【摘 要】 本文基于KVM/QEMU底層內(nèi)核，研發(fā)了一套應(yīng)用多租戶(hù)安全隔離技術(shù)的服務(wù)器虛擬化系統(tǒng)，闡述了該系統(tǒng)自主可控虛擬化多租戶(hù)安全隔離的技術(shù)框架，并通過(guò)在多家軍工單位的部署應(yīng)用，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)和用戶(hù)數(shù)據(jù)的機(jī)密性、完備性、隔離性的安全防護(hù)。

【關(guān)鍵詞】 虛擬化 強(qiáng)制訪(fǎng)問(wèn)控制 網(wǎng)絡(luò)安全

1 引言

虛擬化安全作為我國(guó)推進(jìn)自主可控進(jìn)程中的重要研究?jī)?nèi)容之一，是國(guó)家基礎(chǔ)軟件領(lǐng)域的核心目標(biāo)[1]。由于虛擬化技術(shù)在我國(guó)起步較晚，導(dǎo)致國(guó)外廠(chǎng)商產(chǎn)品在國(guó)內(nèi)的應(yīng)用較為普及。在虛擬化安全方面，我國(guó)研發(fā)設(shè)計(jì)及標(biāo)準(zhǔn)化工作正處于起步階段。虛擬機(jī)之間共享物理資源，多租戶(hù)之間能夠通過(guò)側(cè)通道攻擊來(lái)從底層的物理資源中獲得有用的信息，成為虛擬化安全面臨的重要研究課題。

2 虛擬化安全

目前，云計(jì)算的發(fā)展處于虛擬化技術(shù)與企事業(yè)單位業(yè)務(wù)深入融合所帶來(lái)的全新變革階段，隨著虛擬化的推廣，虛擬環(huán)境遭受的攻擊愈加多樣化，現(xiàn)階段最為緊要的任務(wù)是解決虛擬化環(huán)境下的安全問(wèn)題[2]，主要包括以下4個(gè)方面。

（1）外部攻擊

虛擬環(huán)境下服務(wù)器和虛擬機(jī)同樣面臨著與物理環(huán)境中一樣的安全風(fēng)險(xiǎn)，例如惡意軟件、病毒感染、漏洞利用和SQL注入等手段。

（2）內(nèi)部攻擊

伴隨著云計(jì)算邊界消失，數(shù)據(jù)安全無(wú)法得到保證。虛擬機(jī)之間的攻擊、流量不可見(jiàn)，導(dǎo)致無(wú)法進(jìn)行有效檢測(cè)和防護(hù)。

（3）資源分配

在虛擬機(jī)上同時(shí)執(zhí)行病毒掃描和防病毒更新等占用內(nèi)存、CPU、網(wǎng)絡(luò)帶寬等操作會(huì)導(dǎo)致系統(tǒng)資源分配不均，在快照、休眠、遷移等過(guò)程中會(huì)產(chǎn)生防護(hù)間隙。

（4）安全管理

虛擬環(huán)境的復(fù)雜性使安全管理變得困難，在集群中虛擬機(jī)可動(dòng)態(tài)遷移、自主配置，這使得實(shí)施、維護(hù)、配置安全策略變得復(fù)雜。

3 虛擬化系統(tǒng)

由于虛擬化環(huán)境的開(kāi)放性和網(wǎng)絡(luò)復(fù)雜性，核心重要資源面臨著安全威脅。本文基于KVM/QEMU底層內(nèi)核，自主研發(fā)了一套安全穩(wěn)定的國(guó)產(chǎn)虛擬化系統(tǒng)，其主要結(jié)構(gòu)如圖1所示，本系統(tǒng)在虛擬化基礎(chǔ)上采用角色管理、策略控制、日志審計(jì)、身份認(rèn)證等訪(fǎng)問(wèn)控制安全措施，利用虛擬化構(gòu)建了虛擬機(jī)房環(huán)境。

3.1 網(wǎng)絡(luò)安全

（1）管理、數(shù)據(jù)通信分離

通過(guò)虛擬網(wǎng)橋綁定不同的物理網(wǎng)口，讓管理口和虛擬機(jī)數(shù)據(jù)口互相隔離。

（2）QoS流量控制

提供虛擬機(jī)網(wǎng)絡(luò)流量和接口帶寬的安全管理功能，控制虛擬機(jī)的網(wǎng)絡(luò)流量，保證整個(gè)虛擬系統(tǒng)的穩(wěn)定性。

（3）虛擬防火墻

能抵抗外部發(fā)起的針對(duì)虛擬化產(chǎn)品及虛擬機(jī)的拒絕服務(wù)攻擊；能抵抗內(nèi)部發(fā)起的針對(duì)虛擬化產(chǎn)品及其他虛擬機(jī)的拒絕服務(wù)攻擊；能阻止內(nèi)部發(fā)起的針對(duì)虛擬網(wǎng)絡(luò)外部的拒絕服務(wù)攻擊。

（4）訪(fǎng)問(wèn)控制

通過(guò)設(shè)置訪(fǎng)問(wèn)控制規(guī)則，提供虛擬機(jī)和宿主機(jī)之間的資源管控及虛擬機(jī)之間的資源管控，確保虛擬機(jī)之間的資源隔離、內(nèi)存隔離、存儲(chǔ)隔離，防止虛擬機(jī)鏡像文件的異常掛載，保障虛擬機(jī)運(yùn)行安全。

3.2 網(wǎng)絡(luò)隔離

（1）物理資源與虛擬資源隔離

保證每個(gè)虛擬機(jī)都能獲得獨(dú)立的CPU指令、內(nèi)存和存儲(chǔ)等物理資源；在虛擬機(jī)監(jiān)視器層提供虛擬機(jī)與宿主機(jī)之間的安全隔離措施，控制虛擬機(jī)之間以及宿主機(jī)之間所有的數(shù)據(jù)通信，并禁止或限制虛擬機(jī)對(duì)物理存儲(chǔ)實(shí)體的直接訪(fǎng)問(wèn)。

（2）虛擬CPU指令隔離

通過(guò)虛擬機(jī)虛擬CPU與物理主機(jī)物理處理器核心綁定的方式，實(shí)現(xiàn)各個(gè)虛擬CPU隔離。物理CPU核心只能綁定一個(gè)虛擬CPU核心。在這種方式下，因?yàn)槊總�(gè)虛擬CPU的計(jì)算負(fù)載、指令實(shí)際運(yùn)行在被綁定的物理核心上，而且不同的虛擬機(jī)CPU對(duì)應(yīng)不同的物理核心，因此各個(gè)虛擬CPU的指令是相互隔離的。

（3）內(nèi)存隔離

使用KVM+QEMU虛擬化技術(shù)，以L(fǎng)inux操作系統(tǒng)作為基礎(chǔ)平臺(tái)。在該技術(shù)方案下，每一個(gè)虛擬機(jī)對(duì)應(yīng)一個(gè)QEMU進(jìn)程，QEMU進(jìn)程提供虛擬機(jī)運(yùn)行所需要內(nèi)存等所有資源，即虛擬機(jī)使用的內(nèi)存等資源屬于被分配給QEMU進(jìn)程的內(nèi)存資源。在Linux操作系統(tǒng)下，不同的進(jìn)程之間是相互隔離的，不同進(jìn)程之間的虛擬地址相互獨(dú)立，每個(gè)進(jìn)程無(wú)權(quán)訪(fǎng)問(wèn)其他進(jìn)程的地址空間，即內(nèi)存空間相互隔離。因此虛擬化系統(tǒng)中每個(gè)虛擬機(jī)的內(nèi)存空間也是相互隔離的。

4 多租戶(hù)安全隔離技術(shù)

虛擬化環(huán)境中虛擬機(jī)之間的隔離程度是虛擬化平臺(tái)安全的關(guān)鍵，多租戶(hù)虛擬化系統(tǒng)是指允許大量的用戶(hù)可以通過(guò)共享虛擬化系統(tǒng)上的數(shù)據(jù)資料和服務(wù)資源來(lái)實(shí)現(xiàn)服務(wù)需求。由于虛擬化環(huán)境的開(kāi)放性、邊界模糊和網(wǎng)絡(luò)復(fù)雜性，核心重要資源面臨著非授權(quán)訪(fǎng)問(wèn)、越界訪(fǎng)問(wèn)等安全威脅。現(xiàn)有的虛擬機(jī)隔離機(jī)制主要包括以下4種。

（1）硬件提供的內(nèi)存保護(hù)機(jī)制

系統(tǒng)管理模式（System Management Mode，SMM）是一個(gè)對(duì)所有Intel處理器都統(tǒng)一的標(biāo)準(zhǔn)體系結(jié)構(gòu)特性，在這種模式下可以執(zhí)行高級(jí)電源管理、硬件控制和運(yùn)行OEM代碼。然而它對(duì)系統(tǒng)是透明的，這種硬件提供的保護(hù)機(jī)制是不可控的。

（2）硬件協(xié)助的安全I(xiàn)/O管理機(jī)制

硬件協(xié)助的安全I(xiàn)/O管理機(jī)制能夠利用加解密密鑰控制虛擬機(jī)占用的內(nèi)存空間、I/O復(fù)用等問(wèn)題，將各虛擬機(jī)與管理主機(jī)、虛擬機(jī)與虛擬機(jī)之間的內(nèi)存、虛擬I/O設(shè)備隔離開(kāi)來(lái)，達(dá)到增強(qiáng)虛擬機(jī)之間隔離性的目的。

（3）進(jìn)程地址空間的保護(hù)機(jī)制

當(dāng)進(jìn)程啟動(dòng)時(shí)，系統(tǒng)會(huì)為其分配地址空間，這些地址空間對(duì)于每個(gè)進(jìn)程來(lái)說(shuō)都是私有的，其他進(jìn)程不可訪(fǎng)問(wèn)，只有進(jìn)程中的線(xiàn)程能夠訪(fǎng)問(wèn)。然而現(xiàn)在進(jìn)程地址空間很容易被遠(yuǎn)程注入、系統(tǒng)鉤子等手段侵入。

（4）虛擬池、資源池地址邏輯隔離

服務(wù)器將租戶(hù)請(qǐng)求的資源池地址進(jìn)行正交化隔離，不同的虛擬池也需要進(jìn)行安全隔離，同時(shí)對(duì)租戶(hù)的訪(fǎng)問(wèn)權(quán)限信息進(jìn)行正交化隔離，例如域名地址、用戶(hù)名、密碼等，以確保各個(gè)虛擬池間的物理地址安全隔離。

5 多租戶(hù)訪(fǎng)問(wèn)控制體系

在虛擬化環(huán)境下，用戶(hù)之間的通信由訪(fǎng)問(wèn)控制保證，由于每個(gè)用戶(hù)也都有自己的訪(fǎng)問(wèn)控制策略，而在跨多個(gè)域的資源共享與訪(fǎng)問(wèn)時(shí)需要對(duì)共享資源制定一個(gè)公共、雙方都認(rèn)同的訪(fǎng)問(wèn)控制策略，更使得整個(gè)虛擬化系統(tǒng)的訪(fǎng)問(wèn)控制變得復(fù)雜，對(duì)訪(fǎng)問(wèn)控制策略的管理正逐漸成為虛擬化系統(tǒng)重要的研究方向。虛擬化環(huán)境下訪(fǎng)問(wèn)控制體系框架如圖2所示。

虛擬化訪(fǎng)問(wèn)控制架構(gòu)可以分為用戶(hù)、云平臺(tái)、網(wǎng)絡(luò)基礎(chǔ)環(huán)境3個(gè)部分。在用戶(hù)和虛擬化環(huán)境之間通過(guò)訪(fǎng)問(wèn)控制規(guī)則（如訪(fǎng)問(wèn)控制列表ACL等）和訪(fǎng)問(wèn)控制策略進(jìn)行訪(fǎng)問(wèn)控制。在虛擬化系統(tǒng)中，虛擬機(jī)之間進(jìn)行虛擬設(shè)備的訪(fǎng)問(wèn)控制，對(duì)于存儲(chǔ)在虛擬化系統(tǒng)內(nèi)部的數(shù)據(jù)可以采用基于某種訪(fǎng)問(wèn)控制策略和基于密碼學(xué)的訪(fǎng)問(wèn)控制相結(jié)合的手段進(jìn)行安全防護(hù)。在虛擬化系統(tǒng)和網(wǎng)絡(luò)基礎(chǔ)環(huán)境中采用訪(fǎng)問(wèn)控制規(guī)則進(jìn)行訪(fǎng)問(wèn)控制。

虛擬化訪(fǎng)問(wèn)控制體系研究主要包括權(quán)限控制、身份認(rèn)證、策略管理、行為審計(jì)等內(nèi)容。

5.1 權(quán)限控制

權(quán)限控制是虛擬化系統(tǒng)安全運(yùn)行的基礎(chǔ)，包括群組管理、虛擬用戶(hù)管理和權(quán)限管理3部分，能夠?yàn)橄到y(tǒng)安全、靈活運(yùn)行提供安全保障。虛擬化通過(guò)定義不同的角色，將權(quán)限與角色進(jìn)行結(jié)合，實(shí)現(xiàn)虛擬資源的安全使用。同時(shí)為杜絕超級(jí)管理員權(quán)限過(guò)大帶來(lái)的不安全因素，系統(tǒng)設(shè)置系統(tǒng)管理員、安全管理員、審計(jì)管理員3種管理角色，系統(tǒng)管理員負(fù)責(zé)虛擬資源的運(yùn)行維護(hù)，安全管理員主要負(fù)責(zé)對(duì)虛擬資源的審計(jì)，審計(jì)管理員負(fù)責(zé)對(duì)管理員行為進(jìn)行監(jiān)控，3種角色之間能夠相互制約相互監(jiān)督，防止權(quán)限集中帶來(lái)的安全隱患。群組管理是權(quán)限控制的基礎(chǔ)，為后續(xù)的虛擬用戶(hù)管理、權(quán)限管理與資源安全訪(fǎng)問(wèn)控制提供可能。通過(guò)群組管理與權(quán)限管理相結(jié)合實(shí)現(xiàn)多個(gè)虛擬用戶(hù)權(quán)限的集中控制，提高系統(tǒng)的易用性，如圖3所示。

虛擬用戶(hù)管理是角色管理的重要組成部分，虛擬用戶(hù)是使用虛擬資源的實(shí)際個(gè)體，也是虛擬資源的最終使用者，能夠?qū)μ摂M資源進(jìn)行訪(fǎng)問(wèn)。系統(tǒng)通過(guò)為不同的虛擬用戶(hù)分配不同的權(quán)限實(shí)現(xiàn)虛擬用戶(hù)間使用資源的隔離，保證用戶(hù)數(shù)據(jù)的安全性。

權(quán)限是對(duì)虛擬資源訪(fǎng)問(wèn)的許可，權(quán)限管理是系統(tǒng)安全運(yùn)行的必要保障。權(quán)限過(guò)大會(huì)降低虛擬資源數(shù)據(jù)的安全性，不僅能夠給每個(gè)用戶(hù)設(shè)置權(quán)限，而且能夠設(shè)置組權(quán)限，在提高安全性的同時(shí)增加系統(tǒng)的易用性。同時(shí)，除普通用戶(hù)、組權(quán)限之外，角色管理實(shí)現(xiàn)了用戶(hù)與訪(fǎng)問(wèn)權(quán)限、資源的邏輯分離。

5.2 身份認(rèn)證

在用戶(hù)身份的認(rèn)證上，利用USBKey技術(shù)，結(jié)合動(dòng)態(tài)口令技術(shù)，全面替換操作系統(tǒng)的認(rèn)證模塊，實(shí)現(xiàn)用戶(hù)身份的登錄系統(tǒng)一次一密，用戶(hù)登錄系統(tǒng)時(shí)需要通過(guò)USBKey或生物識(shí)別認(rèn)證，并將用戶(hù)使用的客戶(hù)端MAC信息進(jìn)行認(rèn)證；通過(guò)和PKI技術(shù)及身份認(rèn)證技術(shù)結(jié)合，保證用戶(hù)身份的唯一性；通過(guò)USBKey或生物識(shí)別認(rèn)證進(jìn)行登錄, 保證管理員身份的合法性, 進(jìn)而保證系統(tǒng)安全性，確保用戶(hù)身份安全認(rèn)證。

5.3 策略管理

策略管理是保證虛擬化系統(tǒng)安全運(yùn)行的有效方式，策略是對(duì)虛擬用戶(hù)要求、虛擬環(huán)境安全要求等方面的集中體現(xiàn)。系統(tǒng)通過(guò)設(shè)置安全訪(fǎng)問(wèn)策略，實(shí)現(xiàn)用戶(hù)對(duì)虛擬資源的訪(fǎng)問(wèn)控制，通過(guò)設(shè)置數(shù)據(jù)流的單向、雙向策略保證用戶(hù)數(shù)據(jù)的安全性；通過(guò)設(shè)置外設(shè)安全策略保證外設(shè)設(shè)備的安全使用。

5.4 行為審計(jì)

行為審計(jì)能夠支持用戶(hù)操作日志與虛擬機(jī)操作事件的審計(jì)管理，詳細(xì)審計(jì)每個(gè)虛擬機(jī)操作的具體開(kāi)始時(shí)間、結(jié)束時(shí)間和具體操作行為，以及管理員的登錄、退出、創(chuàng)建和刪除虛擬機(jī)以及創(chuàng)建和刪除用戶(hù)等各類(lèi)事件的具體行為和時(shí)間增強(qiáng)系統(tǒng)的安全性。同時(shí)能夠?qū)徲?jì)系統(tǒng)的故障錯(cuò)誤，為增強(qiáng)系統(tǒng)的可靠性提供有力支撐。

6 結(jié)語(yǔ)

隨著云計(jì)算的蓬勃發(fā)展，虛擬化系統(tǒng)租戶(hù)數(shù)量的不斷上升，安全威脅所帶來(lái)的危害也急劇增加，因此需要定期對(duì)云平臺(tái)各類(lèi)威脅及多租戶(hù)安全隔離問(wèn)題進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，以實(shí)現(xiàn)對(duì)安全風(fēng)險(xiǎn)有效的控制與處理，提高系統(tǒng)對(duì)異常訪(fǎng)問(wèn)的預(yù)警能力并對(duì)它進(jìn)行安全隔離。針對(duì)虛擬化技術(shù)的多租戶(hù)架構(gòu)平臺(tái)的安全威脅，為虛擬化系統(tǒng)應(yīng)用提供機(jī)密性、完整性、真實(shí)性、可控性和可用性保障是必要的。

 

（原載于《保密科學(xué)技術(shù)》雜志2020年10月刊）