一種云計算虛擬化環境安全監測及評估方法
摘 要:
云計算中采用的虛擬化技術有利于資源的整合和透明存取,從而催化云計算在信息行業領域中的廣泛應用。但是虛擬化目前在技術和實現層面尚存在較多的安全脆弱點,必須通過有效的安全監測及評估手段及時發現威脅,使管理員能夠對虛擬環境的安全狀態進行準確把握,確保虛擬化環境中信息的安全。因此,設計了云計算虛擬化環境安全監測系統,給出了其關鍵結構組件和功能要求,提出了一種策略驅動的虛擬化環境安全評估方法。
內容目錄:
0 引 言
1 虛擬化環境監測關注點
1.1 虛擬化環境面臨的安全威脅
1.1.1 基礎設施層面的安全威脅
1.1.2 應用與桌面層面的安全威脅
1.1.3 數據層面的安全威脅
1.2 虛擬化環境監測目標
2 虛擬化環境監測系統
3 虛擬化環境安全評估
3.1 安全評估方法
3.2 安全風險量化
4 結 語
0、引 言
云計算(Cloud Computing)是當今IT界的熱門技術。借助云計算網絡服務,管理者可以在瞬息之間處理數以千萬計甚至億計的信息,實現接近超級計算機甚至更強的效能。此外,用戶可以按需彈性地使用這些資源和服務,并將計算能力視為能夠隨時隨地使用的信息公用設施。
虛擬化作為實現云計算能力的基礎性技術,有利于資源的整合和透明存取,幫助云計算大大降低了復雜度、提升了運行效率,從而使云計算能夠在信息行業領域得到越來越廣泛的應用。然而,虛擬化在技術和實現層面存在脆弱性和安全風險。虛擬機之間、虛擬機與宿主機之間的越權訪問是虛擬化環境正常工作的極大隱患。通過對虛擬化安全監測及評估的研究,及時發現虛擬環境在運行狀態和行為表現兩方面的安全問題,使管理員能夠對虛擬環境的運行情況進行準確把握,及時處置風險,保證虛擬化環境中信息資產的安全。
對計算環境運行情況進行監控是信息安全的基本手段之一,在該領域已經有許多成熟的商業或開源解決方案,如Ganglia、Nagios、BackTrackert和Livewire等。Ganglia是傳統集群監控軟件的代表,主要用于收集系統級的信息如CPU利用率、磁盤空間信息,并且由于其良好的性能和簡單直觀的特點受到廣泛歡迎。Nagios是一款網絡主機監控軟件,能監視本地或遠程主機以及服務,同時提供異常通知。在傳統領域監控手段向虛擬化環境遷移的典型產品方面,有虛擬環境日志監控系統BackTrackert和VMWare虛擬化環境監控器Livewire。但這些監控手段大多仍針對虛擬化后的原有計算設施的監控能力,對虛擬機管理器、虛擬機調度器和虛擬化安全設備等新要素的關注不足。值得注意的是,上述要素的監控對于構建完善的虛擬化虛擬體系而言是不可或缺的,甚至意義更重大。
論文的第1節簡要介紹了虛擬化環境監測的關注點;第2節給出了虛擬化環境的監測系統,以及關聯的監測組件結構及功能;第3節提出了云計算虛擬化安全評估方法,包括評估過程和安全風險量化途徑;第4節總結了全文。
1、虛擬化環境監測關注點
近年來,計算機硬件技術遵循摩爾定律迅猛發展,但現有操作系統無法充分利用多核硬件平臺的并行性潛能,并造成了嚴重的資源和能源浪費。在這種背景下,能夠提高硬件資源利用率的虛擬化技術應運而生。從高性能計算中心到個人電腦,虛擬化技術通過將物理平臺虛擬成多個計算平臺,能夠極大提高硬件資源的使用效率,降低擁有者的運維成本。
但是虛擬化技術在解決已有信息安全問題的同時又帶來了新的安全問題。虛擬化技術現在仍在發展,并且功能越來越強大,但是其安全漏洞也隨之增加。
1.1 虛擬化環境面臨的安全威脅
針對虛擬機操作系統內核級的攻擊可以突破系統邊界,造成比在非虛擬化環境中更大的危害。虛擬化的邊界模糊、流動性和內存共享等特性,使其面臨較多新的安全威脅。這些威脅給安全防護的實現帶來了極大的沖擊。目前,主要面臨以下3個層面的安全威脅。
1.1.1 基礎設施層面的安全威脅
虛擬化環境面臨多種類型的安全威脅,如網絡攻擊、滲透和信息竊取等傳統網絡安全威脅,以及新引入的越權訪問、反向控制和內存泄露等安全威脅。由于虛擬化擁有的特性,拒絕服務攻擊是惡意用戶針對虛擬化在網絡安全方面的主要攻擊類型。
1.1.2 應用與桌面層面的安全威脅
服務的網絡化趨勢也推動了虛擬化環境的變化。與傳統的基于操作系統、數據庫的瀏覽器/服務器系統(Brower/Server,B/S)或客戶機/服務器系統(Client/Server,C/S)相比,虛擬化服務調用方式具有統一接口、多租戶、動態和復雜業務實現等特點,因此在服務安全、身份認證和訪問控制等方面也具有相應的安全需求。
1.1.3 數據層面的安全威脅
虛擬化環境中數據威脅主要表現為內部的數據泄漏和濫用。由于數據和業務應用由云服務提供商控制和維護,在這種模式下如何實現虛擬化環境內部的安全管理、職責分離和審計追蹤,如何避免多客戶共存帶來的潛在數據風險,如何確保數據的私有性及傳輸數據的抗監聽風險等都是需要重點考慮和關注的安全問題。
1.2 虛擬化環境監測目標
虛擬化監測借鑒了網絡、主機監控審計和入侵檢測等傳統安全手段的優點,同時又側重考慮了虛擬化風險的特點。虛擬化監測通常關注服務器虛擬化、存儲虛擬化和網絡虛擬化等模式的運行狀態和安全脆弱性,監測目標包括以下幾點。
(1)隔離機制。虛擬化的一般運行模式包括:多個組織共享一個虛擬機;在一臺計算機上,多種密級要求的業務并存;在物理機上的服務合并;一個硬件平臺承載多個操作系統等。由于在這幾種運行模式中均存在著隔離的要求,這就要求管理者正確嚴格劃分虛擬區間,并隨時監控虛擬機狀態。如果處理不當,就會產生因數據泄露或跳板攻擊導致系統全面癱瘓的嚴重后果。
(2)遷移過程。在虛擬環境中,一臺服務器可能跨越不同的物理設備。比如,進行數據災備或是性能擴充時,在不同物理設備之間遷移。遷移過程的安全管理更加復雜,因為隨著網絡地址、端口等特性的變化,安全設置很容易出現問題。
(3)虛擬機管理器行為。宿主機對運行在其上的虛擬機應當具有完全的控制權,且對虛擬機的監測、改變、通信都在宿主機上完成。由于宿主機能夠監控所有虛擬機的網絡數據,因此對于宿主機的安全要進行嚴格管理。
(4)虛擬機行為。虛擬機的設計目的是為了分享主機的資源并提供隔離,但由于技術的限制和虛擬化軟件的漏洞,在某些情況下虛擬機里運行的程序會繞過底層,從而取得宿主機的控制權。由于宿主機的特權地位,如果宿主機被控制則整個安全模型會全面崩潰。
(5)虛擬化性能。由于虛擬機和宿主機共享資源,虛擬機會強制占用一些資源從而使得其他虛擬機拒絕服務。通常的做法是限制單一虛擬機的可用資源,防止虛擬機無節制地濫用導致的拒絕服務攻擊。
(6)虛擬化網絡安全。由于虛擬化網絡環境的特點,虛擬機之間的網絡流量有可能不會通過物理網絡設備而直接以其他方式交換,從而逃避傳統網絡安全設備的監管,造成安全盲點。
2、虛擬化環境監測系統
為能夠覆蓋云計算中虛擬化環境的監測關注點,盡早發現攻擊行為并及時阻斷,需要圍繞云基礎設施的關鍵要素構建虛擬化環境監測系統。虛擬化環境監測系統能夠感知虛擬機資源狀態、控制流和數據流的行為屬性等態勢,精確區分出惡意攻擊,保護計算域工作;加強虛擬域之間信息流控制,并對虛擬機行為進行審計;呈現系統資源及服務運行情況,使管理者和用戶更直觀地了解系統的可用性和安全性等。其監控內容包括:
(1)虛擬機的運行時,CPU、內存、外設狀態;
(2)虛擬機的創建、銷毀以及伸縮、遷移;
(3)虛擬機網絡流量、網絡服務狀態以及虛擬資源池狀態;
(4)虛擬環境安全重構過程、虛擬機鏡像管理。
虛擬化環境監測系統采集的數據來自Hypervisor、虛擬機及虛擬應用軟件等,具有分布性、冗余性、多樣性、不準確性和不完整性等特點。虛擬計算環境中基礎硬件、網絡設備及邊界安全設備的數據采集與傳統方法一致,但其分布式、層次化的特點使數據采集過程更加復雜。由于對虛擬機的狀態探測必須深入至虛擬機內部或Hypervisor層次中以內省方式運行,此時探針的位置和采集策略發生了變化,需要檢測的事件種類也增加了,如虛擬機休眠、備份、遷移中產生的安全事件,或是虛擬網絡設備中匹配到的風險流量等。
虛擬化環境監測系統通過策略驅動,其組件包括運行于虛擬機和虛擬設備中的帶內監視器、嵌入Hypervisor中的帶外監視模塊、監控服務器、可視化用戶接口和數據庫。其結構如圖1所示。
圖1 虛擬化環境監測系統結構
虛擬化環境監測系統結構中的各個部分的功能如下文所述。
(1)帶內監視器與虛擬機Guest操作系統位于同一特權級,用于監視虛擬機操作系統的執行中的狀態變化和行為事件,并根據監控服務器下發的監控規則和策略對虛擬機操作系統的行為進行檢查和審計,如識別虛擬機跨域訪問和檢測虛擬機資源過度使用。
(2)嵌入Hypervisor中的監視模塊以帶外方式運行,利用其位于虛擬機管理器層面的優勢,通過硬件的行為監控來監視虛擬機操作系統的狀態變化和事件行為,從而為帶內監視器提供較強的保護能力。此外,監視模塊可以感知帶內監視器的狀態變化,保證帶內監控工具不受攻擊,保持其可信性。
(3)監控服務器位于虛擬化基礎設施外部,其核心功能與應用程序進行隔離的特點可以有效保證其不受攻擊。其主要作用是維護系統資源模型、制訂并下達安全策略、聚合安全數據、分析并處置安全事件以及向用戶呈現虛擬化環境的安全信息。監控服務器根據監控安全事件信息所反映的虛擬化環境實時安全狀態,并基于預先制訂的安全目標和告警規則與虛擬化環境的控制器通信,實現安全監測與防護的聯動。
(4)可視化用戶接口以多種視圖呈現的方式方便管理員和用戶快速地查看、下載監控信息,同時針對不同的用戶角色提供不同的信息可見度。管理員用戶可以查看全部監控信息并且具有調整安全監控策略的權限,而普通用戶只能獲得自己使用的資源(虛擬機)或服務的信息。在接口的可視化呈現方面通過物理機-虛擬機視圖、用戶-虛擬機視圖和應用-虛擬機視圖將物理資源、虛擬資源和應用這3個層次聯系起來。
(5)數據庫實現監控信息和系統運行日志的存儲能力。根據安全目標和安全策略的需要,數據庫中的數據將保存幾個月或更長的時間。
為了使監測得到的數據便于安全評估過程處理,在信息采集后必須首先進行標準化。標準化的目的是為了避免來自多源的信息由于異構性而引起的混亂,為安全評估構建提供統一定義的源數據集。標準化的首要步驟是消除重復報警并聚合取值相近的數據,這樣可以大大節省需要傳遞的數據占用的帶寬;其次通過二值化、歸一化處理將不同類型的參數值映射至同一類型空間中,避免數據的多樣性增加分析處理的復雜度。標準化的具體實現方法包括Min-max標準化、Z-score標準化、Decimal scaling和枚舉方法等[4]。
3、虛擬化環境安全評估
3.1 安全評估方法
虛擬化安全防護不是靜態的、孤立的、一成不變的過程。安全手段的實時運行狀態信息需要通過監測手段得到及時匯總并進行關聯分析,從而發現單方面難以辨別出的、潛在的安全問題和安全威脅,從而在安全事件發生時及時調用響應措施加以應對,由此確保虛擬化環境運行在高安全等級之上。虛擬化環境安全評估方法主要由安全目標識別、虛擬化安全監測、安全威脅過程建模、安全風險量化、安全策略回歸等過程組成。該評估方法具有重點突出、特征匹配、閉環完善的特點。評估方法流程如圖2所示。
圖2 虛擬化環境安全評估方法流程
由于本刊為黑白印刷,無法識別圖中顏色差別,請按灰度遞減修改
圖2從虛擬化環境的安全目標識別開始,到安全策略回歸,完成對整個虛擬化環境安全的評估。具體的評估過程描述如下。
(1)安全目標識別:對目標虛擬化環境的關鍵信息資產和安全需求進行分析,確認需要保護的安全目標,包括通常意義上價值較大的目標包括數據庫服務器、關鍵業務系統和管理程序等。
(2)虛擬化安全監測:依賴在虛擬化環境中部署的帶內、帶外檢測模塊,感知虛擬機資源狀態、控制流和數據流的行為屬性等態勢,對虛擬化環境的資產主體、防御主體、威脅主體和脆弱性進行參數抽取。
(3)安全威脅過程建模:根據虛擬化環境脆弱性特征和安全監測的結果進行建模,識別虛擬化環境所有可能存在的風險路徑,并輸出風險過程模型,用于明確系統中存在安全風險的類型。
(4)安全風險量化:根據風險過程模型計算安全目標所面臨的最大風險概率、潛在的風險路徑和系統的安全風險指數,用以衡量虛擬化環境下各類安全威脅的相對大小,以指導安全防護手段的實施。
(4)安全策略回歸:在改進環節完成后,針對可能存在的殘留風險調整安全策略,并通過安全監測定期監測風險的變化情況,觸發新一輪的安全評估周期。
3.2 安全風險量化
安全風險量化是虛擬化環境安全評估的核心過程。它根據監測取得的安全事件和狀態數據,針對安全防護目標,計算其面臨的各類風險概率和指標。其結論可以直接應用于安全措施的完善和改進。指標是虛擬化環境中某一安全參數匯總、計算的結果,代表了標準化后虛擬化環境某項安全特征的狀態。由于指標之間可能存在依賴關系,因而狀態取值可能常發生變化。
安全風險量化的方式是逐步計算虛擬化安全指標體系。指標體系由完成評估目標的一系列指標以層次化的方式構成,指標間通過要素的關聯程度定義不同的權值,較為上層的指標由所有相關的下層指標經過權值計算得到。科學的指標體系能夠較完整地反映當前虛擬化環境中存在的安全風險,對于提升虛擬化環境的應急響應能力、緩解攻擊的危害、發現潛在惡意的入侵行為、提高系統的反擊能力等都具有十分重要的意義。安全評估指標體系如圖3所示。
圖3 虛擬化環境安全評估指標體系
具體地,指標由數據源產生的原始數據經一定的變換得到,指標根據其構成綜合安全指數的占比和粒度可以分為一級、二級、三級和葉指標等幾類。葉指標作為獨立性較強、層次最低的指標,是構成其余大部分指標的基本要素。三級和二級指標是經過一定程度匯總后的指標,可以反映較為上層的安全參數特征。一級指標是粒度最粗、最宏觀的態勢指標,直接體現虛擬化環境的綜合安全情況。
監控服務器先匯總葉指標使用到的所有原始數據,經安全資產分布、聚集程度判定、增長度評估及權重計算等形成初級指標量化數值;然后依據指標體系的定義逐步求精,對虛擬化環境的流量、服務狀態、資源消耗、漏洞狀態、防護措施、安全遷移和隔離等指數給出初步計算結果;進而匯集成虛擬化網絡、存儲、服務器安全和脆弱性4類較宏觀的指標;最終得到的虛擬化環境綜合安全指數可用于反映虛擬化環境的整體安全情況,即內部、外部威脅對虛擬化環境中應用服務和數據的機密性、完整性和服務的可用性造成的威脅嚴重程度。
表1展示了在虛擬化環境中安全事件發生的可能性及其對業務的影響兩個參數共同作用下的風險級別。
表1 虛擬化環境安全風險控制
風險值用0到8之間的數字來表示。其中,低風險為0~2;中等風險為3~5;高風險為6~8。管理員通過風險值的理解和觀察,能夠迅速掌握虛擬化環境安全級別和脆弱性的分布,使安全控制的目標更有針對性。在安全事件發生之前針對不同安全級制定相應的策略預案,在威脅到來時從容應對,實現重點防護重要資產,業務連續性得到確保,系統整體的應急響應過程也更加有效。
4、結 語
本文通過歸納現有虛擬化環境監測分析方法,以及通過聚焦虛擬化安全檢測目標,設計了一種新的云計算虛擬化環境安全監測系統。具體通過策略驅動,將監測組件模塊嵌入Hypervisor層次,并給出了系統的關鍵結構組件以及功能要求。提出了通過目標識別、安全監測、過程建模、風險量化和策略回歸等流程進行安全監測數據分析的虛擬化環境安全評估方法,并細致闡述了安全量化的指標體系。本文所提方法通過集成安全監測系統和安全監測方法,可發現傳統方法難以辨別的潛在安全威脅,為之后實現虛擬化環境安全管理和響應水平提升打下堅實的基礎。
引用本文:王瑛,裴升,李大勇,等.一種云計算虛擬化環境安全監測及評估方法[J].通信技術,2021,54(8):2013-2018.
王 瑛,碩士,高級工程師,主要研究方向為信息安全與保密通信;
裴 升,碩士,工程師,主要研究方向為安全保密通信系統;
李大勇,碩士,高級工程師,主要研究方向為軍工信息化智能制造、數字化轉型、信創建設、信息安全體系建設;
李海波,碩士,工程師,主要研究方向為安全保密通信系統;
劉坤禹,碩士,助理工程師,主要研究方向為信息安全與保密通信;
周 波,碩士,工程師,主要研究方向為信息安全與保密通信;
選自《通信技術》2021年第8期(為便于排版,已省去原文參考文獻)
