1、信息与电脑信息安全与管理Information&Computer面向云计算虚拟化的信息安全防护策略分析2023年第10 期张玮刘昕玥(江苏省战略与发展研究中心,江苏南京210036)摘要:虚拟化技术属于云计算中的核心技术,在云计算应用中发挥重要作用。通过虚拟化技术的应用能够实现网络按需调用集中共享资源,而在此项技术应用环节引入新的信息安全风险。如何做好信息安全防护策略,已成为云计算虚拟化技术发展需要重点关注的问题。基于此,从云计算和虚拟化技术相关概述入手,分析云计算虚拟化的安全威胁,提出面向云计算虚拟化的信息安全防护策略,以期为相关人员提供参考借鉴,充分发挥虚拟化技术的应用价值,提升信息安全防
2、护水平。关键词:云计算;虚拟化;信息安全;防护策略中图分类号:TP309Analysis of Information Security Protection Strategies for Cloud Computing文献标识码:A文章编号:10 0 3-9 7 6 7(2 0 2 3)10-2 38-0 3VirtualizationZHANG Wei,LIU Xinyue(Jiangsu Provincial Strategy and Development Research Center,Nanjing Jiangsu 210036,China)Abstract:Virtualizat
3、ion technology is a core technology in cloud computing and plays an important role in cloudcomputing applications.Through the application of virtualization technology,it can achieve on-demand network accessto centralized shared resources.However,this technology application also introduces new inform
4、ation security risks.Howto implement information security protection strategies has become a key concern in the development of cloud computingvirtualization technology.Based on this,this article starts with an overview of cloud computing and virtualization technology,analyzes the security threats of
5、 cloud computing virtualization,and proposes information security protection strategies forcloud computing virtualization.It is hoped to provide reference for relevant personnel,fully leverage the application value ofvirtualization technology,and improve the level of information security protection.
6、Keywords:cloud computing;virtualization;information security;protection strategy0引言云计算中虚拟化属于重要的战略组成部分,在虚拟化支持下能够使物理资源同时被多个客户使用,使每个用户能够获得单独的虚拟制造,为用户提供一个完整的操作机器。不同虚拟机能够实现相同物理资源的映射,从而实现多租户环境中的资源池化。但是,虚拟化技术的应用,导致基础设施和云用户面临较大的安全威胁。如果想充分发挥虚拟化技术的作用和价值,应重点制定有效的信息安全防护策略。收稿日期:2 0 2 3-0 3-2 8作者简介:张玮(19 7 8 一),男
7、,山东龙口人,本科,高级工程师。研究方向:电子政务与网络安全。1相关概述1.1 云计算云计算属于一种分布式计算方式,通过网络“云”可以拆分庞大穴杂的数据,使数据集向诸多细小程序进行划分。此外,在多部服务器组成系统的应用下对这些小程序进行处理和分析,并向用户反馈最终结果,能够使复杂的问题变得简单。云计算发展初期,主要通过分布式计算的方式解决任务分发问题,同时合并计算结果,因此云计算又称为网格计算。利用这项技术能够在短时238信息与电脑2023年第10 期Information&Computer间内处理海量的数据,从而实现强大的网络服务功能。目前,云计算已经不再局限于分布式计算,已成为各种计算机技
8、术混合发展的结果,包括并行计算、分布式计算、效用计算、虚拟化技术以及负载均衡等。总之,云计算属于一种新型的网络应用概念,以互联网为中心,在网站上实现云计算服务和数据存储,使所有互联网用户能够使用网络的数据资源。1.2虚拟化技术虚拟化是利用虚拟化技术使一台计算机虚拟为多台逻辑计算机,抽象计算机物理资源,实现资源模拟、共享、隔离的目的。在一台计算机上进行多个逻辑计算机的同时运行,所有逻辑计算机运行的操作系统均存在不同。同时,应用程序能够在相互独立的空间中运行,不会相互影响,能够提升计算机的工作效率。虚拟化计算系统计算模式如图1所示。通过应用虚拟化技术可以实现计算机资源的抽象转换,并将其呈现,转变实
9、体结构的障碍,用户能够高效利用资源。一方面,借助虚拟化技术可以统一管理计算机中的物理资源和虚拟资源;另一方面,它能实现计算机资源的共同使用。虚拟化技术能够提升系统架构的灵活性,具有良好的弹性,且虚拟部分不会受地理位置、物理组态、资源假设方式的影响。传统计算系统计算模式应用程序操作系统2云计算虚拟化的安全威胁Hypervisor属于虚拟化的重要组成部分,是一种特殊操作系统,处于底层硬件和虚拟机之间,具有安全隔离能力。受到资源共享的影响,Hypervisor无法完全控制虚拟资源共享信息流。如果发生资源隔离失败问题,就会出现虚拟机跳跃攻击和隐蔽信道攻击等情况,从而出现严重的安全风险。云计算虚拟化的安
10、全威胁主要表现在以下5方面。第一,虚拟机逃逸。对于虚拟机而言,虚拟机逃逸属于较为重要的安全隐患,攻击者会提升权限,通过Hypervisor的脆弱性漏洞破坏客户虚拟机和Hypervisor信息安全与管理间的隔离,以得到宿主机操作系统的管理权限,从而控制虚拟机 2 。第二,虚拟机跳跃攻击。应用虚拟化技术的主要目的是提高性能,方便应用。通常,虚拟机间的通信主要利用共享内存交换方式实现,人侵者可通过多重映射等措施修改虚拟化软件层跳转结构或控制结构表,实现多台虚拟机控制。第三,数据泄露与丢失。因为资源共享机制,所以不同虚拟机会共享存储资源。如果未能有效隔离不同业务系统的存储数据,则会发生数据泄露风险。此
11、外,对于虚拟化软件层,如果发生虚拟机跨越访问和隐蔽信道攻击等问题,则会出现严重的信息泄露问题。第四,资源竞争与冲突风险。虚拟化环境下主要利用同一宿主机中的虚拟机进行底层硬件资源共享,因此会发生资源竞争情况。如果某虚拟机受到攻击发生资源恶意占用的情况,则会导致其他虚拟机出现拒绝服务的情况。较多虚拟机共同进行占用资源的操作如病毒扫描等,当耗尽物理机资源时会出现岩机问题,导致虚拟机出现资源饥饿或业务中断的问题。第五,网络安全风险。一般而言,虚拟化环境中所有物理机均会承载多台虚拟机,各个虚拟机之间会利用虚拟化平台中的共享虚拟机交换机进行通信。如果虚拟机处于同一个虚拟化交换机(virtualSwitch
12、,v Sw i t c h),则能够互相通信。但是,由于内部虚拟交换机的引人,导致虚拟机间的流量不可见,会造成传统网络安全防护方案失效,无法实虚拟化计算系统计算模式现对流量的过滤和检测,易发生虚拟机间的攻击或恶意应用应用应用应用应用应用系统系统VMOSVMOS虚拟管理器VMM迎单计算系统虚拟化图1虚拟化计算系统计算模式系统VMOSVMM多计算系统虚拟化系统VMOSVMMVMM系统系统行为。3面向云计算虚拟化的信息安全防护策略3.1虚拟机软件安全防护云计算虚拟化技术应用过程中,如果想实现对数据信息的安全防护,应注重虚拟机软件安全防护工作。在虚拟化系统和底层硬件设备之间,虚拟机的监控软件可以实现虚
13、拟化系统的监控和管理。为确保该层安全,应对用户访问权限进行严格审核。对于未获得授权的用户,应禁止访问虚拟化软件层。存在访问权限的用户访问虚拟化软件层时,应保存完整的记录,便于执行审计。数据安全防护过程中需要利用机密技术,对云中存储的数据进行加密处理,防止恶意云“租户”,避免云服务商出现滥用权限的问题,提升数据的安全性。数据传输环节应使用加密协议,如超文本传输协议(HyperTextTransferProtocol,H T T P)和安全复制协议(SecureCopyProtocol,SCP),实现数据的机密性和完整性。3.2虚拟化硬件安全防护硬件安全防护需要应用可信赖平台模块(TrustedP
14、latformModule,T PM)物理服务器。启动服务器时,239一信息与电脑信息安全与管理Information&Computer可以对用户身份进行验证 3。如果用户并未通过身份验证,则会拒绝启动该虚拟服务器。为物理隔离各服务器中央处理器(Central ProcessingUnit,CPU),应做好CPU选择工作,确保其能够支持硬件虚拟化,从而将安全风险降至最低。此外,虚拟服务器安装环节,应针对各个虚拟服务器进行独立硬盘分区划分,从逻辑层面隔离各个虚拟服务器。物理主机安全防护环节可选择常规防护方案,如应用防火墙技术、主机防御系统、杀毒软件。被攻击后,为避免物理主机受虚拟服务器的影响,物
15、理主机上仅运行虚拟服务,同时对运行数量进行严格控制,防止物理主机上运行其他网络服务。此外,相关人员应使用虚拟专用网络,有效连接物理主机和虚拟服务器,实现资源共享,为达到良好的资源共享效果,需要应用加密网络系统。3.3虚拟化系统安全防护在虚拟化系统安全防护过程中,相关人员向另一台物理主机迁移虚拟机,云管理员应彻底擦除物理主机硬盘中存在的数据。同时,相关人员应将防火墙、杀毒软件、人侵检测软件等安装于各个虚拟化系统 4。此外,虚拟机实际使用环节应加密处理重要的虚拟机镜像文件,防止文件被黑客盗取,并应构建镜像文件资源库,保存重要文件,防止虚拟化系统受到攻击时瘫痪,导致重要文件丢失。日常运行环节,应控制
16、镜像文件库的访问权限,防止出现非法用户访问等不良情况。相关管理人员需要做好镜像文件库定期漏洞修复和病毒扫描工作,形成完整的信息记录表,详细记录镜像文件名称、发布人、访问用户、访问日期以及访问内容等,以对系统进行安全追踪,从而进行镜像文件库发布和访问机制的构建。虚拟化系统中,用户进行镜像文件访问或发布时,应通过镜像文件过滤敏感信息,删除涉及用户隐私的敏感信息。另外,操作系统应向镜像文件库信息记录表中储存用户访问信息和发布信息,对系统实施安全跟踪。3.4提升信息风险防范能力首先,数据加密。不仅要加密数据访问权限,而且要加密元数据。传输文件数据时,需要进行高级加密标2023年第10 期准(Advan
17、cedEncryption Standard,A ES)加密处理,同时对密钥进行RSA加密处理,随后绑定密钥和文件密文,通过系统分块向分布式文件系统(HadoopDistributedFileSystem,H D FS)存储节点进行存储,依次通过密钥密文抽取、私钥解密、文件密文解密获取文件,提升了存储效率,强化了加密效果 5。其次,数据删除技术。通常情况,用户需要删除敏感或有价值的云端数据。然而,当磁盘停运时,未能及时删除的数据可能被恢复,从而发生泄漏情况,因此可通过数据屏蔽技术将敏感信息外泄风险降至最低。最后,数据灾备技术。所有业务信息均存储于数据中心,因此灾难备份和恢复较为重要,还应发挥存
18、储区域网络(StorageArea Network,SA N)的优势,优化数据共享和管理,进一步提升信息容灾备份水平。4结语近年来,云计算技术得到广泛应用,在各个领域发挥了重要作用。虚拟化安全属于云计算安全体系中的关键组成部分。高效解决虚拟化安全问题,能够有效保证云计算安全,使云计算得到普及应用,获得更多用户的认可。目前,云计算虚拟化应用仍面临一些安全威胁。为保证信息安全防护,相关人员应做好虚拟化硬件、软件、系统的安全防护工作,还应不断提升信息风险防范能力,实现云计算虚拟化技术的高效利用。参考文献1张林,徐杨子凡.虚拟化环境下平台侧核心安全问题分析与防护策略 J.网络安全技术与应用,2 0 2 3(4):14-16.2宋松.基于密码的云计算虚拟化安全研究 .中国新通信,2 0 2 3,2 5(1):112-114.3王瑛,裴升,李大勇,等.一种云计算虚拟化环境安全监测及评估方法 J.通信技术,2 0 2 1,54(8):2 0 13-2 0 18.4巩耀晓.广电私有云计算平台的安全防护体系建设 .现代电视技术,2 0 2 0(6):117-119.5郭晶,杜平.面向云计算虚拟化的信息安全防护方案研究 J.网络空间安全,2 0 2 0,11(1):31-33.240
浙ICP备2021020529号-1 | 浙B2-20240490 
