專家大多認(rèn)為。云計算與傳統(tǒng)IT環(huán)境最大的區(qū)別在于其虛擬的計算環(huán)境，也正是這一區(qū)別導(dǎo)致其安全問題變得異常“棘手”。身份管理、數(shù)據(jù)安全等問題可以通過現(xiàn)有的訪問控制策略、數(shù)據(jù)加密等傳統(tǒng)安全手段來解決，而虛擬化作為云計算最重要的技術(shù)，且虛擬環(huán)境是云計算的獨特環(huán)境。傳統(tǒng)的安全措施很難從根本上解決問題，必須采取新的安全策略。

1、虛擬化技術(shù)

云計算的特征體現(xiàn)為虛擬化、分布式和動態(tài)可擴展。虛擬化是云計算最主要的特點。每一個應(yīng)用部署的環(huán)境和物理平臺是沒有關(guān)系的，通過虛擬平臺進(jìn)行管理、擴展、遷移、備份，種種操作都是通過虛擬化技術(shù)完成。虛擬化技術(shù)是一種調(diào)配計算資源的方法。它將應(yīng)用系統(tǒng)的不同層面——硬件、軟件、數(shù)據(jù)、網(wǎng)絡(luò)、存儲等一一隔離開來，從而打破數(shù)據(jù)中心、服務(wù)器、存儲、網(wǎng)絡(luò)、數(shù)據(jù)和應(yīng)用中的物理設(shè)備之間的劃分，實現(xiàn)架構(gòu)動態(tài)化。并實現(xiàn)集中管理和動態(tài)使用物理資源及虛擬資源。圖2顯示的是一個典型的虛擬機系統(tǒng)。其中，虛擬機監(jiān)控器(virtual machine monitor，VMM)，又稱為監(jiān)管程序(Hypervisor)，是虛擬化技術(shù)的核心。通過在計算機系統(tǒng)上添加一個虛擬機監(jiān)控程序軟件對計算機系統(tǒng)進(jìn)行虛擬化。在物理機上構(gòu)建一個虛擬機系統(tǒng)，每個虛擬機(VM)運行自己的客戶機操作系統(tǒng)(GuestOS)。這可以說是云計算的一個雛形。

現(xiàn)在，整個IT環(huán)境已逐步向云計算時代跨越，虛擬化技術(shù)也從最初的側(cè)重于整合數(shù)據(jù)中心內(nèi)的資源。發(fā)展到可以跨越IT架構(gòu)實現(xiàn)包括資源、網(wǎng)絡(luò)、應(yīng)用和桌面在內(nèi)的多種虛擬化。這些都促進(jìn)了云計算模式的形成。大部分軟件和硬件已經(jīng)對虛擬化有一定支持，可以把各種IT資源、軟件、硬件、操作系統(tǒng)和存儲網(wǎng)絡(luò)等要素都進(jìn)行虛擬化，放在云計算平臺中統(tǒng)一管理。

2、虛擬化安全問題研究

2.1 虛擬化的安全問題

虛擬化技術(shù)對于云計算而言是非常重要的，所以，虛擬化的安全也直接關(guān)系到云計算的安全。從目前研究來看，云計算的虛擬化安全問題主要集中在以下幾點。

(1)VM Hopping

一臺虛擬機可能監(jiān)控另一臺虛擬機甚至?xí)尤说剿拗鳈C。這稱為VM Hopping。如果兩個虛擬機在同一臺宿主機上。一個在虛擬機1上的攻擊者通過獲取虛擬機2的IP地址或通過獲得宿主機本身的訪問權(quán)限可接人到虛擬機2。攻擊者監(jiān)控虛擬機2的流量，可以通過操縱流量攻擊。或改變它的配置文件。將虛擬機2由運行改為離線，造成通信中斷。當(dāng)連接重新建立時。通信將需要重新開始。

(2)VM Escape

VM Escape攻擊獲得Hypervisor的訪問權(quán)限。從而對其他虛擬機進(jìn)行攻擊。若一個攻擊者接人的主機運行多個虛擬機，它可以關(guān)閉Hypervisor，最終導(dǎo)致這些虛擬機關(guān)閉。

(3)遠(yuǎn)程管理缺陷

Hypervisor通常由管理平臺來為管理員管理虛擬機。例如，Xen用XenCenter管理其虛擬機。這些控制臺可能會引起一些新的缺陷。例如跨站腳本攻擊、SQL入侵等。

(4)拒絕服務(wù)(DoS)的缺陷

在虛擬化環(huán)境下，資源(如CPU、內(nèi)存、硬盤和網(wǎng)絡(luò))由虛擬機和宿主機一起共享。因此，DOS攻擊可能會加到虛擬機上從而獲取宿主機上所有的資源。因為沒有可用資源，從而造成系統(tǒng)將會拒絕來自客戶的所有請求。

(5)基于Rootkit的虛擬機

Rootkit概念出現(xiàn)在Unix中，它是一些收集工具，能夠獲得管理員級別的計算機或計算機網(wǎng)絡(luò)訪問。如果Hypervisor被Rootkit控制。Rootkit可以得到整個物理機器的控制權(quán)。

(6)遷移攻擊

遷移攻擊可以將虛擬機從一臺主機移動到另一臺，也可以通過網(wǎng)絡(luò)或USB復(fù)制虛擬機。虛擬機的內(nèi)容存儲在Hypervisor的一個文件中。如圖3所示。在虛擬機移動到另一個位置的過程中，虛擬磁盤被重新創(chuàng)建。攻擊者能夠改變源配置文件和虛擬機的特性。一旦攻擊者接觸到虛擬磁盤。攻擊者有足夠的時間來打破所有的安全措施，例如密碼、重要認(rèn)證等。由于該虛擬機是一個實際虛擬機的副本，難以追蹤攻擊者的此類威脅。

除此以外。虛擬機和主機之間共享剪切板可能造成安全問題。若主機記錄運行在主機上的虛擬機的登錄按鍵和屏幕操作，如何確保主機日志的安全也是一個問題。

2.2虛擬化安全分層分析

目前對虛擬化安全的研究綜合起來可以歸結(jié)為兩個方面：一個是虛擬化軟件的安全;另一個是虛擬服務(wù)器的安全。

(1)虛擬化軟件的安全

該軟件層直接部署于裸機之上，提供能夠創(chuàng)建、運行和銷毀虛擬服務(wù)器的能力。主機層的虛擬化能通過任何虛擬化模式完成，包括操作系統(tǒng)級虛擬化(Solaris container、BSDiail、Linax.Vserver)、半虛擬化(硬件和Xen、VMware的結(jié)合)或基于硬件的虛擬化(Xen、VMwaxe、Microsoft Hyper-V)。

這一層的特點是虛擬機的安全。其中Hypervisor作為虛擬機的核心。要確保安全。目前有兩種攻擊方式，一是惡意代碼通過應(yīng)用程序接口(API)攻擊，因虛擬機通過調(diào)用AP!向Hypervisor發(fā)出請求。Hypervisor要確保虛擬機只會發(fā)出經(jīng)過認(rèn)證和授權(quán)的請求。二是通過網(wǎng)絡(luò)對Hypervisor進(jìn)行攻擊。通常，Hypervisor所使用的網(wǎng)絡(luò)接口設(shè)備也是虛擬機所使用的。如果網(wǎng)絡(luò)配置得不是很嚴(yán)格，這意味著虛擬機可以連接到Hypervisor的IP地址，并且可以在Hypervisor的登錄密碼沒有使用強密碼保護(hù)的情況下入侵到Hypervisor。這種不嚴(yán)格的網(wǎng)絡(luò)配置還可能導(dǎo)致對Hypervisor的DoS攻擊。使得外網(wǎng)無法鏈接到Hypervisor去關(guān)閉這些有問題的虛擬機。

(2)虛擬服務(wù)器的安全

虛擬服務(wù)器位于虛擬化軟件之上。服務(wù)器的虛擬化相對于之前的服務(wù)器，變化最大的一點是網(wǎng)絡(luò)架構(gòu)。網(wǎng)絡(luò)架構(gòu)的改變相應(yīng)地產(chǎn)生了許多安全問題。采用虛擬化技術(shù)前，用戶可以在防火墻設(shè)備商建立多個隔離區(qū)。對不同服務(wù)器采用不同的規(guī)則進(jìn)行管理。由于隔離區(qū)的存在。對一個服務(wù)器的攻擊不會擴散到其他服務(wù)器。采用虛擬服務(wù)器后。所有的虛擬機會集中連接到同一臺虛擬交換機與外部網(wǎng)絡(luò)通信，會造成安全問題的擴散。服務(wù)器虛擬化后。每一臺服務(wù)器都將支持若干個資源密集型的應(yīng)用程序。可能出現(xiàn)負(fù)載過重。甚至?xí)霈F(xiàn)物理服務(wù)器崩潰的狀況。在管理程序設(shè)計過程中的安全隱患會傳染到同臺物理主機上的虛擬機。造成虛擬機溢出，此時的虛擬機從管理程序脫離出來，黑客可能進(jìn)入虛擬機管理程序，能夠避開虛擬機安全保護(hù)系統(tǒng)。對虛擬機進(jìn)行危害。

另外。虛擬機遷移以及虛擬機問的通信將會大大增加服務(wù)器遭受滲透攻擊的機會。虛擬服務(wù)器或客戶端面臨著許多主機安全威脅。包括接人和管理主機的密鑰被盜，攻擊來打補丁的主機。在脆弱的服務(wù)標(biāo)準(zhǔn)端口偵聽，劫持未采取合適安全措施的賬戶等。面對以上不安全因素，目前研究發(fā)現(xiàn)?？梢圆扇∫韵麓胧?/p>

·針對網(wǎng)絡(luò)架構(gòu)的變化，在每臺虛擬機上都安裝防毒軟件或者其他種類的殺毒軟件;

·避免服務(wù)器過載崩潰，要不斷監(jiān)視服務(wù)器的硬件利用率，并進(jìn)行容量分析，使用容錯服務(wù)器或容錯軟件是一個好的選擇;

·為阻止虛擬機溢出。在數(shù)據(jù)庫和應(yīng)用層問設(shè)置防火墻，通過隔離虛擬機實現(xiàn)從網(wǎng)絡(luò)上脫機保存虛擬化環(huán)境;

·選擇具有可信平臺模塊(trusted platform module，TPM)的虛擬服務(wù)器：

·安裝時為每臺虛擬服務(wù)器分配一個獨立的硬盤分區(qū)。以便進(jìn)行邏輯隔離;

·每臺虛擬服務(wù)器應(yīng)通過VLAN和不同的IP地址網(wǎng)段的方式進(jìn)行邏輯隔離。需要通信的虛擬服務(wù)器間通過VPN進(jìn)行網(wǎng)絡(luò)連接：

·進(jìn)行有計劃的備份，包括完整、增量或差量備份方式，進(jìn)行虛擬化的災(zāi)難恢復(fù)。

3、基于Xen平臺安全問題分析

為了研究方便。筆者選擇Xen搭建云計算平臺。分析Xen是怎樣解決虛擬化安全問題的。并認(rèn)識Xen未解決的問題，從而對云計算虛擬化的安全問題有更深一步的認(rèn)識。

3.1 Xen概述及其與VMware的比較

Xen是一種基于虛擬機煉控器Xen Hypervisor的虛擬機體系結(jié)構(gòu)。由劍橋大學(xué)開發(fā)。Xen Hypervisor作為虛擬機臨控器直接運行在硬件上，提供虛擬化環(huán)境。同時，在Xen Hypervisor上運行一個具有管理接口(administrativeconsole)的虛擬機(Domain 0)作為Xen Hypervisor的擴展。管理Xen hypervisor和其他虛擬機實例(Domain U)。

跟Xen比較起來。VMware是完全仿真計算機，理論上操作系統(tǒng)可不需更改就直接存虛擬機器上執(zhí)行，但是VMware不夠靈活。通常Xen采用半虛擬化技術(shù)，雖然操作系統(tǒng)必須進(jìn)行顯式地修改(“移植”)以在Xen上運行，但是提供給用戶應(yīng)用的兼容性強。這使得Xen無需特殊硬件支持，就能達(dá)到高性能的虛擬化。文獻(xiàn)表明。肖用Linux自帶的網(wǎng)絡(luò)服務(wù)測試工具測試VMware和Xen的虛擬網(wǎng)絡(luò)性能時，隨著請求文件長度的變大。每秒鐘處理的請求數(shù)均降低。Xen的虛擬網(wǎng)絡(luò)性能與真實主機接近，而比VMware虛擬網(wǎng)絡(luò)的性能好。目前，Intel等公司的努力使Xen已經(jīng)支持完全虛擬化。更重要的是。Xen是開源的，因此選用Xen搭建云計算環(huán)境是一個不錯的選擇。

3.2 Xen已解決的安全問題

(1)Xen的訪問控制

云計算虛擬化面臨諸多安全問題，有效采取訪問控制策略能有效解決非法登錄、虛擬機流量監(jiān)控等安全問題。Xen通過自己的訪問控制模塊(Access control module，ACM)。能有效解決諸多訪問不當(dāng)造成的安全問題。

ACM實現(xiàn)了兩種策略機制，分別是中國墻(Chinesewall)策略和簡單類型強制(simple type enforcement.STE)策略。其中，中圍墻策略定義了一組中國墻類型，并因此定義沖突集，然后根據(jù)類型定義標(biāo)簽。該策略根據(jù)標(biāo)簽來進(jìn)行判斷，若兩個虛擬機的標(biāo)簽處在同一個沖突集中。則不能同時在相同的系統(tǒng)上運行。因此該機制主要用于虛擬機之間的信息流控制。STE策略亦定義了一組類型(該類型針對的是域所擁有的資源)，然后根據(jù)類型定義標(biāo)簽，要求當(dāng)上體擁有客體標(biāo)簽時。主體才能訪問客體。以此來控制資源共享。除此以外，Xen的Domain 0用戶可以根據(jù)自己的需求制定安全策略史檔。當(dāng)虛擬機請求與別的虛擬機進(jìn)行通信或訪問資源時。ACM模塊能根據(jù)用戶定義的策略判斷。以此達(dá)到對虛擬機的資源進(jìn)行控制以及對虛擬機之間的信息流進(jìn)行控制的目的。

(2)Xen的可信計算

可信計算技術(shù)是一種新興的信息安全手段，其安全措施是通過構(gòu)建信任鏈來防御攻擊。通過傳遞機制，在系統(tǒng)啟動時可將B10S中最先啟動的代碼BIOS boot loader作為整個信任鏈的起點，依次逐級向上傳遞系統(tǒng)控制權(quán)并構(gòu)建信任鏈，直到應(yīng)用層?？尚庞嬎憧梢杂行浹a傳統(tǒng)安全防議無法提供的有關(guān)通信終點節(jié)點完整性與可信性差的問題。

可信計算平臺是能夠提供可信計算服務(wù)的計算機軟硬件實體。它能夠提供系統(tǒng)的可靠性、可用性以及信息和行為的安全性。因此，建立可信平臺是應(yīng)對云計算安全的一種重要手段。而可信平臺模塊(TPM)是可信計算的基石。

TPM實際上是一個含有密碼運算部件和存儲部件的系統(tǒng)級芯片，是云計算平臺重要的防篡改組件，這能有效保證平臺的安全。相對于傳統(tǒng)物理平臺，可信平臺在Xen等虛擬化平臺上實現(xiàn)TPM，有一定的優(yōu)越性。平時計算機裝了太多軟件，這使得構(gòu)建信任鏈變得很復(fù)雜。相對而言，使用虛擬機(VM)配合虛擬可信平臺模塊(vTPM)組成虛擬終端可信平臺要方便得多例。這是因為虛擬終端可信平臺通常只為處理某種特定任務(wù)而產(chǎn)生，可由用戶自定義其所需功能，所以功能相對簡單，更容易構(gòu)建信任鏈。此平臺可以來處理需要安全保障的在線服務(wù)或敏感數(shù)據(jù)的訪問。

現(xiàn)在，Xen 3.0以上的版本都能支持vTPM的實現(xiàn)。vTPM能實現(xiàn)虛擬計算系統(tǒng)中虛擬機的安全可靠。vTPM可以使平臺上的每個虛擬機利用其功能。讓每個需要TPM功能的虛擬機都感覺是在訪問自己私有的TPM一樣。在平臺搭建中。可以創(chuàng)建多個虛擬TPM，這樣每一個如實地效仿硬件TPM的功能，可有效維護(hù)各個虛擬機的安全。從而使Xen搭建的云計算平臺處于較穩(wěn)定狀態(tài)。

3.3 Xen的現(xiàn)有問題及解決策略

目前的Xen的安全性還有較多的安全問題。比如，Domain 0是一個安全瓶頸，其功能較其他域強，所以容易被敵手發(fā)起蠕蟲、病毒、DoS等各種攻擊，如果Domain 0癱瘓或者被敵手攻破，那么將破壞整個虛擬機系統(tǒng)。Xen的隱通道問題沒有解決。在Xen上就不可能運行高安全等級的操作系統(tǒng)。虛擬機共享同一套硬件設(shè)備，一些網(wǎng)絡(luò)安全協(xié)議可能更加容易遭到惡意破壞和惡意實施。Xen提供了方便的保存和恢復(fù)機制。使得操作系統(tǒng)數(shù)據(jù)的回滾和重放非常容易，但這些將影響操作本身的密碼特性。除此之外，在Xen中，由于安全機制做在Guest OS中，所以不能保證VMM的安全。Xen只能限制頁表一級的內(nèi)存I/O地址空間。而中斷和I/0端口地址空間的粒度要比頁表小得多。如果不同虛擬機中的驅(qū)動不幸被分配到同一個頁表空間，那么它們就可以訪問對方的內(nèi)存地址空間，造成安全問題。

針對Domain 0的問題?？上魅跛墓δ?。將其功能分解到其他域。這將會適當(dāng)減少Domain 0的瓶頸作用。具體的策略需要進(jìn)一步研究。對于敏感數(shù)據(jù)要進(jìn)行多次擦除防止再恢復(fù)。另外，Xen的ACM模塊不能完全解決設(shè)備隔離和資源隔離問題，將Xen和LaGrande技術(shù)結(jié)合是一個不錯的選擇。LaGrande是lnfel將要實施的一種硬件技術(shù)，它是一組通用的硬件安全增強組件。用來防止敏感的信息被惡意軟件攻擊。其安全功能將被整合到處理器和芯片集中。能有效增強設(shè)備隔離，實現(xiàn)I/O保護(hù)、內(nèi)存越界保護(hù)、鍵盤、顯示的隔離保護(hù)等。總之，在之后的工作中，需要慢慢解決虛擬化的安全問題，這是云計算安全的關(guān)鍵。

4、業(yè)界對虛擬化安全的努力

針對傳統(tǒng)安全防火墻技術(shù)不能有效監(jiān)控虛擬機流量的問題，mtor Networks公司使用VMware的API來開發(fā)虛擬安全分析器，以檢測虛擬交換機流量——在虛擬層之上的網(wǎng)絡(luò)層流量。該公司也開發(fā)了虛擬網(wǎng)絡(luò)防火墻，該防火墻基于虛擬機管理器，可認(rèn)證有狀態(tài)的虛擬防火墻，檢查所有通過虛擬機的數(shù)據(jù)分組，組織所有未經(jīng)批準(zhǔn)的連接和允許對數(shù)據(jù)分組進(jìn)行更深層次的檢查，確保了虛擬機間通信的安全。針對虛擬環(huán)境的安全問題，目前Resolution Enterprise公司提出要對虛擬化環(huán)境采取深層防護(hù)戰(zhàn)略。這是一個像城堡一樣的防護(hù)模型，通過執(zhí)行相應(yīng)的策略實現(xiàn)對云計算虛擬資源池的保護(hù)。這個新發(fā)明值得進(jìn)一步去研究。

除此以外。開源Xen管理程序社區(qū)Xen.org已經(jīng)開始實施Xen云平臺(XCP)計劃。目的是在云環(huán)境中利用領(lǐng)先的Xen管理程序。為未來的云服務(wù)提供安全的、經(jīng)過驗證的開源基礎(chǔ)設(shè)施乎臺。目前。已經(jīng)發(fā)布了XCPl.0及其修正版，并將慢慢發(fā)布更加穩(wěn)定的版本。這將有助于建立更加穩(wěn)定的云計算平臺。

5、結(jié)束語

虛擬化打開了云計算的大門，而云計算的本質(zhì)正是虛擬化服務(wù)。作為一個新的網(wǎng)絡(luò)計算，云計算面臨著諸多安全問題。而虛擬化安全作為云計算的特有安全問題，需要重點關(guān)注。后期研究的重點集中在虛擬機的隔離，虛擬機流量的監(jiān)控和虛擬的可信平臺的穩(wěn)固上。只有解決這些問題題，才能夠確保云計算平臺的虛擬化安全，從而放心地使用云計算。

zhangwenxi