1、前言

随着人们对虚拟化认识的逐步深入，虚拟化应用越来越广泛，作为虚拟化领域先行者和领导者的VMware，其虚拟化解决方案已经在许多企业生根落地，取得了良好的应用效果。随着虚拟化从企业的边缘应用进入核心应用，用户在享受虚拟化益处的同时，必须认识到虚拟化技术带来的安全风险，针对性地采取技术防范措施，才能既利用虚拟化好处又保证信息系统安全。

虚拟化的安全风险表现在多个方面，物理硬件、虚拟化层、网络架构、虚拟机备份、身份鉴别与访问控制、虚拟机系统服务、补丁管理和病毒与恶意代码等方面都不同程度存在着安全风险。物理硬件的安全风险在于如果选择不支持虚拟机的物理硬件则不能较好发挥虚拟机的优势。虚拟化层直接与物理硬件和客户端操作系统通讯，拥有大量对主机操作系统和硬件的高级访问权限，虚拟机感知式恶意软件(如RedPill)以及rootkits软件(如BluePill)，就是利用虚拟化层来攻击整个虚拟机环境。虚拟化环境中存在着四种网络：管理网络、存储网络、虚拟机网络以及Vmotion虚拟机迁移网络，如果虚拟化管理员不隔离这些网络，就有可能出现一些大的安全漏洞 。虚拟服务器在大多数方面都等同于物理服务器，因此在系统备份、身份鉴别与访问控制、虚拟机系统服务、补丁管理和病毒与恶意代码等方面都与物理服务器的安全风险类似，但由于虚拟化的主要目标之一就是大幅度提高主机的资源利用率，闲置的资源很少，注定了虚拟化环境的安全防护措施既要使用传统的安全技术手段，又要结合虚拟机的特殊性，采取新的技术措施。

虚拟化层(hypervisor层)是虚拟化软件系统的核心层，理应由虚拟化厂商来能保证其安全性。目前VMware已经提供了与VMware hypervisor整合的VMsafe开放技术平台，为Trend、Symantec、McAfee这样的独立安全企业提供了比恶意程序更高的执行权限I2]。利用VMware虚拟化软件所具备的内视能力(introspection)防止恶意程序与其他网页威胁入侵企业网络，并能够对关机状态下的VMware虚拟机进行扫描，待问题清除之后才启动机器。

本文主要从物理硬件、网络架构、虚拟机备份、身份鉴别与访问控制、虚拟机系统服务、补丁管理和病毒与恶意代码等几个方面提出保障虚拟化安全的技术措施。

2、保障虚拟化安全的措施

虚拟机的安全问题是比较复杂的问题，在安全部署方面，不仅仅要考虑到虚拟机本身系统的安全，还要考虑其宿主机及网络环境的安全，因此传统的安全工具和方法通常需要升级，才能够更好地应用于虚拟化环境。同时，在选择新的工具和方法时，需要考虑与虚拟化技术的兼容性，不仅仅是单个产品与虚拟机之间的可操控性，更要求整个虚拟环境的可操控性。下面来分析保障虚拟化环境安全的具体措施。

2.1 选择合适的主机硬件

由于不支持虚拟化的主机可能带来潜在的安全风险，而且各虚拟化厂商都有其虚拟机兼容硬件列表，因此应投资购买支持虚拟机的硬件。

虚拟机的资源需求计算是很复杂的，通常采用以下计算公式来进行估算：

硬件资源需求=H+G1+G2+G3+?+GN+0

在这个公式里，H=虚拟机软件所需资源，G=虚拟机操作系统所需资源+应用程序所需资源，0=额外开销。

2.2 细化网络设置、进行分区隔离

在虚拟环境中，系统的隔离和分区是十分重要的，因为尽管一个虚拟机的虚拟硬件与其他虚拟机的虚拟硬件是相互隔离的，但虚拟机的底层网络通常是共享的，接入这样一个共享网络的任何虚拟机或虚拟机组都可以通过这些网络链路进行通信，因此，它们有可能成为网络中的攻击目标。

隔离虚拟网络既可以按照位置分开虚拟机，即把公共的虚拟机与专用的虚拟机分开，也可以按照服务类型分开虚拟机，如把系统管理类虚拟服务器、应用程序类虚拟服务器和数据库虚拟服务器分开。将各组虚拟机隔离在它们各自的网络分段中，即不同的VLAN中，借以最大限度地降低数据通过网络从一个虚拟机分区泄漏到另一个虚拟机分区的风险。实际上，对网络进行分段可以降低多种类型的网络攻击风险，其中包括地址解析协议ARP欺骗。将网络分段还有另一个好处，即简化了进行合法性审计的过程，这是因为通过网络分段，用户能够清楚地了解网络中连接了哪些类型的虚拟机，从而进行分类管理。

2.3 选择适用的虚拟机备份方案

虚拟机备份的主要问题在于虚拟机的闲置资源比较少，而备份应用会消耗大量服务器的输入/输出、CPU和内存资源，如果多个备份计划重叠执行，就会因占用过多系统资源而严重影响应用系统的运行效率l6]。因此传统的备份方案不能照搬到虚拟化环境，那么应该怎样选择合适的虚拟机备份方案呢?高效适用的虚拟机备份产品和方案应具备以下特点：

1)能够为附属于客户端虚拟机的虚拟硬盘创建快速、空间高效的高性能快照；

2)利用可感知应用程序的备份方案，对这些快照的创建和管理进行整合；

3)能够访问服务器上的快照而不是运行活动虚拟机的快照，这对于将备份负载及其附带的资源消耗从活动的应用程序中分开是至关重要的；

4)拥有长期在线可用的快照，大多数快照具有空间高效功能，这意味着基镜像(base image)及其子快照中的数据块仅保持一次。这样就可以廉价地长期保存许多快照，使得从快照中快速恢复数据变得简单可行；

5)具备增量备份功能。虚拟机镜像文件一般很大，通常数十个GB，如果备份软件能感知上次备份之后镜像的哪些部分发生了变化而进行增量备份，那么它的效率就可以变得更高。

2.4 利用双重身份认证提高安全性

虚拟化环境中用户身份认证是十分重要的安全环节，现在很多企业建立了域管理模式，通过域控制器集中管理用户账号和计算机资源，用户访问企业资源首先需要经过AD身份认证，但仅使用用户名+密码的方式进行身份认证，即使设置了强密码，依然存在攻击者暴力破解的风险，如果使用域认证十Ukey认证的双重身份认证方式，则可以大为降低身份认证方面的安全风险。图1介绍了在VMware虚拟化环境中使用域认证+Ukey双重身份认证的认证流程。

域认证+Ukey双重身份认证流程说明：

用户在瘦客户端或PC机上运行View Client，连接到虚拟化会话管理中心；
会话管理中心将用户名和密码发送到AD身份认证服务器，进行域身份验证；
域身份验证通过后，从虚拟桌面服务器返回用户自己的虚拟桌面，显示Ukey登录验证界面；

用户通过自己的虚拟桌面输入Ukey的PIN码；

Ukey认证服务器验证PIN码；

Ukey认证服务器与AD交互域用户信息；

Ukey认证通过后，登录用户自己的虚拟桌面；

完成域认证+Ukey双重身份认证的用户即可使用单

点登录方式访问应用系统。

2.5 分权进行访问控制

VMware虚拟化环境集中管理控制台VCenter的本地管理员(超级管理员)拥有最大的管理员权限，即拥有虚拟化环境下的所有特权操作权限，如果该用户滥用特权，则可能对整个虚拟化环境造成无法估量的损失。为了化解该风险，应该采取分权制约的方式。具体分权方案如下：

1)定义系统管理员、安全管理员、安全审计员三个角色(简称系统三员)，系统三员彼此之间不得兼任；

2)在网络主干防火墙上设置仅系统三员负责使用的IP地址能够远程访问虚拟机管理中心VCenter，而且尽可能使用通信加密手段，如使用HTTPS、TLS或SSH来远程管理VCenterl3]。VCenter的本地管理员密码由系统管理员和安全管理员分段掌握(每段都应该设置强密码)，只有当这两位管理员同时在场并分别输入正确的密码时，才能执行本地管理员的特权操作；

3)在VCenter和虚拟桌面管理器view Manager中创建三个角色：系统管理员、安全管理员、安全审计员，并分别进行权限设置：

系统管理员可以进行日常虚拟机创建和数据中心维护工作，但不能删除虚拟机和审计VCenter系统日志；安全管理员负责桌面资源池的日常创建和桌面资源池的授权以及废止虚拟机的删除，不能审计VCenter系统日志；

安全审计员拥有VCenter数据中心的系统日志审计权限，主要审计系统管理员和安全管理员的操作情况。这样系统三员权限彼此制约，各自独立完成日常工作，仅当需要进行特权操作时，才由系统管理员和安全管理员同时在场操作，实现系统三员共同管理虚拟化环境的目标。

2.6 合理配置、加固系统、降低风险

通过合理配置，终止和禁用不必要的服务，可保持虚拟机操作系统的精简，减少被攻击的机会。具体措施如下：

1)禁用部分功能。对单一操作系统的虚拟机来说，关闭屏幕保护、磁盘碎片整理、搜索工具(比如搜索磁盘内的文件)、文件完整性检查、日志和日志分析工具、系统更新、空闲检测等功能，都不会影响虚拟机运行；

2)慎用文件共享功能。除非有业务需要，明确要求文件共享，否则应禁用文件共享功能；

3)设置时间同步。一般可以将物理域控服务器配置为时间服务器，宿主服务器和其他虚拟服务器的NTP源都指向该服务器；

4)断开不使用的设备。虚拟技术允许虚拟机直接或间接控制物理设备，如软驱、光驱、USB接口、打印机等。在虚拟机启动的时候，它们会检测这些硬件设备，如果多个虚拟机同时启动，则第一个启动的虚拟机优先使用，其他虚拟机的检测会被锁定，这会造成不必要的启动延迟。另外，如果光驱驱动器里的光盘含有恶意代码，虚拟机可能会自动加载并执行，类似于自动运行的功能，从而感染病毒或木马。安全的做法是关闭所有可控制的物理设备，只在需要的时候才允许连接。

2.7 妥善解决补丁更新问题

虚拟机的快速增长给补丁更新带来了沉重负担。要保证虚拟机始终安装最新的补丁，对于拥有数百个虚拟机镜像库的企业来说，将是一项十分繁重的任务。企业IT部门应该制定虚拟机补丁更新的规范流程，这个流程除了要求解决正在运行的虚拟机的补丁状态问题外，还应要求虚拟机管理员经常检查关闭的虚拟机的补丁状态，同时定期更新虚拟机模板，保证用来创建新虚拟机的镜像模板内安装的软件版本是最新的。

2.8 寻找解决病毒与恶意代码问题的新方案

由于虚拟化环境的特殊性，采用传统的病毒和恶意代码解决方案解决虚拟机的防病毒问题，存在如下问题：

1)在每个虚拟机上都部署防病毒软件，会占用很多的ESX Server的资源，如：CPU、内存、I/O等，造成虚拟化密度低，影响投资效益；

2)如果全部防病毒软件同时进行系统扫描，会形成“病毒风暴”，把ESX Server的资源全部吃满，甚至造成宕机；

3)虚拟机存在使用和关闭两种情况，对于关闭的虚拟系统是不能够进行病毒库升级的，但是这个虚拟机和虚拟化平台底层是可以通信的，所以很容易被利用造成破坏。因此我们需要选择专为虚拟环境所打造的防病毒解决方案，此方案的特点是只在每台宿主物理服务器上安装一次，即可达到如下防护效果：

1)提升硬件服务器的使用率。即相同硬件能提高虚拟机密度；

2)简化管理。能通过一次性的安装部署，实现以主机为单位的保护管理；

3)能实现自动继承的保护。也就是说虚拟镜像可即装即防，裸机也能立即保护。

对于已经在虚拟化环境采用了传统的病毒和恶意代码解决方案的用户，则应该细化虚拟机的病毒防护策略，对虚拟机实行分时升级和病毒扫描策略，避免所有虚拟机同时升级和扫描形成“病毒风暴”而导致系统服务异常，同时虚拟机管理员还应定期开启关闭的虚拟机进行病毒库升级和扫描。

3、结语

本文在分析基于VMware虚拟化环境存在的安全风险的基础上，提出了降低风险的技术保障措施，并成功应用于某VMware虚拟化的实施部署项目中。该虚拟化实施项目重点从物理硬件选择、网络架构规划、身份鉴别与访问控制方案设计、虚拟机系统服务配置等方面着手，多管齐下，综合利用多种虚拟化安全防护技术，保证了VMware虚拟化建设项目顺利实施，并安全稳定运行了两三年。今后随着各种核心业务系统逐步迁移到VMware虚拟化环境，还需要考虑的安全措施是部署整个虚拟化环境的快速灾难恢复机制，并采用针对虚拟化环境的病毒与恶意代码解决方案，实现批量虚拟机离线杀毒 ，在进一步提高虚拟化安全性的前提下，充分整合数据中心资源，打造低碳环保、绿色节能高效的数据中心。