服务器虚拟化安全风险防范的措施.docVIP

服务器虚拟化安全风险防范的措施 　　摘 要：本文首先对云计算的基础核心技术即服务器虚拟化实现技术的介绍，分析全虚拟化、半虚拟化和硬件辅助虚拟化三种实现技术。然后总结出当前由服务器虚拟化带来的特殊安全风险，大致可分为VMM的设计缺陷、虚拟机之间通讯风险和虚拟化管理平台漏洞三个方面。针对每一种具体的漏洞进行详细的阐述，并给出这些安全问题的相应对策。 　　关键词：云计算；服务器虚拟化；虚拟机；VMM；安全风险；防范措施 　　中图分类号：TP399 　　1 引言 　　近年来随着信息技术在全球的迅猛发展，云计算已受到各界广泛关注。云计算的特性可归结为虚拟化、分布式部署和动态扩展性[1]，其中虚拟化是云计算有别于传统IT环境的最关键特性。而在众多虚拟化技术中，应用最广泛的当属服务器虚拟化[2]，此项技术可以将一台或一群物理服务器构建成虚拟化环境，在其中虚拟出更多可按需灵活配置的虚拟系统，每个系统相互独立。此项技术可以充分改进硬件资源的利用率，降低能耗，有效实现计算资源整合的目的。然而服务器虚拟化并未止步于此，发展到今天，它已支持跨越IT架构实现各个资源层面的灵活部署，可谓突飞猛进。它的快速发展直接推动了当代云计算应用日趋多样化和复杂化，开启了人类跨入大数据时代的大门。 　　然而万事有利必有弊。正是由于各种虚拟化技术的引入和发展，使得云计算遇到了传统IT环境前所未有的安全挑战。通过和传统IT环境的对比情况来看，笔者认为云计算的安全问题大致可以划分为三类：①许多传统IT环境未能解决的安全问题，延续到云计算中仍然无能为力；②一些传统IT环境中已经能够克服的常规安全问题，但进入云计算后表现得更新颖、更复杂、更棘手；③包括服务器虚拟化技术在内的各种虚拟化技术，它们自身存在漏洞缺陷有待完善。 　　尽管云计算的安全问题饱受争议，但是它的优势也是有目共睹的，在没有找到更优秀的替代技术之前，人们不应因噎废食，必须迎难而上，针对新的安全困难逐一寻找对策。人们应该明白一个道理，若想找出一揽子的方案来解决云计算中的所有安全问题，那只能是一种不切实际的美丽幻想。云计算的安全课题内容过于宽泛，本文仅从云计算最核心的技术之一――服务器虚拟化技术出发，着重论述基于此项技术所产生的安全风险，并尝试在生产应用实践中给出解决方案或思路。 　　2 服务器虚拟化实现模式介绍 　　目前市面上流行的服务器拟化软件有好多种，一些主流的实现技术往往异同并存，因此技术界对它们的技术分类也莫衷一是。本人经过综合研究，认为当今真正能够用于商用的企业级服务器虚拟化系统，基于它们的实现模式来分类，大致也只有三大“流派”，分别是：全虚拟化，半虚拟化，以及硬件辅助虚拟化。至于其它如硬件仿真和操作系统级的虚拟化，它们更多是应用于硬件开发环境和个人使用环境，它们目前的技术发展难有质的突破，暂时不可能成为企业级商用虚拟化技术的主流，更不会成为云计算的基础，因此本文不讨论它们的安全问题。本节针对这三种主流虚拟化实现技术进行简要概述。 　　2.1 全虚拟化 　　如图1所示，全虚拟化的实现方式是：在客户操作系统（即虚拟机系统）和原始硬件（即物理机硬件资源）之间插入一个虚拟机监视器VMM[3]（Virtual Machine Monitor），又称为Hypervisor，通过VMM在虚拟机和原始硬件之间进行协调。文献[4]指出，VMM实时探测虚拟机发出的指令流，动态识别特权或敏感指令（Ring 0），一旦识别出这些指令，VMM就拦截它们，通过二进制转译（VMWare的BT技术）来模拟这些指令的行为，向原始硬件发出指令。当然，如果虚拟机发出的只是用户级的指令（Ring 3），VMM不拦截，因为二进制转译对性能将产生巨大负荷，而非关键指令并不控制硬件或威胁系统安全，因此可以放行。这种策略在提升效率的同时，也保障了安全。 　　全虚拟化的典型代表就是VMWare vSphere。它的优点是操作系统无需任何修改就可以直接运行，问题是二进制转译工作往往造成性能大幅下降，而且目前尚未找到加速二进制转译的好办法。 　　2.2 半虚拟化 　　并行虚拟化（paravirtualization）惯称为半虚拟化[4]。它与全虚拟化的共同点是，都采用一个VMM实现对底层硬件的共享访问。但是半虚拟化将许多与虚拟化相关的代码植入了虚拟机操作系统，于是不再需要VMM捕获特权指令和二进制转译。半虚拟化为每个虚拟机提供一个特殊的API，但要求在客户操作系统中进行大量修改。文献[4]描述道，有个智能编译器协助客户操作系统通过Hypercall来调用那些无法虚拟化的OS特权指令。传统的x86处理器提供四级指令环：Ring 0―3。环数越低，表示执行的指令权限越高。OS负责管理硬件和特权指令在Ring 0执行，而用户级的应用程