國(guó)網(wǎng)山東省電力公司德州供電公司 唐 琳 李 偉 閆汝靜 宋 琳

1.引言

2011年，囯網(wǎng)德州供電公司實(shí)施服務(wù)器虛擬化應(yīng)用整合項(xiàng)目，通過(guò)采用VMware虛擬服務(wù)器管理技術(shù)將應(yīng)用服務(wù)器進(jìn)行統(tǒng)籌管理，對(duì)關(guān)鍵業(yè)務(wù)應(yīng)用進(jìn)行整合，實(shí)現(xiàn)11臺(tái)物理服務(wù)器遷移至2個(gè)刀片服務(wù)器的虛擬化環(huán)境，每臺(tái)服務(wù)器的利用率從5%-15%提高到60%-80%，大大提高了資源利用率，有效控制和減少了物理服務(wù)器的數(shù)量，節(jié)省了機(jī)房能耗，降低了軟硬件購(gòu)置和運(yùn)維成本，提高了運(yùn)維效率，加快了新服務(wù)器和應(yīng)用的部署，大大降低了服務(wù)器重建和故障恢復(fù)時(shí)間，極大地減少了管理維護(hù)量。虛擬化技術(shù)為工作帶來(lái)便利的同時(shí)，也為信息安全提出了新的問(wèn)題，如何在安全的范疇內(nèi)使用服務(wù)器虛擬化技術(shù)，增強(qiáng)虛擬機(jī)技術(shù)的安全性和構(gòu)建可信的虛擬化環(huán)境，成為迫在眉睫需要解決的問(wèn)題。

2.服務(wù)器虛擬化面臨的安全威脅

2.1 高資源利用率帶來(lái)的風(fēng)險(xiǎn)集中

通過(guò)虛擬化技術(shù)，提高了服務(wù)器的利用效率和靈活性，但虛擬化后多個(gè)應(yīng)用集中在1臺(tái)服務(wù)器上，一旦硬件出現(xiàn)斷電、機(jī)器過(guò)熱升溫、硬盤等故障問(wèn)題導(dǎo)致服務(wù)器崩潰，所有的應(yīng)用都會(huì)中斷。它比非虛擬化環(huán)境中一臺(tái)服務(wù)器崩潰引起一個(gè)應(yīng)用中斷帶來(lái)的問(wèn)題要嚴(yán)重得多。

2.2 虛擬化網(wǎng)絡(luò)環(huán)境風(fēng)險(xiǎn)

服務(wù)器虛擬化過(guò)程中的一個(gè)重要環(huán)節(jié)就是網(wǎng)絡(luò)架構(gòu)的變化。在非虛擬化環(huán)境中，一般通過(guò)防火墻、IPS、IDS等設(shè)備針對(duì)不同的服務(wù)器設(shè)置安全規(guī)則來(lái)進(jìn)行管理。即便服務(wù)器受到攻擊，其危害性的擴(kuò)散也是有限的。但是在虛擬化環(huán)境下，系統(tǒng)之間的邊界不單單是以物理設(shè)備的形式存在，同一臺(tái)物理服務(wù)器上的虛擬機(jī)之間通過(guò)虛擬網(wǎng)絡(luò)通信，這就導(dǎo)致傳統(tǒng)的邊界防護(hù)設(shè)備捕捉不到這些流量，也就不能進(jìn)行防護(hù)。因此基于物理設(shè)備進(jìn)行邊界防護(hù)的手段不適用于對(duì)虛擬化環(huán)境的邊界保護(hù)。

2.3 虛擬化管理工具自身缺乏保護(hù)措施帶來(lái)的隱患

虛擬化管理工具為快速配置虛擬化環(huán)境提供了極大的方便，但也正是由于這個(gè)原因，導(dǎo)致它極易受到攻擊。一旦惡意攻擊者獲得管理工具的權(quán)限，給整個(gè)虛擬化環(huán)境帶來(lái)的危害將是巨大甚至是災(zāi)難性的。虛擬機(jī)遷移以及虛擬機(jī)間的通信將會(huì)大大增加服務(wù)器遭受滲透攻擊的機(jī)會(huì)。此外，還有一些用作測(cè)試目的的虛擬機(jī)可能會(huì)與重要的虛擬機(jī)存在于同一虛擬局域網(wǎng)中，這也會(huì)給滲透攻擊帶來(lái)機(jī)會(huì)。

2.4 虛擬機(jī)補(bǔ)丁引起的安全問(wèn)題

由虛擬機(jī)補(bǔ)丁引起的安全問(wèn)題有兩種情況：一是安裝補(bǔ)丁的進(jìn)度跟不上虛擬機(jī)系統(tǒng)的實(shí)際需要。服務(wù)器虛擬化后，每臺(tái)物理服務(wù)器上可以放置多個(gè)虛擬機(jī)，而每一個(gè)虛擬機(jī)必須像單獨(dú)的物理服務(wù)器那樣安裝補(bǔ)丁和更新系統(tǒng)以便及時(shí)修補(bǔ)潛在的安全漏洞。這樣，需要管理的對(duì)象相應(yīng)地增多，可能導(dǎo)致虛擬機(jī)系統(tǒng)遲滯不同級(jí)別的補(bǔ)丁和更新。二是有時(shí)用戶會(huì)保持少量的重要鏡像，需要時(shí)從這些鏡像推出新虛擬機(jī)，或者將虛擬機(jī)拍一個(gè)快照寫入硬盤，需要時(shí)利用離線庫(kù)中存儲(chǔ)的虛擬機(jī)進(jìn)行災(zāi)難恢復(fù)。但是，這些用于災(zāi)難恢復(fù)的虛擬機(jī)可能沒(méi)有更新殺毒軟件病毒庫(kù)和系統(tǒng)補(bǔ)丁文件，這樣，虛擬機(jī)在運(yùn)行時(shí)就可能引發(fā)安全問(wèn)題。

3.服務(wù)器虛擬化安全防護(hù)研究

3.1 細(xì)化網(wǎng)絡(luò)設(shè)置、合理進(jìn)行分類部署

增強(qiáng)虛擬服務(wù)器的邏輯隔離與網(wǎng)絡(luò)隔離，隔離虛擬網(wǎng)絡(luò)既可以按照位置分開虛擬機(jī)，即把公共的虛擬機(jī)與專用的虛擬機(jī)分開，也可以按照服務(wù)類型分開虛擬機(jī)，如把系統(tǒng)管理類虛擬服務(wù)器、應(yīng)用程序類虛擬服務(wù)器和數(shù)據(jù)庫(kù)虛擬服務(wù)器分開。將各組虛擬機(jī)隔離在它們各自的網(wǎng)絡(luò)分段中，即不同的VLAN中，借以最大限度地降低數(shù)據(jù)通過(guò)網(wǎng)絡(luò)從一個(gè)虛擬機(jī)分區(qū)泄漏到另一個(gè)虛擬機(jī)分區(qū)的風(fēng)險(xiǎn)。

虛擬化環(huán)境的邊界防護(hù)應(yīng)該具體到每個(gè)虛擬機(jī)，邊界防護(hù)設(shè)備應(yīng)該能識(shí)別每個(gè)虛擬機(jī)并對(duì)虛擬機(jī)的邊界訪問(wèn)行為進(jìn)行控制。從虛擬化的實(shí)現(xiàn)原理來(lái)看，所有的虛擬化系統(tǒng)都是基于虛擬層實(shí)現(xiàn)的。為了達(dá)到這樣的目的，邊界防護(hù)需要充分利用虛擬層提供的安全服務(wù)。以VMware為例，VMware提供了介于虛擬機(jī)器與Hypervisor之間的虛擬層——Vmsafe，Vmsafe一部分位于Hypervisor內(nèi)，另一部分以API的形式提供。Vmsafe能對(duì)進(jìn)出虛擬機(jī)的所有流量進(jìn)行檢測(cè)，識(shí)別信息的端口、協(xié)議、目的地，對(duì)信息的內(nèi)容進(jìn)行分析以識(shí)別入侵行為或者進(jìn)行病毒檢查。

3.2 提高虛擬化基礎(chǔ)設(shè)施的自身保護(hù)、分權(quán)進(jìn)行訪問(wèn)控制

虛擬化管理工具是整個(gè)系統(tǒng)的管理中樞，所有虛擬機(jī)的生成、策略設(shè)置以及維護(hù)都可以通過(guò)管理工具完成。以VMware為例，VMware虛擬化環(huán)境集中管理控制臺(tái)VCenter的本地管理員（超級(jí)管理員）擁有最大的管理員權(quán)限，即擁有虛擬化環(huán)境下的所有特權(quán)操作權(quán)限。為了化解虛擬化管理工具自身缺乏保護(hù)帶來(lái)的安全風(fēng)險(xiǎn)，可采取分權(quán)制約的方式。具體分權(quán)方案如下：

(1)定義系統(tǒng)管理員、安全管理員、安全審計(jì)員三個(gè)角色，三個(gè)角色彼此之間不得兼任。

(2)在VCenter和虛擬桌面管理器View Manager中創(chuàng)建這三個(gè)角色，并分別進(jìn)行權(quán)限設(shè)置：系統(tǒng)管理員可以進(jìn)行日常虛擬機(jī)創(chuàng)建和數(shù)據(jù)中心維護(hù)工作，但不能刪除虛擬機(jī)和審計(jì)VCenter系統(tǒng)日志；安全管理員負(fù)責(zé)桌面資源池的日常創(chuàng)建和桌面資源池的授權(quán)以及廢止虛擬機(jī)的刪除，不能審計(jì)VCenter系統(tǒng)日志；安全審計(jì)員擁有VCenter數(shù)據(jù)中心的系統(tǒng)日志審計(jì)權(quán)限，主要審計(jì)系統(tǒng)管理員和安全管理員的操作情況。

(3)在網(wǎng)絡(luò)主干防火墻上設(shè)置僅這三個(gè)角色負(fù)責(zé)使用的IP地址能夠遠(yuǎn)程訪問(wèn)虛擬機(jī)管理中心VCenter。VCenter的本地管理員密碼由系統(tǒng)管理員和安全管理員分段掌握（每段都應(yīng)該設(shè)置強(qiáng)密碼），只有當(dāng)這兩位管理員同時(shí)在場(chǎng)并分別輸入正確的密碼時(shí)，才能執(zhí)行本地管理員的特權(quán)操作。

這樣三個(gè)角色權(quán)限彼此制約，各自獨(dú)立完成日常工作，實(shí)現(xiàn)三個(gè)角色共同管理虛擬化環(huán)境的目標(biāo)。

3.3 合理配置、加固系統(tǒng)、降低風(fēng)險(xiǎn)

通過(guò)合理配置虛擬服務(wù)器，系統(tǒng)安全加固，部署安全工具，減少虛擬服務(wù)器被攻擊的機(jī)會(huì)。

(1)在部署虛擬服務(wù)器的時(shí)候，應(yīng)該根據(jù)虛擬服務(wù)器的用途以及可能要承擔(dān)的并發(fā)訪問(wèn)量，確定物理服務(wù)器的性能與數(shù)量。根據(jù)物理服務(wù)器與虛擬服務(wù)器的比例估算出物理服務(wù)器的硬件配置、電源負(fù)荷以及散熱狀況。所有物理機(jī)、管理程序、虛擬機(jī)的配置和數(shù)量都建在固定模板中，確保配置可控、可管，并將虛擬機(jī)管理放入安全策略。

(2)應(yīng)對(duì)虛擬化環(huán)境中的所有系統(tǒng)進(jìn)行安全加固，包括承載虛擬機(jī)的物理主機(jī)、用于管理虛擬化環(huán)境的vCenter Server以及所有虛擬機(jī)。應(yīng)當(dāng)像對(duì)待一臺(tái)物理服務(wù)器一樣地對(duì)虛擬服務(wù)器進(jìn)行系統(tǒng)安全加固，措施包括系統(tǒng)補(bǔ)丁、應(yīng)用程序補(bǔ)丁、允許運(yùn)行的服務(wù)、開放的端口等。關(guān)閉所有可控制的物理設(shè)備，只在需要的時(shí)候才允許連接。加強(qiáng)對(duì)虛擬機(jī)生命周期的管理、身份認(rèn)證和訪問(wèn)授權(quán)控制。并注意保證同一主機(jī)上的虛擬機(jī)采取相同的安全保護(hù)策略，避免較低安全保護(hù)級(jí)別的機(jī)器影響其他機(jī)器的安全。

(3)針對(duì)虛擬機(jī)網(wǎng)絡(luò)內(nèi)部攻擊問(wèn)題，必須部署必要的安全工具。在虛擬機(jī)上安裝殺毒軟件和惡意軟件防護(hù)程序，及時(shí)為虛擬機(jī)進(jìn)行漏洞修補(bǔ)和程序升級(jí)。微軟和VMware都為自己的基礎(chǔ)設(shè)施產(chǎn)品提供了補(bǔ)丁管理的時(shí)間表，訂閱這些廠商的郵件更新列表，當(dāng)有更新補(bǔ)丁時(shí)，就可以在第一時(shí)間打上補(bǔ)丁。對(duì)于用于災(zāi)難恢復(fù)的虛擬機(jī)，可以隔一段時(shí)間進(jìn)行一次補(bǔ)丁及病毒庫(kù)更新，再重新進(jìn)行鏡像存放。

(4)利用虛擬化監(jiān)控工具，檢測(cè)出未授權(quán)的拷貝和“克隆”虛擬機(jī)的行為，確保敏感信息在正確的管控中。針對(duì)虛擬機(jī)濫用、惡用問(wèn)題，應(yīng)加強(qiáng)服務(wù)器資源監(jiān)控與容量分析功能，對(duì)所占用資源進(jìn)行定期報(bào)告，對(duì)突發(fā)變化進(jìn)行報(bào)警。同時(shí)嚴(yán)格設(shè)計(jì)基于業(yè)務(wù)邏輯的訪問(wèn)控制策略，進(jìn)行虛擬機(jī)加密、訪問(wèn)授權(quán)和跟蹤審計(jì)等安全控制。

3.4 制定安全管理制度、加強(qiáng)安全風(fēng)險(xiǎn)評(píng)估

虛擬化安全管理是一項(xiàng)系統(tǒng)性工作，僅靠一些技術(shù)手段無(wú)法保證安全運(yùn)行，還要結(jié)合一些管理規(guī)定和策略，以及必要的人員培訓(xùn)，才能最終達(dá)到安全保證的要求。

3.4.1 管理制度

(1)制定虛擬機(jī)管理制度，明確管理責(zé)任和使用權(quán)限。

(2)制定專門的虛擬機(jī)審核、追蹤流程，做好虛擬機(jī)的備案工作，避免虛擬機(jī)的盲目擴(kuò)張而導(dǎo)致的管理受控，及時(shí)關(guān)停停止使用的虛擬服務(wù)器。

(3)應(yīng)對(duì)虛擬化環(huán)境制定應(yīng)急預(yù)案，確保在災(zāi)難發(fā)生時(shí)，能迅速應(yīng)對(duì)。并定期開展應(yīng)急演練，及時(shí)修編完善應(yīng)急預(yù)案，實(shí)現(xiàn)動(dòng)態(tài)管理。

3.4.2 風(fēng)險(xiǎn)評(píng)估

對(duì)虛擬化環(huán)境的安全管理，還應(yīng)包括定期的風(fēng)險(xiǎn)評(píng)估工作。主要的評(píng)估項(xiàng)目包括：日志審計(jì)、漏洞掃描、滲透測(cè)試、配置核查、鏡像文件一致性核查等內(nèi)容。這些評(píng)估項(xiàng)目在非虛擬化環(huán)境中已經(jīng)存在，所不同的是需要針對(duì)虛擬化環(huán)境的特殊性進(jìn)行相應(yīng)的調(diào)整。需要對(duì)虛擬機(jī)承載的業(yè)務(wù)系統(tǒng)的安全需求進(jìn)行評(píng)估，將具有相同安全需求的虛擬機(jī)部署在同一臺(tái)主機(jī)上，盡量不要把不同安全需求的虛擬機(jī)放在一起。

4.結(jié)語(yǔ)

服務(wù)器虛擬化技術(shù)在給用戶節(jié)約資金、帶來(lái)快捷服務(wù)的同時(shí)，也給信息系統(tǒng)安全帶來(lái)不可忽視的問(wèn)題。為了有效規(guī)避服務(wù)器虛擬化導(dǎo)致的安全風(fēng)險(xiǎn)，需要統(tǒng)籌考慮，綜合采取技術(shù)、管理、運(yùn)維等手段，對(duì)服務(wù)器虛擬化帶來(lái)的信息安全風(fēng)險(xiǎn)進(jìn)行防范，增強(qiáng)虛擬機(jī)技術(shù)的安全性和構(gòu)建可信的虛擬化環(huán)境，對(duì)虛擬化系統(tǒng)中各個(gè)層次組件做嚴(yán)密防護(hù)，完善安全管理策略，嚴(yán)格執(zhí)行安全措施并加強(qiáng)人員培訓(xùn)，將風(fēng)險(xiǎn)控制在可控的范圍之內(nèi)，才能既更好地利用服務(wù)器虛擬化技術(shù)為企業(yè)服務(wù)，又保證信息系統(tǒng)安全，讓服務(wù)器虛擬化技術(shù)發(fā)揮出最大的價(jià)值。

[1]吳岳,尤煒.虛擬服務(wù)器部署過(guò)程中的安全隱患與防范措施[J].科技資訊,2010(20):16.

[2]盧凱.服務(wù)器虛擬化安全風(fēng)險(xiǎn)分析[J].銅仁學(xué)院學(xué)報(bào),2012,14(4):135-136.

[3]刁宇亮.虛擬化安全建設(shè)研究[J].計(jì)算機(jī)安全,2012(1):65-69.

[4]譚文輝.基于VMware虛擬化的安全分析[J].艦船電子工程,2012,32(5):113-115.