涉密信息系统虚拟化安全初探.doc

资源描述

《涉密信息系统虚拟化安全初探.doc》由会员分享，可在线阅读，更多相关《涉密信息系统虚拟化安全初探.doc（5页珍藏版）》请在三一办公上搜索。

1、涉密信息系统虚拟化安全初探宁芝方正成都卫士通信息安全技术有限公司【摘要】本文通过对涉密信息系统及虚拟化技术各自特点的分析，探讨了在涉密信息系统下采用虚拟化技术可能存在的安全问题，并提出了解决这些安全问题的应对措施和方法，为当前涉密信息系统的虚拟化安全问题的解决提供了一种新的思路。【关键词】涉密信息系统；虚拟化；桌面虚拟化1 引言数据中心系统管理近年来，随着“云计算”“云存储”等新型 IT 运营模式的提出，虚拟化、分布式计算、并行计算等多年前就已出现的技术又重新登上了IT 舞台。早在2 0 世纪六七十年代，服务器虚拟化技术就已广泛运用于IBM的大型机中，之后该项技术不断发展和演变，

2、直到最近几年发展出许多成熟的商业产品，并用在大量的服务器以及主机上，与此同时，也出现了桌面虚拟化、应用虚拟化、网络虚拟化等多种虚拟化技术。从实现上看，虚拟化其实是对资源的一种抽象，有多少种资源，就可以有多少种虚拟化技术，例如存储虚拟化、服务器虚拟化、操作系统虚拟化、网络虚拟化等。如图1所示。应用虚拟化企业应用用户端应用中间件用户配置文件数据库虚拟化数据库桌面应用桌面虚拟化服务器操作系统服务器硬件服务器虚拟化桌面操作系统安全虚拟化客户端硬件安全网络虚拟化网络存储虚拟化存储图1 虚拟化技术示意图虚拟化技术的本质就是在系统中加入一层虚拟化层，虚拟化层将下层的资源抽象成另一种形式，并

3、提供给上层使用。虚拟化技术正深刻地影响和改变传统的IT 基础架构，它是当前也会是将来一段时间内最具影响力的IT技术之一。虚拟化技术正深远影响着当前的信息系统的使用模式，而涉密信息系统也不可避免地将采用虚拟化技术。然而，传统的涉密信息系统中采用的安全防护技术在虚拟化的情况下并不完全适用，因此，我们有必要对涉密信息系统中的虚拟化安全性进行分析，并采取有针对性的技术手段来进行解决。虚拟化安全其实可以有两种理解，第一种理解是指将安全虚拟化，也就是将传统的安全防护技术和产品进行虚拟化，例如虚拟化交换机、虚拟化防火墙、虚拟化网关、虚拟化防病毒系统，以构建虚拟化的安全防护架构；

4、第二种理解是保障虚拟化应用和环境下的安全，考虑采用服务器虚拟化、桌面虚拟化后，如何对信息系统进行安全保护的建设，而采用的安全技术手段并不局限于是传统的安全防护技术或者新的虚拟化技术。在本文中，我们作后一种理解，主要探讨涉密信息系统在进行了虚拟化后，如何进行安全防护建设。指南等。涉密信息系统安全保护要求涵盖了物理安全、运行安全和信息安全保密等几个方面，其中信息安全保密要求规定了需要采用身份鉴别、访问控制、密码保护等安全保护措施对涉密信息系统进行安全防护。除了以上安全技术要求以外，涉密信息系统还对密级标志、安全保护产品的选型等方面提出了一定的要求。在采用虚拟

5、化技术建设涉密信息系统时，仍然应当参考以上的安全总体技术要求，但是要针对虚拟化环境的特点，针对具体采用的虚拟化技术，例如是服务器虚拟化还是桌面虚拟化，分析整个系统的安全漏洞、面临的威胁以及风险所在，采取相应的安全防护技术手段，其中既包含一些传统的安全技术手段，也包括在虚拟化环境下新研发的技术。3 涉密信息系统虚拟化下的安全防护3.1 虚拟化下面临的主要安全问题在虚拟化下，涉密信息系统除了会面临在传统IT 架构下的安全威胁，例如恶意代码、操作系统和应用软件漏洞、网络窃听和非授权访问等，还会存在因虚拟化而带来的特有安全风险。3.1.1 虚拟化架构安全在虚拟化下，首先要面对的就是

6、虚拟系统自身架构的安全，而系统架构安全中最重要的就是虚拟机隔离和访问控制。在同一台硬件设备上虚拟出来的多个虚拟机是共享底层硬件资源的，如何对这些虚拟机进行隔离，并对虚拟机之间的通信以及交互进行控制，防止虚拟机之间互相影响、引发拒绝服务攻击、虚拟机溢出或者隐蔽信道，是我们需要解决的重要问题。虚拟化架构具有动态性，虚拟机可以被创建、修改、关闭或者迁移到其他物理服务器上，一些传统的安全技术并不能理解这种动态的过程，例如难以确定某一时刻某一台虚拟机是运行在哪台硬件服务器上，同样虚拟机的克隆也会产生系统维护、管理以及安全等方面的问题。通过 2 涉密信息系统安全保护技术框架涉密信息

7、系统是指以计算机、电话机、传真机、打印机、文字处理机、声像设备等为终端设备，利用计算机、通信、网络等技术进行涉及国家秘密的采集、处理、存储和传输的设备、技术、管理的组合。涉密信息系统的安全保障关系到国家的安全和利益，因此需要特别关注和重视。在涉密信息系统中运用虚拟化等新一代IT 技术，也需要充分的进行安全性分析、研究和论证，在确保安全的前提下才可以加以应用。为指导涉密信息系统安全保障工作的开展，国家相关部门制定了一系列的指导性要求和规范，包括涉及国家秘密的信息系统分级保护技术要求涉及国家秘密的信息系统分级保护测评指南涉及国家秘密的信息系统分级保护方案设计攻

8、击有安全漏洞的虚拟机能够使这些虚拟机成为攻击其他虚拟机的跳板。因为虚拟化的实质就是通过软件来模拟底层硬件的操作，只要是软件就会存在大量的代码安全漏洞。随着虚拟化应用范围的扩大，黑客们也正将注意力从传统IT 系统转向虚拟系统。目前，已有针对虚拟机管理层H yperviso r漏洞的攻击，还有一些利用系统管理模式漏洞的 Root k i t 。如果黑客能够利用这些虚拟化软件的漏洞，将可能获得虚拟机管理权限，随意对系统进行设置和修改，得到整个数据中心的控制权，进而访问到系统内存储的涉密应用和数据。3.1.2 数据保密与防护数据中心集中存储了所有服务器、应用、甚至终端

9、桌面的数据，这种集中式的数据存储一方面将原来需要进行分布式部署的安全技术措施进行整合，只需要考虑对数据中心的安全防护，同时也加大了数据中心的保密防护压力。在虚拟化平台中会存在集中的虚拟化管理程序，该程序与其他系统进程，以及其他虚拟机之间的通信数据中通常会包含重要的信息，例如特权账号和口令等，也必须对这些数据进行保密和完整性保护。如果客户端是通过远程网络访问数据中心，还必须要考虑数据在不可控区域网络中传输时的保护。在虚拟化环境中，所有的服务器和应用都以镜像的形式进行存储，这种方式在提供系统恢复便利性的同时，也非常容易导致涉密数据的泄露。如果不采取安全保

10、护措施，使用U 盘、SD卡，甚至 MP3都可以非常方便的将服务器镜像复制下来并带走。虚拟化下，数据的保密防护任务仍然十分艰巨。3.1.3 网络隔离与控制在传统的物理网络中，各区域的边界是显而易见而容易进行划分的，数据流量的检测和保护也可以通过部署IDS、网络密码机、网络审计系统等安全技术手段和设备来实现。但是在虚拟化的环境中，虚拟服务器通过虚拟交换设备连接到一个虚拟网络中，终端桌面也是虚拟化，集中部署在数据中心，这使得网络边界变得模糊，而且 I P地址也经常变动，对虚拟主机之间的数据进行监测和保护也变得困难起来。在传统的网络环境下，我们

11、可以对服务器进行VLA N划分或者采取其他隔离措施，而在虚拟化环境下，一切都是集中式、共享式的，有可能会将不同安全级别的虚拟机部署在同一台物理主机上，这就使高安全级别的服务器有可能受到来自低级别用户的破坏和攻击。3.2 应对措施和方法3.2.1 以密码技术为核心涉密信息系统最重要的安全任务就是确保涉密信息的机密性保护，阻止非法泄密事件的发生，而保障数据的机密性最核心的仍然是密码技术。密码技术能够实现数据的保密、完整性以及操作的不可否认性保护。在虚拟化的环境中，我们需要考虑进行加密保护的几个环节包括：镜像数据的存储、镜像数据迁移过程以及远程访问数据中心的网络连接等。加密也

12、可以在多个层来实现，包括应用层、网络层或者是底层存储设备层。在虚拟化环境下，还可以在虚拟化层实现数据的加密。将来还可以将同态加密等技术运用到虚拟化系统中，使得系统在无须读取涉密数据的情况下对这些数据进行处理，确保只有在最终本地用户才会出现明文，降低数据中心数据泄露的风险。对镜像进行完整性校验也非常重要，可以防止针对镜像文件的非授权篡改。此外，在进行用户身份认证时，也应该采用基于非对称密码算法的公开密钥基础设施（PKI）以及X. 509. 3证书的认证体系，每个用户以及每个虚拟机和虚拟设备都相互通过数字证书来进行身份认证。只有通过认证的用户才允许访问各自经过加密的系统镜

13、像文件，或者将镜像下载到本地进行访问。3.2.2 可信虚拟机与访问控制措施应确保在共享资源的前提下，实现虚拟机的受控访问。实现引用监视器（RM）和安全内核，同时实现标记和强制访问控制（ MAC ） 1 。采用BLP模型、ChineseWall（BN模型）等安全模型，实现多级环境安全、底层硬件的安全隔离，并防止隐蔽通道。在选择服务器或者终端硬件时也应该选择带有可信安全模块的设备，从而保障虚拟机上数据的安全，防止非授权的访问。虚拟化软件层是保证虚拟机多用户环境下的相互隔离的重点，必须严格限制任何未经授权的用户访问虚拟化软件层，并对其进行完整性和可用

14、性保护，例如采用各种虚拟安全技术2 。同时，选择直接运行在硬件之上硬件的虚拟化管理程序而不是运行在操作系统之上的软件虚拟化管理程序。选择的底层硬件也应能支持虚拟化技术，例如In tel VT技术3 ，这样可以实现多个层次上的隔离和控制，比纯软件的实现方式更加安全。同时，需要对虚拟机进行一定程度的隔离，处理涉密数据的虚拟机与处理非密数据的虚拟机不能共享硬件，最好根据处理涉密数据的级别和类型来进行硬件资源的划分与隔离。每台虚拟服务器分配一个独立的硬盘分区，实现各虚拟机的逻辑隔离。3.2.3 动态迁移以及容错机制虚拟化可以将底层硬件资源抽象成资源池，按需进行调配，因此可以很方

15、便地实现虚拟机的动态迁移以及容错机制。例如VMware的“VMotion”，它允许VM从一个硬件平台迁移到另一个硬件平台，而不会造成故障时间。但是这种迁移也会导致安全漏洞，例如如果不对硬件平台进行双向认证，就可能会导致数据的泄露或破坏，迁移路径也容易受到攻击，需要采取认证、加密等多种措施，将传统的ARP欺骗的防护技术结合到VMM 中 4 ，在确保系统可用性的同时，不损害系统的保密性、完整性。对于资源分配时，也应对单个虚拟机占用的资源进行一定的限制，防止虚拟机失去控制占用主机上所有资源，导致其他虚拟机遭受拒绝服务攻击。3.2.4 同心圆式的安全防护部

16、署在虚拟化环境下仍然需要构建多重防御体系，在数据中心内、外构建同心圆的多层保护环，某一环被攻击者突破不会影响到整个系统的安全防护效果。在这种情况下，需要同时结合传统的安全技术与虚拟化安全技术，在系统外侧环上，由于访问路径比较单一，多是采用物理设备，并且对安全性要求更高，适合采用传统的安全防护技术，例如物理防火墙、入侵检测设备，而在数据中心内部，访问路径较多，多采用虚拟化技术，也适合部署虚拟化的安全设备，可以根据需要虚拟出多台防护设备，防守各个访问路径，形成层次化的立体防御圈。3.2.5 跨平台的虚拟安全管理在虚拟化环境中可能既存在传统的IT设备，也有虚拟化的各类服务器、

17、网络和安全设备以及终端，运行的操作系统、平台和应用也各不相同，需要有一套能够同时解决虚拟环境和物理环境安全问题的跨平台解决方案，能够在整个数据中心执行统一的安全策略，例如进行补丁升级，恶意代码防范，接口、外设和服务管理等，而不必考虑底层是采用物理还是虚拟技术来实现的。同时，虚拟安全管理能够随着虚拟化环境的变化而进行调整，例如当虚拟机发生迁移，或者 I P 地址、网络结构发生变化时，也能动态地进行安全策略的配置和监控。3.2.6 “三员分立”的管理模式在传统的IT架构下，服务器、数据库和应用程序都分别由不同的管理员来进行管理，客观上形成

18、了职责和权限的分离和制约。而在虚拟化环境下，虚拟机监视器的管理员将会拥有整个数据中心的管理权限，管理职责难以区分，谁负责管理物理主机，谁负责管理虚拟机？如果没有明确的职责和策略，虚拟机的管理将为成为一项极大的挑战，以致被攻击者利用。并且数据中心管理员权限过大，如果不对这种权限加以限制，心存恶意的管理员就会滥用权限，攻击者一旦获得管理员权限也将会造成不可估量的损失。因此对系统管理权限进行划分，并且采用“三员分立”的管理模式，即分设系统管理员、安全保密管理员、安全审计员，使管理员之间能够相互监督、相互制约。对于用户权限也应该按照角色进行最细粒度授权，只赋予用户完成工

19、作所需的最小权限。虚拟机的管理与真实物理机的管理在本质上并没有太大区别，但是虚拟机的创建和撤销要比物理主机简单和容易得多，因此必须对这个过程进行严格的控制和管理，我们将其称为虚拟机的全生命周期管理，即从虚拟机的创建、迁移、克隆到撤销，以及在这过程当中进行的补丁升级和配置修改的管理，这样可以有效地防止虚拟机蔓延5 ，不必要地消耗宝贵的系统资源。同时也可以限制用户自己创建虚拟机镜像来运行应用，这些虚拟机没有经过统一的安全保护、暴露在网络上，极易遭受攻击，从而影响网络中的其他系统。环境下的应用，它同时将防火墙、VPN、防病毒以及IPS等安全技术集成在统一的平台上。平台也极

20、具可扩展性，今后可以灵活的根据网络结构的变动而调整，只需要修改系统配置即可，不用改变硬件连接。而虚拟网关的部署既可以支持在通用服务器上进行部署，也可以选择软、硬件一体化设备。但由于各个虚拟化的网关需要共享底层硬件，并且统一由虚拟机管理平台进行管理，采用虚拟化安全网关在节省投资的同时，会牺牲一定的处理性能以及安全性。 4 结语3.3 虚拟化安全产品虚拟化技术目前正处于高速发展期，但要想将其成熟、稳定的应用到涉密信息系统中将有一段很长的路要走，特别是目前虚拟化相关的技术和产品大都是国外的厂家研制和开发的，在没有经过充分论证的前提下将其应用于涉密信息系统还存在一定的安全风险。

21、同时，对虚拟化下安全的研究也尚处于起步阶段，随着虚拟化技术应用的不断深入，会有更多的安全解决方案出现。在部署虚拟化平台之前必须要进行全面的风险分析以及安全规划，持续对虚拟化平台进行有效的安全管理，才可以确保成功的部署虚拟化，并且做 3.3.1 虚拟化防火墙虚拟化防火墙把一台防火墙从逻辑上划分为多台防火墙，所有的系统资源都按比例被分配到各个独立的虚拟防火墙中，各个虚拟防火墙也有自己独立的防护重点和对应的安全策略，当有攻击发生时，各个虚拟防火墙将抵挡各自的攻击，即便某个虚拟防火墙系统资源被网络攻击耗尽，也不会影响其他的虚拟防火墙系统。3.3.2 虚拟化防病毒系统传统的防病

22、毒系统也可以应用于虚拟化的环境中，部署和使用方式完全和原来一样，只是它是运行在虚拟机的操作系统之上，并且每个虚拟机都要安装防病毒软件，会占用很多的系统资源。虚拟化防病毒系统则通过与服务器虚拟化技术相结合，在虚拟化层（即H ypervisor层）完成病毒检测和过滤工作，可以有效地减少虚拟机系统的开销，同时确保上层虚拟机更加安全、可靠。 3.3.3 虚拟化安全网关虚拟化网关将原来通过硬件或软件实现的安全系统进行虚拟化，在一个虚拟的安全网关上可以虚拟出上百个安全虚拟系统，根据保护对象的不同而采用不同访问控制策略，并

23、实现集中的配置和管理。虚拟化安全网关特别适合于虚拟网络到比传统的物理环境更安全。参考文献：1 Reiner Sailer,Trent Jaeger,Enriquillo Valdez.Building a MAC-based Security Architecture for the Xen Opensource HypervisorC. In Proceedings of 21st Aannual Computer Security Applications, Tucson,AZ,Dec,2005.2 冯登国,张敏,张妍,徐震.云计算安全研究J.软件学报,2011,22(01):71-83.3 林昆,黄征.基于Intel VT-d技术的虚拟机安全隔离研究J. 信息安全与通信保密,2011(05).4 郭春梅 , 孟庆森 , 毕学尧 . 服务器虚拟化技术及安全研究J.信息网络安全,2011(09).5 张志国.服务器虚拟化安全风险及其对策研究J. 晋中学院学报,2010,27(03):83-85.

展开阅读全文