索世恒

（文化和旅游部信息中心，北京 100020）

在當前的云計算體系下，虛擬技術作為其中的代表，所能承載的業(yè)務也在逐漸變化之中，核心業(yè)務的影響越來越明，因此其信息安全問題逐漸得到了社會的廣泛關注。在當前虛擬化環(huán)境中，信息安全風險一直制約著虛擬化技術的發(fā)展，所以針對這種問題，就需要工作人員能夠進一步了解信息安全風險問題，提出應對措施，切實保證系統(tǒng)安全。

1 虛擬化環(huán)境中的信息安全風險

1.1 虛擬化環(huán)境中的傳統(tǒng)安全問題依然存在

從相關技術的發(fā)展情況來看，虛擬化環(huán)境中的傳統(tǒng)安全風險情況尚未得到有效解決。例如，在當前虛擬化的環(huán)境中，物理服務器的體系結構得到了分解，并以不同的業(yè)務承載形式表現(xiàn)出來，在這種情況下，操作系統(tǒng)本身的漏洞、業(yè)務系統(tǒng)問題等都會造成問題運行問題，尤其是防病毒系統(tǒng)、文件存儲安全問題等還存在很大的改進空間[1]。

同時，對系統(tǒng)資源的爭奪已經(jīng)成為虛擬機功能的重要組成部分，在正常的系統(tǒng)運行階段，需要通過多個虛擬機同時運行的基礎上，同時為了考慮未來的病毒更新的業(yè)務要求，盡可能避免網(wǎng)絡負擔問題而對虛擬機的運行產(chǎn)生影響。

1.2 虛擬化環(huán)境中本身存在缺陷

在虛擬化客戶端體系下，傳統(tǒng)的Hypervisor 管理層的屬性要求，避免造成安全問題。這是因為Hypervisor 管理層本身具有特殊性，為了可以有效適應物理服務器的運行要求之后，通過一套具有穩(wěn)定性的物理硬件來實現(xiàn)多種模式下的虛擬操作。在這種操作特征下，Hyperbisor 作為一種新的軟件層，其完整性并不理想，并且系統(tǒng)的漏洞或者管理員安全配置不當都會到引發(fā)安全隱患問題。例如，當虛擬機在物理服務器之間遷移時，不會產(chǎn)生警告，增加出現(xiàn)風險的隱患；或者在虛擬機共享數(shù)據(jù)或者重新分配資源時，也有可能造成內(nèi)存泄露風險。除此之外，少數(shù)不法分子會通過Hyperbisor 層的運行虛擬機內(nèi)部子操作系統(tǒng)，開展超越虛擬機范圍的攻擊，在進入到子系統(tǒng)內(nèi)部后，攻擊會蔓延至升整個虛擬服務器，造成巨大損失。

1.3 虛擬機的管理存在問題

虛擬機本身存在一定的安全管理問題，在虛擬化環(huán)境下，隨著設備運行時間的增加，會導致管理終端數(shù)量快速增長，相對應的，安全防護范圍也在逐漸擴大。而管理網(wǎng)絡與生產(chǎn)網(wǎng)絡之間未實現(xiàn)隔離，這會導致管理人員在維護虛擬化平臺階段，難以對虛擬機的自動設置、遷移過程等做全面追蹤管理，一些潛在的安全風險無法被及時發(fā)現(xiàn)[2]。同時，虛擬機運行過程中會產(chǎn)生大量且難以計算的數(shù)據(jù)，對這些數(shù)據(jù)的監(jiān)控與識別存在難度，若不能及時對這些數(shù)據(jù)進行做監(jiān)控，會導致物理主機的安全風險增加，并向其他虛擬機傳染“虛擬機溢出”的補丁，引發(fā)安全問題。

2 虛擬化環(huán)境下信息安全防護體系的構建策略

針對虛擬化環(huán)境下所構建的新型信息安全防護方案，是以不同虛擬安全防護為基礎逐漸演變的，滿足信息系統(tǒng)合規(guī)性審計要求，是一種多層次的綜合安全防護系統(tǒng)。

2.1 病毒防護

傳統(tǒng)的虛擬化環(huán)境下病毒防護解決方案，主要是通過安裝Agent 代理程序來實現(xiàn)的，通過Agent 代理程序在虛擬主機操作系統(tǒng)中構建病毒安全防護網(wǎng)絡，并且在整合服務器虛擬化之后，完成對病毒的實時防護。在這種模式下，虛擬化信息環(huán)境下的病毒防護同樣需要在虛擬操作系統(tǒng)中安裝相應的病毒防護Agent 代理程序。從效果來看，這種方法的工作效率第一，并且若沒有及時安裝程序，系統(tǒng)將會面臨較大的安全風險。

針對上述問題，本文提出了一種新的病毒防護對策：通過Vmshield 接口來實現(xiàn)虛擬主機與虛擬系統(tǒng)之間的安全防護，通過Vmshield 接口，不需要在虛擬主機操作系統(tǒng)中安裝Ggent 程序，實現(xiàn)了虛擬主機系統(tǒng)無代理的安全防護模式。在這種模式下，不會消耗費配合虛擬主機的計算機資源與其他網(wǎng)絡資源消耗，不僅可以充分使用各種網(wǎng)絡計算，還能實現(xiàn)對系統(tǒng)的實時病毒防護。

在這種改進后的病毒防護模式中，虛擬網(wǎng)絡環(huán)境下的訪問控制得到了充分改進，與傳統(tǒng)的硬件防火墻相比，改進后的病毒防護防火墻得到了進一步完善，成為一種建立在硬件系統(tǒng)基礎上的防火墻模式，能夠提供各種基于狀態(tài)檢測的訪問控制，實現(xiàn)基于虛擬交換機的網(wǎng)絡控制與虛擬系統(tǒng)之間的區(qū)域巡邏，所以面對各種不法分子的攻擊都具有很強的攔截能力。

2.2 虛擬流量分析

2.2.1 縱向虛擬流量技術分析

在通過現(xiàn)有成熟的安全技術來解決普遍性的安全危險之后，虛擬化環(huán)境下的安全防護范圍進一步拓展，還需要考慮“虛擬機虛擬機”、“虛擬機客戶端”之間的安全問題[3]。在這種特殊的需求下，虛擬環(huán)境下的流量流向在安全防護中發(fā)揮著重要作用，可以成為安全管理的重要組成部分。

從目前相關技術的發(fā)展情況來看，大部分數(shù)據(jù)中心在虛擬化建設中都處于單中心虛擬階段，在虛擬化環(huán)境中建立了虛擬計算池，并逐步將各個應用系統(tǒng)轉移到虛擬平臺上。在這個階段的主要特征，就是虛擬服務器與實體服務器是共存的，所以出于信息安全的考慮，需要將各種重要業(yè)務部署到實體服務器上，而虛擬服務器可以承擔各種非重要的業(yè)務。

在基于虛擬流量的信息安全閥防護中，可以搭建客戶端的虛擬平臺，該階段虛擬環(huán)境下的網(wǎng)絡流量以縱向為主，主要面對外部客戶到虛擬機的訪問需求，并且在相同的宿主機上，多個虛擬機可以采用物理接入交換機的方法與客戶端完成數(shù)據(jù)過濾。在這種情況下，通過虛擬服務器的大部分訪問過程需要經(jīng)過安全設備與接入機的認證，保證了安全。同時為了提高安全防護效果，還可以在業(yè)務服務器的邊界部署各類網(wǎng)關類安全產(chǎn)品，并在數(shù)據(jù)交互的物理交換機上部署網(wǎng)絡審計系統(tǒng)或者入侵檢測系統(tǒng)，確保可以在虛擬化環(huán)境下對各類病毒進行檢測。

2.2.2 橫向虛擬流量技術分析

而在構建虛擬化平臺后，企業(yè)在信息安全管理中，可以將大部分業(yè)務遷移到虛擬平臺上，并根據(jù)不同業(yè)務種類的特征，在虛擬平臺上劃分不同的安全域，具體結構如圖1所示。

圖1 橫向虛擬流量的安全防護結構

在按照圖1的結構完成劃分后，同一層次上的不同安全域與統(tǒng)一安全域之間的虛擬機互訪數(shù)量越來越多，此時的訪問就是橫向訪問。而在相同宿主機上不同虛擬機交互下所出現(xiàn)的網(wǎng)絡流量，不會通過物理接入到虛擬機中，可以對各類信息流的分類監(jiān)控。

2.3 入侵檢測與保護

從虛擬環(huán)境信息安全的角度來看，任何防護措施都不可避免的存在瑕疵，因此依然面臨系統(tǒng)安全性的威脅。而針對這種問題，則需要通過入侵檢測技術，對各種進入到虛擬網(wǎng)絡環(huán)境內(nèi)部的安全因素進行識別。為了實現(xiàn)上述目標，可以在VMware 的NSX環(huán)境中，依靠NSX 的專用接口對虛擬交換機允許交換機或者端口做識別，在這種情況下的虛擬IDS 傳感器可以感知不同虛擬段上的流量，并形成歷史數(shù)據(jù)。而當發(fā)現(xiàn)某一虛擬段上的流量數(shù)據(jù)明顯區(qū)別與歷史數(shù)據(jù)時，則可以認為該虛擬段存在問題，需要及時查看。

除了提供系統(tǒng)的IPS 系統(tǒng)功能外，相關人員還可以在虛擬環(huán)境中，基于policy-based 監(jiān)控與分析工具，實現(xiàn)更加精確的流量監(jiān)控，并對各類網(wǎng)絡行為做分析，提高安全性。

3 結束語

從本次研究結果可知，現(xiàn)階段的虛擬化環(huán)境下的信息安全防護情況并不理想，這就要求工作人員必須要構建全面的信息安全防護體系，通過層次性的信息安全結構，對虛擬環(huán)境中的各類安全因素進行識別，切實避免信息安全事件發(fā)生。