云计算虚拟化平台安全分析上课讲义

1、云计算虚拟化平台安全分析时间： 2013-04-11 作者： 来源： 浏览次数： 263云计算的背景工业革命的发生使人类从手工业、农业社会开始迈入机器工业、信息化社会。第一、二次IT ，以个人计算机和互联网的广泛应用为标志。而今我们又将经历第三次IT 革命云计算，这将是一场颠覆性的革命。有人说云计算是技术革命的产物， 也有人说云计算只不过是已有技术的最新包装， 是设备厂商和软件厂商新瓶装旧酒的一种商业策略。但我们认为云计算是社会经济、技术进步、商业模式转换的共同作用结果。云计算的典型特征是将IT 的各类资源进行池化，并以服务的形式提供或交付给用户。当然要实现资源的池化，就不得不提到虚拟化技术，

2、 虚拟化技术实现了物理资源的逻辑抽象和统一表示。 通过虚拟化技术可以提高资源的利用率，并能根据用户业务需求的变化，快速、灵活地进行自由部署。同时由于当前各行各业在云计算建设过程大多处于初级阶段， 相对来讲三大运营商和有实力的企业单位， 经过几年的建设已经初步建成了基础设施即服务（ IaaS ）云， 更多的单位已经开展实验环境的研究，逐步将非核心的业务移植到云平台上。纵观国内的云计算建设情况绝大部分是以 IaaS 为主，当然要建设一个成熟的 IaaS 云计算平台，必须实现服务器虚拟化、网络虚拟化、存储虚拟化三大关键技术。这其中由于虚拟化技术的引入，打破了传统的网络边界的划分方式，使得传统的安全技

3、术手段无法做到有效的安全防护，因此许多人认为安全问题是云计算技术发展推广的最大瓶颈。虚拟化带来的挑战虚拟化是个宽泛的技术术语， 是指将各类资源， 如计算资源等加以抽象， 并对具体的技术特性加以封装隐藏，对外提供统一的逻辑接口。而虚拟化是云计算的重要支撑技术，可以说是虚拟化为我们带来了“云”，同时也是云计算区别于传统计算模式的重要特点。常见的虚拟化技术主要包括：网络虚拟化、服务器虚拟化、存储虚拟化、应用虚拟化、桌面虚拟化等。无论哪种虚拟化技术，虚拟化的目的就是虚拟化出一个或多个租户相互隔离的执行环境，用于运行操作系统及应用或者进行数据通讯。而主机虚拟化是建设 IaaS 云平台的核心，通过虚拟化技

4、术可将一台物理主机虚拟成多台虚拟机，每个虚拟机可运行不同的操作系统和应用，使得传统物理设施的资源利用率得到明显提高，还使得系统动态部署变得更加灵活、便捷。然而， 在虚拟化技术大规模应用的结果， 由于同一物理机内部的虚拟机之间进行数据交换时并不经过传统的网络接入层交换机，直接导致许多传统的安全防护手段失效，无法对虚拟机之间的进行隔离控制，他们之间的流量数据无法做到监控和审计等问题。 并且当前的传统基于主机层面的安全防护手段， 无法适应虚拟机环 境。同时虚拟化的网络结构，使得传统的分域防护变得难以实现，虚拟化的服务提供模式，使得对使用者身份、权限和行为的鉴别、控制与审计变得更加困难。为了解决虚拟化

5、的安全问题，天融信推出了虚拟化安全 平台TopVSP,全面应对虚拟化所带来的安全挑战，为虚拟化环境提供灵活，高效，全面的安全解决方案。天融信的解决思路和方法设计思路既然传统的安全防护措施无法有效的对虚拟机的安全进行防护，特别是在网络虚拟化后，同一主机内，不同虚拟机之间的网络访问控制层面上的安全防护。同时又由于虚拟化软件的引入，导致hypervisor 层的安全显得至关重要。天融信提出了 TopVSP三层防御体系，从网络层面，系统层面，管理层面三个层面对虚拟化 环境进行安全保护。TopVSP三层防御体系架构图网络层面虚拟机的网络安全，对虚拟机之间以及虚拟机与外网的通信进行访问控制、内容过滤、应用

6、代理、QOS、DOS/DDOS 防御、入侵检测、病毒查杀等。虚拟机的虚拟出口安全，防止虚拟机修改MAC地址、监听以及伪造包对其他虚拟机进行攻击的行为。安全策略迁移，借助集中管理平台，可以实现安全策略跟随虚拟机进行迁移，从而保证虚拟机即使迁移了能继续受到保护。系统层面保护虚拟化平台的安全：在虚拟化环境下最重要的也是最需要保护的就是虚拟化平台自身，虚拟化平台一旦被攻破，那么所有虚拟机都将受到威胁。所以虚拟化安全平台针对虚拟化平台自身系统进行保护，控制虚拟化平台对外开放的端口，对虚拟化平台系统进行 IDS ， IPS， Ddos 防御。虚拟化安全平台会针对不同的虚拟化平台进行漏洞扫描，最新漏洞跟踪，

7、漏洞补丁管理等功能。限制虚拟机允许访问的系统资源：在虚拟化环境下所有虚拟机都集中在一起，并且虚拟机的控制权是分配给客户的，同时虚拟机的硬件是虚拟化平台提供的，一旦用户利用虚拟化平台的漏洞就有可能穿越虚拟机，从而获得虚拟化平台的其他资源， 而这些资源是不应该被虚拟机访问到的。 虚拟化安全平台针对不同的虚拟化平台可以限制虚拟机资源的访问， 虚拟机的每个访问请求都会经过资源控制策略的检测， 每个虚拟机只能访问分配给它的资源。虚拟机镜像加密：如果虚拟机镜像被恶意获得，那么其中的数据就有可能被泄露，所以通过虚拟机镜像加密技术可以保证即使镜像文件被获取也无法读取其中的内容。同时镜像的加密对于虚拟机自身来说

8、是透明的。虚拟机日志分析：通过收集虚拟机客户系统的日志，并对日志进行分析，可以使管理员引起注意，察觉虚拟机的一些异常行为。虚拟机外设控制：虚拟化安全平台可以控制虚拟机访问所有外设的权限。比如虽然管理员给每个虚拟机分配了 usb ，但可以通过虚拟化安全平台来控制虚拟机是否可以读取usb 。管理层面管理通道的安全：通过 IPSEC, VPN , SSH, TLS等技术保证管理通道的安全。虚拟化平台管理员的认证以及权限管理：通过对管理信令的监控可以对管理员操作虚拟机的权限进行控制。虚拟机操作事件审计：记录管理员操作虚拟机的每个事件，以便事后审计。虚拟安全策略：在虚拟化环境下，不同的虚拟机可能由不同的

9、管理员管理，这就会需要配置不同的安全策略，类似传统的虚拟防火墙，虚拟安全策略能够使不同管理员可以配置不同的安全策略，并且安全策略之间相互独立。技术实现 虚拟化安全平台系统组件TAEetf i HercontroiMTopVSP总体架构图虚拟化安全平台由集中管理平台TopVSP Policy (TP),虚拟化安全网关 TopVSP vGate ,客户系统内安全代理TopVSP Desktop (TD),虚拟化平台接入引擎 TopVSP Access engine(TAE),四个组件构成：集中管理平台TP负责安全策略的集中管理，并对安全策略的迁移功能提供支持。虚拟化安全网关 TopVSP vGat

10、e是以虚拟机形式部署在虚拟化平台上，并通过虚拟化平台接入引擎TAE获得虚拟化平台的网络通信数据，从而实现对所有虚拟机之间以及虚拟化平台本身的网络通信进行防护。客户系统内安全代理 TD是安装在客户操作系统内的服务，负责收集客户系统的日志信息，文件一致性保护，外设的权限控制等。虚拟化平台接入引擎 TAE负责实现虚拟化平台的网络数据导流到虚拟化安全网关vGate ,针对不同的虚拟化平台需要安装对应的接入引擎。同时针对不同的平台还可以对虚拟化平台自身系统进行安全加固，以及基于hypervisor层的各种权限控制，比如对虚拟机外设的控制，对虚拟机操作权限的控制等。TopVSP vGate技术实现虚拟化安

11、全网关的设计是基于天融信成熟的安全操作系统TOS,使TOS可以作为主流的完全虚拟化或半虚拟化的虚拟机管理器的 Guest OS,同时进行系列升级改造使 vTOS和安全引擎适应各种虚拟化平台并进行优 化。基于vTos架构的虚拟化安全网关的总体架构如下图所示:vGateESX/ESXiHyper-VKVM虚拟化安全网关总体架构图虚拟化安全网关由操作系统核心vTOS和多种可配置的安全引擎模块构成。安全引擎包括防火墙引擎、IPSEC/SSL VPN引擎、抗DOS攻击引擎、IDS/IPS引擎、WEB防护引擎等等。vSwitch连接方式如果不安装虚拟化接入引擎TAE,单纯的通过 vswitch连接的形式也

12、可以简单的部署 vGate ,使用vGate提供的网络安全功能来保护重要的安全域，部署形式如下:通过 vswitch 连接 vGateOpen vSwitch 流重定向以上通过手动配置 vswitch的形式把流量导入到 vGate的形式的缺点是部署比较复杂，而且不利于虚拟机 的迁移。如果借助 Open vSwitch 的流重定向技术，可以解决此问题。KVMOpen vSwitch 流重定向技术Open vSwitch 可vGate ,经Open vSwitch 是开源的分布式交换机，支持 SDN ,虚拟机流量标记，QoS ,流重定向。以配置策略，实现虚拟机出口流量的重定向功能。这样就可以把每个

13、虚拟机的流量先重定向到vGate过滤后再进行转发。虚拟化平台接入引擎 TAE即使不使用Open vSwitch的情况下通过TAE也可以实现流的重定向功能，借助VMM提供的API ,还负责又VMM的系统层面进行保护。比如kvm平台，使用了如下三种接口：Open vSwitch 流重定向技术1)Netfilter 框架实现网络流的重定向，是VMM的所有网络流量重定向到vGate。2)KVM控制层借助KVM提供的hook框架，可以添加控制层，实现虚拟机的权限控制，操作记录。3)LSM框架实现VMM的系统安全，如：限制每个虚拟机能够访问的资源，相当于把虚拟机限制在一个沙盒中，即使虚拟机被攻破也无法访问

14、VMM的系统资源。在LSM框架的基础上，通过cgroups技术防止虚拟机对 cpu ,内存，网络，diskio等共享资源的恶意竞争。安全策略迁移虚拟机迁移的时候，安全策略也要随之迁移，以保证虚拟机在迁移前后安全的一致性集中管理中虚拟机管理中心TPvC enter策略迁移示意图在虚拟机发起迁移时，TopVSP会从TP请求被迁移虚拟机的安全策略， 推送到目标server上的TopVSP中, 然后再启动虚拟机迁移。虚拟化可信计算vTPM目前TPM的发展还不支持硬件虚拟化，当前的解决方案都是基于软件实现。目前，新的TPM规范即TPM.Next（微软称为TPM 2.0）尚在研究制定中，其中会加入对虚拟化

15、的支持，以下是TPM.next正在考虑的问题：1）应增强TPM支持虚拟化的能力：2）改变原有密钥结构树，考虑为虚拟机建立一个伪存储根密钥PSRK;3）与原有方案一样，将密钥绑定至伪 SRK;伪SRK能够在VMM控制下迁移至目标平台；4）位于硬件芯片中的密钥也应在可信第三方控制下，迁移至目标平台；所以目前vTPM的实现方式还是软件模拟实现方式:【pnid devvTPM 模型是在管理级 VM中采用tpm emulator 为每个VM 建一个vtpm instance ,由vtpm 实例完成 各个VM的可信计算操作，而vtpm实例是通过密码绑定到物理TPM,主要是物理TPM为vtpm 颁发身份证书的方式，确定 vtpm的真实性。VTPM模型的优势在于 vtpm之间完全隔离，而且执行的 TPM操作都 是通过主CPU完成，效