虛擬化安全指南-淺談CSA安全指南第三版之第13域

雲安全聯盟近期發佈了雲安全指南第三版，相對於2009年底發佈的2.1版，這個版本對雲安全的論述更全面，更精確。內容從76頁增加到了177頁，還增加了一個域：安全即服務。

本人目前專注的領域是虛擬化與雲計算，因此特別關注安全指南的第13部分（虛擬化）和第14部分（安全即服務），今天先來談談第13部分，與大家交流一下虛擬化基礎架構的安全性問題。

虛擬化是IaaS的基礎，在公有云與私有云中都有廣泛應用，隨着雲計算時代的到來，越來越多的企業開始大規模應用虛擬化技術，服務器虛擬化與桌面虛擬化是兩個主要的應用領域。

虛擬化的好處很多，可以通過服務器整合，多租戶共享來提高資源利用率，降低成本；可以通過自動化來提高敏捷性，降低維護工作量，實現零接觸式管理。

隨 着虛擬化技術的應用越來越廣泛，虛擬化平臺的安全性也開始引起人們的關注，從架構上來說，虛擬化在傳統IT架構的基礎上增加了虛擬化層，勢必會引入新的安 全風險，虛擬化靈活便利，在提高效率的同時也會帶來安全挑戰，我們必須瞭解，正視並解決與虛擬化平臺相關的安全性問題，以保證企業虛擬化與雲計算戰略的順 利實施。

與虛擬化架構相關的主要安全性問題總結：

1，虛擬化層安全性（Hypervisor Security）

從安全的角度看，虛擬化層的引入，會增加安全風險，因此，我們必須對虛擬化層本身的安全性加以特別關注。安全性較高的虛擬化層應該具備下述特徵：

a，Hypervisor要精簡，越精簡則存在漏洞的可能性越小，***面越小，安全性越高。
b，專用系統的安全性高於通用系統。
c，系統本身要提供如防火牆一類的安全防護技術。
d，Hypervisor要有完善的驗證，授權與審計功能。

2，虛擬機整固（VM Guest Hardening）

有了虛擬化技術，我們可以通過模板來置備虛擬機，通過快照來恢復虛擬機狀態，這些操作點點鼠標，瞬間即可完成，IT流程受此影響，都會有較大的變化。就此部分而言，我們需要注意以下安全性問題：

a，虛擬機模板創建之後，就很少更新了，而且基本上是不開機的，我們需要特別注意模板的合規性與安全性，因爲生產虛擬機都是基於模板創建出來的。
b，生產系統的變更會更頻繁，因此需要通過技術手段持續保證Guest OS的健康。
c，虛擬化軟件本身如果能夠爲虛擬機提供防病毒，防火牆，***檢測，配置管理，補丁管理等功能，將對虛擬機保護提供極大的便利。

3，虛擬機之間的***行爲及監控盲點（Inter-VM Attacks and Blind Spots）

虛擬化對網絡安全的影響巨大，傳統的安全技術和產品同樣可以應用於虛擬化平臺，但其保護能力可能不足，有必要對其進行改良以滿足虛擬化平臺的安全需求。

a，採用傳統的物理安全設備，可能無法對虛擬機和虛擬機之間的流量進行監控。
b，虛擬化平臺通常提供在線漂移技術，也提供高可用保護功能，虛擬機的動態變化給安全防護出了難題，安全防護系統如果不能自動適應這種變化，將極大地增加管理難度。
c，在虛擬機內部部署主機防火牆可以解決上述問題，但是會增加管理難度，影響虛擬機性能。
d，虛擬化廠商與安全廠商一起合作，虛擬化廠商提供驅動與接口供安全廠商使用，也是一種手段。
e，業界的趨勢是採用虛擬的安全設備代替物理的安全設備，可以有效解決上述問題。

4，對虛擬化平臺性能的擔憂（Performance Concerns）

虛擬化在成本節省，簡化管理方面效果顯著，但是用戶普遍擔心虛擬化平臺的性能能否滿足應用的需求，特別是高峯時段的性能需求。對於性能方面，我們需要關注以下幾個方面：

a，選擇好的Hypervisor很關鍵，要充分了解並比較虛擬化層的開銷，損耗，資源管理機制等。
b，科學決定整合比，整合比過低，則資源利用率不高，整合比過高，則可能導致性能問題。
c，合理配置物理機的硬件資源，內存和存儲通常是影響虛擬化平臺性能的關鍵點。搭配虛擬機，以提高整合比和利用率。
d，虛擬化層要有嚴格的資源分配控制，有效防止“鄰位干擾”，要保證在任何情況下，虛擬節點都不能超限額使用CPU，內存，存儲及網絡資源。
e，要有良好的在線資源調配手段，確保在擴容和調配資源時不會導致計劃內停機。
f，要有好的監控手段，及時發現性能問題，快速解決性能問題。

5，虛擬機加密（VM Encryption）

虛擬化技術把計算環境轉化成了一堆文件，從而使我們可以很方便地管理和使用虛擬機，但是同時也帶來了安全性問題，虛擬機中的數據可能更容易竊取。

最 有效的手段就是虛擬機加密，實時加密比較有效，但是會在一定程度上影響性能，可以有選擇地應用這一技術，對於那些需要較高安全性的系統，性能上的犧牲是值 得的。如High Cloud Security的解決方案（http://www.highcloudsecurity.com/）。

也可以採用磁盤加密技術，如AlterBoot的解決方案（http://www.alertboot.com/）。

此外，還應該有虛擬機數據銷燬（VM Data Destruction）機制，靠虛擬機粉碎機徹底清除虛擬機文件數據，以免造成數據的泄露。

6，數據的混合（Data Comingling）

傳統IT架構下，網絡被分隔爲多個相互獨立的安全區域，不同區域採用不同的安全策略，區域之間的訪問被嚴格控制。虛擬化平臺，區域的劃分面對挑戰，爲了保證系統和數據的安全，我們需要關注：

a，物理邊界(Air Gap)消失，爲了保證安全，需要劃分邏輯邊界的有效手段。
b，安全性與合規性保證技術要能夠識別邏輯邊界，要保證可以隨時根據業務或部門的不同將虛擬機劃分到相應的區域，並且能夠爲不同的邏輯分區應用不同的安全策略。
c，當虛擬機的安全狀況發生變化（如感染病毒或合規性發生改變等）時，應該將虛擬機置於特定的隔離區域，以保證平臺中其它系統的安全。

[完]