(jī)2的IP地址或通過獲得宿主機(jī)本身的訪問權(quán)限可接人到虛擬機(jī)2。攻擊者監(jiān)控虛擬機(jī)2的流量,可以通過操縱流量攻擊.或改變它的配置文件.將虛擬機(jī)2由運行改為離線,造成通信中斷。當(dāng)連接重新建立時.通信將需要重新開始。
(2)VM Escape
VM Escape攻擊獲得Hypervisor的訪問權(quán)限.從而對其他虛擬機(jī)進(jìn)行攻擊。若一個攻擊者接人的主機(jī)運行多個虛擬機(jī),它可以關(guān)閉Hypervisor,最終導(dǎo)致這些虛擬機(jī)關(guān)閉。
(3)遠(yuǎn)程管理缺陷
Hypervisor通常由管理平臺來為管理員管理虛擬機(jī)。例如,Xen用XenCenter管理其虛擬機(jī)。這些控制臺可能會引起一些新的缺陷.例如跨站腳本攻擊、SQL入侵等。
(4)拒絕服務(wù)(DoS)的缺陷
在虛擬化環(huán)境下,資源(如CPU、內(nèi)存、硬盤和網(wǎng)絡(luò))由虛擬機(jī)和宿主機(jī)一起共享。因此,DOS攻擊可能會加到虛擬機(jī)上從而獲取宿主機(jī)上所有的資源.因為沒有可用資源,從而造成系統(tǒng)將會拒絕來自客戶的所有請求。
(5)基于Rootkit的虛擬機(jī)
Rootkit概念出現(xiàn)在Unix中,它是一些收集工具,能夠獲得管理員級別的計算機(jī)或計算機(jī)網(wǎng)絡(luò)訪問。如果Hypervisor被Rootkit控制.Rootkit可以得到整個物理機(jī)器的控制權(quán)。
(6)遷移攻擊
遷移攻擊可以將虛擬機(jī)從一臺主機(jī)移動到另一臺,也可以通過網(wǎng)絡(luò)或USB復(fù)制虛擬機(jī)。虛擬機(jī)的內(nèi)容存儲在Hypervisor的一個文件中。如圖3所示。在虛擬機(jī)移動到另一個位置的過程中,虛擬磁盤被重新創(chuàng)建.攻擊者能夠改變源配置文件和虛擬機(jī)的特性。一旦攻擊者接觸到虛擬磁盤.攻擊者有足夠的時間來打破所有的安全措施,例如密碼、重要認(rèn)證等。由于該虛擬機(jī)是一個實際虛擬機(jī)的副本,難以追蹤攻擊者的此類威脅。
除此以外。虛擬機(jī)和主機(jī)之間共享剪切板可能造成安全問題。若主機(jī)記錄運行在主機(jī)上的虛擬機(jī)的登錄按鍵和屏幕操作,如何確保主機(jī)日志的安全也是一個問題。
2.2虛擬化安全分層分析
目前對虛擬化安全的研究綜合起來可以歸結(jié)為兩個方面:一個是虛擬化軟件的安全;另一個是虛擬服務(wù)器的安全。
(1)虛擬化軟件的安全
該軟件層直接部署于裸機(jī)之上,提供能夠創(chuàng)建、運行和銷毀虛擬服務(wù)器的能力。主機(jī)層的虛擬化能通過任何虛擬化模式完成,包括操作系統(tǒng)級虛擬化(Solaris container、BSDiail、Linax.Vserver)、半虛擬化(硬件和Xen、VMware的結(jié)合)或基于硬件的虛擬化(Xen、VMwaxe、Microsoft Hyper-V)。
這一層的特點是虛擬機(jī)的安全.其中Hypervisor作為虛擬機(jī)的核心。要確保安全。目前有兩種攻擊方式,一是惡意代碼通過應(yīng)用程序接口(API)攻擊,因虛擬機(jī)通過調(diào)用AP!向Hypervisor發(fā)出請求.Hypervisor要確保虛擬機(jī)只會發(fā)出經(jīng)過認(rèn)證和授權(quán)的請求。二是通過網(wǎng)絡(luò)對Hypervisor進(jìn)行攻擊。通常,Hypervisor所使用的網(wǎng)絡(luò)接口設(shè)備也是虛擬機(jī)所使用的。如果網(wǎng)絡(luò)配置得不是很嚴(yán)格,這意味著虛擬機(jī)可以連接到Hypervisor的IP地址,并且可以在Hypervisor的登錄密碼沒有使用強密碼保護(hù)的情況下入侵到Hypervisor。這種不嚴(yán)格的網(wǎng)絡(luò)配置還可能導(dǎo)致對Hypervisor的DoS攻擊.使得外網(wǎng)無法鏈接到Hypervisor去關(guān)閉這些有問題的虛擬機(jī)。
(2)虛擬服務(wù)器的安全
虛擬服務(wù)器位于虛擬化軟件之上。服務(wù)器的虛擬化相對于之前的服務(wù)器,變化最大的一點是網(wǎng)絡(luò)架構(gòu)。網(wǎng)絡(luò)架構(gòu)的改變相應(yīng)地產(chǎn)生了許多安全問題。采用虛擬化技術(shù)前,用戶可以在防火墻設(shè)備商建立多個隔離區(qū).對不同服務(wù)器采用不同的規(guī)則進(jìn)行管理.由于隔離區(qū)的存在。對一個服務(wù)器的攻擊不會擴(kuò)散到其他服務(wù)器。采用虛擬服務(wù)器后.所有的虛擬機(jī)會集中連接到同一臺虛擬交換機(jī)與外部網(wǎng)絡(luò)通信,會造成安全問題的擴(kuò)散。服務(wù)器虛擬化后。每一臺服務(wù)器都將支持若干個資源密集型的應(yīng)用程序.可能出現(xiàn)負(fù)載過重.甚至?xí)霈F(xiàn)物理服務(wù)器崩潰的狀況。在管理程序設(shè)計過程中的安全隱患會傳染到同臺物理主機(jī)上的虛擬機(jī).造成虛擬機(jī)溢出,此時的虛擬機(jī)從管理程序脫離出來,黑客可能進(jìn)入虛擬機(jī)管理程序,能夠避開虛擬機(jī)安全保護(hù)系統(tǒng).對虛擬機(jī)進(jìn)行危害。
另外.虛擬機(jī)遷移以及虛擬機(jī)問的通信將會大大增加服務(wù)器遭受滲透攻擊的機(jī)會。虛擬服務(wù)器或客戶端面臨著許多主機(jī)安全威脅.包括接人和管理主機(jī)的密鑰被盜,攻擊來打補丁的主機(jī).在脆弱的服務(wù)標(biāo)準(zhǔn)端口偵聽,劫持未采取合適安全措施的賬戶等。面對以上不安全因素,目前研究發(fā)現(xiàn)?梢圆扇∫韵麓胧
- 針對網(wǎng)絡(luò)架構(gòu)的變化,在每臺虛擬機(jī)上都安裝防毒軟件或者其他種類的殺毒軟件;
- 避免服務(wù)器過載崩潰,要不斷監(jiān)視服務(wù)器的硬件利用率,并進(jìn)行容量分析,使用容錯服務(wù)器或容錯軟件是一個好的選擇;
- 為阻止虛擬機(jī)溢出。在數(shù)據(jù)庫和應(yīng)用層問設(shè)置防火墻,通過隔離虛擬機(jī)實現(xiàn)從網(wǎng)絡(luò)上脫機(jī)保存虛擬化環(huán)境;
- 選擇具有可信平臺模塊(trusted platform module,TPM)的虛擬服務(wù)器:
- 安裝時為每臺虛擬服務(wù)器分配一個獨立的硬盤分區(qū)。以便進(jìn)行邏輯隔離;
- 每臺虛擬服務(wù)器應(yīng)通過VLAN和不同的IP地址網(wǎng)段的方式進(jìn)行邏輯隔離.需要通信的虛擬服務(wù)器間通過VPN進(jìn)行網(wǎng)絡(luò)連接:
- 進(jìn)行有計劃的備份,包括完整、增量或差量備份方式,進(jìn)行虛擬化的災(zāi)難恢復(fù)。
3、基于Xen平臺安全問題分析
為了研究方便.筆者選擇Xen搭建云計算平臺.分析Xen是怎樣解決虛擬化安全問題的.并認(rèn)識Xen未解決的問題,從而對云計算虛擬化的安全問題有更深一步的認(rèn)識。
3.1 Xen概述及其與VMware的比較
Xen是一種基于虛擬機(jī)煉控器Xen Hypervisor的虛擬機(jī)體系結(jié)構(gòu).由劍橋大學(xué)開發(fā)。Xen Hypervisor作為虛擬機(jī)臨控器直接運行在硬件上,提供虛擬化環(huán)境。同時,在Xen Hypervisor上運行一個具有管理接口(administrativeconsole)的虛擬機(jī)(Domain 0)作為Xen Hypervisor的擴(kuò)展.管理Xen hypervisor和其他虛擬機(jī)實例(Domain U)。
跟Xen比較起來.VMware是完全仿真計算機(jī),理論上操作系統(tǒng)可不需更改就直接存虛擬機(jī)器上執(zhí)行,但是VMware不夠靈活。通常Xen采用半虛擬化技術(shù),雖然操作系統(tǒng)必須進(jìn)行顯式地修改(“移植”)以在Xen上運行,但是提供給用戶應(yīng)用的兼容性強。這使得Xen無需特殊硬件支持,就能達(dá)到高性能的虛擬化。文獻(xiàn)表明.肖用Linux自帶的網(wǎng)絡(luò)服務(wù)測試工具測試VMware和Xen的虛擬網(wǎng)絡(luò)性能時,隨著請求文件長度的變大.每秒鐘處理的請求數(shù)均降低.Xen的虛擬網(wǎng)絡(luò)性能與真實主機(jī)接近,而比VMware虛擬網(wǎng)絡(luò)的性能好。目前,Intel等公司的努力使Xen已經(jīng)支持完全虛擬化。更重要的是.Xen是開源的,因此選用Xen搭建云計算環(huán)境是一個不錯的選擇。
3.2 Xen已解決的安全問題
(1)Xen的訪問控制
云計算虛擬化面臨諸多安全問題,有效采取訪問控制策略能有效解決非法登錄、虛擬機(jī)流量監(jiān)控等安全問題。Xen通過自己的訪問控制模塊(Access control module,ACM)。能有效解決諸多訪問不當(dāng)造成的安全問題。
ACM實現(xiàn)了兩種策略機(jī)制,分別是中國墻(Chinesewall)策略和簡單類型強制(simple type enforcement.STE)策略。其中,中圍墻策略定義了一組中國墻類型,并因此定義沖突集,然后根據(jù)類型定義標(biāo)簽.該策略根據(jù)標(biāo)簽來進(jìn)行判斷,若兩個虛擬機(jī)的標(biāo)簽處在同一個沖突集中.則不能同時在相同的系統(tǒng)上運行.因此該機(jī)制主要用于虛擬機(jī)之間的信息流控制。STE策略亦定義了一組類型(該類型針對的是域所擁有的資源),然后根據(jù)類型定義標(biāo)簽,要求當(dāng)上體擁有客體標(biāo)簽時.主體才能訪問客體.以此來控制資源共享。除此以外,Xen的Domain 0用戶可以根據(jù)自己的需求制定安全策略史檔.當(dāng)虛擬機(jī)請求與別的虛擬機(jī)進(jìn)行通信或訪問資源時.ACM模塊能根據(jù)用戶定義的策略判斷.以此達(dá)到對虛擬機(jī)的資源進(jìn)行控制以及對虛擬機(jī)之間的信息流進(jìn)行控制的目的。
(2)Xen的可信計算
可信計算技術(shù)是一種新興的信息安全手段,其安全措施是通過構(gòu)建信任鏈來防御攻擊。通過傳遞機(jī)制,在系統(tǒng)啟動時可將B10S中最先啟動的代碼BIOS boot loader作為整個信任鏈的起點,依次逐級向上傳遞系統(tǒng)控制權(quán)并構(gòu)建信任鏈,直到應(yīng)用層?尚庞嬎憧梢杂行浹a傳統(tǒng)安全防議無法提供的有關(guān)通信終點節(jié)點完整性與可信性差的問題。
可信計算平臺是能夠提供可信計算服務(wù)的計算機(jī)軟硬件實體.它能夠提供系統(tǒng)的可靠性、可用性以及信息和行為的安全性。因此,建立可信平臺是應(yīng)對云計算安全的一種重要手段。而可信平臺模塊(TPM)是可信計算的基石。
TPM實際上是一個含有密碼運算部件和存儲部件的系統(tǒng)級芯片,是云計算平臺重要的防篡改組件,這能有效保證平臺的安全。相對于傳統(tǒng)物理平臺,可信平臺在Xen等虛擬化平臺上實現(xiàn)TPM,有一定的優(yōu)越性。平時計算機(jī)裝了太多軟件,這使得構(gòu)建信任鏈變得很復(fù)雜。相對而言,使用虛擬機(jī)(VM)配合虛擬可信平臺模塊(vTPM)組成虛擬終端可信平臺要方便得多例。這是因為虛擬終端可信平臺通常只為處理某種特定任務(wù)而產(chǎn)生,可由用戶自定義其所需功能,所以功能相對簡單,更容易構(gòu)建信任鏈。此平臺可以來處理需要安全保障的在線服務(wù)或敏感數(shù)據(jù)的訪問。
現(xiàn)在,Xen 3.0以上的版本都能支持vTPM的實現(xiàn).vTPM能實現(xiàn)虛擬計算系統(tǒng)中虛擬機(jī)的安全可靠。vTPM可以使平臺上的每個虛擬機(jī)利用其功能.讓每個需要TPM功能的虛擬機(jī)都感覺是在訪問自己私有的TPM一樣。在平臺搭建中?梢詣(chuàng)建多個虛擬TPM,這樣每一個如實地效仿硬件TPM的功能,可有效維護(hù)各個虛擬機(jī)的安全.從而使Xen搭建的云計算平臺處于較穩(wěn)定狀態(tài)。
3.3 Xen的現(xiàn)有問題及解決策略
目前的Xen的安全性還有較多的安全問題。比如,Domain 0是一個安全瓶頸,其功能較其他域強,所以容易被敵手發(fā)起蠕蟲、病毒、DoS等各種攻擊,如果Domain 0癱瘓或者被敵手攻破,那么將破壞整個虛擬機(jī)系統(tǒng)。Xen的隱通道問題沒有解決。在Xen上就不可能運行高安全等級的操作系統(tǒng)。虛擬機(jī)共享同一套硬件設(shè)備,一些網(wǎng)絡(luò)安全協(xié)議可能更加容易遭到惡意破壞和惡意實施。Xen提供了方便的保存和恢復(fù)機(jī)制.使得操作系統(tǒng)數(shù)據(jù)的回滾和重放非常容易,但這些將影響操作本身的密碼特性。除此之外,在Xen中,由于安全機(jī)制做在Guest OS中,所以不能保證VMM的安全。Xen只能限制頁表一級的內(nèi)存I/O地址空間.而中斷和I/0端口地址空間的粒度要比頁表小得多.如果不同虛擬機(jī)中的驅(qū)動不幸被分配到同一個頁表空間,那么它們就可以訪問對方的內(nèi)存地址空間,造成安全問題。
針對Domain 0的問題?上魅跛墓δ堋⑵涔δ芊纸獾狡渌颍@將會適當(dāng)減少Domain 0的瓶頸作用。具體的策略需要進(jìn)一步研究。對于敏感數(shù)據(jù)要進(jìn)行多次擦除防止再恢復(fù)。另外,Xen的ACM模塊不能完全解決設(shè)備隔離和資源隔離問題,將Xen和LaGrande技術(shù)結(jié)合是一個不錯的選擇。LaGrande是lnfel將要實施的一種硬件技術(shù),它是一組通用的硬件安全增強組件.用來防止敏感的信息被惡意軟件攻擊.其安全功能將被整合到處理器和芯片集中.能有效增強設(shè)備隔離,實現(xiàn)I/O保護(hù)、內(nèi)存越界保護(hù)、鍵盤、顯示的隔離保護(hù)等?傊,在之后的工作中,需要慢慢解決虛擬化的安全問題,這是云計算安全的關(guān)鍵。
4、業(yè)界對虛擬化安全的努力
針對傳統(tǒng)安全防火墻技術(shù)不能有效監(jiān)控虛擬機(jī)流量的問題,mtor Networks公司使用VMware的API來開發(fā)虛擬安全分析器,以檢測虛擬交換機(jī)流量——在虛擬層之上的網(wǎng)絡(luò)層流量。該公司也開發(fā)了虛擬網(wǎng)絡(luò)防火墻,該防火墻基于虛擬機(jī)管理器,可認(rèn)證有狀態(tài)的虛擬防火墻,檢查所有通過虛擬機(jī)的數(shù)據(jù)分組,組織所有未經(jīng)批準(zhǔn)的連接和允許對數(shù)據(jù)分組進(jìn)行更深層次的檢查,確保了虛擬機(jī)間通信的安全。針對虛擬環(huán)境的安全問題,目前Resolution EntERPrise公司提出要對虛擬化環(huán)境采取深層防護(hù)戰(zhàn)略.這是一個像城堡一樣的防護(hù)模型,通過執(zhí)行相應(yīng)的策略實現(xiàn)對云計算虛擬資源池的保護(hù)。這個新發(fā)明值得進(jìn)一步去研究。
除此以外.開源Xen管理程序社區(qū)Xen.org已經(jīng)開始實施Xen云平臺(XCP)計劃。目的是在云環(huán)境中利用領(lǐng)先的Xen管理程序.為未來的云服務(wù)提供安全的、經(jīng)過驗證的開源基礎(chǔ)設(shè)施乎臺。目前。已經(jīng)發(fā)布了XCPl.0及其修正版,并將慢慢發(fā)布更加穩(wěn)定的版本。這將有助于建立更加穩(wěn)定的云計算平臺。
5、結(jié)束語
虛擬化打開了云計算的大門,而云計算的本質(zhì)正是虛擬化服務(wù)。作為一個新的網(wǎng)絡(luò)計算,云計算面臨著諸多安全問題.而虛擬化安全作為云計算的特有安全問題,需要重點關(guān)注。后期研究的重點集中在虛擬機(jī)的隔離,虛擬機(jī)流量的監(jiān)控和虛擬的可信平臺的穩(wěn)固上。只有解決這些問題題,才能夠確保云計算平臺的虛擬化安全,從而放心地使用云計算。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:云計算的虛擬化安全問題
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083972916.html