基于虛擬機的信息系統(tǒng)結(jié)構(gòu)安全研究

彭淑芬

(國家安全生產(chǎn)監(jiān)督管理總局 通信信息中心 , 北京 100713 )

0 引言

隨著IT服務(wù)的專業(yè)化和云計算的盛行，虛擬化技術(shù)顯得越來越重要。而虛擬機又是重中之重，它的安全性直接決定云計算的安全性。虛擬機除了在服務(wù)器的傳統(tǒng)安全性方面需要保證以外，在資源隔離和共享方面也要采取嚴格的安全措施[1-2]。服務(wù)器虛擬化的安全性離不開網(wǎng)絡(luò)設(shè)備和安全設(shè)備的虛擬化及安全性。針對上述問題，本文首先分析了虛擬機存在的六大安全風險，然后根據(jù)《信息系統(tǒng)安全等級保護基本要求GB/T 22239-2008》分析了幾種典型的虛擬機部署架構(gòu)的安全性，最后以等級保護二級和等級保護三級為例分析了典型的虛擬機部署架構(gòu)的應(yīng)用。

1 虛擬機安全問題

虛擬機技術(shù)將計算機物理資源表示成若干個虛擬域，每個虛擬域都可以運行獨立的操作系統(tǒng)，作為一臺獨立的計算機進行工作和對外提供服務(wù)。虛擬機的體系結(jié)構(gòu)本身可以增強虛擬域操作系統(tǒng)的安全性，因為它對虛擬域中的應(yīng)用是透明的，這些運行在虛擬域中的應(yīng)用程序通常無法發(fā)現(xiàn)自己運行在虛擬域環(huán)境中。根據(jù)虛擬機的隔離機制，一個虛擬域中的惡意程序不會影響到其他虛擬域，也很難影響到虛擬機監(jiān)控器和真實的硬件設(shè)備。而且通過虛擬機架構(gòu)中用于管理功能的特權(quán)域，可以對其他虛擬域中的操作系統(tǒng)和應(yīng)用程序進行監(jiān)控和掃描。這些都增強了虛擬域的安全性。但是，這種對安全增強的前提是虛擬機具有嚴格的隔離機制。BlackHat在近幾年提出了多種攻擊Xen虛擬機監(jiān)控器的方法，這些攻擊都展示出虛擬機監(jiān)控器的脆弱性和其安全系統(tǒng)的復(fù)雜性。而事實上，幾乎所有的主流虛擬機都存在安全漏洞。這就使得虛擬機安全和云計算安全成為空談。虛擬機體系結(jié)構(gòu)帶來的主要安全問題有[3-5]：

（1）虛擬機監(jiān)控器安全

虛擬機監(jiān)控器是虛擬機的核心，可視做小型的操作系統(tǒng)內(nèi)核，主要負責CPU調(diào)度、內(nèi)存分配等資源管理工作。如果虛擬機監(jiān)控器自身受到攻擊，會使虛擬機監(jiān)控器無法正常工作，各個虛擬域也將無法正常運行。目前已經(jīng)有方法可以利用漏洞或注入代碼對虛擬機進行攻擊。

（2）虛擬機逃逸

虛擬機提供的隔離機制如果存在漏洞，就可能會發(fā)生虛擬機逃逸。虛擬機逃逸是指：一個虛擬域中的用戶利用程序?qū)μ摂M域的操作系統(tǒng)進行攻擊，導致能夠通過內(nèi)存映射獲得其他虛擬域甚至特權(quán)域的數(shù)據(jù)和權(quán)限，從而破壞這些虛擬域甚至整個虛擬機架構(gòu)的安全性。

（3）虛擬域的安全遷移

虛擬域遷移是虛擬機技術(shù)中非常重要的一部分。為了更合理地利用資源，根據(jù)需要將虛擬域從一臺物理機遷移到另一臺物理機中。遷移過程通常需要同步內(nèi)存等動態(tài)數(shù)據(jù)，有時也需要同步虛擬磁盤等靜態(tài)數(shù)據(jù)。遷移時還應(yīng)當使用安全的遷移協(xié)議。協(xié)議不安全會導致遷移過程中發(fā)生數(shù)據(jù)泄漏，或者數(shù)據(jù)的完整性被破壞，最終導致虛擬域無法正常運行。而如果遷移到的目的主機的計算平臺存在安全問題，也會導致被遷移的虛擬域存在安全威脅。此外，如果攻擊者截獲了某次遷移的數(shù)據(jù)，并將這些數(shù)據(jù)的日后遷移進行重放攻擊，也會破壞虛擬域的完整性。

（4）特權(quán)域安全

很多虛擬機都存在特權(quán)域允許管理員管理虛擬機自身和其他虛擬域，例如分配資源，創(chuàng)建、啟動、遷移、關(guān)閉和刪除虛擬域，訪問虛擬域的數(shù)據(jù)文件，甚至利用一些機制訪問虛擬域的內(nèi)存。特權(quán)域的權(quán)限非常大，如果攻擊者通過網(wǎng)絡(luò)或其他手段入侵特權(quán)域并獲得相應(yīng)的管理權(quán)限，將對運行在該虛擬機中的虛擬域造成嚴重影響。

（5）共享虛擬化資源池安全問題

云計算環(huán)境是多用戶環(huán)境，所有用戶的數(shù)據(jù)都在云中存儲和處理。如果數(shù)據(jù)不能有效地隔離，將會導致用戶私人數(shù)據(jù)被其他用戶盜取、篡改、破壞。這就要求不同用戶的數(shù)據(jù)必須嚴格隔離，防止用戶讀寫他人的文件。用戶提交的計算作業(yè)首先被分配在共享虛擬化資源池中。如果不能保證這些計算作業(yè)是由可信的用戶提交到資源池，將會導致資源池中的所有共享資源被盜取、篡改以及破壞的危險。動態(tài)的資源在使用完畢或失效后需要立即銷毀，否則將會造成信息泄漏的危險。

（6）拒絕服務(wù)

與傳統(tǒng)的網(wǎng)絡(luò)攻擊中的拒絕服務(wù)攻擊不同，由于對外提供服務(wù)的是運行在虛擬機中的各個獨立的虛擬域，因此如果隔離機制比較完善，那么一個虛擬域自身漏洞引起的攻擊通常不會影響其他虛擬域。但是，如果虛擬機的資源調(diào)度和管理存在問題，當一個虛擬域的工作負載突然增強時，特別是網(wǎng)絡(luò)負載增強時，也會影響到其他虛擬域甚至整臺虛擬機的正常工作。這就要求虛擬機監(jiān)控器自身必須穩(wěn)定，實時監(jiān)控資源的使用，以便在發(fā)現(xiàn)問題時能及時采取應(yīng)對措施。

2 典型的虛擬機部署架構(gòu)

在《信息系統(tǒng)安全等級保護基本要求GB/T 22239-2008》中等級保護二級網(wǎng)絡(luò)安全的結(jié)構(gòu)安全方面，要求“應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段”。在訪問控制方面，要求“應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能”；在安全審計方面，要求“應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄”；而且在邊界完整性檢查、入侵防范、網(wǎng)絡(luò)設(shè)備防護等方面也有明確要求。級別越高，安全防護要求越高，例如等級保護三級網(wǎng)絡(luò)安全在結(jié)構(gòu)安全方面，還要求“應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段”[6]。

虛擬環(huán)境下大部分安全問題都來自于管理不當或一些顯而易見的錯誤。所以，應(yīng)對服務(wù)控制臺與管理工具的訪問實施嚴格的控制，并利用管理工具來支持一個獨立的網(wǎng)絡(luò)，確保虛擬機不會干擾到管理控制臺對其他服務(wù)器的控制。同時，應(yīng)根據(jù)基本要求和應(yīng)用系統(tǒng)的等級保護級別，評估是否需要增加額外的控制，比如虛擬防火墻或虛擬入侵保護系統(tǒng)?？赏ㄟ^物理服務(wù)器內(nèi)的虛擬交換設(shè)備來密切觀察用戶是如何使用虛擬機的，比如交換機的配置、流量情況，以及虛擬機自身之間、虛擬機與外部設(shè)備之間的可訪性。典型的虛擬機部署架構(gòu)一般包括三種模式：一個管理中心一個物理資源池多個虛擬安全域，一個管理中心多個物理資源池多個虛擬安全域，多個管理中心多個物理資源池多個虛擬安全域。

2.1 一個管理中心一個物理資源池多個虛擬安全域的部署模式

一個管理中心一個物理資源池多個虛擬安全域的部署模式如圖1所示。虛擬化宿主主機為高端主機，前端連接支持虛擬化的網(wǎng)絡(luò)設(shè)備（如交換機、網(wǎng)卡）和邊界訪問控制設(shè)備（如防火墻），后端連接 SAN存儲設(shè)備和虛擬機管理系統(tǒng)。虛擬化宿主主機在虛擬機管理系統(tǒng)中虛擬出了多臺 Windows或 Linux操作系統(tǒng)支撐業(yè)務(wù)系統(tǒng)。相同安全域的主機之間的數(shù)據(jù)流會流向交換機，交換機按照預(yù)訂的安全策略轉(zhuǎn)發(fā)數(shù)據(jù)包。不同安全域之間的數(shù)據(jù)流會流向邊界訪問控制設(shè)備，邊界訪問控制設(shè)備按照預(yù)訂的安全規(guī)則允許或禁止不同虛擬安全域之間的數(shù)據(jù)訪問。虛擬化宿主主機位于同一管理網(wǎng)段，被虛擬機管理系統(tǒng)管理。在這種部署模式中，雖然虛擬機采用了MLS（多級安全系統(tǒng)）技術(shù)進行隔離和保護，滿足 EAL4+（Evaluation Assurance Level）的要求，但是不同安全域的虛擬機位于同一物理主機上，虛擬化宿主主機位于同一管理網(wǎng)段，虛擬機可能干擾到虛擬機管理系統(tǒng)對其他安全域虛擬機的控制，安全性僅符合等級保護一級的結(jié)構(gòu)安全要求，不符合等級保護二級的結(jié)構(gòu)安全要求。

圖1 一個管理中心一個物理資源池多個虛擬安全域

2.2 一個管理中心多個物理資源池多個虛擬安全域的部署模式

一個管理中心多個物理資源池多個虛擬安全域的部署模式如圖2所示。虛擬化宿主主機為高端主機，每個虛擬化宿主主機池的前端連接各自支持虛擬化的網(wǎng)絡(luò)設(shè)備（如交換機、網(wǎng)卡）和普通的邊界訪問控制設(shè)備（如防火墻），后端連接同一 SAN存儲設(shè)備和虛擬機管理系統(tǒng)。虛擬化宿主主機在虛擬機管理系統(tǒng)中虛擬出了多臺 Windows或Linux操作系統(tǒng)支撐業(yè)務(wù)系統(tǒng)。相同安全域的主機之間的數(shù)據(jù)流會流向交換機，交換機按照預(yù)定的安全策略轉(zhuǎn)發(fā)數(shù)據(jù)包。不同安全域之間的數(shù)據(jù)流會流向邊界訪問控制設(shè)備，邊界訪問控制設(shè)備按照預(yù)訂的安全規(guī)則允許或禁止不同虛擬安全域之間的數(shù)據(jù)訪問。不同物理資源池的虛擬化宿主主機位于不同的管理網(wǎng)段，被虛擬機管理系統(tǒng)管理。在這種部署模式中，不同安全域的虛擬機位于不同的物理服務(wù)器上，不同安全域的虛擬機的管理網(wǎng)段也不相同，虛擬機不易干擾到虛擬機管理系統(tǒng)對其他安全域虛擬機的控制。這基本符合等級保護二級的結(jié)構(gòu)安全要求，只是由同一虛擬機管理系統(tǒng)管理存在一定風險。

2.3 多個管理中心多個物理資源池多個虛擬安全域的部署模式

圖2 一個管理中心多個物理資源池多個安全域

圖3 多個管理中心多個物理資源池多個安全域

多個管理中心多個物理資源池多個虛擬安全域的部署模式如圖3所示。虛擬化宿主主機為高端主機，每個虛擬化宿主主機池的前端鏈接各自支持虛擬化的網(wǎng)絡(luò)設(shè)備（如交換機、網(wǎng)卡）和普通的邊界訪問控制設(shè)備（如防火墻），后端連接同一 SAN存儲設(shè)備和各自的虛擬機管理系統(tǒng)。虛擬化宿主主機在虛擬機管理系統(tǒng)中虛擬出了多臺Windows或 Linux操作系統(tǒng)支撐業(yè)務(wù)系統(tǒng)。相同安全域的主機之間的數(shù)據(jù)流會流向交換機，交換機按照預(yù)訂的安全策略轉(zhuǎn)發(fā)數(shù)據(jù)包。不同安全域之間的數(shù)據(jù)流會流向邊界訪問控制設(shè)備，邊界訪問控制設(shè)備按照預(yù)訂的安全規(guī)則允許或禁止不同虛擬安全域之間的數(shù)據(jù)訪問。不同物理資源池的虛擬化宿主主機位于不同的管理網(wǎng)段，且被不同的虛擬機管理系統(tǒng)管理。每個安全域的物理資源池、虛擬機、管理中心均相互獨立，完全符合等級保護二級的結(jié)構(gòu)安全要求。虛擬機不會干擾到其他安全域的虛擬機管理系統(tǒng)對其安全域的虛擬機的控制。

3 典型的虛擬機部署架構(gòu)的應(yīng)用

按照《信息系統(tǒng)安全等級保護基本要求 GB/T 22239-2008》中等級保護一級關(guān)于結(jié)構(gòu)安全的要求，Web服務(wù)器、應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器可以位于一臺虛擬機，也可以分別位于三個不同虛擬安全域的三臺虛擬機中。所以，等級保護一級的信息系統(tǒng)可以部署在一個管理中心一個物理資源池多個虛擬安全域的環(huán)境中。

按照《信息系統(tǒng)安全等級保護基本要求 GB/T 22239-2008》中等級保護二級關(guān)于結(jié)構(gòu)安全的要求，Web服務(wù)器和應(yīng)用服務(wù)器位于同一物理資源池的同一個或者兩個不同的虛擬機，數(shù)據(jù)庫服務(wù)器位于不同物理資源池的虛擬機。所以，等級保護二級的信息系統(tǒng)至少需要部署在一個管理中心多個物理資源池多個安全域的環(huán)境中。

按照《信息系統(tǒng)安全等級保護基本要求 GB/T 22239-2008》中等級保護三級關(guān)于結(jié)構(gòu)安全的要求，Web服務(wù)器位于一個物理資源池的一個虛擬機，應(yīng)用服務(wù)器位于另一物理資源池的一個虛擬機，數(shù)據(jù)庫服務(wù)器位于與應(yīng)用服務(wù)器相同（或不同）物理資源池但與 Web服務(wù)器不同物理資源池的虛擬機。所以，等級保護三級的信息系統(tǒng)至少需要部署在一個管理中心多個物理資源池多個安全域的環(huán)境中，條件許可的情況下部署在多個管理中心多個物理資源池多個安全域的環(huán)境中更安全。

4 結(jié)論

虛擬機技術(shù)會越來越廣泛地應(yīng)用于不同保護等級的信息系統(tǒng)中，上述三種虛擬機部署模式滿足基本要求中第一級、第二級和第三級的結(jié)構(gòu)安全要求?！缎畔⑾到y(tǒng)安全等級保護基本要求 GB/T 22239-2008》中有關(guān)網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)方面的技術(shù)要求同樣適用于基于虛擬機的信息系統(tǒng)，以后會深入探討虛擬機環(huán)境下主機安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)方面的問題。

[1]秦中元, 沈日勝, 張群芳,等.虛擬機系統(tǒng)安全綜述[J].計算機應(yīng)用研究, 2012,29(5):1618-1622.

[2]胡小龍, 蔣光慶, 郭玉東, 等.基于協(xié)作型VMM的虛擬機網(wǎng)絡(luò)訪問控制技術(shù)研究[J].小型微型計算機系統(tǒng), 2014, 35(4):883-888.

[3]孫磊, 楊星, 馬自堂.云環(huán)境下基于BN模型的虛擬機安全部署模型[J].計算機科學, 2013, 40(3): 210-214.

[4]蔡志強, 丁麗萍, 賀也平.一種基于虛擬機的動態(tài)內(nèi)存泄露檢測方法[J].計算機應(yīng)用與軟件, 2012, 29(9): 10-13.

[5]梁彪, 秦中元, 沈日勝, 等.一種虛擬機訪問控制安全模型[J].計算機應(yīng)用研究, 2014, 31(1): 231-235.

[6]GB/T 22239-2008信息系統(tǒng)安全等級保護基本要求[S].北京:中國標準出版社, 2008.