云計(jì)算的虛擬化安全問(wèn)題.doc

云計(jì)算的虛擬化安全問(wèn)題房晶 吳昊 白松林2012-10-9 10:37:28來(lái)源：電信科學(xué)2012年第04期 摘要：隨著云計(jì)算的發(fā)展。云計(jì)算的安全問(wèn)題越來(lái)越受到關(guān)注。本文全面分析了云計(jì)算中與虛擬化安全有關(guān)的各類問(wèn)題，闡述了虛擬化安全的研究現(xiàn)狀并提出了未來(lái)發(fā)展方向。文中先介紹了虛擬化角度下的云計(jì)算架構(gòu)，然后介紹了虛擬化技術(shù)，重點(diǎn)介紹了虛擬化安全問(wèn)題和研究現(xiàn)狀，接著以Xen平臺(tái)為例，介紹了Xen的虛擬化安全問(wèn)題，最后對(duì)未來(lái)的發(fā)展進(jìn)行了展望。 關(guān)鍵詞：云計(jì)算，虛擬化技術(shù)，虛擬化安全，Xen1 引言近年來(lái)云計(jì)算受到了學(xué)術(shù)界和產(chǎn)業(yè)界的一致關(guān)注。隨著云計(jì)算應(yīng)用的日益復(fù)雜，其安全性要求也越來(lái)越高。而且傳統(tǒng)的IT系統(tǒng)是封閉的，存在于企業(yè)內(nèi)部，對(duì)外暴露的只是網(wǎng)頁(yè)服務(wù)器、郵件服務(wù)器等少數(shù)接口，因此只需要在出口設(shè)置防火墻、訪問(wèn)控制等安全措施，就可以解決大部分安全問(wèn)題。但在云環(huán)境下，云暴露在公開(kāi)的網(wǎng)絡(luò)中，任何一個(gè)節(jié)點(diǎn)及它們的網(wǎng)絡(luò)都可能受到攻擊，存在諸多安全隱患。云計(jì)算中的安全包括身份和訪問(wèn)管理、數(shù)據(jù)安全、隱私保護(hù)、虛擬化安全等。圖1描述了虛擬化角度下的云計(jì)算架構(gòu)1。節(jié)點(diǎn)的物理硬件和網(wǎng)絡(luò)物理硬件通過(guò)多層虛擬化的邏輯簡(jiǎn)化過(guò)程形成了彈性化的計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)帶寬3者整合的虛擬資源池，提供了隨需而選的資源共享、分配、管控平臺(tái)，用戶可根據(jù)上層的數(shù)據(jù)和業(yè)務(wù)形態(tài)的不同需求搭配出各種互相隔離的應(yīng)用。這樣通過(guò)虛擬技術(shù)，就形成一個(gè)服務(wù)導(dǎo)向的可伸縮的IT基礎(chǔ)架構(gòu)，可以提供云計(jì)算服務(wù)。比如Amazon EC2（elastic compute cloud），它為用戶提供了大量的虛擬資源，用戶只需根據(jù)自己的需要?jiǎng)?chuàng)建虛擬機(jī)實(shí)例，從而通過(guò)這些資源完成用戶的任務(wù)。專家大多認(rèn)為，云計(jì)算與傳統(tǒng)IT環(huán)境最大的區(qū)別在于其虛擬的計(jì)算環(huán)境，也正是這一區(qū)別導(dǎo)致其安全問(wèn)題變得異?！凹帧?。身份管理、數(shù)據(jù)安全等問(wèn)題可以通過(guò)現(xiàn)有的訪問(wèn)控制策略、數(shù)據(jù)加密等傳統(tǒng)安全手段來(lái)解決，而虛擬化作為云計(jì)算最重要的技術(shù)，且虛擬環(huán)境是云計(jì)算的獨(dú)特環(huán)境，傳統(tǒng)的安全措施很難從根本上解決問(wèn)題，必須采取新的安全策略。2 虛擬化技術(shù)云計(jì)算的特征體現(xiàn)為虛擬化、分布式和動(dòng)態(tài)可擴(kuò)展。虛擬化是云計(jì)算最主要的特點(diǎn)。每一個(gè)應(yīng)用部署的環(huán)境和物理平臺(tái)是沒(méi)有關(guān)系的，通過(guò)虛擬平臺(tái)進(jìn)行管理、擴(kuò)展、遷移、備份種種操作都是通過(guò)虛擬化技術(shù)完成。虛擬化技術(shù)是一種調(diào)配計(jì)算資源的方法，它將應(yīng)用系統(tǒng)的不同層面硬件、軟件、數(shù)據(jù)、網(wǎng)絡(luò)、存儲(chǔ)等一一隔離開(kāi)來(lái)，從而打破數(shù)據(jù)中心、服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)、數(shù)據(jù)和應(yīng)用中的物理設(shè)備之間的劃分，實(shí)現(xiàn)架構(gòu)動(dòng)態(tài)化。并實(shí)現(xiàn)集中管理和動(dòng)態(tài)使用物理資源及虛擬資源2，3。圖2顯示的是一個(gè)典型的虛擬機(jī)系統(tǒng)。其中，虛擬機(jī)監(jiān)控器（virtual machine monitor，VMM），又稱為監(jiān)管程序（Hypervisor），是虛擬化技術(shù)的核心。通過(guò)在計(jì)算機(jī)系統(tǒng)上添加一個(gè)虛擬機(jī)監(jiān)控程序軟件對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行虛擬化，在物理機(jī)上構(gòu)建一個(gè)虛擬機(jī)系統(tǒng)，每個(gè)虛擬機(jī)（VM）運(yùn)行自己的客戶機(jī)操作系統(tǒng)（Guest OS）4。這可以說(shuō)是云計(jì)算的一個(gè)雛形。現(xiàn)在，整個(gè)IT環(huán)境已逐步向云計(jì)算時(shí)代跨越，虛擬化技術(shù)也從最初的側(cè)重于整合數(shù)據(jù)中心內(nèi)的資源，發(fā)展到可以跨越IT架構(gòu)實(shí)現(xiàn)包括資源、網(wǎng)絡(luò)、應(yīng)用和桌面在內(nèi)的多種虛擬化，這些都促進(jìn)了云計(jì)算模式的形成。大部分軟件和硬件已經(jīng)對(duì)虛擬化有一定支持，可以把各種IT資源、軟件、硬件、操作系統(tǒng)和存儲(chǔ)網(wǎng)絡(luò)等要素都進(jìn)行虛擬化，放在云計(jì)算平臺(tái)中統(tǒng)一管理5。3 虛擬化安全問(wèn)題研究31 虛擬化的安全問(wèn)題虛擬化技術(shù)對(duì)于云計(jì)算而言是非常重要的，所以，虛擬化的安全也直接關(guān)系到云計(jì)算的安全。從目前研究來(lái)看，云計(jì)算的虛擬化安全問(wèn)題主要集中在以下幾點(diǎn)。（1）VM Hopping一臺(tái)虛擬機(jī)可能監(jiān)控另一臺(tái)虛擬機(jī)甚至?xí)尤氲剿拗鳈C(jī)，這稱為VM Hopping。如果兩個(gè)虛擬機(jī)在同一臺(tái)宿主機(jī)上，一個(gè)在虛擬機(jī)1上的攻擊者通過(guò)獲取虛擬機(jī)2的 IP地址或通過(guò)獲得宿主機(jī)本身的訪問(wèn)權(quán)限可接入到虛擬機(jī)2。攻擊者監(jiān)控虛擬機(jī)2的流量，可以通過(guò)操縱流量攻擊，或改變它的配置文件，將虛擬機(jī)2由運(yùn)行改為離線，造成通信中斷。當(dāng)連接重新建立時(shí)，通信將需要重新開(kāi)始6。（2）VM EscapeVM Escape攻擊獲得Hypervisor的訪問(wèn)權(quán)限從而對(duì)其他虛擬機(jī)進(jìn)行攻擊。若一個(gè)攻擊者接人的主機(jī)運(yùn)行多個(gè)虛擬機(jī)，它可以關(guān)閉Hypervisor，最終導(dǎo)致這些虛擬機(jī)關(guān)閉。（3）遠(yuǎn)程管理缺陷Hypervisor通常由管理平臺(tái)來(lái)為管理員管理虛擬機(jī)。例如，Xen用XenCenter管理其虛擬機(jī)。這些控制臺(tái)可能會(huì)引起一些新的缺陷，例如跨站腳本攻擊、SQL入侵等。（4）拒絕服務(wù)（DoS）的缺陷在虛擬化環(huán)境下，資源（如CPU、內(nèi)存、硬盤和網(wǎng)絡(luò)）由虛擬機(jī)和宿主機(jī)一起共享。因此，DoS攻擊可能會(huì)加到虛擬機(jī)上從而獲取宿主機(jī)上所有的資源，因?yàn)闆](méi)有可用資源，從而造成系統(tǒng)將會(huì)拒絕來(lái)自客戶的所有請(qǐng)求。（5）基于Rootkit的虛擬機(jī)Rootkit概念出現(xiàn)在Unix中，它是一些收集工具，能夠獲得管理員級(jí)別的計(jì)算機(jī)或計(jì)算機(jī)網(wǎng)絡(luò)訪問(wèn)。如果 Hypervisor被Rootkit控制。Rootkit可以得到整個(gè)物理機(jī)器的控制權(quán)7。（6）遷移攻擊遷移攻擊可以將虛擬機(jī)從一臺(tái)主機(jī)移動(dòng)到另一臺(tái)，也可以通過(guò)網(wǎng)絡(luò)或USB復(fù)制虛擬機(jī)。虛擬機(jī)的內(nèi)容存儲(chǔ)在 Hypervisor的一個(gè)文件中。如圖3所示，在虛擬機(jī)移動(dòng)到另一個(gè)位置的過(guò)程中，虛擬磁盤被重新創(chuàng)建，攻擊者能夠改變?cè)磁渲梦募吞摂M機(jī)的特性。一旦攻擊者接觸到虛擬磁盤，攻擊者有足夠的時(shí)間來(lái)打破所有的安全措施，例如密碼、重要認(rèn)證等。由于該虛擬機(jī)是一個(gè)實(shí)際虛擬機(jī)的副本，難以追蹤攻擊者的此類威脅。除此以外，虛擬機(jī)和主機(jī)之間共享剪切板可能造成安全問(wèn)題。若主機(jī)記錄運(yùn)行在主機(jī)上的虛擬機(jī)的登錄按鍵和屏幕操作，如何確保主機(jī)日志的安全也是一個(gè)問(wèn)題。32 虛擬化安全分層分析目前對(duì)虛擬化安全的研究綜合起來(lái)可以歸結(jié)為兩個(gè)方面：一個(gè)是虛擬化軟件的安全；另一個(gè)是虛擬服務(wù)器的安全。（1）虛擬化軟件的安全該軟件層直接部署于裸機(jī)之上，提供能夠創(chuàng)建、運(yùn)行和銷毀虛擬服務(wù)器的能力。主機(jī)層的虛擬化能通過(guò)任何虛擬化模式完成，包括操作系統(tǒng)級(jí)虛擬化（Solaris container、BSD iail、Linux-Vserver）、半虛擬化（硬件和Xen、VMware的結(jié)合）或基于硬件的虛擬化（Xen、VMware、Microsoft Hyper-V）8。這一層的重點(diǎn)是虛擬機(jī)的安全，其中Hypervisor作為虛擬機(jī)的核心，要確保安全。目前有兩種攻擊方式，一是惡意代碼通過(guò)應(yīng)用程序接口（API）攻擊，因虛擬機(jī)通過(guò)調(diào)用 API向Hypervisor發(fā)出請(qǐng)求，Hypervisor要確保虛擬機(jī)只會(huì)發(fā)出經(jīng)過(guò)認(rèn)證和授權(quán)的請(qǐng)求。二是通過(guò)網(wǎng)絡(luò)對(duì)Hypervisor進(jìn)行攻擊。通常，Hypervisor所使用的網(wǎng)絡(luò)接口設(shè)備也是虛擬機(jī)所使用的。如果網(wǎng)絡(luò)配置得不是很嚴(yán)格，這意味著虛擬機(jī)可以連接到Hypervisor的IP地址，并且可以在 Hypervisor的登錄密碼沒(méi)有使用強(qiáng)密碼保護(hù)的情況下入侵到Hypervisor。這種不嚴(yán)格的網(wǎng)絡(luò)配置還可能導(dǎo)致對(duì) Hypervisor的DoS攻擊使得外網(wǎng)無(wú)法鏈接到Hypervisor去關(guān)閉這些有問(wèn)題的虛擬機(jī)。（2）虛擬服務(wù)器的安全虛擬服務(wù)器位于虛擬化軟件之上。服務(wù)器的虛擬化相對(duì)于之前的服務(wù)器，變化最大的一點(diǎn)是網(wǎng)絡(luò)架構(gòu)。網(wǎng)絡(luò)架構(gòu)的改變相應(yīng)地產(chǎn)生了許多安全問(wèn)題9。采用虛擬化技術(shù)前，用戶可以在防火墻設(shè)備商建立多個(gè)隔離區(qū)，對(duì)不同服務(wù)器采用不同的規(guī)則進(jìn)行管理，由于隔離區(qū)的存在，對(duì)一個(gè)服務(wù)器的攻擊不會(huì)擴(kuò)散到其他服務(wù)器。采用虛擬服務(wù)器后，所有的虛擬機(jī)會(huì)集中連接到同一臺(tái)虛擬交換機(jī)與外部網(wǎng)絡(luò)通信，會(huì)造成安全問(wèn)題的擴(kuò)散。服務(wù)器虛擬化后，每一臺(tái)服務(wù)器都將支持若干個(gè)資源密集型的應(yīng)用程序，可能出現(xiàn)負(fù)載過(guò)重，甚至?xí)霈F(xiàn)物理服務(wù)器崩潰的狀況。在管理程序設(shè)計(jì)過(guò)程中的安全隱患會(huì)傳染到同臺(tái)物理主機(jī)上的虛擬機(jī)，造成虛擬機(jī)溢出，此時(shí)的虛擬機(jī)從管理程序脫離出來(lái)，黑客可能進(jìn)入虛擬機(jī)管理程序，能夠避開(kāi)虛擬機(jī)安全保護(hù)系統(tǒng)。對(duì)虛擬機(jī)進(jìn)行危害10。另外，虛擬機(jī)遷移以及虛擬機(jī)間的通信將會(huì)大大增加服務(wù)器遭受滲透攻擊的機(jī)會(huì)。虛擬服務(wù)器或客戶端面臨著許多主機(jī)安全威脅，包括接入和管理主機(jī)的密鑰被盜，攻擊未打補(bǔ)丁的主機(jī)，在脆弱的服務(wù)標(biāo)準(zhǔn)端口偵聽(tīng)，劫持未采取合適安全措施的賬戶等。面對(duì)以上不安全因素，目前研究發(fā)現(xiàn)，可以采取以下措施：針對(duì)網(wǎng)絡(luò)架構(gòu)的變化，在每臺(tái)虛擬機(jī)上都安裝防毒軟件或者其他種類的殺毒軟件；避免服務(wù)器過(guò)載崩潰，要不斷監(jiān)視服務(wù)器的硬件利用率，并進(jìn)行容量分析，使用容錯(cuò)服務(wù)器或容錯(cuò)軟件是一個(gè)好的選擇11；為阻止虛擬機(jī)溢出，在數(shù)據(jù)庫(kù)和應(yīng)用層間設(shè)置防火墻，通過(guò)隔離虛擬機(jī)實(shí)現(xiàn)從網(wǎng)絡(luò)上脫機(jī)保存虛擬化環(huán)境；選擇具有可信平臺(tái)模塊（trusted platform module，TPM）的虛擬服務(wù)器：安裝時(shí)為每臺(tái)虛擬服務(wù)器分配一個(gè)獨(dú)立的硬盤分區(qū)，以便進(jìn)行邏輯隔離：每臺(tái)虛擬服務(wù)器應(yīng)通過(guò)VLAN和不同的IP地址網(wǎng)段的方式進(jìn)行邏輯隔離，需要通信的虛擬服務(wù)器間通過(guò)VPN進(jìn)行網(wǎng)絡(luò)連接：進(jìn)行有計(jì)劃的備份，包括完整、增量或差量備份方式，進(jìn)行虛擬化的災(zāi)難恢復(fù)12。4 基于Xen平臺(tái)安全問(wèn)題分析為了研究方便，筆者選擇Xen搭建云計(jì)算平臺(tái)，分析 Xen是怎樣解決虛擬化安全問(wèn)題的，并認(rèn)識(shí)Xen未解決的問(wèn)題，從而對(duì)云計(jì)算虛擬化的安全問(wèn)題有更深一步的認(rèn)識(shí)。41 Xen概述及其與VMware的比較Xen是一種基于虛擬機(jī)監(jiān)控器Xen Hypervisor的虛擬機(jī)體系結(jié)構(gòu)，由劍橋大學(xué)開(kāi)發(fā)。Xen Hypervisor作為虛擬機(jī)監(jiān)控器直接運(yùn)行在硬件上，提供虛擬化環(huán)境。同時(shí)，在 Xen Hypervisor上運(yùn)行一個(gè)具有管理接口（administrative console）的虛擬機(jī)（Domain 0）作為Xen Hypervisor的擴(kuò)展，管理Xen hypervisor和其他虛擬機(jī)實(shí)例（Domain U）13。跟Xen比較起來(lái)，VMware是完全仿真計(jì)算機(jī)，理論上操作系統(tǒng)可不需更改就直接在虛擬機(jī)器上執(zhí)行，但是 VMware不夠靈活。通常Xen采用半虛擬化技術(shù)，雖然操作系統(tǒng)必須進(jìn)行顯式地修改（“移植”）以在Xen上運(yùn)行，但是提供給用戶應(yīng)用的兼容性強(qiáng)。這使得Xen無(wú)需特殊硬件支持，就能達(dá)到高性能的虛擬化。參考文獻(xiàn)14表明，當(dāng)用Linux自帶的網(wǎng)絡(luò)服務(wù)測(cè)試工具測(cè)試VMware和Xen的虛擬網(wǎng)絡(luò)性能時(shí)，隨著請(qǐng)求文件長(zhǎng)度的變大，每秒鐘處理的請(qǐng)求數(shù)均降低Xen的虛擬網(wǎng)絡(luò)性能與真實(shí)主機(jī)接近。而比VMware虛擬網(wǎng)絡(luò)的性能好。目前，Intel等公司的努力使Xen已經(jīng)支持完全虛擬化。更重要的是，Xen是開(kāi)源的，因此選用Xen搭建云計(jì)算環(huán)境是一個(gè)不錯(cuò)的選擇。42 Xen已解決的安全問(wèn)題（1）Xen的訪問(wèn)控制云計(jì)算虛擬化面臨諸多安全問(wèn)題，有效采取訪問(wèn)控制策略能有效解決非法登錄、虛擬機(jī)流量監(jiān)控等安全問(wèn)題。Xen通過(guò)自己的訪問(wèn)控制模塊（access control module，ACM），能有效解決諸多訪問(wèn)不當(dāng)造成的安全問(wèn)題。ACM實(shí)現(xiàn)了兩種策略機(jī)制，分別是中國(guó)墻（Chinese wall）策略和簡(jiǎn)單類型強(qiáng)制（simple type enforcement，STE）策略。其中，中國(guó)墻策略定義了一組中國(guó)墻類型。并由此定義沖突集，然后根據(jù)類型定義標(biāo)簽，該策略根據(jù)標(biāo)簽來(lái)進(jìn)行判斷，若兩個(gè)虛擬機(jī)的標(biāo)簽處在同一個(gè)沖突集中，則不能同時(shí)在相同的系統(tǒng)上運(yùn)行，因此該機(jī)制主要用于虛擬機(jī)之間的信息流控制。STE策略亦定義了一組類型（該類型針對(duì)的是域所擁有的資源），然后根據(jù)類型定義標(biāo)簽，要求當(dāng)主體擁有客體標(biāo)簽時(shí)，主體才能訪問(wèn)客體，以此來(lái)控制資源共享。除此以外，Xen的Domain 0用戶可以根據(jù)自己的需求制定安全策略文檔，當(dāng)虛擬機(jī)請(qǐng)求與別的虛擬機(jī)進(jìn)行通信或訪問(wèn)資源時(shí)，ACM模塊能根據(jù)用戶定義的策略判斷，以此達(dá)到對(duì)虛擬機(jī)的資源進(jìn)行控制以及對(duì)虛擬機(jī)之間的信息流進(jìn)行控制的目的15。（2）Xen的可信計(jì)算可信計(jì)算技術(shù)是一種新興的信息安全手段，其安全措施是通過(guò)構(gòu)建信任鏈來(lái)防御攻擊。通過(guò)傳遞機(jī)制，在系統(tǒng)啟動(dòng)時(shí)可將BIOS中最先啟動(dòng)的代碼BIOS boot loader作為整個(gè)信任鏈的起點(diǎn)，依次逐級(jí)向上傳遞系統(tǒng)控制權(quán)并構(gòu)建信任鏈，直到應(yīng)用層?？尚庞?jì)算可以有效彌補(bǔ)傳統(tǒng)安全協(xié)議無(wú)法提供的有關(guān)通信終點(diǎn)節(jié)點(diǎn)完整性與可信性差的問(wèn)題16，17?？尚庞?jì)算平臺(tái)是能夠提供可信計(jì)算服務(wù)的計(jì)算機(jī)軟硬件實(shí)體，它能夠提供系統(tǒng)的可靠性、可用性以及信息和行為的安全性18。因此，建立可信平臺(tái)是應(yīng)對(duì)云計(jì)算安全的一種重要手段。而可信平臺(tái)模塊（TPM）是可信計(jì)算的基石。TPM實(shí)際上是一個(gè)含有密碼運(yùn)算部件和存儲(chǔ)部件的系統(tǒng)級(jí)芯片，是云計(jì)算平臺(tái)重要的防篡改組件19，這能有效保證平臺(tái)的安全。相對(duì)于傳統(tǒng)物理平臺(tái)，可信平臺(tái)在 Xen等虛擬化平臺(tái)上實(shí)現(xiàn)TPM，有一定的優(yōu)越性。平時(shí)計(jì)算機(jī)裝了太多軟件，這使得構(gòu)建信任鏈變得很復(fù)雜。相對(duì)而言，使用虛擬機(jī)（VM）配合虛擬可信平臺(tái)模塊（vTPM）組成虛擬終端可信平臺(tái)要方便得多20。這是因?yàn)樘摂M終端可信平臺(tái)通常只為處理某種特定任務(wù)而產(chǎn)生，可由用戶自定義其所需功能，所以功能相對(duì)簡(jiǎn)單，更容易構(gòu)建信任鏈。此平臺(tái)可以來(lái)處理需要安全保障的在線服務(wù)或敏感數(shù)據(jù)的訪問(wèn)?，F(xiàn)在，Xen30以上的版本都能支持vTPM的實(shí)現(xiàn)vTPM能實(shí)現(xiàn)虛擬計(jì)算系統(tǒng)中虛擬機(jī)的安全可靠。vTPM可以使平臺(tái)上的每個(gè)虛擬機(jī)利用其功能，讓每個(gè)需要 TPM功能的虛擬機(jī)都感覺(jué)是在訪問(wèn)自己私有的TPM一樣。在平臺(tái)搭建中，可以創(chuàng)建多個(gè)虛擬TPM，這樣每一個(gè)如實(shí)地效仿硬件TPM的功能，可有效維護(hù)各個(gè)虛擬機(jī)的安全，從而使Xen搭建的云計(jì)算平臺(tái)處于較穩(wěn)定狀態(tài)。43 Xen的現(xiàn)有問(wèn)題及解決策略目前的Xen的安全性還有較多的安全問(wèn)題。比如，Domain 0是一個(gè)安全瓶頸，其功能較其他域強(qiáng)，所以容易被敵手發(fā)起蠕蟲(chóng)、病毒、DoS等各種攻擊，如果Domain 0癱瘓或者被敵手攻破，那么將破壞整個(gè)虛擬機(jī)系統(tǒng)。Xen的隱通道問(wèn)題沒(méi)有解決，在Xen上就不可能運(yùn)行高安全等級(jí)的操作系統(tǒng)。虛擬機(jī)共享同一套硬件設(shè)備，一些網(wǎng)絡(luò)安全協(xié)議可能更加容易遭到惡意破壞和惡意實(shí)施2。Xen提供了方便的保存和恢復(fù)機(jī)制，使得操作系統(tǒng)數(shù)據(jù)的回滾和重放非常容易，但這些將影響操作本身的密碼特性。除此之外，在Xen中，由于安全機(jī)制做在Guest OS中，所以不能保證VMM的安全。Xen只能限制頁(yè)表一級(jí)的內(nèi)存IO地址空間，而中斷和IO端口地址空間的粒度要比頁(yè)表小得多，如果不同虛擬機(jī)中的驅(qū)動(dòng)不幸被分配到同一個(gè)頁(yè)表空間，那么它們就可以訪間對(duì)方的內(nèi)存地址空間22，造成安全問(wèn)題。針對(duì)Domain 0的問(wèn)題，可削弱它的功能，將其功能分解到其他域，這將會(huì)適當(dāng)減少Domain 0的瓶頸作用。具體的策略需要進(jìn)一步研究。對(duì)于敏感數(shù)據(jù)要進(jìn)行多次擦除防止再恢復(fù)。另外，Xen的ACM模塊不能完全解決設(shè)備隔離和資源隔離問(wèn)題，將Xen和LaGrande技術(shù)結(jié)合是一個(gè)不錯(cuò)的選擇。LaGrande是Intel將要實(shí)施的一種硬件技術(shù)，它是一組通用的硬件安全增強(qiáng)組件，用來(lái)防止敏感的信息被惡意軟件攻擊，其安全功能將被整合到處理器和芯片集中，能有效增強(qiáng)設(shè)備隔離，實(shí)現(xiàn)IO保護(hù)、內(nèi)存越界保護(hù)、鍵盤、顯示的隔離保護(hù)等?？傊?，在之后的工作中，需要慢慢解決虛擬化的安全問(wèn)題，這是云計(jì)算安全的關(guān)鍵。5 業(yè)界對(duì)虛擬化安全的努力針對(duì)傳統(tǒng)安全防火墻技術(shù)不能有效監(jiān)控虛擬機(jī)流量的問(wèn)題Ahor Networks公司使用VMware的API來(lái)開(kāi)發(fā)虛擬安全分析器，以檢測(cè)虛擬交換機(jī)流量在虛擬層之上的網(wǎng)絡(luò)層流量。該公司也開(kāi)發(fā)了虛擬網(wǎng)絡(luò)防火墻，該防火墻基于虛擬機(jī)管理器，可認(rèn)證有狀態(tài)的虛擬防火墻，檢查所有通過(guò)虛擬機(jī)的數(shù)據(jù)分組，組織所有未經(jīng)批準(zhǔn)的連接和允許對(duì)數(shù)據(jù)分組進(jìn)行更深層次的檢查，確保了虛擬機(jī)間通信的安全。針對(duì)虛擬環(huán)境的安全問(wèn)題，目前Resolution EnterDrise公司提出要對(duì)虛擬化環(huán)境采取深層防護(hù)戰(zhàn)略，這是一個(gè)像城堡一樣的防護(hù)模型，通過(guò)執(zhí)行相應(yīng)的策略實(shí)現(xiàn)對(duì)云計(jì)算虛擬資源池的保護(hù)。這個(gè)新發(fā)明值得進(jìn)一步去研究。除此以外，開(kāi)源Xen管理程序社區(qū)Xenorg已經(jīng)開(kāi)始實(shí)施Xen云平臺(tái)（XCP）計(jì)劃，目的是在云環(huán)境中利用領(lǐng)先的Xen管理程序，為未來(lái)的云服務(wù)提供安全的、經(jīng)過(guò)驗(yàn)證的開(kāi)源基礎(chǔ)設(shè)施平臺(tái)。目前，已經(jīng)發(fā)布了XCP10及其修正版，并將慢慢發(fā)布更加穩(wěn)定的版本。這將有助于建立更加穩(wěn)定的云計(jì)算平臺(tái)。6 結(jié)束語(yǔ)虛擬化打開(kāi)了云計(jì)算的大門，而云計(jì)算的本質(zhì)正是虛擬化服務(wù)。作為一個(gè)新的網(wǎng)絡(luò)計(jì)算，云計(jì)算面臨著諸多安全問(wèn)題，而虛擬化安全作為云計(jì)算的特有安全問(wèn)題，需要重點(diǎn)關(guān)注。后期研究的重點(diǎn)集中在虛擬機(jī)的隔離，虛擬機(jī)流量的監(jiān)控和虛擬的可信平臺(tái)的穩(wěn)同上。只有解決這些問(wèn)題，才能夠確保云計(jì)算平臺(tái)的虛擬化安全，從而放心地使用云計(jì)算。注釋： 國(guó)家自然科學(xué)基金資助項(xiàng)目（No60830001）；軌道交通控制與安全國(guó)家重點(diǎn)實(shí)驗(yàn)室重點(diǎn)基金資助項(xiàng)目（NoRCS2010ZZ004）參考文獻(xiàn)：1 王鵬，黃華峰，曹珂云計(jì)算：中國(guó)未來(lái)的IT戰(zhàn)略北京：人民郵電出版社，20102 虛擬化與云計(jì)算小組虛擬化與云計(jì)算北京：電子工業(yè)出版社，20093 張為民，唐劍峰，羅志國(guó)云計(jì)算深刻改變未來(lái)北京：科學(xué)出版社，20094 于嘉基于TPM的虛擬機(jī)安全協(xié)議的沒(méi)計(jì)與實(shí)現(xiàn)上海交通大學(xué)碩士學(xué)位論文，20085 王昊鵬，劉旺盛虛擬化技術(shù)在云計(jì)算中的應(yīng)用初探電腦知識(shí)與技術(shù)，2008，7（3）6 Jasti A，Shah P，Nagaraj R，et alSecurity in multi-tenancy cloudProceedings of 2010 IEEE International Carnahan Conference on Security Technology（ICCST），San Jose，CA，2010：35417 Hanqian Wu，Yi Ding，Winer Chuck，et alNetwork security for virtual machine in cloud computingProceedings of 5th International Conference on Computer，Sciences and Convergence Information Technology（ICCIT），Seoul，Korea，2010：18218 Tim Mather，Subra Kumaraswamy，Shahed LatifCloud Security and PrivacyOReilly Media，20099 Yanfeng Zhang，Cuirong Wang，Yuan GaoA QoS-oriented network architecture based on virtualizationProceedings of First International Workshop on Education Technology and Computer Science，Wuhan，China，2009：95996310 Sehgal N K，Ganguli MApplications of virtualization for server management and securityProceedings of IEEE International Conference on Industrial Technology （ICIT），Mumbai，India，2006：2752275511 Xiaorui WangYefu WangCoordinating power control and performance management for virtualized server clustersIEEE Transactions on Parallel and Distributed Systems，2011，22（2）：24525912 聞劍峰，龔德志虛擬化技術(shù)在電信災(zāi)難恢復(fù)計(jì)劃中的應(yīng)用研究電信科學(xué)，2009，25（9）：162013 Xen Introductionhttp：/xenxens