資源描述:
《云計算虛擬化平臺安全分析》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫。
1、云計算虛擬化平臺安全分析時間:2013-04-11作者:來源:瀏覽次數(shù):263云計算的背景工^革命的發(fā)生使人類從手工業(yè)、農(nóng)業(yè)社會開始邁入機器工業(yè)、信息化社會。第一、二次H,以個人計算機和互聯(lián)網(wǎng)的廣泛應(yīng)用為標志。而今我們又將經(jīng)歷第三次IT革命云計算,這將是一場顛覆性的革命。有人說云計算是技術(shù)革命的產(chǎn)物,也有人說云計算只不過是已有技術(shù)的最新包裝,是設(shè)備廠商和軟件廠商新瓶裝舊酒的一種商業(yè)策略。但我們認為云計算是社會經(jīng)濟、技術(shù)進步、商業(yè)模式轉(zhuǎn)換的共同作用結(jié)果。云計算的典型特征是將IT的各類資源進行池化,并以服務(wù)的形式提供或交付給用戶。當(dāng)然要實現(xiàn)資源的池化
2、,就不得不提到虛擬化技術(shù),虛擬化技術(shù)實現(xiàn)了物理資源的邏輯抽象和統(tǒng)一表示。通過虛擬化技術(shù)可以提高資源的利用率,并能根據(jù)用戶業(yè)務(wù)需求的變化,快速、靈活地進行自由部署。同時由于當(dāng)前各行各業(yè)在云計算建設(shè)過程大多處于初級階段,相對來講三大運營商和有實力的企業(yè)單位,經(jīng)過幾年的建設(shè)已經(jīng)初步建成了基礎(chǔ)設(shè)施即服務(wù)(IaaS)云,更多的單位已經(jīng)開展實驗環(huán)境的研究,逐步將非核心的業(yè)務(wù)移植到云平臺上??v觀國內(nèi)的云計算建設(shè)情況絕大部分是以IaaS為主,當(dāng)然要建設(shè)一個成熟的IaaS云計算平臺,必須實現(xiàn)服務(wù)器虛擬化、網(wǎng)絡(luò)虛擬化、存儲虛擬化三大關(guān)鍵技術(shù)。這其中由于虛擬化技術(shù)的引
3、入,打破了傳統(tǒng)的網(wǎng)絡(luò)邊界的劃分方式,使得傳統(tǒng)的安全技術(shù)手段無法做到有效的安全防護,因此許多人認為安全問題是云計算技術(shù)發(fā)展推廣的最大瓶頸。虛擬化帶來的挑戰(zhàn)虛擬化是個寬泛的技術(shù)術(shù)語,是指將各類資源,如計算資源等加以抽象,并對具體的技術(shù)特性加以封裝隱藏,對外提供統(tǒng)一的邏輯接口。而虛擬化是云計算的重要支撐技術(shù),可以說是虛擬化為我們帶來了"云",同時也是云計算區(qū)別于傳統(tǒng)計算模式的重要特點。常見的虛擬化技術(shù)主要包括:網(wǎng)絡(luò)虛擬化、服務(wù)器虛擬化、存儲虛擬化、應(yīng)用虛擬化、桌面虛擬化等。無論哪種虛擬化技術(shù),虛擬化的目的就是虛擬化出一個或多個租戶相互隔離的執(zhí)行環(huán)境,用
4、于運行操作系統(tǒng)及應(yīng)用或者進行數(shù)據(jù)通訊。而主機虛擬化是建設(shè)IaaS云平臺的核心,通過虛擬化技術(shù)可將一臺物理主機虛擬成多臺虛擬機,每個虛擬機可運行不同的操作系統(tǒng)和應(yīng)用,使得傳統(tǒng)物理設(shè)施的資源利用率得到明顯提高,還使得系統(tǒng)動態(tài)部署變得更加靈活、便捷。然而,在虛擬化技術(shù)大規(guī)模應(yīng)用的結(jié)果,由于同一物理機內(nèi)部的虛擬機之間進行數(shù)據(jù)交換時并不經(jīng)過傳統(tǒng)的網(wǎng)絡(luò)接入層交換機,直接導(dǎo)致許多傳統(tǒng)的安全防護手段失效,無法對虛擬機之間的進行隔離控制,他們之間的流量數(shù)據(jù)無法做到監(jiān)控和審計等問題。并且當(dāng)前的傳統(tǒng)基于主機層面的安全防護手段,無法適應(yīng)虛擬機環(huán)境。同時虛擬化的網(wǎng)絡(luò)結(jié)構(gòu),
5、使得傳統(tǒng)的分域防護變得難以實現(xiàn),虛擬化的服務(wù)提供模式,使得對使用者身份、權(quán)限和行為的鑒別、控制與審計變得更加困難。為了解決虛擬化的安全問題,天融信推出了虛擬化安全平臺TopVSP,全面應(yīng)對虛擬化所帶來的安全挑戰(zhàn),為虛擬化環(huán)境提供靈活,高效,全面的安全解決方案。天融信的解決思路和方法設(shè)計思路既然傳統(tǒng)的安全防護措施無法有效的對虛擬機的安全進行防護,特別是在網(wǎng)絡(luò)虛擬化后,同一主機內(nèi),不同虛擬機之間的網(wǎng)絡(luò)訪問控制層面上的安全防護。同時又由于虛擬化軟件的引入,導(dǎo)致hypervisor層的安全顯得至關(guān)重要。天融信提出了TopVSP三層防御體系,從網(wǎng)絡(luò)層面,系
6、統(tǒng)層面,管理層面三個層面對虛擬化環(huán)境進行安全保護。TopVSPMM系統(tǒng)瀾洞防御鏑像加密VM間DoS腦TopVSP三層防御體系架構(gòu)圖網(wǎng)絡(luò)層面?虛擬機的網(wǎng)絡(luò)安全,對虛擬機之間以及虛擬機與外網(wǎng)的通信進行訪問控制、內(nèi)容過濾、應(yīng)用代理、QOS、DOS/DDOS防御、入侵檢測、病毒查殺等。?虛擬機的虛擬出口安全,防止虛擬機修改MAC地址、監(jiān)聽以及偽造包對其他虛擬機進行攻擊的行為。?安全策略遷移,借助集中管理平臺,可以實現(xiàn)安全策略跟隨虛擬機進行遷移,從而保證虛擬機即使遷移了能繼續(xù)受到保護。系統(tǒng)層面.保護虛擬化平臺的安全:在虛擬化環(huán)境下最重要的也是最需要保護的就
7、是虛擬化平臺自身,虛擬化平臺一旦被攻破,那么所有虛擬機都將受到威脅。所以虛擬化安全平臺針對虛擬化平臺自身系統(tǒng)進行保護,控制虛擬化平臺對外開放的端口,對虛擬化平臺系統(tǒng)進行IDS,IPS,Ddos防御。虛擬化安全平臺會針對不同的虛擬化平臺進行漏洞掃描,最新漏洞跟蹤,漏洞補丁管理等功能。?限制虛擬機允許訪問的系統(tǒng)資源:在虛擬化環(huán)境下所有虛擬機都集中在一起,并且虛擬機的控制權(quán)是分配給客戶的,同時虛擬機的硬件是虛擬化平臺提供的,一旦用戶利用虛擬化平臺的漏洞就有可能穿越虛擬機,從而獲得虛擬化平臺的其他資源,而這些資源是不應(yīng)該被虛擬機訪問到的。虛擬化安全平臺針
8、對不同的虛擬化平臺可以限制虛擬機資源的訪問,虛擬機的每個訪問請求都會經(jīng)過資源控制策略的檢測,每個虛擬機只能訪問分配給它的資源。.虛擬機鏡