2.2虚拟化安全分层分析

目前对虚拟化安全的研究综合起来可以归结为两个方面：一个是虚拟化软件的安全；另一个是虚拟服务器的安全。

(1)虚拟化软件的安全

该软件层直接部署于裸机之上，提供能够创建、运行和销毁虚拟服务器的能力。主机层的虚拟化能通过任何虚拟化模式完成，包括操作系统级虚拟化(Solaris container、BSDiail、Linax．Vserver)、半虚拟化(硬件和Xen、VMware的结合)或基于硬件的虚拟化(Xen、VMwaxe、Microsoft Hyper-V)。

这一层的特点是虚拟机的安全．其中Hypervisor作为虚拟机的核心。要确保安全。目前有两种攻击方式，一是恶意代码通过应用程序接口(API)攻击，因虚拟机通过调用AP!向Hypervisor发出请求．Hypervisor要确保虚拟机只会发出经过认证和授权的请求。二是通过网络对Hypervisor进行攻击。通常，Hypervisor所使用的网络接口设备也是虚拟机所使用的。如果网络配置得不是很严格，这意味着虚拟机可以连接到Hypervisor的IP地址，并且可以在Hypervisor的登录密码没有使用强密码保护的情况下入侵到Hypervisor。这种不严格的网络配置还可能导致对Hypervisor的DoS攻击．使得外网无法链接到Hypervisor去关闭这些有问题的虚拟机。

(2)虚拟服务器的安全

虚拟服务器位于虚拟化软件之上。服务器的虚拟化相对于之前的服务器，变化最大的一点是网络架构。网络架构的改变相应地产生了许多安全问题。采用虚拟化技术前，用户可以在防火墙设备商建立多个隔离区．对不同服务器采用不同的规则进行管理．由于隔离区的存在。对一个服务器的攻击不会扩散到其他服务器。采用虚拟服务器后．所有的虚拟机会集中连接到同一台虚拟交换机与外部网络通信，会造成安全问题的扩散。服务器虚拟化后。每一台服务器都将支持若干个资源密集型的应用程序．可能出现负载过重．甚至会出现物理服务器崩溃的状况。在管理程序设计过程中的安全隐患会传染到同台物理主机上的虚拟机．造成虚拟机溢出，此时的虚拟机从管理程序脱离出来，黑客可能进入虚拟机管理程序，能够避开虚拟机安全保护系统．对虚拟机进行危害。

另外．虚拟机迁移以及虚拟机问的通信将会大大增加服务器遭受渗透攻击的机会。虚拟服务器或客户端面临着许多主机安全威胁．包括接人和管理主机的密钥被盗，攻击来打补丁的主机．在脆弱的服务标准端口侦听，劫持未采取合适安全措施的账户等。面对以上不安全因素，目前研究发现。可以采取以下措施：

针对网络架构的变化，在每台虚拟机上都安装防毒软件或者其他种类的杀毒软件；
避免服务器过载崩溃，要不断监视服务器的硬件利用率，并进行容量分析，使用容错服务器或容错软件是一个好的选择;
为阻止虚拟机溢出。在数据库和应用层问设置防火墙,通过隔离虚拟机实现从网络上脱机保存虚拟化环境;
选择具有可信平台模块(trusted platform module，TPM)的虚拟服务器：
安装时为每台虚拟服务器分配一个独立的硬盘分区。以便进行逻辑隔离；
每台虚拟服务器应通过VLAN和不同的IP地址网段的方式进行逻辑隔离．需要通信的虚拟服务器间通过VPN进行网络连接：
进行有计划的备份，包括完整、增量或差量备份方式，进行虚拟化的灾难恢复。

3、基于Xen平台安全问题分析

为了研究方便．笔者选择Xen搭建云计算平台．分析Xen是怎样解决虚拟化安全问题的．并认识Xen未解决的问题，从而对云计算虚拟化的安全问题有更深一步的认识。

3.1 Xen概述及其与VMware的比较

Xen是一种基于虚拟机炼控器Xen Hypervisor的虚拟机体系结构．由剑桥大学开发。Xen Hypervisor作为虚拟机临控器直接运行在硬件上，提供虚拟化环境。同时，在Xen Hypervisor上运行一个具有管理接口(administrativeconsole)的虚拟机(Domain 0)作为Xen Hypervisor的扩展．管理Xen hypervisor和其他虚拟机实例(Domain U)。

跟Xen比较起来．VMware是完全仿真计算机，理论上操作系统可不需更改就直接存虚拟机器上执行，但是VMware不够灵活。通常Xen采用半虚拟化技术，虽然操作系统必须进行显式地修改(“移植”)以在Xen上运行，但是提供给用户应用的兼容性强。这使得Xen无需特殊硬件支持，就能达到高性能的虚拟化。文献表明．肖用Linux自带的网络服务测试工具测试VMware和Xen的虚拟网络性能时，随着请求文件长度的变大．每秒钟处理的请求数均降低．Xen的虚拟网络性能与真实主机接近，而比VMware虚拟网络的性能好。目前，Intel等公司的努力使Xen已经支持完全虚拟化。更重要的是．Xen是开源的，因此选用Xen搭建云计算环境是一个不错的选择。

3.2 Xen已解决的安全问题

(1)Xen的访问控制

云计算虚拟化面临诸多安全问题，有效采取访问控制策略能有效解决非法登录、虚拟机流量监控等安全问题。Xen通过自己的访问控制模块(Access control module，ACM)。能有效解决诸多访问不当造成的安全问题。

ACM实现了两种策略机制,分别是中国墙(Chinesewall)策略和简单类型强制(simple type enforcement．STE)策略。其中，中围墙策略定义了一组中国墙类型，并因此定义冲突集，然后根据类型定义标签．该策略根据标签来进行判断，若两个虚拟机的标签处在同一个冲突集中．则不能同时在相同的系统上运行．因此该机制主要用于虚拟机之间的信息流控制。STE策略亦定义了一组类型(该类型针对的是域所拥有的资源)，然后根据类型定义标签，要求当上体拥有客体标签时．主体才能访问客体．以此来控制资源共享。除此以外，Xen的Domain 0用户可以根据自己的需求制定安全策略史档．当虚拟机请求与别的虚拟机进行通信或访问资源时．ACM模块能根据用户定义的策略判断．以此达到对虚拟机的资源进行控制以及对虚拟机之间的信息流进行控制的目的。

(2)Xen的可信计算

可信计算技术是一种新兴的信息安全手段，其安全措施是通过构建信任链来防御攻击。通过传递机制，在系统启动时可将B10S中最先启动的代码BIOS boot loader作为整个信任链的起点，依次逐级向上传递系统控制权并构建信任链，直到应用层。可信计算可以有效弥补传统安全防议无法提供的有关通信终点节点完整性与可信性差的问题。

可信计算平台是能够提供可信计算服务的计算机软硬件实体．它能够提供系统的可靠性、可用性以及信息和行为的安全性。因此，建立可信平台是应对云计算安全的一种重要手段。而可信平台模块(TPM)是可信计算的基石。

TPM实际上是一个含有密码运算部件和存储部件的系统级芯片，是云计算平台重要的防篡改组件，这能有效保证平台的安全。相对于传统物理平台，可信平台在Xen等虚拟化平台上实现TPM，有一定的优越性。平时计算机装了太多软件，这使得构建信任链变得很复杂。相对而言，使用虚拟机(VM)配合虚拟可信平台模块(vTPM)组成虚拟终端可信平台要方便得多例。这是因为虚拟终端可信平台通常只为处理某种特定任务而产生，可由用户自定义其所需功能，所以功能相对简单，更容易构建信任链。此平台可以来处理需要安全保障的在线服务或敏感数据的访问。

现在，Xen 3.0以上的版本都能支持vTPM的实现．vTPM能实现虚拟计算系统中虚拟机的安全可靠。vTPM可以使平台上的每个虚拟机利用其功能．让每个需要TPM功能的虚拟机都感觉是在访问自己私有的TPM一样。在平台搭建中。可以创建多个虚拟TPM，这样每一个如实地效仿硬件TPM的功能，可有效维护各个虚拟机的安全．从而使Xen搭建的云计算平台处于较稳定状态。

3.3 Xen的现有问题及解决策略

目前的Xen的安全性还有较多的安全问题。比如，Domain 0是一个安全瓶颈，其功能较其他域强，所以容易被敌手发起蠕虫、病毒、DoS等各种攻击，如果Domain 0瘫痪或者被敌手攻破，那么将破坏整个虚拟机系统。Xen的隐通道问题没有解决。在Xen上就不可能运行高安全等级的操作系统。虚拟机共享同一套硬件设备，一些网络安全协议可能更加容易遭到恶意破坏和恶意实施。Xen提供了方便的保存和恢复机制．使得操作系统数据的回滚和重放非常容易，但这些将影响操作本身的密码特性。除此之外，在Xen中，由于安全机制做在Guest OS中，所以不能保证VMM的安全。Xen只能限制页表一级的内存I/O地址空间．而中断和I/0端口地址空间的粒度要比页表小得多．如果不同虚拟机中的驱动不幸被分配到同一个页表空间，那么它们就可以访问对方的内存地址空间，造成安全问题。

针对Domain 0的问题。可削弱它的功能。将其功能分解到其他域．这将会适当减少Domain 0的瓶颈作用。具体的策略需要进一步研究。对于敏感数据要进行多次擦除防止再恢复。另外，Xen的ACM模块不能完全解决设备隔离和资源隔离问题，将Xen和LaGrande技术结合是一个不错的选择。LaGrande是lnfel将要实施的一种硬件技术，它是一组通用的硬件安全增强组件．用来防止敏感的信息被恶意软件攻击．其安全功能将被整合到处理器和芯片集中．能有效增强设备隔离，实现I/O保护、内存越界保护、键盘、显示的隔离保护等。总之，在之后的工作中，需要慢慢解决虚拟化的安全问题，这是云计算安全的关键。

4、业界对虚拟化安全的努力

针对传统安全防火墙技术不能有效监控虚拟机流量的问题,mtor Networks公司使用VMware的API来开发虚拟安全分析器，以检测虚拟交换机流量——在虚拟层之上的网络层流量。该公司也开发了虚拟网络防火墙，该防火墙基于虚拟机管理器，可认证有状态的虚拟防火墙，检查所有通过虚拟机的数据分组，组织所有未经批准的连接和允许对数据分组进行更深层次的检查，确保了虚拟机间通信的安全。针对虚拟环境的安全问题，目前Resolution Enterprise公司提出要对虚拟化环境采取深层防护战略．这是一个像城堡一样的防护模型，通过执行相应的策略实现对云计算虚拟资源池的保护。这个新发明值得进一步去研究。

除此以外．开源Xen管理程序社区Xen.org已经开始实施Xen云平台(XCP)计划。目的是在云环境中利用领先的Xen管理程序．为未来的云服务提供安全的、经过验证的开源基础设施乎台。目前。已经发布了XCPl.0及其修正版，并将慢慢发布更加稳定的版本。这将有助于建立更加稳定的云计算平台。

5、结束语

虚拟化打开了云计算的大门，而云计算的本质正是虚拟化服务。作为一个新的网络计算，云计算面临着诸多安全问题．而虚拟化安全作为云计算的特有安全问题，需要重点关注。后期研究的重点集中在虚拟机的隔离，虚拟机流量的监控和虚拟的可信平台的稳固上。只有解决这些问题题，才能够确保云计算平台的虚拟化安全，从而放心地使用云计算。