让云计算数据中心更可信

1、 让云计算数据中心更可信 康楠 罗革新i文云计算数据中心的特点在于将物理基础设施虚拟化（例如网络、存储），以供不同用户租用。得益于虚拟化技术，不同用户之间能够共享物理基础设施，这也是云计算的关键技术昕在。然而，云计算共享分配会引发用户对于云计算解决方案在安全方面的担忧。因为用户不知自己租用的虚拟基础设施所在区域是否处-安全威胁之中，同一物理平台上的其他用户是否存在恶意日的，这也是云安全联盟(csa)重点关注的问题之一。云计算虚拟基础设施在安全上面临的新挑战是如何将云计算共享资源和公共基础设施进行正确配置和管理以达到安全隔离同标，为了有效地解决这个问题，本文根据虚拟化和可信计算技术为云计算数据中

2、心提出了一个可信云计算数据中心的安全架构。它可以很好地处理虚拟化环境中强隔离和完整性保证，实现了基于安全标签对于网络和存储资源的访问控制。云计算与虚拟化云计算作为全新的服务模式，其本质是计算与存储能力从桌面端到网络端（云端）迁移以及网络资源的动态伸缩，最终实现缩减it成本、提高业务运营效率等目的。虚拟化技术是云计算的基础技术。对于云计算的数据中心，不论是大型数据中心还是小型数据中心，虚拟化技术都是一种重要的基础性技术。通过虚拟化，可以在现有硬件平台上实现弹性架构和资源池化，一方面可提升硬件资源的利用效率，另一方面还可明显提升服务的开通时间、可用性以及灾难恢复等能力。尤为重要的是，目前x86计算

3、机的运算与存储能力都已经非常强大，更可以利用虚拟化技术提高应用效率，降低it以及运维成本。虚拟化技术通常包括服务器虚拟化、桌面虚拟化和应用虚拟化，其中服务器虚拟化是目前在idc中应用比较丰富的一种形式。在服务器虚拟化环境中，hypervisor是核心，hypervisor作为虚拟层直接安装在硬件上，实现对硬件资源的抽象，同时负责对硬件资源进行调度并管理和响应各虚拟主机vm的请求，相当于虚拟化环境的底层操作系统。服务器虚拟化在云计算数据中心中应用得最为广泛，本文将以此为重点进行展开讨论。虚拟化技术在传统计算机层次中添加了一个软件层虚拟机监控器，使得我们在物理平台上可以创建多个虚拟机，并保证其同时

4、运行。目前虚拟机的功能也在不断扩展，其灵活性在不断提高。与此同时，通过将计算资源进行整合，催生了云计算形式的出现。在云计算中，it基础设施、应用和数据可以通过网络作为服务的形式提供给用户。在给用户带来便捷的同时，虚拟化和云计算也引发了一系列安全问题，其中一个关键问题在于同一物理平台上不同用户的虚拟机可能面临安全威胁，例如：拒绝服务攻击以及敏感数据的篡改或丢失等。此外，it基础设施一般是由大量异构的组件构成，增加管理配置复杂度，这样就有可能产生配置错误，进而形成了一定的安全威胁。在虚拟化和云计算环境中，本文提出的可信云计算数据中心可以满来自www.lw5u.com足强隔离和完整性保证的需求。虚拟

5、机和与其相关的资源被成组分配到可信虚拟域中。可信虚拟域之所以是一个安全域，是因为其所有成员都统一执行同样安全需求的隔离策略，这个策略能很好地规定哪些虚拟机可以访问哪些资源，哪些虚拟机彼此之间可以进行通信。为了保证完整性，可信云计算数据中心利用可信虚拟根去验证在虚拟机中所加载软件的身份和完整性。虚拟化安全现状在本文中，笔者着重阐述数据中心引入虚拟化技术后面临的安全问题，包括各种威胁及挑战。从问题的来源上，我们可以划分出传统网络威胁以及因虚拟化而产生的新威胁。在传统网络威胁方面，因为在服务器虚拟化环境中，vm通常都是租给客户使用的，对客户而言与租用某台物理主机差异不大（除去机器性能因素）。因此，v

6、m依然面临各种传统的网络攻击威胁，这些威胁主要包括：远程漏洞攻击、do s/ddos攻击、主动web攻击、网页挂马攻击、登录认证攻击、其它应用软件攻击等。在因虚拟化带来的新威胁方面，虚拟机逃逸是虚拟化环境中最典型的安全威胁。虚拟机逃逸主要是指利用虚拟机的各种漏洞，渗透到hypervisor中或者其他的虚拟机中。基于服务器虚拟化技术，hypervisor直接部署在硬件设备上，没有传统的操作系统这一层。因此安全漏洞主要是利用对外提供服务的vm，然后渗透人hypervisor层，进而控制整个虚拟化的服务器。可信虚拟域可信虚拟域由一系列分布式虚拟机组成。可信虚拟域为这些虚拟机提供安全边界，在同一虚拟域

7、内的虚拟机之间通常可以进行安全通信，同时与外界的虚拟机（包括属于其他虚拟域的虚拟机）相隔离。在这里，隔离的定义在于分别处于不同可信虚拟域中的不可信虚拟机之间不能交换信息。相同可信虚拟域中的虚拟机成员具有统一的安全水平，同时遵从特定安全策略与可信虚拟域之外的虚拟机进行交互。虚拟机被加入到可信虚拟域之前，必须进行安全资格认证，加入后就获得虚拟域的统一安全配置。每个虚拟可信域定义的安全策略包括资源的访问控制和域间、域内的信息流交互，例如限制界内和界外的网络通信等。图l展示了属于可信虚拟域1客户的跨两个平台的虚拟机。其中的主控和代理组件是可信虚拟域架构的一部分。可信虚拟域中主控组件的职能是部署和配置可

8、信虚拟域。在每个物理平台对应的可信虚拟域中都存在一个代理组件，即如果一个物理平台上有多个不同的可信虚拟域，那么这些可信虚拟域中都会存在一个代理组件。可信虚拟域的代理组件由主控组件配置，它是可信虚拟域内部策略的执行者。属于同一个可信虚拟域的虚拟机，通常可以自由地交换信息，除非由于内部虚拟机等级限制无法进行交换。例如：在物理平台a上的虚拟机al或者a2，可以没有任何限制地与物理平台b上的虚拟机b交换信息。在可信虚拟域之间也允许存在信息交互，但是这主要是由每个可信虚拟域中的主控组件所规定的网络与存储策略以及代理组件在本地如何执行所决定的。可信云计算数据中心可信云计算数据中心使用安全策略为系统管理和用

9、户工作区提供安全隔离，安全策略将物理设施抽象化，为数据中心提供自动化策略配置和管理驱动，如平台访问和网络连接等。为了使读者对隔离机制有一个更为全面的了解，笔者将重点阐述其是如何为基础设施组件提供隔离管理和完整性管理的。可信云计算数据中心依赖一些现有的安全机制来提供隔离，包括基于角色的访问控制、基于虚拟层的隔离和受保护的通信通道（如虚拟局部网络）。此外，可信云计算数据中心还利用可信计算组的加载认证机制去验证系统软件的完整性。隔离策略可信云计算数据中心的隔离策略是粗粒度性的，因为它的基本单元是可信虚拟域服务于同一目的的虚拟机和相关资源的集合。可信虚拟域的边界是指被可信虚拟域标识符（统一安全标签）所

10、标记的所有虚拟机和相关的资源。可信云计算数据中心的隔离策略分为两部分：(1)标签定义它定义能够分配给虚拟机和相关资源的安全上下文。(2)反搭配定义它限制哪一些虚拟机能够同时运行在同一个平台上。访问控制管理所定义的系统管理者角色及其权限都是基于统一的安全标签。因此，可信云计算数据中心的隔离策略和基于角色的访问控制，是通过与可信云计算数据中心策略相关的安全标签组合，进而进行角色的分配和权限连接的。安全标签可被看作是可信虚拟域的成员，通过安全标签识别每个可信虚拟域（如图2所示）。图2展示了两个物理数据中心及其资源，可信虚拟域与带有安全标签的物理资源相对应。数据共享标记相同颜色虚拟机能够通过网络、存储

11、或者直接共享的方法共享数据。颜色模式适合虚拟机或资源之间双向交互，在主客体之间不区分读写操作。在这个实例中，一个主体可以是一个虚拟机，一个客体可以是一个虚拟机或者资源。这个共享模型与非层次安全模型相似。虚拟系统授权颜色也能用来去限制一个虚拟系统能运行哪种工作。只有当虚拟系统标签的颜色是虚拟机颜色的超集时，这个虚拟机才能在虚拟层上运行。这种机制能够通过物理架构分区这种简单的方式为某个工作区提供强隔离。搭配限制策略的反搭配规则能够限制在同一个虚拟系统中哪些虚拟机能够同时运行。每个规则描述了一个颜色冲突集。例如：如果在这个集合中包括了红色和蓝色，那么红色和蓝色虚拟机不能够同时在同一个平台上运行。管理

12、限制为了将可信云计算数据中心的虚拟机隔离和管理隔离结合，我们将可信虚拟域的颜色分配到某个角色，然后将角色分配给管理员。这就能够限制管理员所管理的虚拟机和资源必须是安排给其角色颜色的子集。在可信云计算数据中心架构中，共享、系统授权和搭配限制是由虚拟层、存储和网络基础架构执行的。管理限制是由虚拟化管理解决方案执行的。隔离管理隔离管理可以由系统管理者在虚拟域中或虚拟域之间，对访问控制进行定义，同时对安全策略进行管理。一旦为管理的虚拟机和资源创建和分配了安全策略，那么具有相同标签的多个虚拟机将形成协作联盟。因为可能存在策略互斥的情况，所以不同颜色的虚拟机不能同时运行在同一个平台上。因此，实现隔离管理的

13、系统应用不仅必须提供一个中心点去定义、分配安全策略和安全资源，而且要提供多个不同层次的管理员角色和相应接口。这些角色包括信息数据中心的管理者、可信云计算数据中心的管理者以及租户管理者。完整性管理在一个远程计算机上，无论是物理平台还是虚拟平台，可信云计算数据中心都能够通过对软件加载的完整性进行测试来确保可信。除了在启动过程中对软件组件进行度量之外，完整性测试架构能够将测试组件扩展到将文件加载到内存中。与此同时，系统应用能够与管理虚拟机已知值进行比较度量，以提供完整性认证，这样能够确保操作与本地更新策略的一致性。可信云计算数据中心架构设计图3展示了由两个可信虚拟域实现的可信云计算数据中心，分别标记

14、为蓝色和红色，并且分别带有虚拟的网络和存储设备。可信云计算数据中心在虚拟层采用强制访问控制，利用加入shype安全架构的xen开源虚拟层来实现。对于网络隔离，我们配置内部的交换机来支持配置隔离策略。对于存储，我们通过扩展基于容量的访问控制机制允许基于可信云计算数据中心安全标签的访问。此外，还可以对虚拟机提供tpm功能。虚拟层可信云计算数据中心原型利用shype虚拟层安全架构，在同一个系统中不同虚拟机集合之间进行隔离。shype依靠核心虚拟层的隔离属性，确保在同一个虚拟系统中虚拟机和资源的隔离。它根据隔离策略能够监督在虚拟机之间共享资源和虚拟机之间的通信。网络隔离实现可信云计算数据中心网络隔离的

15、基本思想，是将虚拟局域网和虚拟机打上相同的标签。通过匹配安全标签，限制虚拟机到虚拟局域网。通过这种方式，带有相同安全标签的虚拟机能够通过虚拟局域网通信，但是不能和其他任何虚拟机通信。为了确保网络隔离，可信云计算数据中心利用虚拟局域网控制虚拟机访问局域网。通过预先制定每个以太网帧与适当的虚拟局域网id对应，虚拟局域网能在一个单独的物理局域网上模拟多个物理局域网。存储隔离为了支持基于安全标签的存储隔离，我们将基于容量的控制安全机制融入可信云计算数据中心。基于容量的控制安全机制要求存储i/o命令能被任何客户端初始化（例如客户虚拟机），且能够提供加密证书，这个证书能够从一个安全策略管理器中得到。存储安全管理器利用在存储设备中共享的对称密钥通过消息鉴别码强化证书，所以证书不能够