虚拟化环境下的信息安全风险及防护措施

-精选财经经济类资料- -最新财经经济资料-感谢阅读- 1 虚拟化环境下的信息安全风险及防 护措施 （大庆油田信息技术公司，黑龙 江 大庆 163000） 中国论文网 /3/view-12962701.htm 摘 要 虚拟化技术是当前云计 算的核心，是服务云和私有云的关键因 素之一，它的出现给数据中心的运行维 护带来了巨大改变。虚拟化环境中的存 储、计算和网络安全等资源成为云计算 有力的支撑体系。然而，随着数据中心 里的虚拟机越来越多，虚拟化环境下的 信息安全风险开始日益显露，因此，如 何构建云时代下的虚拟化安全防护体系 的问题亟待解决。 关键词 虚拟化；安全防护；防 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 2 护措施 doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2017. 05. 081 中图分类号 TP309 文献标识码 A 文章编号 1673 - 0194（2017）05- 0153- 02 0 引 言 近年来，云计算技术进入快速发 展的时代，作为其最重要的支撑技术， 虚拟化技术承载的业务系统规模越来越 大，并逐步向核心业务发展，云计算体 系下的虚拟化环境面临的安全风险亟待 关注。 1 虚拟化环境中的安全风险 1.1 传统安全问题依然存在，资 源争夺成新挑战 一是传统的安全风险在虚拟化环 境下仍需解决。物理服务器划分出来的 每个虚拟机的业务承载及服务与单台服 务器基本相同，操作系统和应用程序的 漏洞及攻击、业务系统之间安全隔离、 系统访问控制、文件存储安全、防病毒 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 3 系统等方面的安全风险，依旧是虚拟化 环境中的薄弱点。 二是虚拟机之间争夺系统资源。 多个虚拟机同时开启传统的安全软件如 病毒扫描、防病毒更新等操作将占用大 量内存资源，造成网络负担过重和虚拟 机性能问题，形成“ 防病毒风暴 ”。 1.2 虚拟化环境自身存在缺陷， 造成内部攻击 虚拟化的客户端在 Hypervisor 管 理层上的特性导致了虚拟化平台增加了 自身安全问题。Hypervisor 是介于物理 服务器与操作系统之间的软件层，也称 为 VMM，它允许多个操作系统共享一 套物理硬件，是虚拟化技术的核心。作 为虚拟化平台中新出现的软件层， Hypervisor 缺乏完整性，系统漏洞或管 理员的安全配置不当都易导致入侵者展 开攻击。如虚拟机在物理服务器之间迁 移时不产生告警与调用审查机制、虚拟 机共享数据或重分配资源时有内存泄露 风险、虚拟机间不可见的流量无法进行 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 4 监测、过滤与隔离、未加密的 VM 镜像 可引起恶意篡改与漏洞攻击。此外，攻 击者利用 Hypervisor 层运行虚拟机内部 子操作系统的模式展开超越虚拟机范围 的攻击，攻击进入某个子系统后可蔓延 至虚拟服务器和其他物理资源。 1.3 虚拟机管理成难题 虚拟机管理也带来一定的安全问 题。虚拟化环境造成管理终端数增长， 防护范围扩大。管理网络与生产网络未 隔离，管理员维护虚拟化平台时，对虚 拟机自动设置、配置或迁移的过程难以 实时跟踪和管理，难以实现一致性安全 策略。此类虚拟机运行全过程的动态数 据庞大且难以计算，造成管理安全风险。 此外，物理主机的安全隐患向其虚拟机 传染导致的“ 虚拟机溢出”、快速增长的 虚拟机导致补丁更新负担过重也是虚拟 机管理带来的安全问题。 2 虚拟化安全防护措施对策及建 议 2.1 加强传统的安全防护措施， -精选财经经济类资料- -最新财经经济资料-感谢阅读- 5 提高风险识别和防范能力 严格控制对业务系统的访问权限， 加强身份认证和鉴别机制，降低攻击者 从系统入口获得登陆权限的可能性。虚 拟化平台中的数据传输和信息共享时进 行严格加密，设置存取控制策略保证文 件安全。定期进行病毒扫描和防病毒更 新，虚拟机之间病毒扫描时间段不得重 叠，以防造成网络负担过重。增强虚拟 机的安全监测和日志审查机制，对虚拟 机内可能存在安全风险的操作项进行严 密监控。加强日志审计功能，设置 hips 监控，利用 Syslog 收集日志审计，以做 到风险日志可查。 2.2 保障 Hypervisor 自身安全 Hypervisor 的自身安全是虚拟化 技术安全管理的核心内容。制定和执行 针对 VMM 的严格访问控制策略，锁定 管理层的网络访问，定期进行漏洞修补、 病毒扫描。通过去除非必要功能精简内 核来提高 Hypervisor 的可靠性，加强内 核模块和磁盘的完整性来保证完善的内 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 6 容保护功能。对 VMM 设置日志审计功 能，并制定监测预警机制。 强化文件存取技术，探索国产化 加密技术，保证数据在传输和存储过程 中不被攻击和窃取，使用网络分段和访 问控制列表阻止其他虚拟设备接入，保 障虚拟环境的文件安全。 2.3 加流量监控，打造虚拟 机环境下的安全防护体系 通过在 Hypervisor 层集成虚拟交 换机 vSwitch，可监控同一个服务器内 部虚拟机之间的流量交互中是否存在可 攻击漏洞或信息泄露等风险，并实现一 些访问控制规则。更深度的安全检测防 护可以利用基于虚拟机和基于重定向两 种。 基于虚拟机的安全防护将虚拟机 之间交换的流量先引入虚拟机安全软件， 再进入虚拟交换机。通过将虚拟机划分 为不同安全域来配置区域隔离和互访策 略，并监控流量中是否存在漏洞及信息 泄露等其他安全问题。 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 7 基于重定向的安全防护将虚拟机 交换的流量引到外部交换机，交换机在 报文转发前进行深度检测及访问控制策 略、入侵防御规则的配置。 2.4 加强虚拟化平台管理工作， 建立规范化操作流程 按需设置虚拟平台管理员