一種云計算虛擬化環(huán)境安全監(jiān)測及評估方法*

王 瑛，裴 升，李大勇，李海波，劉坤禹，周 波

（1.中國電子科技集團公司第三十研究所，四川 成都 610041；2.北京北方車輛集團有限公司，北京 100072）

0 引言

云計算（Cloud Computing）是當今IT 界的熱門技術。借助云計算網(wǎng)絡服務，管理者可以在瞬息之間處理數(shù)以千萬計甚至億計的信息，實現(xiàn)接近超級計算機甚至更強的效能。此外，用戶可以按需彈性地使用這些資源和服務，并將計算能力視為能夠隨時隨地使用的信息公用設施。

虛擬化作為實現(xiàn)云計算能力的基礎性技術，有利于資源的整合和透明存取，幫助云計算大大降低了復雜度、提升了運行效率，從而使云計算能夠在信息領域得到越來越廣泛的應用。然而，虛擬化在技術和實現(xiàn)層面存在脆弱性和安全風險。虛擬機之間、虛擬機與宿主機之間的越權訪問是虛擬化環(huán)境正常工作的極大隱患。通過對虛擬化安全監(jiān)測及評估的研究，及時發(fā)現(xiàn)虛擬環(huán)境在運行狀態(tài)和行為表現(xiàn)兩方面的安全問題，使管理員能夠?qū)μ摂M環(huán)境的運行情況進行準確把握，及時處置風險，保證虛擬化環(huán)境中信息資產(chǎn)的安全[1-2]。

對計算環(huán)境運行情況進行監(jiān)控是信息安全的基本手段之一。在該領域已經(jīng)有許多成熟的商業(yè)或開源解決方案，如Ganglia、Nagios、BackTrackert 和Livewire 等[3]。Ganglia 是傳統(tǒng)集群監(jiān)控軟件的代表，主要用于收集系統(tǒng)級的信息如CPU 利用率、磁盤空間信息，并且由于其良好的性能和簡單直觀的特點受到廣泛歡迎。Nagios 是一款網(wǎng)絡主機監(jiān)控軟件，能監(jiān)視本地或遠程主機以及服務，同時提供異常通知。在傳統(tǒng)領域監(jiān)控手段向虛擬化環(huán)境遷移的典型產(chǎn)品方面，有虛擬環(huán)境日志監(jiān)控系統(tǒng)BackTrackert和VMWare 虛擬化環(huán)境監(jiān)控器Livewire。但這些監(jiān)控手段大多仍針對虛擬化后的原有計算設施的監(jiān)控能力，對虛擬機管理器、虛擬機調(diào)度器和虛擬化安全設備等新要素的關注不足。值得注意的是，上述要素的監(jiān)控對于構建完善的虛擬化虛擬體系而言是不可或缺的，甚至意義更重大。

論文的第1 節(jié)簡要介紹了虛擬化環(huán)境監(jiān)測的關注點；第2 節(jié)給出了虛擬化環(huán)境的監(jiān)測系統(tǒng)，以及關聯(lián)的監(jiān)測組件結(jié)構及功能；第3 節(jié)提出了云計算虛擬化安全評估方法，包括評估過程和安全風險量化途徑；第4 節(jié)總結(jié)了全文。

1 虛擬化環(huán)境監(jiān)測關注點

近年來，計算機硬件技術遵循摩爾定律迅猛發(fā)展，但現(xiàn)有操作系統(tǒng)無法充分利用多核硬件平臺的并行性潛能，造成了嚴重的資源和能源浪費。在這種背景下，能夠提高硬件資源利用率的虛擬化技術應運而生。從高性能計算中心到個人電腦，虛擬化技術通過將物理平臺虛擬成多個計算平臺，能夠極大提高硬件資源的使用效率，降低擁有者的運維成本。

但是虛擬化技術在解決已有信息安全問題的同時又帶來了新的安全問題。虛擬化技術現(xiàn)在仍在發(fā)展，并且功能越來越強大，但是其安全漏洞也隨之增加。

1.1 虛擬化環(huán)境面臨的安全威脅

針對虛擬機操作系統(tǒng)內(nèi)核級的攻擊可以突破系統(tǒng)邊界，造成比在非虛擬化環(huán)境中更大的危害。虛擬化的邊界模糊、流動性和內(nèi)存共享等特性，使其面臨較多新的安全威脅。這些威脅給安全防護的實現(xiàn)帶來了極大的沖擊。目前，主要面臨以下3 個層面的安全威脅。

1.1.1 基礎設施層面的安全威脅

虛擬化環(huán)境面臨多種類型的安全威脅，如網(wǎng)絡攻擊、滲透和信息竊取等傳統(tǒng)網(wǎng)絡安全威脅，以及新引入的越權訪問、反向控制和內(nèi)存泄露等安全威脅。由于虛擬化擁有的特性，拒絕服務攻擊是惡意用戶針對虛擬化在網(wǎng)絡安全方面的主要攻擊類型。

1.1.2 應用與桌面層面的安全威脅

服務的網(wǎng)絡化趨勢也推動了虛擬化環(huán)境的變化。與傳統(tǒng)的基于操作系統(tǒng)、數(shù)據(jù)庫的瀏覽器/服務器系統(tǒng)（Brower/Server，B/S）或客戶機/服務器系統(tǒng)（Client/Server，C/S）相比，虛擬化服務調(diào)用方式具有統(tǒng)一接口、多租戶、動態(tài)和復雜業(yè)務實現(xiàn)等特點，因此在服務安全、身份認證和訪問控制等方面也具有相應的安全需求。

1.1.3 數(shù)據(jù)層面的安全威脅

虛擬化環(huán)境中數(shù)據(jù)威脅主要表現(xiàn)為內(nèi)部的數(shù)據(jù)泄漏和濫用。由于數(shù)據(jù)和業(yè)務應用由云服務提供商控制和維護，在這種模式下如何實現(xiàn)虛擬化環(huán)境內(nèi)部的安全管理、職責分離和審計追蹤，如何避免多客戶共存帶來的潛在數(shù)據(jù)風險，如何確保數(shù)據(jù)的私有性及傳輸數(shù)據(jù)的抗監(jiān)聽風險等都是需要重點考慮和關注的安全問題。

1.2 虛擬化環(huán)境監(jiān)測目標

虛擬化監(jiān)測借鑒了網(wǎng)絡、主機監(jiān)控審計和入侵檢測等傳統(tǒng)安全手段的優(yōu)點，同時又側(cè)重考慮了虛擬化風險的特點。虛擬化監(jiān)測通常關注服務器虛擬化、存儲虛擬化和網(wǎng)絡虛擬化等模式的運行狀態(tài)和安全脆弱性，監(jiān)測目標包括以下幾點。

（1）隔離機制。虛擬化的一般運行模式包括：多個組織共享一個虛擬機；在一臺計算機上，多種密級要求的業(yè)務并存；在物理機上的服務合并；一個硬件平臺承載多個操作系統(tǒng)等。由于在這幾種運行模式中均存在著隔離的要求，這就要求管理者正確嚴格劃分虛擬區(qū)間，并隨時監(jiān)控虛擬機狀態(tài)。如果處理不當，就會產(chǎn)生因數(shù)據(jù)泄露或跳板攻擊導致系統(tǒng)全面癱瘓的嚴重后果。

（2）遷移過程。在虛擬環(huán)境中，一臺服務器可能跨越不同的物理設備。比如，進行數(shù)據(jù)災備或是性能擴充時，在不同物理設備之間遷移。遷移過程的安全管理更加復雜，因為隨著網(wǎng)絡地址、端口等特性的變化，安全設置很容易出現(xiàn)問題。

（3）虛擬機管理器行為。宿主機對運行在其上的虛擬機應當具有完全的控制權，且對虛擬機的監(jiān)測、改變、通信都在宿主機上完成。由于宿主機能夠監(jiān)控所有虛擬機的網(wǎng)絡數(shù)據(jù)，因此對于宿主機的安全要進行嚴格管理。

（4）虛擬機行為。虛擬機的設計目的是分享主機的資源并提供隔離，但由于技術的限制和虛擬化軟件的漏洞，在某些情況下虛擬機里運行的程序會繞過底層，從而取得宿主機的控制權。由于宿主機的特權地位，如果宿主機被控制則整個安全模型會全面崩潰。

（5）虛擬化性能。由于虛擬機和宿主機共享資源，虛擬機會強制占用一些資源，使得其他虛擬機拒絕服務。通常的做法是限制單一虛擬機的可用資源，防止虛擬機無節(jié)制地濫用導致的拒絕服務攻擊。

（6）虛擬化網(wǎng)絡安全。由于虛擬化網(wǎng)絡環(huán)境的特點，虛擬機之間的網(wǎng)絡流量有可能不會通過物理網(wǎng)絡設備而直接以其他方式交換，從而逃避傳統(tǒng)網(wǎng)絡安全設備的監(jiān)管，造成安全盲點。

2 虛擬化環(huán)境監(jiān)測系統(tǒng)

為能夠覆蓋云計算中虛擬化環(huán)境的監(jiān)測關注點，盡早發(fā)現(xiàn)攻擊行為并及時阻斷，需要圍繞云基礎設施的關鍵要素構建虛擬化環(huán)境監(jiān)測系統(tǒng)。虛擬化環(huán)境監(jiān)測系統(tǒng)能夠感知虛擬機資源狀態(tài)、控制流和數(shù)據(jù)流的行為屬性等態(tài)勢，精確區(qū)分出惡意攻擊，保護計算域工作；加強虛擬域之間信息流控制，并對虛擬機行為進行審計；呈現(xiàn)系統(tǒng)資源及服務運行情況，使管理者和用戶更直觀地了解系統(tǒng)的可用性和安全性等。其監(jiān)控內(nèi)容包括：

（1）虛擬機運行時，CPU、內(nèi)存、外設狀態(tài)；

（2）虛擬機的創(chuàng)建、銷毀以及伸縮、遷移；

（3）虛擬機網(wǎng)絡流量、網(wǎng)絡服務狀態(tài)以及虛擬資源池狀態(tài)；

（4）虛擬環(huán)境安全重構過程、虛擬機鏡像管理。

虛擬化環(huán)境監(jiān)測系統(tǒng)采集的數(shù)據(jù)來自Hypervisor、虛擬機及虛擬應用軟件等，具有分布性、冗余性、多樣性、不準確性和不完整性等特點。虛擬計算環(huán)境中基礎硬件、網(wǎng)絡設備及邊界安全設備的數(shù)據(jù)采集與傳統(tǒng)方法一致，但其分布式、層次化的特點使數(shù)據(jù)采集過程更加復雜。由于對虛擬機的狀態(tài)探測必須深入至虛擬機內(nèi)部或Hypervisor 層次中以內(nèi)省方式運行，此時探針的位置和采集策略發(fā)生了變化，需要檢測的事件種類增加，如虛擬機休眠、備份、遷移中產(chǎn)生的安全事件，或是虛擬網(wǎng)絡設備中匹配到的風險流量等。

虛擬化環(huán)境監(jiān)測系統(tǒng)通過策略驅(qū)動，其組件包括運行于虛擬機和虛擬設備中的帶內(nèi)監(jiān)視器、嵌入Hypervisor 中的帶外監(jiān)視模塊、監(jiān)控服務器、可視化用戶接口和數(shù)據(jù)庫。其結(jié)構如圖1 所示。

圖1 虛擬化環(huán)境監(jiān)測系統(tǒng)結(jié)構

虛擬化環(huán)境監(jiān)測系統(tǒng)結(jié)構中的各個部分的功能如下文所述。

（1）帶內(nèi)監(jiān)視器與虛擬機Guest 操作系統(tǒng)位于同一特權級，用于監(jiān)視虛擬機操作系統(tǒng)的執(zhí)行中的狀態(tài)變化和行為事件，并根據(jù)監(jiān)控服務器下發(fā)的監(jiān)控規(guī)則和策略對虛擬機操作系統(tǒng)的行為進行檢查和審計，如識別虛擬機跨域訪問和檢測虛擬機資源過度使用。

（2）嵌入Hypervisor 中的監(jiān)視模塊以帶外方式運行，利用其位于虛擬機管理器層面的優(yōu)勢，通過硬件的行為監(jiān)控來監(jiān)視虛擬機操作系統(tǒng)的狀態(tài)變化和事件行為，從而為帶內(nèi)監(jiān)視器提供較強的保護能力。此外，監(jiān)視模塊可以感知帶內(nèi)監(jiān)視器的狀態(tài)變化，保證帶內(nèi)監(jiān)控工具不受攻擊，保持其可信性。

（3）監(jiān)控服務器位于虛擬化基礎設施外部，其核心功能與應用程序進行隔離的特點可以有效保證其不受攻擊。其主要作用是維護系統(tǒng)資源模型、制訂并下達安全策略、聚合安全數(shù)據(jù)、分析并處置安全事件以及向用戶呈現(xiàn)虛擬化環(huán)境的安全信息。監(jiān)控服務器根據(jù)監(jiān)控安全事件信息所反映的虛擬化環(huán)境實時安全狀態(tài)，并基于預先制訂的安全目標和告警規(guī)則與虛擬化環(huán)境的控制器通信，實現(xiàn)安全監(jiān)測與防護的聯(lián)動。

（4）可視化用戶接口以多種視圖呈現(xiàn)的方式方便管理員和用戶快速地查看、下載監(jiān)控信息，同時針對不同的用戶角色提供不同的信息可見度。管理員用戶可以查看全部監(jiān)控信息并且具有調(diào)整安全監(jiān)控策略的權限，而普通用戶只能獲得自己使用的資源（虛擬機）或服務的信息。在接口的可視化呈現(xiàn)方面通過物理機－虛擬機視圖、用戶－虛擬機視圖和應用－虛擬機視圖將物理資源、虛擬資源和應用這3 個層次聯(lián)系起來。

（5）數(shù)據(jù)庫實現(xiàn)監(jiān)控信息和系統(tǒng)運行日志的存儲能力。根據(jù)安全目標和安全策略的需要，數(shù)據(jù)庫中的數(shù)據(jù)將保存幾個月或更長的時間。

為了使監(jiān)測得到的數(shù)據(jù)便于安全評估過程處理，在信息采集后必須首先進行標準化。標準化的目的是為了避免來自多源的信息由于異構性而引起的混亂，為安全評估構建提供統(tǒng)一定義的源數(shù)據(jù)集。標準化的首要步驟是消除重復報警并聚合取值相近的數(shù)據(jù)，這樣可以大大節(jié)省需要傳遞的數(shù)據(jù)占用的帶寬；其次通過二值化、歸一化處理將不同類型的參數(shù)值映射至同一類型空間中，避免數(shù)據(jù)的多樣性增加分析處理的復雜度。標準化的具體實現(xiàn)方法包括Min-max 標準化、Z-score 標準化、Decimal scaling 和枚舉方法等[4]。

3 虛擬化環(huán)境安全評估

3.1 安全評估方法

虛擬化安全防護不是靜態(tài)的、孤立的、一成不變的過程。安全手段的實時運行狀態(tài)信息需要通過監(jiān)測手段得到及時匯總并進行關聯(lián)分析，從而發(fā)現(xiàn)單方面難以辨別出的、潛在的安全問題和安全威脅，從而在安全事件發(fā)生時及時調(diào)用響應措施加以應對，由此確保虛擬化環(huán)境運行在高安全等級之上。虛擬化環(huán)境安全評估方法主要由安全目標識別、虛擬化安全監(jiān)測、安全威脅過程建模、安全風險量化、安全策略回歸等過程組成。該評估方法具有重點突出、特征匹配、閉環(huán)完善的特點。評估方法流程如圖2 所示。

圖2 虛擬化環(huán)境安全評估方法流程

圖2 從虛擬化環(huán)境的安全目標識別開始，到安全策略回歸，完成對整個虛擬化環(huán)境安全的評估。具體的評估過程描述如下。

（1）安全目標識別：對目標虛擬化環(huán)境的關鍵信息資產(chǎn)和安全需求進行分析，確認需要保護的安全目標，包括通常意義上價值較大的目標，如數(shù)據(jù)庫服務器、關鍵業(yè)務系統(tǒng)和管理程序等。

（2）虛擬化安全監(jiān)測：依賴在虛擬化環(huán)境中部署的帶內(nèi)、帶外檢測模塊，感知虛擬機資源狀態(tài)、控制流和數(shù)據(jù)流的行為屬性等態(tài)勢，對虛擬化環(huán)境的資產(chǎn)主體、防御主體、威脅主體和脆弱性進行參數(shù)抽取。

（3）安全威脅過程建模：根據(jù)虛擬化環(huán)境脆弱性特征和安全監(jiān)測的結(jié)果進行建模，識別虛擬化環(huán)境所有可能存在的風險路徑，并輸出風險過程模型，用于明確系統(tǒng)中存在安全風險的類型。

（4）安全風險量化：根據(jù)風險過程模型計算安全目標所面臨的最大風險概率、潛在的風險路徑和系統(tǒng)的安全風險指數(shù)，用以衡量虛擬化環(huán)境下各類安全威脅的相對大小，以指導安全防護手段的實施。

（5）安全策略回歸：在改進環(huán)節(jié)完成后，針對可能存在的殘留風險調(diào)整安全策略，并通過安全監(jiān)測定期監(jiān)測風險的變化情況，觸發(fā)新一輪的安全評估周期。

3.2 安全風險量化

安全風險量化是虛擬化環(huán)境安全評估的核心過程。它根據(jù)監(jiān)測取得的安全事件和狀態(tài)數(shù)據(jù)，針對安全防護目標，計算其面臨的各類風險概率和指標，其結(jié)論可以直接應用于安全措施的完善和改進。指標是虛擬化環(huán)境中某一安全參數(shù)匯總、計算的結(jié)果，代表了標準化后虛擬化環(huán)境某項安全特征的狀態(tài)。由于指標之間可能存在依賴關系，因此狀態(tài)取值可能常發(fā)生變化。

安全風險量化的方式是逐步計算虛擬化安全指標體系。指標體系由完成評估目標的一系列指標以層次化的方式構成，指標間通過要素的關聯(lián)程度定義不同的權值，較為上層的指標由所有相關的下層指標經(jīng)過權值計算得到?？茖W的指標體系能夠較完整地反映當前虛擬化環(huán)境中存在的安全風險，對于提升虛擬化環(huán)境的應急響應能力、緩解攻擊的危害、發(fā)現(xiàn)潛在惡意的入侵行為、提高系統(tǒng)的反擊能力等都具有十分重要的意義[5]。安全評估指標體系如圖3 所示。

圖3 虛擬化環(huán)境安全評估指標體系

具體地，指標由數(shù)據(jù)源產(chǎn)生的原始數(shù)據(jù)經(jīng)一定的變換得到，指標根據(jù)其構成綜合安全指數(shù)的占比和粒度可以分為一級、二級、三級和葉指標等幾類。葉指標作為獨立性較強、層次最低的指標，是構成其余大部分指標的基本要素。三級和二級指標是經(jīng)過一定程度匯總后的指標，可以反映較為上層的安全參數(shù)特征。一級指標是粒度最粗、最宏觀的態(tài)勢指標，直接體現(xiàn)虛擬化環(huán)境的綜合安全情況。

監(jiān)控服務器先匯總?cè)~指標使用到的所有原始數(shù)據(jù)，經(jīng)安全資產(chǎn)分布、聚集程度判定、增長度評估及權重計算等形成初級指標量化數(shù)值；然后依據(jù)指標體系的定義逐步求精，對虛擬化環(huán)境的流量、服務狀態(tài)、資源消耗、漏洞狀態(tài)、防護措施、安全遷移和隔離等指數(shù)給出初步計算結(jié)果；進而匯集成虛擬化網(wǎng)絡、存儲、服務器安全和脆弱性4 類較宏觀的指標；最終得到的虛擬化環(huán)境綜合安全指數(shù)，可用于反映虛擬化環(huán)境的整體安全情況，即內(nèi)部、外部威脅對虛擬化環(huán)境中應用服務和數(shù)據(jù)的機密性、完整性和服務的可用性造成威脅的嚴重程度。

表1 展示了在虛擬化環(huán)境中安全事件發(fā)生的可能性及其對業(yè)務的影響兩個參數(shù)共同作用下的風險級別。

風險值用0～8 的數(shù)字來表示。其中：低風險為0～2；中風險為3～5；高風險為6～8。管理員通過對風險值的理解和觀察，能夠迅速掌握虛擬化環(huán)境安全級別和脆弱性的分布，使安全控制的目標更有針對性。在安全事件發(fā)生之前針對不同安全級制定相應的策略預案，在威脅到來時從容應對，實現(xiàn)重點防護重要資產(chǎn)，確保業(yè)務連續(xù)性，使得系統(tǒng)整體的應急響應過程更加有效。

4 結(jié)語

本文通過歸納現(xiàn)有虛擬化環(huán)境監(jiān)測分析方法，以及通過聚焦虛擬化安全檢測目標，設計了一種新的云計算虛擬化環(huán)境安全監(jiān)測系統(tǒng)。通過策略驅(qū)動，將監(jiān)測組件模塊嵌入Hypervisor 層次，并給出了系統(tǒng)的關鍵結(jié)構組件以及功能要求。此外，提出了通過目標識別、安全監(jiān)測、過程建模、風險量化和策略回歸等流程進行安全監(jiān)測數(shù)據(jù)分析的虛擬化環(huán)境安全評估方法，并細致闡述了安全量化的指標體系。本文所提方法通過集成安全監(jiān)測系統(tǒng)和安全監(jiān)測方法，可發(fā)現(xiàn)傳統(tǒng)方法難以辨別的潛在安全威脅，為今后實現(xiàn)虛擬化環(huán)境安全管理和響應水平提升打下堅實的基礎。