云计算环境下的虚拟化技术的安全性问题研究

打开文本图片集

【 摘 要 】 虚拟化技术是云计算中最核心的技术，虚拟化中的安全隔离、迁移复制、权限访问等安全问题，也是云计算安全的关键因素。本文从技术防护、人员防护和权限控制等角度出发，指出并分析了云计算环境下的虚拟化可能存在的一系列安全性问题，并给出了相应的安全建议，为云计算的发展提供了安全性方面的参考。

【 关键词 】 云计算；虚拟化技术；安全性

The Research of Security Issue of Virtualization Technology in Cloud Computing

Xu Guang-yu

（Network Center of Suzhou University JiangsuSuzhou 215006）

【 Abstract 】 Virtualization technology is the core technology in cloud computing， The security issues such as security isolation， migrate， copy， access， etc. in virtualization is the key factor for cloud computing security. This article points out and analyzes the virtualization of the cloud computing may be a series of safety problems from the technology aspects such as personnel protection and access control， and gives the corresponding suggestion， and provides the security for the development of cloud computing.

【 Keywords 】 cloud computing； virtualization technology； security

1 引言

关于“云计算”的概念，其实并没有一个统一的定义。云计算是一种新兴的共享基础架构的方法，是一种基于互联网的计算新方式，通过互联网上异构、自治的服务为个人和企业用户提供按需即取的计算。

虚拟化技术是云计算最核心的技术，它基于使用软硬件分时服务、模拟与仿真执行等技术，达到在单个计算机物理设备上模拟出多个相互独立的硬件执行环境的目的。这个相互隔离（独立）的虚拟执行环境也被称为虚拟机（Virtual Machine，VM），在这些虚拟机上用户可以运行不同的操作系统和各种应用程序。

云计算的吸引力在于其经济上的可扩展性、资源复用和高效。云没有边界，从而使世界变得更小。在广大云计算提供商和支持者的推崇下，众多企业用户已开始跃跃欲试。然而，云计算也带来了一些新的安全问题，由于众多用户共享IT 基础架构，安全的重要性非同一般。

（1）虚拟化服务器是否安全？如果虚拟化服务器（物理主机）受到破坏，那么它所管理的虚拟服务器都有可能会受到攻击。如果虚拟化服务器存在问题，那其管理下的所有虚拟机的正常运行都可能受到影响。

（2）虚拟机是否安全？一台虚拟机出现安全问题，可能影响到同一物理主机下的其他虚拟机，更有可能影响到虚拟化服务器。

（3）虚拟机技术之中特有的又属于常规的信息安全行为是否得到管理员的重视？管理员可能只看到了它的便利之处，却忘记了该有的安全警惕。

目前云计算仍处于初级阶段，各式各样的供应商提供多种基于云的服务。供应商在推广自己的产品、服务的时候更多地展示如何产品优秀，前景如何广阔，而对存在或潜在的缺陷却只字不提。对于最终用户而言，这是新技术，能够充分了解或掌握其内涵的人相当有限，对云计算产品、服务可能存在的隐患，特别是安全方面的问题更是知之甚少。

对于虚拟化技术，就目前而言，在不少IT企业已经得到一定的推广，而虚拟化技术是否安全肯定会严重触及云计算最终的实现效果。目前与虚拟机安全相关的学术文章也有不少，但或者理论性太强，或者点到而止。本文尝试从实践的角度出发，理论联系实际，对虚拟化技术的安全问题作一定的研究。

2 云计算与虚拟化技术的关系

2.1 虚拟化的本质

云计算的出现在某种意义上剥离了软件与硬件之间的联系。云计算环境相比之前的技术，大量运用包括计算能力虚拟化、网络虚拟化、存储虚拟化等虚拟化技术。传统的运营模式中，企业除了要投资计算机软件、硬件的建设，还要有相应的技术人员来管理软、硬件，这使得企业为此付出了极大的成本。而云计算模式下，企业“花钱买服务”即可，云计算并不限制应用程序与硬件之间的必然联系，即透过平行运算的方式，一个应用程序可以在不同的硬件上执行，全面解除应用服务与硬件资源间的固定对应关系。

虚拟化的本质是提高用户对资源的使用效率和管理能力。为了给用户提供端到端的资源虚拟化服务，虚拟化的网络又分为虚拟化服务、虚拟化通道、虚拟化设备。服务器作为虚拟服务的承载，通过虚拟机实现服务的位置无关性；连接通道作为服务流量的承载，虚拟化技术配合实现了虚拟服务的迁移、虚拟服务的备份和负载分担；网络设备作为虚拟通道的承载，虚拟化技术提供了虚拟通道的灵活配置和虚拟通道间的负载分担，将服务流量的接入、汇聚、核心灵活地根据用户需要进行整合，带来了虚拟通道部署时的稳定性和灵活性。

然而，在以虚拟化技术为核心的云计算中，安全可能成为一道短板。如果在应用中安全问题不能得到有效控制或解决，那上述一切的优点将不再是优点，反而可能是用户的梦魇。

在这其中，虚拟机安全问题首当其冲。由于服务器虚拟化技术是一项新兴的技术，用户在设计、应用、测试和部署时对虚拟化的安全性问题考虑较少，或者虽然考虑了但仍采用传统的安全防护技术来解决现有虚拟机中存在的问题，这会使得用户使用云计算提供的各种服务存在巨大的风险。

虚拟化技术是云计算的基石。一个云计算的应用必定是基于虚拟化的。目前，云计算已经是第三代的IT，第三代是动态，所有的信息和数据都在动态的架构上，否则也就没有云，没有云计算。虚拟化是动态的基础，只有在虚拟化的环境下，云才是可能。同样，只有充分研究并解决虚拟化技术的安全问题，才能使云计算得到长足的发展。

2.2 云计算的安全范畴

云计算中的安全包括身份和访问管理、数据安全、隐私保护、虚拟化安全等。在云计算环境中，节点的物理硬件和网络物理硬件通过多层虚拟化的逻辑简化过程形成了弹性化的计算、存储和网络带宽三者整合的虚拟资源池。提供了随需而选的资源共享、分配、管控平台。用户可根据上层的数据和业务形态的不同需求，搭配出各种互相隔离的应用。这样通过虚拟技术，就形成一个服务导向的可伸缩的IT基础架构，可以提供云计算服务。

云计算与传统IT环境最大的区别在于其虚拟的计算环境，正是这一区别导致其安全问题变得异常“棘手”。身份管理、数据安全等问题可以通过现有的访问控制策略、数据加密、网络备份等传统安全手段来解决，而虚拟化作为云计算最重要的技术，且虚拟环境是云计算的独特环境，传统的安全措施很难从根本上解决问题，必须采取新的安全策略。

3 虚拟化安全问题研究

3.1 资源运行发生意外

3.1.1 虚拟机溢出

虚拟机的溢出是指资源的使用超出了预先设置，这种情况往往来源于管理程序设计过程中的安全隐患，它会传染同一台物理主机上的虚拟机，包括多种情况：同一物理机上的虚拟机使用的CPU或内存总和等资源接近或超出物理机的总容量；单台虚拟机出现CPU或内存的使用超标。

3.1.2 虚拟化服务器的宕机

虚拟化服务器的宕机出现的概率相对较小，除了上述的资源溢出外，更多可能的原因在于该控制器所在的物理机的硬件出现问题，还有一部分可能在于黑客攻击。

3.2 黑客攻击虚拟化服务器

有这样一种可能，由于某种漏洞的出现，控制器程序会被黑客干扰或者插入流氓管理程序。由于控制器管理程序是在处理器专属级别上运行的，所以管理程序上运行的任何操作系统都很难甚至不可能侦测到这些虚拟化安全威胁。虚拟化出现安全问题的一个重要原因就是在部署之时就没有考虑安全因素，从而导致在软件、硬件上都存在潜在的安全隐患。这里所谈到的漏洞，有时可能会是管理员的一个低级错误引起的。比如，管理员所设置的虚拟化服务器（物理主机）的IP地址和虚拟机所使用的IP地址在同一网段（同一Vlan）或者有路由联通，那从虚拟机就可以直接“管理”到虚拟化服务器了。又如，把很多虚拟机放在一台物理机器上，并且用户的关键应用和敏感数据也都在这台物理机上；或者把不同安全级别（或信任级别）的应用放在了同一台物理机上而没有加以隔离。这样部署虚拟机的结果是其安全性甚至还不如相应的物理服务器。

前面所述的虚拟机的溢出将可能导致暴露相关的漏洞并可能允许黑客威胁到特定的虚拟机甚至是物理机（指上述的虚拟化服务器），将黑客攻击从虚拟服务器升级到控制底层的管理程序，可能导致相关的虚拟机停止服务。从理论上来说，控制了管理程序的黑客会控制任何在物理服务器上运行的虚拟机。如果整个虚拟化服务器出现问题，将可能影响到该控制器下的所有虚拟机的正常运行。

还有一种特殊情况，那就是虚拟化服务器中的虚拟机文件被盗。由于一般情况下一台虚拟机就是一个文件，所以这是一种相当于窃取了完整的物理服务器的攻击，而且无需进入安全的数据中心和移除计算设备。

3.3 虚拟机单体安全事件

一台虚拟机从运行的角度来看，它基本就是一台物理服务器。以前在物理服务器上所要配置的安全设置，同样也要在虚拟机上实现。不仅如此，其他的包括入侵检测等在内的安全措施，虚拟机也照样需要。同理，原先针对物理服务器的黑客攻击、病毒感染等问题，对于虚拟机单体来讲，仍然是不可回避的。

虚拟机单体安全事件在虚拟机安全中不能孤立地看，因为某虚拟机如果出了问题，将有可能影响到在同一物理机上的其他虚拟机的安全，即便入侵者没有更改虚拟机的中的任何设置，如果他把其他虚拟机改为停机状态或离线状态，或者更改了它们的配置，那将可能造成相应的通信中断、应用服务中断。

虚拟机单体安全事件同样也可能影响到虚拟化服务器的安全。在虚拟化环境下，资源（如CPU、内存、硬盘和网络）由虚拟机和宿主机（虚拟机控制机）一起共享。因此，如果有人发起DoS攻击的话，则有可能会加到虚拟机上从而获取虚拟机控制机上所有的资源，由于资源耗尽，从而造成系统将会拒绝来自客户的所有请求，直至彻底宕机。

3.4 虚拟机迁移导致的信息泄露

虚拟化软件可以有效地将应用程序栈和底层硬件脱钩，一台虚拟服务器可以像一个文件那样被复制、备份、迁移、移动，甚至可以动态迁移——即一台虚拟服务器可以在正在运行的过程中被迁移到他处，而用户访问不受影响并毫不察觉，所以虚拟化能够提供服务水平协议并提供高质量的服务。

虚拟机的迁移本是虚拟机技术给资源管理带来的诸多好处之一。但如果有人（不一定属于黑客）拥有虚拟机控制机的管理权限，那他可以在不知不觉中将某重要虚拟机进行复制、迁移操作。在复制、迁移过程中，虚拟磁盘被重新创建，而创建者完全可以重新配置虚拟机的属性、特性，且有足够的时间来研究、破解虚拟机原有的安全措施，在破解的过程中无人能够察觉或追踪，因为这个虚拟机和原来的虚拟机一模一样但却仅是一个副本。甚至，最终攻击者可能将此副本顶替原先的虚拟机投入正常运行，从而彻底掌控这台虚拟机所包含的敏感数据。还有一种可能是将某重要虚拟机迁移到另一台物理主机上，从而有可能脱离IDS等系统的保护，从而带来安全风险。

3.5 服务器备份中可能出现的信息泄露

对于任何一个重要的信息管理系统，数据备份是常规工作，但数据备份不是做一下、做完了就完事了。企业信息化采用了云计算模式后，备份的数据一般也会放在云端，或者说放在某台虚拟机（或虚拟存储）里。有人可能会这样认为，反正我的虚拟机资源很多，我多做一个备份（相当于异地容灾备份），这下数据安全不是更有保证了吗？这样的理解确实没错，重要数据是要做不止一份备份，还要做容灾备份。只是在做备份的时候，很多管理员可能会忽视备份虚拟机的安全性。如果备份服务器受到攻击，那数据安全同样得不到有效保证。

4 虚拟化安全风险对策

4.1 保证虚拟化服务器（物理主机）的安全

几乎在所有的信息安全范畴当中，最基本的就是物理设备的安全，比如说不会出现天灾人祸而导致物理设备损毁或被盗等，从系统运行的角度讲，这其中应该包括硬件、软件两个方面。

硬件方面，物理主机至少配置要高、设备稳定性好，应使用新的带有多核的处理器，并支持虚拟技术的CPU，能保证CPU 之间的物理隔离，会减少许多安全问题。至少不会出现或者难以出现因硬件问题导致虚拟机系统集体宕机的事件。软件方面，虚拟化服务器软件层直接部署于裸机之上，提供能够创建、运行和销毁虚拟服务器的能力。虚拟化层的完整性和可用性对于保证基于虚拟化技术构建的公有云的完整性和可用性是最重要，也是最关键的。作为虚拟机的核心，必须要确保它的安全。

在虚拟机服务器里创建、配置新的虚拟机的时候，管理员需要根据虚拟机服务器硬件的实际情况来配置虚拟机的属性，切不可为了达到“物尽其用”的目的，而使“虚拟机溢出”成为可能。

4.2 防范黑客攻击

对虚拟化服务器的攻击，一般或者通过应用程序接口（API）或网络攻击，或者通过虚拟化服务器管理下的虚拟机攻击。对于恶意代码通过应用程序接口（API）攻击，系统要确保虚拟机只会发出经过认证和授权的请求；对于通过网络进行攻击，需要严格谨慎地配置网络访问，以及使用强密码保护。

防范对虚拟化服务器的攻击，还必须严格限制任何未经授权的用户访问虚拟化软件层。云服务提供商应建立必要的安全控制措施，限制对于相关的虚拟化层次的物理和逻辑访问控制。

4.3 保证虚拟机的安全

前面已经叙述过，虚拟机的安全与否和虚拟化服务器的安全也是有很大关联的，所以虚拟机的安全工作也是任重道远的。

管理员不一定能触及每台虚拟服务器的管理，但平时要做好基础性工作（比如说打好虚拟机补丁等），要加强对虚拟服务器的运行状态的严密监控，及时发现存在的安全隐患。对不需要运行的虚拟机应当立即关闭。发现问题要及时处理，严格防范类似于“虚拟机溢出”这类问题的发生，这是最基本的。

采用虚拟化技术前，用户可以在防火墙设备上建立多个隔离区，对不同服务器采用不同的规则进行管理，由于隔离区的存在，对一个服务器的攻击不会扩散到其他服务器。虚拟机的运行模式为在同一平台上的并存模式，从自身安全角度都存在着隔离的需求，并且所有的虚拟机会集中连接到同一台虚拟交换机与外部网络通信，会造成安全问题的扩散。所以隔离的方法不能像传统方式那样使用网线、交换机或者防火墙等物理手段，只能依靠虚拟机监视器和一些软件模块来实现。

从运维的角度来看，对于虚拟服务器，应当像对一台物理服务器一样地对它进行系统安全加固，包括系统补丁、应用程序补丁、所允许运行的服务、开放的端口等。同时严格控制物理主机上运行虚拟服务的数量，禁止在物理主机上运行其他网络服务。

所以在这方面，管理员一则还是要依靠那些传统的安全手段，二则在布置、分配、设置虚拟机资源的时候，需要根据不同的安全需求、安全级别来处理虚拟机申请。

4.4 有限分发、安全迁移及有效备份

有限分发、安全迁移及有效备份指的是虚拟机的分发/访问管理，它所涉及的主要就是权限管理，因为虚拟机的分发、迁移及备份不是每个人都能涉及到的。

4.4.1 有限分发

所有的虚拟机都应该是首先通过系统管理员来创建和保护的，如果某些最终用户，如开发人员、测试人员和培训者需要和网络环境中的虚拟机交互，那么这些虚拟机应该是通过资源池的管理员来创建和管理的。管理员需要控制所有到资源池的访问以确保只有被信任的用户才具备访问权限。控制所有到资源池管理工具的访问，只有被信任的用户有权访问资源池组件，如物理服务器、虚拟化管理程序、虚拟网络、共享存储等。需要注意的是，这是的资源池是泛指，除了虚拟机、虚拟存储外，还包括相应的虚拟机文件、存储文件及它们所在的文件夹等。资源是有限的，分发应是可控的。

4.4.2 安全迁移

复制性迁移其实也是备份的一种方式。将某虚拟机复制到他处，如果原虚拟机宕机，就可迁移启动备份虚拟机来达到“无缝切换”的目的，当然条件是该虚拟机中应用程序的数据是另存他处的。

管理员在进行虚拟机的复制、迁移的过程中要有全局的安全意识，以保证虚拟机拥有足够的安全保证。避免出现因为迁移而导致虚拟机失去必要保护的低级错误。管理员可以不是负责迁移工作的人员，但这个负责迁移的人必须是安全可靠的。

4.4.3 有效备份

任何一级的管理员都必须树立安全意识，在整体管理中有逐级负责的概念。管理员要进行有计划的备份，包括完整、增量或差量备份方式，备份对象不仅有常规的文件、数据，还可以根据需要对相应的虚拟机文件进行备份，以保证能够有效地进行虚拟化的灾难恢复。当然，很关键的，备份服务器（或存储）应是安全的所在。

大多数的安全工作说到底除了技术防护，还有一个就是“人防”。所以，除技术之外的人员管理规则及建设标准也必须与之同步发展，真正达到解决云计算的信任问题。

5 结束语

虚拟化技术是云计算最核心的技术，而信息安全是制约云计算更快发展的主要因素之一，虚拟化技术的发展能为用户带来快速部署、灵活应用、节约经费等一系列好处。作为云计算的核心技术，我们必须重视其安全问题。

网络安全工作没有终结点，云计算的安全也是这样。随着云计算技术的快速发展和更广泛地应用，我们将会面临更多的安全风险，没有什么方案、方法能够一劳永逸，而遵循已有的最佳安全实践，将可以加强云计算的安全。

参考文献

[1] 薛静. 基于虚拟化的云计算平台中安全机制研究[D]. 西安：西北大学，2010.

[2] 陈世兴. 虚拟化，网络面向应用的第一步[N]. IP领航，2013.1.

[3] 易涛. 云计算虚拟化安全技术研究[J]. 信息安全与通信保密，2012.5：63-65.

[4] 房晶，吴昊，白松林. 云计算的虚拟化安全问题[J]. 电信科学，2012.4：135-139.

[5] 朱源，闻剑峰. 云计算安全浅析[J]. 电信科学，2010.6，54-57

甘宏，潘丹.虚拟化系统安全的研究与分析[J].信息网络安全，2012，（05）：43-45.

[6]郝斐，王雷，荆继武等.云存储安全增强系统的设计与实现[J].信息网络安全，2012，（03）：38-41.

作者简介：

许洸彧（1971-），男，毕业于东南大学，本科学历，硕士学位（工程硕士），苏州大学信息化建设与管理中心，中级职称；主要研究领域：网络安全、网络应用设计。