云計(jì)算虛擬化平臺(tái)安全分析上課講義

1、云計(jì)算虛擬化平臺(tái)安全分析時(shí)間： 2013-04-11 作者： 來(lái)源： 瀏覽次數(shù)： 263云計(jì)算的背景工業(yè)革命的發(fā)生使人類從手工業(yè)、農(nóng)業(yè)社會(huì)開(kāi)始邁入機(jī)器工業(yè)、信息化社會(huì)。第一、二次IT ，以個(gè)人計(jì)算機(jī)和互聯(lián)網(wǎng)的廣泛應(yīng)用為標(biāo)志。而今我們又將經(jīng)歷第三次IT 革命云計(jì)算，這將是一場(chǎng)顛覆性的革命。有人說(shuō)云計(jì)算是技術(shù)革命的產(chǎn)物， 也有人說(shuō)云計(jì)算只不過(guò)是已有技術(shù)的最新包裝， 是設(shè)備廠商和軟件廠商新瓶裝舊酒的一種商業(yè)策略。但我們認(rèn)為云計(jì)算是社會(huì)經(jīng)濟(jì)、技術(shù)進(jìn)步、商業(yè)模式轉(zhuǎn)換的共同作用結(jié)果。云計(jì)算的典型特征是將IT 的各類資源進(jìn)行池化，并以服務(wù)的形式提供或交付給用戶。當(dāng)然要實(shí)現(xiàn)資源的池化，就不得不提到虛擬化技術(shù)，

2、 虛擬化技術(shù)實(shí)現(xiàn)了物理資源的邏輯抽象和統(tǒng)一表示。 通過(guò)虛擬化技術(shù)可以提高資源的利用率，并能根據(jù)用戶業(yè)務(wù)需求的變化，快速、靈活地進(jìn)行自由部署。同時(shí)由于當(dāng)前各行各業(yè)在云計(jì)算建設(shè)過(guò)程大多處于初級(jí)階段， 相對(duì)來(lái)講三大運(yùn)營(yíng)商和有實(shí)力的企業(yè)單位， 經(jīng)過(guò)幾年的建設(shè)已經(jīng)初步建成了基礎(chǔ)設(shè)施即服務(wù)（ IaaS ）云， 更多的單位已經(jīng)開(kāi)展實(shí)驗(yàn)環(huán)境的研究，逐步將非核心的業(yè)務(wù)移植到云平臺(tái)上?？v觀國(guó)內(nèi)的云計(jì)算建設(shè)情況絕大部分是以 IaaS 為主，當(dāng)然要建設(shè)一個(gè)成熟的 IaaS 云計(jì)算平臺(tái)，必須實(shí)現(xiàn)服務(wù)器虛擬化、網(wǎng)絡(luò)虛擬化、存儲(chǔ)虛擬化三大關(guān)鍵技術(shù)。這其中由于虛擬化技術(shù)的引入，打破了傳統(tǒng)的網(wǎng)絡(luò)邊界的劃分方式，使得傳統(tǒng)的安全技

3、術(shù)手段無(wú)法做到有效的安全防護(hù)，因此許多人認(rèn)為安全問(wèn)題是云計(jì)算技術(shù)發(fā)展推廣的最大瓶頸。虛擬化帶來(lái)的挑戰(zhàn)虛擬化是個(gè)寬泛的技術(shù)術(shù)語(yǔ)， 是指將各類資源， 如計(jì)算資源等加以抽象， 并對(duì)具體的技術(shù)特性加以封裝隱藏，對(duì)外提供統(tǒng)一的邏輯接口。而虛擬化是云計(jì)算的重要支撐技術(shù)，可以說(shuō)是虛擬化為我們帶來(lái)了“云”，同時(shí)也是云計(jì)算區(qū)別于傳統(tǒng)計(jì)算模式的重要特點(diǎn)。常見(jiàn)的虛擬化技術(shù)主要包括：網(wǎng)絡(luò)虛擬化、服務(wù)器虛擬化、存儲(chǔ)虛擬化、應(yīng)用虛擬化、桌面虛擬化等。無(wú)論哪種虛擬化技術(shù)，虛擬化的目的就是虛擬化出一個(gè)或多個(gè)租戶相互隔離的執(zhí)行環(huán)境，用于運(yùn)行操作系統(tǒng)及應(yīng)用或者進(jìn)行數(shù)據(jù)通訊。而主機(jī)虛擬化是建設(shè) IaaS 云平臺(tái)的核心，通過(guò)虛擬化技

4、術(shù)可將一臺(tái)物理主機(jī)虛擬成多臺(tái)虛擬機(jī)，每個(gè)虛擬機(jī)可運(yùn)行不同的操作系統(tǒng)和應(yīng)用，使得傳統(tǒng)物理設(shè)施的資源利用率得到明顯提高，還使得系統(tǒng)動(dòng)態(tài)部署變得更加靈活、便捷。然而， 在虛擬化技術(shù)大規(guī)模應(yīng)用的結(jié)果， 由于同一物理機(jī)內(nèi)部的虛擬機(jī)之間進(jìn)行數(shù)據(jù)交換時(shí)并不經(jīng)過(guò)傳統(tǒng)的網(wǎng)絡(luò)接入層交換機(jī)，直接導(dǎo)致許多傳統(tǒng)的安全防護(hù)手段失效，無(wú)法對(duì)虛擬機(jī)之間的進(jìn)行隔離控制，他們之間的流量數(shù)據(jù)無(wú)法做到監(jiān)控和審計(jì)等問(wèn)題。 并且當(dāng)前的傳統(tǒng)基于主機(jī)層面的安全防護(hù)手段， 無(wú)法適應(yīng)虛擬機(jī)環(huán) 境。同時(shí)虛擬化的網(wǎng)絡(luò)結(jié)構(gòu)，使得傳統(tǒng)的分域防護(hù)變得難以實(shí)現(xiàn)，虛擬化的服務(wù)提供模式，使得對(duì)使用者身份、權(quán)限和行為的鑒別、控制與審計(jì)變得更加困難。為了解決虛擬化

5、的安全問(wèn)題，天融信推出了虛擬化安全 平臺(tái)TopVSP,全面應(yīng)對(duì)虛擬化所帶來(lái)的安全挑戰(zhàn)，為虛擬化環(huán)境提供靈活，高效，全面的安全解決方案。天融信的解決思路和方法設(shè)計(jì)思路既然傳統(tǒng)的安全防護(hù)措施無(wú)法有效的對(duì)虛擬機(jī)的安全進(jìn)行防護(hù)，特別是在網(wǎng)絡(luò)虛擬化后，同一主機(jī)內(nèi)，不同虛擬機(jī)之間的網(wǎng)絡(luò)訪問(wèn)控制層面上的安全防護(hù)。同時(shí)又由于虛擬化軟件的引入，導(dǎo)致hypervisor 層的安全顯得至關(guān)重要。天融信提出了 TopVSP三層防御體系，從網(wǎng)絡(luò)層面，系統(tǒng)層面，管理層面三個(gè)層面對(duì)虛擬化 環(huán)境進(jìn)行安全保護(hù)。TopVSP三層防御體系架構(gòu)圖網(wǎng)絡(luò)層面虛擬機(jī)的網(wǎng)絡(luò)安全，對(duì)虛擬機(jī)之間以及虛擬機(jī)與外網(wǎng)的通信進(jìn)行訪問(wèn)控制、內(nèi)容過(guò)濾、應(yīng)用

6、代理、QOS、DOS/DDOS 防御、入侵檢測(cè)、病毒查殺等。虛擬機(jī)的虛擬出口安全，防止虛擬機(jī)修改MAC地址、監(jiān)聽(tīng)以及偽造包對(duì)其他虛擬機(jī)進(jìn)行攻擊的行為。安全策略遷移，借助集中管理平臺(tái)，可以實(shí)現(xiàn)安全策略跟隨虛擬機(jī)進(jìn)行遷移，從而保證虛擬機(jī)即使遷移了能繼續(xù)受到保護(hù)。系統(tǒng)層面保護(hù)虛擬化平臺(tái)的安全：在虛擬化環(huán)境下最重要的也是最需要保護(hù)的就是虛擬化平臺(tái)自身，虛擬化平臺(tái)一旦被攻破，那么所有虛擬機(jī)都將受到威脅。所以虛擬化安全平臺(tái)針對(duì)虛擬化平臺(tái)自身系統(tǒng)進(jìn)行保護(hù)，控制虛擬化平臺(tái)對(duì)外開(kāi)放的端口，對(duì)虛擬化平臺(tái)系統(tǒng)進(jìn)行 IDS ， IPS， Ddos 防御。虛擬化安全平臺(tái)會(huì)針對(duì)不同的虛擬化平臺(tái)進(jìn)行漏洞掃描，最新漏洞跟蹤，

7、漏洞補(bǔ)丁管理等功能。限制虛擬機(jī)允許訪問(wèn)的系統(tǒng)資源：在虛擬化環(huán)境下所有虛擬機(jī)都集中在一起，并且虛擬機(jī)的控制權(quán)是分配給客戶的，同時(shí)虛擬機(jī)的硬件是虛擬化平臺(tái)提供的，一旦用戶利用虛擬化平臺(tái)的漏洞就有可能穿越虛擬機(jī)，從而獲得虛擬化平臺(tái)的其他資源， 而這些資源是不應(yīng)該被虛擬機(jī)訪問(wèn)到的。 虛擬化安全平臺(tái)針對(duì)不同的虛擬化平臺(tái)可以限制虛擬機(jī)資源的訪問(wèn)， 虛擬機(jī)的每個(gè)訪問(wèn)請(qǐng)求都會(huì)經(jīng)過(guò)資源控制策略的檢測(cè)， 每個(gè)虛擬機(jī)只能訪問(wèn)分配給它的資源。虛擬機(jī)鏡像加密：如果虛擬機(jī)鏡像被惡意獲得，那么其中的數(shù)據(jù)就有可能被泄露，所以通過(guò)虛擬機(jī)鏡像加密技術(shù)可以保證即使鏡像文件被獲取也無(wú)法讀取其中的內(nèi)容。同時(shí)鏡像的加密對(duì)于虛擬機(jī)自身來(lái)說(shuō)

8、是透明的。虛擬機(jī)日志分析：通過(guò)收集虛擬機(jī)客戶系統(tǒng)的日志，并對(duì)日志進(jìn)行分析，可以使管理員引起注意，察覺(jué)虛擬機(jī)的一些異常行為。虛擬機(jī)外設(shè)控制：虛擬化安全平臺(tái)可以控制虛擬機(jī)訪問(wèn)所有外設(shè)的權(quán)限。比如雖然管理員給每個(gè)虛擬機(jī)分配了 usb ，但可以通過(guò)虛擬化安全平臺(tái)來(lái)控制虛擬機(jī)是否可以讀取usb 。管理層面管理通道的安全：通過(guò) IPSEC, VPN , SSH, TLS等技術(shù)保證管理通道的安全。虛擬化平臺(tái)管理員的認(rèn)證以及權(quán)限管理：通過(guò)對(duì)管理信令的監(jiān)控可以對(duì)管理員操作虛擬機(jī)的權(quán)限進(jìn)行控制。虛擬機(jī)操作事件審計(jì)：記錄管理員操作虛擬機(jī)的每個(gè)事件，以便事后審計(jì)。虛擬安全策略：在虛擬化環(huán)境下，不同的虛擬機(jī)可能由不同的

9、管理員管理，這就會(huì)需要配置不同的安全策略，類似傳統(tǒng)的虛擬防火墻，虛擬安全策略能夠使不同管理員可以配置不同的安全策略，并且安全策略之間相互獨(dú)立。技術(shù)實(shí)現(xiàn) 虛擬化安全平臺(tái)系統(tǒng)組件TAEetf i HercontroiMTopVSP總體架構(gòu)圖虛擬化安全平臺(tái)由集中管理平臺(tái)TopVSP Policy (TP),虛擬化安全網(wǎng)關(guān) TopVSP vGate ,客戶系統(tǒng)內(nèi)安全代理TopVSP Desktop (TD),虛擬化平臺(tái)接入引擎 TopVSP Access engine(TAE),四個(gè)組件構(gòu)成：集中管理平臺(tái)TP負(fù)責(zé)安全策略的集中管理，并對(duì)安全策略的遷移功能提供支持。虛擬化安全網(wǎng)關(guān) TopVSP vGat

10、e是以虛擬機(jī)形式部署在虛擬化平臺(tái)上，并通過(guò)虛擬化平臺(tái)接入引擎TAE獲得虛擬化平臺(tái)的網(wǎng)絡(luò)通信數(shù)據(jù)，從而實(shí)現(xiàn)對(duì)所有虛擬機(jī)之間以及虛擬化平臺(tái)本身的網(wǎng)絡(luò)通信進(jìn)行防護(hù)?？蛻粝到y(tǒng)內(nèi)安全代理 TD是安裝在客戶操作系統(tǒng)內(nèi)的服務(wù)，負(fù)責(zé)收集客戶系統(tǒng)的日志信息，文件一致性保護(hù)，外設(shè)的權(quán)限控制等。虛擬化平臺(tái)接入引擎 TAE負(fù)責(zé)實(shí)現(xiàn)虛擬化平臺(tái)的網(wǎng)絡(luò)數(shù)據(jù)導(dǎo)流到虛擬化安全網(wǎng)關(guān)vGate ,針對(duì)不同的虛擬化平臺(tái)需要安裝對(duì)應(yīng)的接入引擎。同時(shí)針對(duì)不同的平臺(tái)還可以對(duì)虛擬化平臺(tái)自身系統(tǒng)進(jìn)行安全加固，以及基于hypervisor層的各種權(quán)限控制，比如對(duì)虛擬機(jī)外設(shè)的控制，對(duì)虛擬機(jī)操作權(quán)限的控制等。TopVSP vGate技術(shù)實(shí)現(xiàn)虛擬化安

11、全網(wǎng)關(guān)的設(shè)計(jì)是基于天融信成熟的安全操作系統(tǒng)TOS,使TOS可以作為主流的完全虛擬化或半虛擬化的虛擬機(jī)管理器的 Guest OS,同時(shí)進(jìn)行系列升級(jí)改造使 vTOS和安全引擎適應(yīng)各種虛擬化平臺(tái)并進(jìn)行優(yōu) 化?；趘Tos架構(gòu)的虛擬化安全網(wǎng)關(guān)的總體架構(gòu)如下圖所示:vGateESX/ESXiHyper-VKVM虛擬化安全網(wǎng)關(guān)總體架構(gòu)圖虛擬化安全網(wǎng)關(guān)由操作系統(tǒng)核心vTOS和多種可配置的安全引擎模塊構(gòu)成。安全引擎包括防火墻引擎、IPSEC/SSL VPN引擎、抗DOS攻擊引擎、IDS/IPS引擎、WEB防護(hù)引擎等等。vSwitch連接方式如果不安裝虛擬化接入引擎TAE,單純的通過(guò) vswitch連接的形式也

12、可以簡(jiǎn)單的部署 vGate ,使用vGate提供的網(wǎng)絡(luò)安全功能來(lái)保護(hù)重要的安全域，部署形式如下:通過(guò) vswitch 連接 vGateOpen vSwitch 流重定向以上通過(guò)手動(dòng)配置 vswitch的形式把流量導(dǎo)入到 vGate的形式的缺點(diǎn)是部署比較復(fù)雜，而且不利于虛擬機(jī) 的遷移。如果借助 Open vSwitch 的流重定向技術(shù)，可以解決此問(wèn)題。KVMOpen vSwitch 流重定向技術(shù)Open vSwitch 可vGate ,經(jīng)Open vSwitch 是開(kāi)源的分布式交換機(jī)，支持 SDN ,虛擬機(jī)流量標(biāo)記，QoS ,流重定向。以配置策略，實(shí)現(xiàn)虛擬機(jī)出口流量的重定向功能。這樣就可以把每個(gè)

13、虛擬機(jī)的流量先重定向到vGate過(guò)濾后再進(jìn)行轉(zhuǎn)發(fā)。虛擬化平臺(tái)接入引擎 TAE即使不使用Open vSwitch的情況下通過(guò)TAE也可以實(shí)現(xiàn)流的重定向功能，借助VMM提供的API ,還負(fù)責(zé)又VMM的系統(tǒng)層面進(jìn)行保護(hù)。比如kvm平臺(tái)，使用了如下三種接口：Open vSwitch 流重定向技術(shù)1)Netfilter 框架實(shí)現(xiàn)網(wǎng)絡(luò)流的重定向，是VMM的所有網(wǎng)絡(luò)流量重定向到vGate。2)KVM控制層借助KVM提供的hook框架，可以添加控制層，實(shí)現(xiàn)虛擬機(jī)的權(quán)限控制，操作記錄。3)LSM框架實(shí)現(xiàn)VMM的系統(tǒng)安全，如：限制每個(gè)虛擬機(jī)能夠訪問(wèn)的資源，相當(dāng)于把虛擬機(jī)限制在一個(gè)沙盒中，即使虛擬機(jī)被攻破也無(wú)法訪問(wèn)

14、VMM的系統(tǒng)資源。在LSM框架的基礎(chǔ)上，通過(guò)cgroups技術(shù)防止虛擬機(jī)對(duì) cpu ,內(nèi)存，網(wǎng)絡(luò)，diskio等共享資源的惡意競(jìng)爭(zhēng)。安全策略遷移虛擬機(jī)遷移的時(shí)候，安全策略也要隨之遷移，以保證虛擬機(jī)在遷移前后安全的一致性集中管理中虛擬機(jī)管理中心TPvC enter策略遷移示意圖在虛擬機(jī)發(fā)起遷移時(shí)，TopVSP會(huì)從TP請(qǐng)求被遷移虛擬機(jī)的安全策略， 推送到目標(biāo)server上的TopVSP中, 然后再啟動(dòng)虛擬機(jī)遷移。虛擬化可信計(jì)算vTPM目前TPM的發(fā)展還不支持硬件虛擬化，當(dāng)前的解決方案都是基于軟件實(shí)現(xiàn)。目前，新的TPM規(guī)范即TPM.Next（微軟稱為TPM 2.0）尚在研究制定中，其中會(huì)加入對(duì)虛擬化

15、的支持，以下是TPM.next正在考慮的問(wèn)題：1）應(yīng)增強(qiáng)TPM支持虛擬化的能力：2）改變?cè)忻荑€結(jié)構(gòu)樹(shù)，考慮為虛擬機(jī)建立一個(gè)偽存儲(chǔ)根密鑰PSRK;3）與原有方案一樣，將密鑰綁定至偽 SRK;偽SRK能夠在VMM控制下遷移至目標(biāo)平臺(tái)；4）位于硬件芯片中的密鑰也應(yīng)在可信第三方控制下，遷移至目標(biāo)平臺(tái)；所以目前vTPM的實(shí)現(xiàn)方式還是軟件模擬實(shí)現(xiàn)方式:【pnid devvTPM 模型是在管理級(jí) VM中采用tpm emulator 為每個(gè)VM 建一個(gè)vtpm instance ,由vtpm 實(shí)例完成 各個(gè)VM的可信計(jì)算操作，而vtpm實(shí)例是通過(guò)密碼綁定到物理TPM,主要是物理TPM為vtpm 頒發(fā)身份證書(shū)的方式，確定 vtpm的真實(shí)性。VTPM模型的優(yōu)勢(shì)在于 vtpm之間完全隔離，而且執(zhí)行的 TPM操作都 是通過(guò)主CPU完成，效