虚拟化数据中心的安全问题分析
开篇:润墨网以专业的文秘视角,为您筛选了一篇虚拟化数据中心的安全问题分析范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
【 摘 要 】 随着互联网发展和云计算概念的提出,虚拟化普及的速度迅速提高。建设利用虚拟化技术提供服务的虚拟化数据中心也成为IT企业新的发展方向。虚拟化数据中心相对传统的数据中心在安全方面提出了新的挑战。本文就虚拟化数据中心在计算、网络、存储和管理等方面存在的安全问题进行了分析,提出了应对策略。
【 关键词 】 虚拟化; 安全问题;计算机网络;虚拟存储
1 引言
虚拟化技术早在上世纪60年代由IBM提出。随着互联网发展和云计算的概念提出,在过去几年内,虚拟化普及的速度迅速提高。据EMC公司CEO Joe Tucci称,大部分VMware客户已经计划在未来3年内实现其50%的IT基础设施的虚拟化。
虚拟化技术可以扩大硬件的容量,简化软件的重新配置过程,允许一个平台同时运行多个操作系统,并且应用程序都可以在相互独立的空间内运行而互不影响,从而显著提高计算机的工作效率。虚拟化的好处是可以为多个项目和环境提供更快的速度和灵活性,但不利的方面主要是虚拟机和环境的安全一般并未被考虑,并不是因为这些实施项目的安全性有技术难度,而是因为安全问题是实施大范围虚拟化的人员所未知的领域。换句话说,实施虚拟化时一般没有考虑它所带来的新安全风险。
2 虚拟化及虚拟化数据中心
2.1 虚拟化及其特点
虚拟化的含义非常广泛, 一种比较通俗的定义就是: 虚拟化就是淡化用户对于物理计算资源, 如处理器、内存、I/O 设备的直接访问, 取而代之的是用户访问逻辑的资源, 而后台的物理连接则由虚拟化技术来实现和管理。这个定义形象地说明了虚拟化的基本作用, 其实就是要屏蔽掉传统方式下, 用户部署应用时需要考虑的物理硬件资源属性, 而是更着重于应用真正使用到的逻辑资源。虚拟化是分区组合, 因此在一个物理平台上多个虚拟机可以同时运行, 每个虚拟机之间互不影响。
虚拟化的主要特点。
(1)封闭。虚拟单元的所有的环境被存放在一个单独的文件中; 为应用展现的是标准化的虚拟硬件, 保证兼容性; 整个磁盘分区被存储为一个文件,易于备份, 转移和拷贝。
(2)隔离。虚拟化能够提供理想化的物理机,每个虚拟机互相隔离; 数据不会在虚拟机之间泄露;应用只能在配置好的网络连接上进行通讯。
(3)分区。大型的、扩展能力强的硬件能够被用来作为多立的服务器使用; 在一个单独的物理系统上可以运行多个操作系统和应用; 计算资源可以被放置在资源池中, 并能够被有效地控制。
2.2 虚拟化数据中心及其特点
虚拟化数据中心是指采用虚拟化技术构建的基础设施资源池化的数据中心,虚拟化后的数据中心将整个数据中心的计算、网络、存储等基础资源当作可按需分割的资源供集中调配。
虚拟化数据中心的关键是服务器虚拟化。逻辑分割一台X86服务器的CPU、内存、磁盘、I/O等硬件,构造多个虚拟机(VM)的技术发展迅猛,并大量部署在数据中心。服务器的虚拟化提供了计算资源按需调配的手段,而虚拟化的数据中心是计算与网络、存储等深度融合而成,因此,要使服务器虚拟化的优势能顺利实现,必须有合适的网络、存储与之匹配,并在一定层面还要制定虚拟化的管理策略。
3 虚拟化软件自身的安全问题
从表面上讲,虚拟化的BSD客户端与真正的单个设备具有同样的安全威胁和问题,这一点毋庸置疑。然而,主要的区别还在于额外的管理层:Hypervisor。Hypervisor实际上是另一个操作系统,它管理主机OC和客户端OS之间的通信。管理员不用担心单个设备上的单个BSD,而是必须关注第三个操作系统的安全。
在安全方面,我们不能对虚拟化想当然,而且应该比物理和专用操作系统及设备的日常威胁更加警惕。笔者认为虚拟软件安全的现实影响主要有几个方面。
3.1 攻击管理接口
一般情况下,VMM/hypervisor采用非仿真硬件接入的通信模式管理主机和客户端之间的用户交互,例如控制鼠标在管理GUI中的虚拟事例上的移动。
我们看一个例子,从主机向客户端上的虚拟CD加载ISO文件的情况。首先,主机上的VMware进程必须能够接入ISO文件。这一般不是问题,因为VMware进程作为一个高级用户运行,具有较高的权限。接下来,客户端上必须有一个进程知道如何与主机上的进程通信。这要求在客户端上安装软件,通过Hypervisor进行命令调用而与主机VMM通信。客户端管理子系统向主机发起呼叫,一般通过指定的管道发起,要求主机代替客户端启动硬件调用,“欺骗”客户端认为它正在通过物理驱动器接入物理CD。这是VMware从主机向客户端加载CD的基本例子。
这个过程很简单,但对安全性极为重要,因为我们创建了一个在主机和客户端上作为超级用户运行的未检查的系统,可以被恶意攻击者操纵和利用。这种延迟接入使恶意攻击者能够在客户端上实施破坏性报复行动,最初简单的数据拦截攻击可能很快演变为对整个虚拟化数据基础设施的全面攻击。
3.2 避开虚拟机
要避开虚拟机,需要依次迂回进入硬件和操作系统设计。在基于X86的CPU,ring 0(通常指内核模式)是CPU的一部分,在这里管理内核级进程。同样,ring 3(或用户模式)是对用户级进程分配处理空间的地方。虚拟化操作系统要求ring 0接入CPU,就如同真正的本地安装的操作系统。物理和虚拟操作系统都需要一定数量的内核代码(例如中断表格和视图)在ring 0中运行,并且始终知道这些代码在RAM中位于何处。
与物理操作系统不同的是,虚拟客户端不可能像独立的机器那样,将中断表格放置在RAM中的同一个位置,主机的中断表格已经占用了内存中的该位置。因此,尽管客户端认为其中断表格可能位于其虚拟RAM中的0x0000ffff处(表格始终存储在这个特定操作系统中),但主机实际上已经通过透明的Hypervisor将这个位置映射到物理RAM中的0x1234abcd位置,对虚拟系统隐藏了实际位置。然而,这是一个内核级空间,即使主机Hypervisor已经针对客户端处理了中断表格的实际位置,虚拟表格仍必须从实际CPU上有权限的ring0运行(并驻留在其中)。
一般用户也无法知道在虚拟ring 0中发生了什么,但是VMM翻译该呼叫,并通过IPC将该呼叫交付给运行在主机上的超级用户,如果攻击者找到利用虚拟微代码的方式,则他们可能会操纵主机内核和CPU。这叫做虚拟机躲避:跳出虚拟环境的限制,并进入物理环境。
3.3 虚拟机检测
在攻击者发起对虚拟环境的攻击之前,攻击者必须知道虚拟机在何处,以及他目前是否在一个虚拟机上。如果可以从本地接入平台,例如通过SSH接入控制终端,就会有信号指出机器已被虚拟化。MAC地址、进程列表、机器上安装的文件、驱动程序等容易检测到的项目,只需敲击几下键盘即可访问。然而,除了这些基本项目之外,有许多攻击可帮助攻击者检测机器是否运行在虚拟环境中,有时甚至返回关键信息,例如客户端的中断表格的当前位置。
综上,攻击者只需花时间攻击一台虚拟机,这样就可以破坏一个闭合网络中的其它虚拟机,并最终避开虚拟VMM环境,接入主机。如果攻击者的目的是攻击尽可能多的机器,而且攻击者知道某个系统组全是虚拟系统,则基于Hypervisor的攻击将提供最有利的攻击池。这种多个虚拟内核之间受保护的接入共享可能为所有类型的攻击打开了方便之门。如果攻击者可以操纵并控制多平台虚拟化主机上的Hypervisor,则攻击者就可以控制每个接入Hypervisor的客户端的所有软硬件命令。这种攻击相当于拥有了数据中心内的每一台服务器,可深入到CPU和总线级别。
4 虚拟化环境下的网络安全问题
尽管Hypervisor是虚拟化的“主控制器程序”,但它不是具有安全风险的唯一虚拟化抽象层。对于任何虚拟化系统,另一个关键方面是网络层。由于虚拟化的数据中心是计算、存储、网络三种资源深度融合而成,因此主机虚拟化技术能够顺利实现必须由合适的网络安全策略与之匹配,否则一切都无从谈起。
4.1 网络安全挑战
传统数据中心网络安全包含纵向安全策略和横向安全策略,无论是哪种策略,传统数据中心网络安全都只关注业务流量的访问控制,将流量安全控制作为唯一的规划考虑因素。而虚拟化数据中心的网络安全模型则需要由二维平面转变为三维空间,即网络安全策略能够满足动态迁移到其它物理服务器,并且实现海量用户、多业务的隔离。
4.2 网络安全策略
4.2.1 VLAN扩展
虚拟化数据中心作为集中资源对外服务,面对的是成倍增长的用户,承载的服务是海量的,尤其是面向公众用户的运营云平台。数据中心管理人员不但要考虑虚拟机或者物理机的安全,还需要考虑在大量用户、不同业务之间的安全识别与隔离。
要实现海量用户的识别与安全隔离,需要为虚拟化数据中心的每一个用户提供一个唯一的标识。目前看VLAN是最好的选择,但由于VLAN数最多只能达到4096,无法满足虚拟化数据中心业务开展,因此需要对VLAN进行扩展。
4.2.2 隔离手段与网关选择
虚拟化数据中心关注的重点是实现整体资源的灵活调配,因此在考虑网络安全控制时必须考虑网络安全能支撑计算资源调配的灵活性,只有将二者结合才能实现虚拟化数据中心网络安全的最佳配置。当主机资源在同一个二层网络内被调配时,多数应用才能保持连续性。为满足计算资源的灵活调配,应该构建二层网络,否则一旦跨网段将导致应用中断或长时间的业务影响。
基于上述思想,网络安全控制点尽量上移,并且服务器网关尽量不设在防火墙上。因为防火墙属于强控制设施,网关一旦在防火墙上灵活性将大大地受到限制。
4.2.3 安全策略动态迁移
虚拟化数据中新带来的最大挑战就是网络安全策略要跟随虚拟机自动迁移。在创建虚拟机或虚拟机迁移时,虚拟机主机需要能够正常运行,除了在服务器上的资源合理调度,其网络连接的合理调度也是必须的。
例如,虚拟机1从pSrv1上迁移到pSrv2上,其网络连接从原来的由pSRV1上vSwitchA的某个端口组接入到边界Switch1,变成由pSRV2上vSwitchB的某个端口组接入到边界 Switch2。若迁移后对应的边界 Switch的网络安全配置不合适,会造成虚拟机1迁移后不能正常使用。尤其是原先对虚拟机1的访问设置了安全隔离ACL,以屏蔽非法访问保障虚拟机1上业务运行服务质量。因此在发生虚拟机创建或迁移时,需要同步调整相关的网络安全配置。为了保证虚拟机的业务连续性,除了虚拟化软件能保证虚拟机在服务器上的快速迁移,相应的网络连接配置迁移也需要实时完成。
5 存储虚拟化的安全保护问题
存储虚拟化允许同一个虚拟池上存储设备的简单数据迁移以及异构磁盘子系统的复制,因此,关键数据的第二份拷贝就必须有和第一份数据同样的安全级别。举个很简单的例子,针对灾难恢复的企业重要数据的第二份拷贝就需要和第一份数据同样严格的安全级别,需要控制它的访问级别和安全保护。
在存储虚拟化后,虚拟化管理软件应能全面管理IP SAN、FC SAN、NAS 等不同虚拟对象,通过上层应用封装对用户提供一致的管理界面,屏蔽底层对象的差异性。在存储虚拟化环境中,针对不同的、异构的虚拟存储对象,应根据各自存储设备的特点,综合运用不同存储设备之间的安全防护机制构建全方位的安全防护体系。
5.1 资源隔离和访问控制
在存储虚拟化之后,应用不需要关心数据实际存储的位置,只需要将数据提交给虚拟卷或虚拟磁盘,由虚拟化管理软件将数据分配在不同的物理介质。这就可能导致不同保密要求的资源存在于同一个物理存储介质上,安全保密需求低的应用/主机有可能越权访问敏感资源或者高安全保密应用/主机的信息,为了避免这种情况的发生,虚拟化管理软件应采用多种访问控制管理手段对存储资源进行隔离和访问控制,保证只有授权的主机/应用能访问授权的资源,未经授权的主机/应用不能访问,甚至不能看到其他存储资源的存在。
5.2 数据加密保护
在各类安全技术中,加密技术是最常见也是最基础的安全防护手段,在存储虚拟化后,数据的加密保护仍然是数据保护的最后一道防线。在存储虚拟化实践中,对数据的加密存在于数据的传输过程中和存储过程中。对数据传输过程中的加密保护能保护数据的完整性、机密性和可用性,防止数据被非法截获、篡改和丢失。对数据存储的加密能实现数据的机密性,完整性和可用性,还能防止数据所在存储介质意外丢失或者不可控的情况下数据自身的安全。
5.3 基于存储的分布式入侵检测系统
基于存储的入侵检测系统嵌入在存储系统中,能对存储设备的所有读写操作进行抓取、统计和分析,对可疑行为进行报警。由于基于存储的入侵检测系统是运行在存储系统之上,拥有独立的硬件和独立的操作系统,与主机独立,能够在主机被入侵后继续对存储介质上的信息提供保护。在存储虚拟化网络中,应在系统的关键路径上部署基于存储的入侵检测系统,建立全网统一的管理中心,统一管理入侵检测策略,实现特征库的实时更新和报警事件及时响应。
6 虚拟化数据中心的安全管理问题
虚拟化数据中心需要新类型的管理员,系统、网络和安全管理员应进一步扩展他们所掌握的知识,了解虚拟化带来的新概念。在虚拟世界中,不仅所有这些概念从硬件转向软件(许多情况下是从软件内核领域向用户领域转移),而且这些概念一直处于混乱和“封闭状态”,不适用于传统接入方法。管理员不能走近虚拟交换机,插入笔记本电脑,添加一个网络分路器,可靠地对一个端口进行映射,或者查看虚拟设备的统计信息。所有这些能力和知识已经超出专业管理员的能力范围,而且对软件控制器、管理GUI、专用内核模块和二进制系统隐藏,已经进入了只有设计人员和开发人员知道如何真正管理设备的时代。
为此,虚拟化数据中心要制定可行的管理策略,并建议包括几方面内容:1) 制定虚拟机管理制度,明确管理责任;2) 制定专门的虚拟机审核、追踪流程,防止虚拟机蔓延而导致的管理受控;3) 所有物理机、管理程序、虚拟机的配置和数量都建在固定模板中,确保配置可控、可管,并将虚拟机管理放入安全策略;4) 利用虚拟化监控工具,检测出未授权的拷贝和“克隆”虚拟机的行为,确保敏感信息在正确的管控中。
7 结束语
随着企业级虚拟化软件在市场上流行,企业IT部门用一台容纳20个独立操作系统的4U机器全面取代容纳单个操作系统的专用1U机器的现象非常普遍。虚拟操作环境与物理操作环境同样安全的概念可能是代价极为高昂而且极具破坏性的谬论。虚拟化范例的变化引出了一套新的安全问题和风险。虚拟基础设施管理员需要了解并且准备应对这些安全问题和风险,需要保证比威胁先行一步。
参考文献
[1] 张志国.服务器虚拟化安全风险及其对策研究[J].晋中学院学报, 2010(3): 83-85.
[2] 计算机世界. 虚拟化改变网络结构[N].计算机世界,2008-10-20.
[3] 杭州华三通信技术有限公司. 新一代网络建设理论与实践[M].北京: 电子工业出版社,53-393.
[4] 王彭.网络存储虚拟化的研究[D]. 西安科技大学,2004.
[5] 姚昌伟.基于网络的存储虚拟化技术的研究[D]. 电子科技大学,2010.
作者简介:
钱霂馨,女,北京人,北京邮电大学电子工程学院。
张辉鹏,男,河北栾城人,硕士,工程师,主要从事计算机软件及计算应用研究。