浅谈虚拟化技术下的云安全
云安全问题是云计算技术进一步发展并得到广泛应用的一个核心且富有挑战的重要问题,通过网状的大量客户端对网络中软件行为的异常监测来获取互联网中木马、恶意程序的最新信息,推送到云服务器端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。它采用的是云计算处理机制,能够计算出Internet上的网络威胁位置,在网络威胁到达网络前进行阻挡,进行实时探测和及时保护。
虚拟化技术是在软、硬件之间引入虚拟层,为应用提供独立的运行环境,屏蔽硬件平台的动态性、分布性、差异性等,支持硬件资源的共享与复用,并为每个用户提供相互独立、隔离的计算机环境,同时方便整个系统的软、硬件资源的高效、动态管理与维护。
而将虚拟化技术运用到云安全之中,这种方法在一定程度上降低了“云安全”企业的硬件成本和管理成本,从某种程度上提高了“云安全”技术的安全性。
目前,一些运营商、有实力的企业单位以及大型政府信息中心,经过几年的建设已经初步建成了基础设施即服务(IaaS)云,很多单位已经逐步将非核心的业务移植到云平台上,而核心业务的转移因担心数据中心和云平台遭到数据泄漏或导致业务中断而开展缓慢。这其中由于虚拟化技术的引入,打破了传统的网络边界的划分方式,使得传统的安全技术手段无法做到有效的安全防护。再之,如若虚拟机管理程序被劫持,安全漏洞会导致平台受到威胁,更严重的是,安装在基于主机操作系统分区上或者虚拟机管理程序上的传统安全工具未能及时识别威胁,如果威胁发生在那些大规模的虚拟化平台上,危险所产生的后果是可想而知的。而云或基于基础设施的服务,或基于软件的服务等等,大多都是虚拟化来实现的,很多时候是通过虚拟化来形成云。
Gartner评估分析数据也显示,在数据中心虚拟化项目中最常见的安全风险有:
1、 未在虚拟化项目的初期引入信息安全措施;
2、 虚拟化的风险会导致其所有上层系统的风险;
3、 虚拟化层的数据泄漏可以导致所有托管应用的数据泄漏;
4、 对管理程序/VMM以及管理工具的管理性访问缺乏充分的控制;
5、 网络和安全控制的职责分享可能会存在潜在的损失。
因此对于采用基于虚拟化的云平台架构搭建IT环境的政府及企业用户来说,远端数据的安全性和保密性、访问权限的风险性、隐私和可靠性方面的安全隐患都是用户使用云计算所存在的考量问题,用户需要一套完整的安全方案可以为虚拟和物理环境都提供持续的保护,并满足其合规性检查的需要。且随着云计算市场的不断壮大,更多的软硬件厂商投入了更大的研究力度,一个健康、绿色的云计算体系日臻成熟。
基于虚拟化技术的“云安全”的策略和方法:
1、虚拟化技术系统架构的实现
蓝盾的BDCSS(CloudSec-Station)云计算安全平台的网络连接建立在分布式虚拟交换机技术上,支持开源技术Openvswitch。在Xen虚拟化平台中,传统上其内部网络主要由虚拟网卡与虚拟桥接器组成,提供虚拟机桥接实体网络及虚拟机之间彼此通信的机制,而虚拟交换机技术的引入可以带给Hypervisor更多弹性化的功能来管控整体的虚拟网络结构。
2、系统性的安全解决方案
通过BDCSS为基于虚拟化的云数据中心提供系统性的安全解决方案,包括防火墙、入侵检测、审计,以及漏洞扫描、安管平台等,以确保物理、虚拟和云环境中服务器的应用程序和数据的安全。BDCSS具有先进的特性,基于蓝盾智慧安全框架“动立方”,可以为云和虚拟化环境提供主动防御、自动安全保护,以及多层联动响应,用低成本、高回报的方式,将传统数据中心的安全策略扩展到云计算平台上。
3.对服务器采取虚拟化的办法,提高资源利用率
服务器整合即将原来独立的服务器应用通过VMM(virtual machine manager)合并到同一个物理服务器上。服务器采取虚拟化技术后,服务进程能在多个物理机之间透明实时迁移,能更加充分地利用服务器中的闲置资源,通过动态资源配置提升业务的灵活适应能力,提高服务器的资源利用率,提升服务器的计算能力;能够通过散热、降低空间以及电力消耗等途径压缩成本降低服务器的管理费用,简化服务器的操作和维护工作;能够对系统及时更新并且不中断用户工作,以及保护业务质量和安全。
4.虚拟机的镜像管理和VS漏洞扫描器解除一定的安全隐患
由于虚拟化软件本身具有简单的备份还原功能,能在系统非正常使用的情况下,通过简单的操作迅速把系统恢复到任意以前正常的状态。但由于以前备份的状态有可能存在着安全漏洞,在下一次还原时,管理员可能由于疏忽而忘记重新打补丁或系统升级,从而受到恶意软件的威胁。
如果我们在部署虚拟化或者进行虚拟化移植之前、期间或者之后充分考虑到这些虚拟化技术因素,利用漏洞扫描虚拟器件对主机内部外部的客户VM漏洞扫描、Web漏洞扫描、弱密码扫描等脆弱性检测,就有可能成功地实施虚拟基础设施迁移,提前进行安全管理规划,从而确保虚拟化管理的安全性。
5.重新规范管理员的权限,防止虚拟化文件被窃取
存放在远程云中心中的数据,用户不能通过物理控制、逻辑控制等方式对数据的访问进行控制,这就可能存在这样的风险,云计算平台提供商的超级用户权限用户有可能对企业的数据进行查看与修改。而且当很多虚拟机运行在物理服务器上时,这些虚拟服务器管理员往往也接手了虚拟化网络环境的管理工作,这就意味着管理员的权限增加了,需要对管理员的权限重新规划并明确其职责范围。除明确管理员的职责外,利用VM服务控制台和虚拟管理控制台对用户身份进行双因子认证,实现用户访问权限及访问记录管理等安全功能,可大幅降低非法身份的用户访问虚拟化文件。
6、数据加密、通信加密、防火墙技术,形成虚拟化平台的纵深保护
如果攻击者能够攻破一个客户虚拟机,在同一个物理主机上运行的其它客户机也可能会被攻破,因为它们共享的是同样的运行环境。因此需要通过动态加密的方式来确保云系统中数据的安全,即对数据本身进行加密存放。同时,通过云平台系统通信传输加密,建立安全的VPN传输通道,并且结合传统防火墙技术对外安全隔离,避免黑客攻击,实现数据加密、保证传输安全私密等,强化了物理服务器和虚拟主机的安全。万一其中一个虚拟化层面或者网络层面出现问题,由于数据是加密存放的,就能够给数据安全提供更多保障。
总之,云计算产业具有巨大的市场前景,云安全的发展给网络时代互联网的安全提供了更大的可能性,它将是未来市场发展的趋势,我们需要能发挥它的优势而规避其劣势,将虚拟化技术与云安全技术有机结合,实现完全意义上的云安全,只有安全得到保障,才能打破用户顾虑,使云计算得到更快、更深入的发展,让每个用户在享受云计算带来的便利时也成为识别安全威胁的贡献者.(作者:周宋明)