黃柳鈴， 張 瑞

（福建船政交通職業(yè)學(xué)院， 福建 福州 350007）

云計算是對基于網(wǎng)絡(luò)的，可配置的共享計算資源池能夠方便的，隨需訪問的一種模式.是傳統(tǒng)計算機(jī)和網(wǎng)絡(luò)技術(shù)發(fā)展整合的產(chǎn)物，也是引領(lǐng)未來信息產(chǎn)業(yè)創(chuàng)新的關(guān)鍵戰(zhàn)略性技術(shù)和手段。它重塑了信息生產(chǎn)和交流的方式，并逐步改變了國家信息資源傳播和控制的方式，進(jìn)而推動了全球信息權(quán)力的重構(gòu)和流動。因此，云計算的出現(xiàn)無疑對國家和個人的信息安全帶來了機(jī)遇與挑戰(zhàn)。

本文以云計算安全中最重要的部分云計算虛擬化技術(shù)安全為例，討論云計算的安全挑戰(zhàn)與防護(hù)策略。

云計算應(yīng)用安全體系的主要目標(biāo)是實現(xiàn)云計算應(yīng)用及數(shù)據(jù)的機(jī)密性、完整性、可用性和隱私性。

云計算安全模塊主要包括了：物理安全、基礎(chǔ)設(shè)施安全、虛擬化安全、數(shù)據(jù)傳輸安全、基礎(chǔ)設(shè)施能力接口安全、模塊基礎(chǔ)安全、中間件安全、內(nèi)容安全、應(yīng)用安全、數(shù)據(jù)安全、用戶認(rèn)證及訪問管理、密鑰分配及管理、災(zāi)難備份與恢復(fù)、安全事件管理及審計?，F(xiàn)以虛擬化安全為重點展開討論。

一、虛擬化安全防護(hù)

從功能角度看，基礎(chǔ)設(shè)施服務(wù)中的虛擬化層的邏輯架構(gòu)包括業(yè)務(wù)管理平臺、虛擬網(wǎng)絡(luò)系統(tǒng)、虛擬存儲系統(tǒng)、虛擬處理系統(tǒng)，以及最上層的客戶虛擬機(jī)。

其中虛擬網(wǎng)絡(luò)系統(tǒng)是通過在物理網(wǎng)絡(luò)上運行虛擬化將物理網(wǎng)絡(luò)虛擬化為多個邏輯獨立的網(wǎng)絡(luò)，如虛擬交換機(jī)等。主要涉度的物理設(shè)備有服務(wù)器、交換機(jī)、路由器、網(wǎng)卡等部件。

虛擬存儲系統(tǒng)是通過在主機(jī)和物理存儲系統(tǒng)上運行虛擬化軟件，將物理存儲虛擬成滿足上層需要的特定存儲服務(wù)，主要涉及的物理設(shè)備有存儲交換機(jī)、磁盤陣列等部件。

虛擬處理系統(tǒng)是通過在物理主機(jī)上運行虛擬機(jī)平臺軟件，將異構(gòu)的物理主機(jī)虛擬成滿足上層需要的虛擬主機(jī)，主要涉及的物理設(shè)備有主機(jī)服務(wù)器。虛擬處理系統(tǒng)可以使用本地硬盤、SAN、iSCSI等作為存儲，也可以使用虛擬存儲系統(tǒng)作為存儲?？蛻籼摂M機(jī)是虛擬處理系統(tǒng)將物理主機(jī)進(jìn)行虛擬產(chǎn)生的虛擬機(jī)，是客戶操作系統(tǒng)安裝的位置。

業(yè)務(wù)管理平臺負(fù)責(zé)向用戶提供業(yè)務(wù)受理、業(yè)務(wù)開通、業(yè)務(wù)監(jiān)視、業(yè)務(wù)保障等能力。業(yè)務(wù)平臺通過與客戶、計費系統(tǒng)、虛擬化平臺的交互實現(xiàn)基礎(chǔ)設(shè)施服務(wù)業(yè)務(wù)的端到端運營和管理。

在虛擬化安全方面，應(yīng)充分利用虛擬化平臺提供的安全功能，進(jìn)行合理配置，防止客戶虛擬機(jī)惡意訪問虛擬平臺或其他客戶的虛擬機(jī)資源。

二、服務(wù)器虛擬化安全

虛擬機(jī)管理器VMM是用來運行虛擬機(jī)VM的內(nèi)核，代替?zhèn)鹘y(tǒng)操作系統(tǒng)管理著底層物理硬件，是服務(wù)器虛擬化的核心環(huán)節(jié)。其安全性直接關(guān)系到上層的虛擬機(jī)安全，因此VMM自身必須提供足夠的安全機(jī)制，防止客戶機(jī)利用溢出漏洞取得高級別的運行等級，從而獲得對物理資源的訪問控制，給其他客戶帶來極大的安全隱患。

在具體的安全防護(hù)及安全策略配置上，應(yīng)滿足如下要求：

1.虛擬機(jī)管理器應(yīng)啟用內(nèi)存安全強(qiáng)化策略，使虛擬化內(nèi)核、用戶模式應(yīng)用程序及可執(zhí)行組件（如驅(qū)動程序和庫）位于無法預(yù)測的隨機(jī)內(nèi)存地址中。在將該功能與微處理器提供的不可執(zhí)行的內(nèi)存保護(hù)結(jié)合使用時，可以提供保護(hù)，使惡意代碼很難通過內(nèi)存漏洞來利用系統(tǒng)漏洞。

2.虛擬機(jī)管理器應(yīng)開啟內(nèi)核模塊完整性檢查功能，利用數(shù)字簽名確保由虛擬化層加載的模塊、驅(qū)動程序及應(yīng)用程序的完整性和真實性。

3.在安全管理上采取服務(wù)最小化原則：虛擬機(jī)管理器接口應(yīng)嚴(yán)格限定為管理虛擬機(jī)所需的API，并關(guān)閉無關(guān)的協(xié)議端口。

4.規(guī)范虛擬機(jī)管理器補(bǔ)丁管理要求.在進(jìn)行補(bǔ)丁更新前，應(yīng)對補(bǔ)丁與現(xiàn)有虛擬機(jī)管理系統(tǒng)的兼容性進(jìn)行測試，確認(rèn)后與系統(tǒng)提供廠商配合進(jìn)行相應(yīng)的修復(fù)，同時應(yīng)對漏洞發(fā)展情況進(jìn)行跟蹤，形成詳細(xì)的安全更新狀態(tài)報表。

5.對每臺物理機(jī)之上的虛擬平臺，嚴(yán)格控制對虛擬平臺提供的HTTP、Telnet、SSH等管理接口的訪問，關(guān)閉不需要的功能，禁用明文方式的Telnet接口。

6.在用戶認(rèn)證安全方面，采用高強(qiáng)度口令，降低口令被盜用和破解的可能性。

另外，在服務(wù)器虛擬化高可用性方面，目前一些主流虛擬化軟件提供商推出了成熟的虛擬化高可用性技術(shù)或方案，如高可用性HA（High Availability）零宕機(jī)容錯FT（Fault Tolerance）、備份與恢復(fù)DT（Data Recovery）等方式快速恢復(fù)故障用的虛擬機(jī)系統(tǒng)，提高用戶系統(tǒng)的高可用性。

（1）高可用性；在宿主物理機(jī)發(fā)生故障時，受影響的虛擬機(jī)在其他宿主物理機(jī)上的備份自動重啟，從而為虛擬機(jī)用戶提供易于使用和經(jīng)濟(jì)高效的高可用性。其具體原理是虛擬化平臺實施監(jiān)控系統(tǒng)內(nèi)虛擬機(jī)的運行狀態(tài)，若該虛擬機(jī)沒有在指定的時間內(nèi)生成檢測信息，就認(rèn)為其發(fā)生了故障并自動重新啟動該虛擬機(jī)。對于啟用該服務(wù)，要求虛擬機(jī)預(yù)期備份虛擬機(jī)必須在不同的宿主物理機(jī)。

（2）零宕機(jī)容錯：通過構(gòu)建容錯虛擬機(jī)的方式，在虛擬機(jī)發(fā)生數(shù)據(jù)、事務(wù)或連接丟失等故障時快速啟用容錯虛擬機(jī)。容錯可提供比HA更高級別的業(yè)務(wù)連續(xù)性。

其具體要求是虛擬機(jī)與其容錯虛擬機(jī)必須不在同一臺宿主物理機(jī)上，容錯保護(hù)的虛擬機(jī)文件也必須存儲在共享存儲器上。

（3）備份和恢復(fù)：可以實現(xiàn)對虛擬機(jī)進(jìn)行全面和增量的恢復(fù)，也能進(jìn)行個別文件和目錄的恢復(fù)。在不中斷虛擬機(jī)的使用或虛擬機(jī)提供的數(shù)據(jù)和服務(wù)的情況下，創(chuàng)建并管理虛擬機(jī)備份，并在這些備份過時后將其刪除。可以根據(jù)故障虛擬機(jī)的狀態(tài)選定虛擬機(jī)的存儲點，然后將該虛擬機(jī)重新寫入目標(biāo)主機(jī)或資源池。在重寫的過程中，Data Recovery僅改寫有變動的數(shù)據(jù)，重寫完后該虛擬機(jī)即可重新啟動。

三、網(wǎng)絡(luò)虛擬化安全

網(wǎng)絡(luò)虛擬化安全主要通過在虛擬化網(wǎng)絡(luò)內(nèi)部加載安全策略，增強(qiáng)虛擬機(jī)之間以及虛擬機(jī)與外部網(wǎng)絡(luò)之間通信的安全性，確保在共享的資源池中的信息應(yīng)用仍能遵從企業(yè)級數(shù)據(jù)隱私及安全。其具體安全防護(hù)需求如下:

1.利用虛擬機(jī)平臺的防火墻功能，實現(xiàn)虛擬環(huán)境下的邏輯分區(qū)邊界防護(hù)和分段集中管理，配置允許訪問虛擬平臺管理接口的IP地址、協(xié)議端口、最大訪問速率等參數(shù)。

2.利用現(xiàn)有虛擬基礎(chǔ)架構(gòu)容器（主機(jī)、虛擬交+機(jī)、VLAN）作為邏輯信任分區(qū)或組織分區(qū)。

3.定義策略以在分區(qū)邊界之間對網(wǎng)絡(luò)流量進(jìn)行橋接、設(shè)置防火墻保護(hù)策略并加以隔離。

4.虛擬交換機(jī)應(yīng)啟用虛擬端口的限速功能，通過定義平均帶寬、峰值帶寬和流量突發(fā)大小，實現(xiàn)端口級別的流量控制。同時應(yīng)禁止虛擬機(jī)端口使用混雜模式進(jìn)行網(wǎng)絡(luò)通信嗅探。

5.對虛擬網(wǎng)絡(luò)平臺的重要日志進(jìn)行監(jiān)視和審計，及時發(fā)現(xiàn)異常登錄和操作。

6.在創(chuàng)建客戶虛擬機(jī)的同時，根據(jù)具體的拓?fù)浜涂赡艿耐ㄐ拍Ｊ?，在虛擬網(wǎng)卡和虛擬交換機(jī)上配置防火墻，提高客戶虛擬機(jī)的安全性。

四、存儲虛擬化安全

其具體安全防護(hù)要求如下：

1.提供磁盤鎖定功能，確保同一虛擬機(jī)不會在同一時間被多個用戶打開。

2.提供設(shè)備冗余功能，當(dāng)某臺宿主服務(wù)器出現(xiàn)故障時，該服務(wù)器上的虛擬機(jī)磁盤鎖定將被解除，以允許從其他宿主服務(wù)器重新啟動這些虛擬機(jī)。

3.開啟多個虛擬機(jī)對同一存儲系統(tǒng)的并發(fā)讀／寫功能，確保安全的并行訪問。

4.提供數(shù)據(jù)存儲的冗余保護(hù)，用戶數(shù)據(jù)在虛擬化存儲系統(tǒng)中的不同物理位置有多個備份，應(yīng)不少于2個，并對用戶透明。

5.虛擬存儲系統(tǒng)應(yīng)能在不中斷正常存儲服務(wù)的前提下實現(xiàn)對存儲容量和存儲服務(wù)進(jìn)行任意擴(kuò)展，透明地添加和更替存儲設(shè)備，并具有自動發(fā)現(xiàn)、安裝、檢測和管理不同類型存儲設(shè)備的能力。

6.虛擬存儲系統(tǒng)應(yīng)支持按照數(shù)據(jù)的安全級別建立容錯和容災(zāi)機(jī)制，以克服系統(tǒng)的誤操作、單點失效、意外災(zāi)難等因素造成的數(shù)據(jù)損失。

五、業(yè)務(wù)管理平臺安全

業(yè)務(wù)管理平臺指的是支撐基礎(chǔ)設(shè)施服務(wù)業(yè)務(wù)提供、業(yè)務(wù)運營的系統(tǒng)，其可由虛擬化廠家提供，也可由第三方廠家提供。參考eTOM以及TMF相關(guān)標(biāo)準(zhǔn)的系統(tǒng)架構(gòu)，業(yè)務(wù)管理平臺功能可分為業(yè)務(wù)規(guī)劃、業(yè)務(wù)訂購、業(yè)務(wù)開通、業(yè)務(wù)監(jiān)視、業(yè)務(wù)保障、業(yè)務(wù)計費等。業(yè)務(wù)管理平臺的安全性直接影響著基礎(chǔ)設(shè)施服務(wù)平臺能否安全、穩(wěn)定地運行。

業(yè)務(wù)管理平臺在安全管理功能方面應(yīng)能滿足如下要求。

1.具備宿主服務(wù)器資源監(jiān)控能力，可實時監(jiān)控宿主服務(wù)器物理資源利用情況，包括CPU利用率、內(nèi)存利用率、磁盤使用情況等，要求在宿主服務(wù)器出現(xiàn)性能瓶頸，如CPU利用率過高時發(fā)出告警。

2.具備虛擬機(jī)性能監(jiān)控能力，可實時監(jiān)控物理機(jī)上各虛擬機(jī)的運行情況，包括VCPU利用率、內(nèi)存利用率、磁盤利用率等，要求在虛擬機(jī)出現(xiàn)性能瓶頸、如VCPU利用率超過90%時發(fā)出告警.

3.支持設(shè)置單一虛擬機(jī)的資源限制量，保護(hù)虛擬機(jī)的性能不因其他虛擬機(jī)嘗試消耗共享硬件上的太多資源而降低。在虛擬機(jī)資源分配時，應(yīng)充分考慮資源預(yù)留情況，通過設(shè)置資源預(yù)留和限制量，保護(hù)虛擬機(jī)的性能不會因其他虛擬機(jī)過度消耗宿主服務(wù)器硬件資源而降低。

綜上所述，在云計算和虛擬技術(shù)作為新的企業(yè)級信息化解決方案，可整體信息化成本，提高信息化工作效率，保證信息安全。

[1]吳朱華.云計算核心技術(shù)剖析[M].人民郵電出版社，2001.

[2]張為民.云計算深刻改變未來[M].科學(xué)出版社，2009.

[3]王佳雋，呂智慧，等.云計算技術(shù)發(fā)展分析及其應(yīng)用探討[J].計算機(jī)工程與設(shè)計，2010，（31）.