2023年面向云计算虚拟化的信息安全防护方案研究.docx

面向云计算虚拟化的信息平安防护方案研究 郭晶 杜平 摘   要：云计算通过虚拟化技术实现网络按需调用集中共享资源，也引入了新的信息平安风险。文章分析了虚拟化面临各种威胁所对应的解决技术，通过无代理方式，从虚拟机外部为虚拟机中运行的系统提供高级保护。同时，从入侵检测、通信访问控制、防恶意软件以及防病毒等方面制定有效、全面的平安防护方案，完善企业云计算虚拟化信息平安防护体系，提高企业云计算虚拟化信息平安防护水平。 关键词：虚拟化;无代理;虚拟机监控;入侵检测 Abstract： Cloud computing uses virtualization technology to realize network call on demand and centralized sharing of resources， which also introduces new information security risks. This paper analyzes the corresponding solutions to the threats faced by virtualization， and provides advanced protection for the system running in the virtual machine from the outside through the agent-free way. And from the aspects of intrusion detection， communication access control， anti malware and anti-virus， we should formulate effective and comprehensive security protection scheme， improve the information security protection system of enterprise cloud computing virtualization， and improve the information security protection level of enterprise cloud computing virtualization. Key words： virtualization;agentless;virtual machine monitoring;intrusion detection 1 引言 当前以云计算等为代表的新一代信息通信技术与智能电网业务不断融合，创新活泼，开展迅猛，催生出新兴业态和新的应用。云计算通过虚拟化技术实现网络按需调用集中共享资源〔如软硬件、数据和应用〕，提高IT资源利用率和动态分配、灵活扩展能力，消除重复建设[1]。云计算虚拟化技术应用促进大型企业信息化业务架构的革新，但也引入了新的信息平安风险。本文分析企业云计算虚拟化信息平安防护的特点和需求，制定基于主机虚拟化的平安防护方案，为后续虚拟化技术应用的平安防护提供有效支撑。 2 虚拟化面临的平安威胁及分析 就目前虚拟机平安遇到的威胁挑战来看，主要集中在虚拟机逃逸、虚拟机迁移、虚拟环境网络平安、外部对虚拟机修改、拒绝效劳、数据存储平安等问题，以及传统主机中遇到的恶意代码、病毒攻击等问题。常见的虚拟化平安威胁以及应对方式有八个方面。 〔1〕虚拟机逃逸：即虚拟机进程绕过VMM直接控制底层物理资源，应对方式为正确配置VMM和虚拟机的交互方式，增强访问控制。 〔2〕虚拟机迁移：即攻击者借助某台虚拟机控制其他虚拟机或VMM。应对方式为增强隔离性。 〔3〕虚拟机之间互相监视：即虚拟机能看到其他虚拟机的内存、磁盘等信息。应对方式为增强隔离性。 〔4〕拒绝效劳：即某虚拟机占用所有资源致VMM无法给其他虚拟机提供资源。应对方式为限制虚拟机申请资源的数量。 〔5〕网络平安：嗅探、ARP欺骗以及无法监控虚拟机之间的流量。应对方式为网络隔离，禁止混杂模式，使用平安防护软件，采用支持虚拟机网络流量监控的通信技术。 〔6〕虚拟机监视器的平安：受非法控制和篡改。应对方式为采用可信计算技术以及平安防护软件。 〔7〕恶意软件：非法控制虚拟机和VMM，破坏系统正常运行。应对方式为采用可信计算技术以及用虚拟机自省实现平安防护。 〔8〕数据存储的平安：数据的平安存储、数据传输的完整性和保密性、数据的容错性和可恢复性。应对方式为通过环境平安技术、冗余存储机制、数据加密存储和传输技术，以及数据访问主体的身份管理与鉴权技术进行数据存储平安防护[2]。 由于虚拟化面临的威胁众多，要实现一个全面的虚拟化平安防护系统，首先需要获取虚拟机的运行状态和系统信息，对虚拟机的运行状态进行分析和相关处理，以到达虚拟化平安防护的目标。 3 主要难点 〔1〕传统的企业网络划分不同的平安域，并且在不同的平安域之间部署防火墙等网络平安设备。然而在云环境下，不同的业务网络是构建在虚擬网络技术之上，无法采用物理防护设备[3]。 〔2〕大多数虚拟化平安技术多采用传统的主机防护方式来增强虚拟机的平安。采用这种技术需要在每个虚拟机中部署主机防护系统，例如主机防火墙、主机杀毒软件、主机监控系统等。在云计算的模式下，这种侵入式的平安系统部署，不仅会降低虚拟机效劳的可信性，还会影响云计算模式的可行性。另外，大量重复部署主机防护产品，会造成系统性能开销过大、可维护性差等问题[4，5]。 〔3〕采用虚拟化层平安增强的方式是研究的热点，目前主流的方式有代理方式和无代理方式，有代理的部署方式也属于侵入式部署，同样具有上述性能开销过大、维护性低的问题。然而，无代理方式是从虚拟机外部直接获取虚拟机内部信息[6]，这种方式不是基于事件驱动的方式，因此存在实时性不高的问题，虚拟机的平安问题不容易得到及时的反响[7]。 4 虚拟机平安防护增强方案 本方案在物理效劳器搭建平安管理中心，进行统一的系统防护策略配置、平安防护策略库和病毒库统一下发及更新、平安事件审计等。平安功能在管理平台统一操作，支持单独和批量管理。 每个虚拟效劳器中不单独安装平安防护软件或平安引擎，在物理计算机虚拟化Hypervisor层构建平安防护引擎，单个引擎统一保护同一物理计算机上运行的所有虚拟机。通过无代理方式，从虚拟机外部为虚拟机中运行的系统提供高级保护，技术架构如图1所示。 系统通过无代理、非侵入式的虚拟机监控，高效监控虚拟机状态。在虚拟机监视器上利用虚拟机自省工具获得被监控虚拟机的内部运行信息进行监控，监控覆盖VM运行所涉及的处理器存放器、内存、磁盘、网络等全部状态和硬件事件。通过采用无代理方式的虚拟机监控不仅可以实现同一物理计算机上的虚拟机之间通信的细粒度访问控制功能，还可针对单独的网络接口进行配置，从而实现高效率的平安防护。比拟传统平安防护方案，虚拟机不再需要单独安装平安软件，防止了硬件资源被冗余消耗，节省了资源，提升了系统运行效率。 无代理平安防护系统提供全面的平安防护，包括防火墙、入侵检测、病毒防护功能等。系统采用虚拟防火墙，实现虚拟机的细粒度访问控制。虚拟机单点防火墙的准入控制基于虚拟端口的访问控制，实现以虚拟交换机为边界的虚拟机的细粒度的访问控制。 在入侵检测方面，采用虚拟机监视器〔Hypervisor〕攻击拦截机制，自动检测虚拟机向外部的攻击，在不阻断合法数据通信的情况下拦截攻击包，对系统漏洞攻击进行栏截，并对异常通信行为进行检测，根据策略进行自动响应。 病毒防护方面采用在虚拟机部署轻代理结合虚拟机自省技术搜集数据的方式，动态监控可疑程序执行过程提取协议信息的分析方法。采用虚拟运行环境分析方法对恶意程序进行认定，通过构造一个面向云平台的轻量级虚拟机内容检测框架，在其中建立一个隔离的环境并动态执行可疑文件，由系统观察文件执行的结果，以便于确定是否为恶意软件。 5 结束语 通过对虚拟机自省等关键技术的深入研究，制定了全面的虚拟机平安防护方案，为大型企业提供了完备的云计算虚拟化信息平安防护体系，提高企业云计算虚拟化信息平安防护水平。 参考文献 [1] 王笑帝，张云勇，刘镝，等.云计算虚拟化平安技术研究[J].电信科学，2023， 31〔6〕：1-5. [2] 谷子伟.云计算技术下的虚拟化平安研究[J].无线互联科技， 2023〔19〕：89-90. [3] 武少杰.云计算下虚拟环境平安的关键技术研究[D].郑州：解放军信息工程大学，2023. [4] 谢盈.云计算数据中心平安防护技术研究[J]. 西南民族大学学报〔自然科学版〕，2023， 44〔06〕：70-74. [5] 王焕民，裴华艳.云计算环境下虚拟化效劳器的平安研究[J].铁路计算機应用， 2023， 23〔12〕：49-51. [6] 韦银.基于云计算环境下的网络信息平安技术[J].网络平安技术与应用， 2023〔1〕：58-59. [7] 赵梦.云计算环境下虚拟化效劳器的平安探讨[J].电子技术与软件工程， 2023〔3〕：222-222. [8] 梁继良，孙家彦，韩晖.大数据时代平安可信防御体系[J].网络空间平安，2023，9〔12〕：35-40.