搜索
服务器虚拟化安全内容介绍服务器虚拟化核心技术路线服务器虚拟化安全分类分析总结服务器虚拟化核心技术路线•服务器虚拟化技术:•全虚拟化•半虚拟化•硬件辅助虚拟化•技术融合服务器全虚拟化•全虚拟化的实现方式是:•在客户操作系统(即虚拟机系统)和原始硬件(即物理机硬件资源)之间插入一个虚拟机监视器VMM(VirtualMachineMonitor),又称为Hypervisor,通过VMM在虚拟机和原始硬件之间进行协调。文献指出,VMM实时探测虚拟机发出的指令流,动态识别特权或敏感指令(Ring0),一旦识别出这些指令,VMM就拦截它们,通过二进制转译(VMWare的BT技术)来模拟这些指令的行为,向原始硬件发出指令。当然,如果虚拟机发出的只是用户级的指令(Ring3),VMM不拦截,因为二进制转译对性能将产生巨大负荷,而非关键指令并不控制硬件或威胁系统安全,因此可以放行。这种策略在提升效率的同时,也保障了安全。•全虚拟化的典型代表就是VMWarevSphere。它的优点是操作系统无需任何修改就可以直接运行,问题是二进制转译工作往往造成性能大幅下降,而且目前尚未找到加速二进制转译的好办法。服务器半虚拟化•并行虚拟化(paravirtualization)惯称为半虚拟化。•它与全虚拟化的共同点是,都采用一个VMM实现对底层硬件的共享访问。•但是半虚拟化将许多与虚拟化相关的代码植入了虚拟机操作系统,于是不再需要VMM捕获特权指令和二进制转译。半虚拟化为每个虚拟机提供一个特殊的API,但要求在客户操作系统中进行大量修改。•有个智能编译器协助客户操作系统通过Hypercall来调用那些无法虚拟化的OS特权指令。•传统的x86处理器提供四级指令环:Ring0—3。环数越低,表示执行的指令权限越高。OS负责管理硬件和特权指令在Ring0执行,而用户级的应用程序只在Ring3执行。基于Xen的半虚拟化•1、硬件辅助虚拟化•为了简化服务器虚拟化技术,许多硬件厂商不惜投入大量精力和资本来开发新特性。Intel的VirtualizationTechnology(VT-x)和AMD的AMD-V,在CPU增加了root模式,root模式特权级别高于Ring0(微软定义为Ring-1)。令VMM运行于root模式。于是关键指令能够在VMM上直接执行而无需进行二进制转译,自然也不必像半虚拟化技术要向虚拟机种植入部分虚拟化功能。虚拟机的状态保存在VT-x或AMD-V中。•但要注意支持IntelVT-x和AMD-V的CPU只是近几年才在市场上推广。•尽管硬件辅助虚拟化技术前景美好,但由于严格的编程模式要求造成VMM到虚拟机之间的转换损耗严重,目前市场上的硬件辅助虚拟化性能远远未达预期,很多指令运行效果反而逊色于VMware的BT技术。但是硬件辅助虚拟化的未来发展前景是值得期待的。服务器虚拟化技术融合•服务器虚拟化技术融合•上述三种技术流派能够在众多技术中脱颖而出,自然有它们各自成功的道理。但是随着不同技术流派的相互取长补短,这三种虚拟化流派也大有逐渐融合的趋势。•比如VMwareESX最初借由BT技术实现了全虚拟化,后期也支持硬件辅助虚拟化实现局部功能,而近期它又提出将部分设备资源的虚拟化功能通过半虚拟化方式来实现;•又比如开源的Xen早期版本是典型的半虚拟化,它借助Domain0域完成大量虚拟化功能,然而Xen后期版本中又通过另一种不同于BT的技术实现了对全虚拟化的支持,目前它也支持硬件辅助虚拟化;•再如内核虚拟机KVM,目前也融合支持三种虚拟化模式,尽管它是一种独特的虚拟化方式,但大致未跳出三种主流技术的框架;•至于微软的Hyper-V,其虚拟化模式原本就与半虚拟化的Xen很相似,而且它必须借由硬件辅助以达到性能和安全方面的突破。内容介绍•服务器虚拟化核心技术路线服务器虚拟化安全分类分析总结服务器虚拟化安全技术起源•1、VMM的设计缺陷;•2、虚拟机之间通讯引起的风险;•3、虚拟化管理平台存在漏洞。1.1、VMM的设计缺陷•当前虚拟机系统的安全机制,都是建立在假设VMM完全安全可信的前提之上的,遗憾的是在几种服务器虚拟化实现技术中,VMM的安全性并未获得增强的防护能力。•VMM的设计过程中确实存在一些漏洞可供攻击者利用,此外VMM内部的安全措施无法识别和阻止来自外部的篡改和替换。•例如,虚拟机逃逸攻击(VMEscape)就是对于VMM安全漏洞的利用,如果入侵者获得VMM的访问权限,可直接对其他虚拟机进行攻击,假如入侵者关闭了VMM,将导致宿主机上所有虚拟机关闭。1.2、针对VMM攻击分类•目前针对VMM的攻击途径有两种:•一是通过应用程序接口(API)攻击,操控一台虚拟机向VMM发出请求,VMM缺乏安全信任机制来判断虚拟机发出的请求是否经过认证和授权。•二是通过网络对VMM进行攻击,如果网络配置有缺陷,缺乏配套的安全访问控制,入侵者就可能连接到VMM的IP地址;即使入侵者无法暴力破解VMM的登陆口令,但是依然可以发动拒绝服务攻击,如果VMM资源耗尽,那么运行在其上的所有虚拟机也将宕机。此外管理人员还无法通过网络连接VMM,只能重启VMM和上面所有的虚拟机。1.3、针对VMM攻击防范•①针对API攻击防范的思路,是将可信计算术与虚拟化技术结合,构建可信虚拟化平台,形成完整的信任链,允许同时运行不同安全等级的应用。•宿主机应选用具有可信计算平台安全模块的服务器。所谓可信平台模块(Trustedplatformmodule,TPM)定义了一套安全规格,TPM是服务器主板上的一块安全芯片,它能抵抗软件攻击,从而可以作为系统的可信根。TPM提供包括密钥生成,加密,解密,签名,安全Hash运算,以及随机数生成等功能,芯片内部的少量的安全存储空间,可以存储私钥和对称密钥等敏感信息。通过虚拟化TPM模块获得每台虚拟机的vTPM[7],再与VMM和宿主机、虚拟机之间可以构建完善的信任链,保障VMM不受恶意代码的API攻击。值得一提的是,从安全战略角度考虑,如果完全采用国外的TPM,我国安全体系的控制权就将落入他人之手。好在我国和国际上其他组织几乎是同步进行可信计算平台的研究,其中最核心的密码技术完全采用我国自主研发的密码算法和引擎,我国称之为可信密码模块(TrustedCryptographyModule,TCM),我们也可以将TCM虚拟化成vTCM,供虚拟机使用。•②虚拟化平台中的每台物理机上的VMM必须严格分配不同的Vlan子网,实现网络的逻辑隔离,只有处于特权级别的虚拟化平台管理机,才可以通过防火墙访问控制策略来实现对平台中所有VMM进行监控管理。2、虚拟机通讯风险•服务器虚拟化之后,与传统服务器环境相比,网络格局的变化相当大,相应地产生了许多安全问题。传统IT环境中的一些有效安全措施,一旦移植到服务器虚拟化网络环境中就容易出现水土不服现象。•主要体现在以下三个方面•1、网络安全防护困难:•寄居于同一台宿主机的所有虚拟机只通过一个共享网卡与外部网络通信。这就造成安全问题极易扩散的隐患。因此传统的防火墙部署方式和安全域的划分模式有必要大幅改进。•2、VMHopping攻击•一些虚拟化技术为了方便应用且提高性能,虚拟机之间的通讯可以通过共享内存交换方式进行,但这又制造了一个虚拟机之间的通讯风险。•3、拒绝服务(DoS)攻击•体现为服务器虚拟化环境中特有DoS危害扩散问题。2.2、虚拟机通讯问题解决办法•问题分析:•服务器虚拟化之前:可以用防火墙划分多个安全域,对不同安全级别的服务器采用不同策略的安全管理。理论上讲,严密的网络安全隔离可以限制一台受到攻击的服务器将危害向外蔓延。•但是自从有了服务器虚拟化技术之后,寄居于同一台宿主机的所有虚拟机只通过一个共享网卡与外部网络通信。这就造成安全问题极易扩散的隐患。因此传统的防火墙部署方式和安全域的划分模式有必要大幅改进。•解决思路:•此项困难的解决思路是:在Vlan基础上严格设置安全域,这种安全域必须按照安全级别的区别和虚拟机用户区别两个维度进行划分(在云计算中必须如此)。采用分布式防火墙实现虚拟机之间通讯的安全访问控制,甚至通过VPN通讯。但若要实现虚拟机在异地数据中心的迁移和漂移,那么防火墙策略如何随着虚拟机的迁移而调整,也需要有解决方案。•目前CISCO公司基于其Nexus系列交换机和分布式防火墙已发布了完整的解决方案,但该方案需完全采用CISCO公司的产品和协议,投资成本高昂,并非局部性的升级部署可以实现。2.3、VMHopping攻击•问题分析:•一些虚拟化技术为了方便应用且提高性能,虚拟机之间的通讯可以通过共享内存交换方式进行,但这又制造了一个虚拟机之间的通讯风险。•入侵者可以通过原本掌握的某台虚拟机A监控到在同一宿主机H上的另一台虚拟机B,当入侵者劫持了虚拟机B后,还可能以B为跳板,再以同样方式继续入侵其他虚拟机。入侵者甚至可以直接劫持宿主机H,从而完全控制同一宿主机上所有其他虚拟机的运行。这一攻击过程就叫做VMHopping。一旦宿主机H的操作系统访问权限被劫获,后果将不堪设想。•解决思路:•防范这一问题最好的办法,仍然是采用具有TPM和TCM的服务器构建可信虚拟化平台,不过在不支持这些安全可信模块的原有服务器上就无能为力了。拒绝服务(DoS)攻击•问题分析:•服务器虚拟化环境中特有DoS危害扩散问题。在虚拟化环境下,资源(如CPU、内存、硬盘和网络)均由虚拟机和宿主机共享。因此,针对某一台虚拟机A的DoS攻击不仅可能耗尽A自身的资源,还会由此传递到整个宿主机H上所有的资源,造成H上的全部虚拟机获取不到资源而无法正常提供服务。可见在服务器虚拟化环境中的DoS攻击所造成的伤害影响范围比传统IT环境有所放大。•解决思路:•针对DoS攻击,尤其是分布式拒绝攻击(DDoS),即使在传统网络环境中也难以彻底应对。但是针对上述服务器虚拟化环境中DoS攻击受害影响范围易于扩大化的问题,仍然可以采用一些手段进行限制:VMM或宿主机操作系统应实时监控虚拟机的运行性能状况,一旦发现某台虚拟机CPU或网络等利用率过载,VMM或宿主机操作系统可以怀疑该虚拟机受到DoS或其它异常攻击,它们有权切断受攻击虚拟机相应的硬件资源使用权,从而切断该虚拟机将受攻击影响扩散至整个宿主机的途径。•这种策略的有效实施又面临着另一个问题:即如何防止因错误怀疑而错误切断正常虚拟机的资源使用权,并且造成不必要的损失。首先这需要VMM或宿主机系统变得更“智能”,这也许需要基于大量经验和历史数据挖掘分析的基础上做出判断;其次对于重要业务应用的虚拟机应该部署多台负载均衡,或者部署容错服务器等。当然这些实现方法大幅增加了技术难度和投资成本。3.1、管理平台漏洞•(1)远程管理漏洞。•(2)迁移攻击和副本离线破解。•(3)数据安全风险。•(4)虚拟机补丁更新管理。•(5)快照和状态回滚漏洞。•(6)共享剪切版漏洞。3.2、远程管理漏洞•问题分析:•各种服务器虚拟化软件都要通过网络上的一个远程管理平台来管理虚拟机。例如VMWare有VCente,微软有SCVMM。这些控制台也可常会引起一些安全风险,例如管理平台的自助WEB服务系统就可能引起跨站脚本攻击、SQL注入等传统风险。攻击者一旦获取了管理平台的管理权限,那么即便他未掌握平台中虚拟机的登陆口令,也可以直接在管理平台中关闭任意一台虚拟机。•解决思路:•防范这一问题的思路是:严格控制管理平台的访问权限控制,若服务器虚拟化管理平台支持用户自助式管理服务,应关闭此项服务。用户自助式服务最多只提供虚拟机资源申请单提交功能,而不允许普通用户通过服务器虚拟化管理平台的任何远程管理入口登陆虚拟机。管理平台的权限应该通过双因素认证系统绑定到管理员的身份上。3.3、迁移攻击和副本离线破解•问题分析:•出于高可用性的设计考虑,主流的服务器虚拟化软件及其管理平台均支持虚拟机的迁移。攻击者如果控制了管理平台的管理权限,就可以在线地将虚拟机从一台宿主机移动到另一台上。•由于虚拟机的内容是以特定的镜像文件格式存储的,当虚拟机被迁