精华内容
下载资源
问答
  • 虚拟机安全监控

    2020-08-22 10:52:00
    自云计算诞生以来,虚拟机监控一直是一个炙手可热的话题。从云服务商的角度,他们要尽可能地获取更多的关于VM(Virtual ...目前,存在两种主流的虚拟机安全监控架构:一种是基于虚拟机自省技术的监控架构,即将监控模块

    自云计算诞生以来,虚拟机监控一直是一个炙手可热的话题。从云服务商的角度,他们要尽可能地获取更多的关于VM(Virtual Machine)运行状态的信息,从而保证每一台虚拟机健康运行,继而保正整个云计算平台的安全可靠。从用户的角度,他们也需要了解自己虚拟机的运行状态。因此,虚拟机监控是必不可少的,本文章将介绍当前针对云平台虚拟机监控的相关技术。

    1.安全监控架构研究

    近年来,很多学者致力于基于虚报机的安全监控架构的研究。目前,存在两种主流的虚拟机安全监控架构:一种是基于虚拟机自省技术的监控架构,即将监控模块放在Hypervisor中,通过虚拟机自省技术对其他虚拟机进行检测;另一种是基于虚拟化的安全主动监控架构,它通过在被监控的虚拟机中插入一些钩子函数(hook),从而截获系统状态的改变,并跳转到单独的安全虚拟机中进行监控管理。

    2.安全监控的分类

    从虚拟机安全监护实现的角度来看,基于虚拟化安全监控的相关研究可以分为两大类,即内部监控和外部监控。内部监控是指在虚拟机中加载内核模块来拦截目标虚拟机的内部事件,而内核模块的安全通过Hypervisor来进行保护,外部监控是指通过Hypervisor对目标虚拟机中的事件进行拦裁,从而在虚拟机外部进行检测。

    (1)内部监控

    基于虚拟化的内部监挖模型的典型代表系统是Lares和SIM,下图描述了Lares内部监控系统的架构。
    Lares内部监控系统的架构
    在Lares内部监控系统的架构中,安全工具部署在一个隔离的虚拟机中,该虚拟机所在的环境在理论上被认为是安全的,称为安全域,如Xen的管理虚拟机。被监控的客户操作系统运行在目标虚拟机内,同时该目标虚拟机中会部署一种至关重要的工具——钩子函数。钩子函数用于拦截某些事件,如进程创建、文件读写等。由于客户操作系统不可信,这些钩子函数需要得到特殊的保护。这些钩子函数在加载到客户操作系统时,向Hypervisor通知其占据的内存空间,使Hypervisor中的内存保护模块能够根据钩子函数所在的内存页面对其进行保护。Hypervisor中还有一个跳转模块,作为目标虚拟机和安全城之间通信的桥梁。为了防止恶意攻击者篡改,钩子函数和统转模块必须是自包含的,不能识用内核的其他函数,同时它们都必须很简单,可以方便地被内存保护模块所保护。

    利用该架构进行一次事件拦截响应的过程为:当钩子函数探测到目标虚拟机中发生了某些事件时,它会主动陷入到Hypervisor中去,通过Hypervisor中的跳转模块,将目标虚拟机中发生的事件传遇给安全域中的安全驱动,进而传递给安全工具:然后,安全工工具根据发生事件执行某种安全策略,产生响应,并将响应发送给安全驱动,从而对目标虚拟机中的事件采取响应措施。

    这种架构的优势在于,事件截获在虚拟机中实现,而且可以直接获取操作系统的语义。减少了性能开销。然面,这种方式也存在不足:一方面,它需要在客户操作系统中插入内核模块,造成对目标虚拟机的监控不具有适明性,钩子函数也需要Hypervisor提供足够的保护以防止客户机修改。另一方面,内存保护模块和跳转模块与目标虚拟机的操作系统类型以及版本是紧密相关的,不具有通用性,这些不足限制了内部监控架构的进一步研究和使用。

    (2)外部监控

    基于虚拟化的外部监控模型的典型代表是Liveware,下图描述了Livewire外部监控系统的架构。
    外部监控系统的架构
    对比前一张图片和上图可以看出,外部监控架构中安全工具和客户操作系统的部署和内部监控架构相同,分别位于两个彼此隔离的虚拟机中,增强了安全工具的安全性。与内部监控架构不同的是,外部监控架构的监控点部署在Hypervisor中,它不仅是安全城中的安全工具和目标虚拟机之间通信的桥梁,还用于拦截目标虚拟机中发生的事件,并重构出高级语义,然后传递给目标虚拟机。由于Hypervisor位于目标虚拟机的底层,监控点可以观测到目标虚拟机的秋态(如CPU的信息、内存项面等),故在Hypervisor的输助下,安全工具能够对目标虚拟机进行检测。

    根据上述事件拦截响应过程可知,外部监控必须包含两种基本功能:事件拦截和语义重构。事件拦截是指拦截虚拟机中发生的某些事件,从而触发安全工具对其进行检测。语义重构是指由低级语义(二进制)重构出高级语义(操作系统级语义)。由于Hypervisor位于目标虚拟机的下层,它只能获取低级语义(如寄存器和内存页面)。监控工具是针对操作系统层的语义,因此两者之间存在语义鸿沟。为了使监控工具能够理解目标虚拟机中的事件,必须对其进行语义重构。语义重构的过程与客户操作系统的类型和版本密切相关,且目前并没有一种万全之策彻底解决语义重构的问题。

    从以上的研究可以看出,现有的工作多集中在利用Hypervisor来保护目标虚拟机中的钩子函数或从目标虚拟机外部查看内部状态。虽然这两种监控方式都能很好地实现虚拟机的安全监控,但是仍然存在一些不足,需要研究者对其进行后续研究。其不足之处主要体现在两个方面:第一,现有的研究工作缺乏通用性;第二,虚拟机监控与现有安全工具存在融合问题。

    1)通用性问题:在云计算环境中.单个物理节点上会同时运行多个虚拟机,并且虚拟机中的客户操作系统是多种多样的(可能会有Linux、Windows等)监控工具需要对各种不同类型的虚拟机进行有效的监控。然而,目前所有的监控工具都是针对特定类型的客户操作系统实现特定的安全功能,当在某个物理节点上创建一个新的虚拟机,或者从另外一个物理节点上迁移新的虚拟机时,特定的监控工具就会失效。因此现有的监控工具不能满足监控通用性的要求,构建通用的安全监控机制十分必要。

    2)虚拟机监控与现有安全工具磁合的问题:在传统环境下,为了提高计算系统的安全性,研究者开发了大量的安全工具。在虚拟化环境下基于Hypervisor可以更好地监控虚拟机的内部运行状态。然而,Hypervisor获取的是二进制语义,传统的安全工具无法直接使用。因此,为了更好地利用已有的安全工具,基于虚拟化的安全监控需要与现有的安全工具进行有效的融合。一方面,利用语义恢复来实现从二进制语义到系统级语义的转换,同时为安全工具提供标准的调用接口,使安全工具直接或者和作修改来适应于虚拟计算环境;另一方面,语义恢复给安全工具带来了额外的性能开销,为了使安全监控具有更大的实用价值,研究者需要考虑在语义信息的全面性和系统开销之间进行综合权衡。

    展开全文
  • 针对这一安全威胁,利用不同操作系统漏洞存在差异的特点,提出一种基于操作系统多样性的虚拟机安全部署策略。该方法首先为申请虚拟机的用户推荐一种多样性程度最高的操作系统配置选择;然后通过一种安全的部署策略,...
  • 专利1一种虚拟机安全策略迁移装置 技术领域背景技术发明内容具体实施方式 专利2一种基于SDN的虚拟机安全策略迁移的系统及方法 技术领域 背景技术 发明内容具体实施方式 专利1一种虚拟机安全策略...

    专利1一种虚拟机安全策略迁移装置

    申请(专利)号

    CN201210121457.9

    申请日

    2012.04.23

    公开(公告)号

    CN102739645A

    公开(公告)日

    2012.10.17

    最终专利权人

    新华三技术有限公司

    地址

    310053 浙江省杭州市高新技术产业开发区之江科技工业园六和路310号华为杭州生产基地

    主分类号

    H04L29/06(2006.01)I

    国省代码

    浙江;33

    申请(专利权)人

    杭州华三通信技术有限公司

     

    发明(设计)人

    孙松儿;吕振峰

     

    技术领域

    本发明涉及一种数据中心虚拟化技术,尤其涉及数据中心虚拟服务器安全 策略迁移方法及装置。

    背景技术

           随着互联网的发展,虚拟化技术已经广泛应用在各级数据中心,尤其是服 务器虚拟化技术更是被广大用户所接受并成功实施。虚拟化技术可以在单台物 理服务器上虚拟化出多个相互独立的虚拟机(VM,Virtual Machine),这些VM 可以被当作一台独立的服务器,与物理服务器一样有自己的IP地址和MAC地 址,有自己的操作系统和各种应用程序;现阶段流行的虚拟化软件主要有 VMware、Xen、微软的HypervisorV以及开源的KVM虚拟化平台。

          主流虚拟化技术还支持VM在不同物理服务器之间的迁移,甚至是可以保证虚拟机原先提供的业务服务不中断的在线迁移。在虚拟机迁移到新的物理服务器后,管理员需要在安全设备(比如防火墙)上部署VM的安全策略。然而管理员的操作面临很多问题,管理员首先需要知道迁移后的VM是否被新的安全设备所管理,比如说在同一个数据中心内做迁移时,可能迁移前后VM都在同一个安全设备的保护之下,因此不需要在安全设备上做任何配置调整。如果管理员判断VM在新的位置下会由新的防火墙来进行安全防护,那么管理员需要在新的防火墙上进行手动进行配置调整,而且还要删除原来防火墙下的配置,操作起来速度缓慢,并且可能会导致业务服务长时间中断,这使得VM的在线迁移失去了意义。此外,由于防火墙的安全策略配置起来是比较复杂且专业,稍有不慎可能导致较大的安全风险,因此要求管理员反复地手工操作可能引发较大的安全风险。由此看来,目前VM的迁移过程给数据中心的管理人员带来了很大的困扰。

    发明内容

    有鉴于此,本发明提供一种虚拟机安全策略迁移装置,应用于数据中心的安全管理服务器上,该装置包括:迁移感知单元、定位单元以及安全策略管理单元;其中,

    迁移感知单元,用于接收来自虚拟机管理装置的虚拟机迁移报告,所述虚拟机迁移报告至少包括虚拟机的位置参数;

    定位单元,用于根据所述虚拟机的位置参数确定迁移前该虚拟机所归属的原安全设备以及虚拟机迁移后该虚拟机所归属的新安全设备;

    安全策略管理单元,用于获取配置在原安全设备上的该虚拟机的安全策略,并将所述安全策略下发到新安全设备上。

    本发明还提供一种虚拟机安全策略迁移方法,应用于数据中心的安全管理服务器上,该方法包括:

    A、接收来自虚拟机管理装置的虚拟机迁移报告,所述虚拟机迁移报告至少包括虚拟机的位置参数;

    B、根据所述虚拟机的位置参数确定迁移前该虚拟机所归属的原安全设备以及虚拟机迁移后该虚拟机所归属的新安全设备;

    C、获取配置在原安全设备上的该虚拟机的安全策略,并将所述安全策略下发到新安全设备上。

    本发明通过虚拟机管理装置(也就是VM侧管理服务器一侧)与虚拟机安全策略迁移装置(也就是安全管理服务器一侧)之间的联动实现了VM在安全设备上的安全策略自动跟随着VM迁移而无缝迁移,免除了管理员因为VM迁移而进行的安全设备手工配置操作,这对VM迁移事件较多的大型数据中心来说意义非常显著。


    附图说明

    图1是本发明一种典型的数据中心VM迁移示意图。


    图2是本发明一种实施方式中安全管理服务器的硬件结构图。

    图3是本发明一种实施方式中虚拟机安全策略迁移装置逻辑结构图。


    图4是本发明一种实施方式中虚拟机安全策略迁移流程图。

    具体实施方式

    本发明通过虚拟机管理装置安全设备管理装置的配合来解决VM的安全 策略迁移问题。以下结合附图详细

    介绍本发明在一种实施方式中的具体实现。

    很多大型用户(如各大互联网公司)会在在多个不同地点建设有多个数据 中心站点DC Site(如图1中的DC1以及DC2)。每个数据中心站点的服务器 可以由虚拟机管理装置(未图示),比如运行在一台独立服务器上的KVM虚拟 化软件,进行单个或者批量的VM创建与管理工作,这一工作通常包括在VM 所在的物理服务器上为VM分配包括CPU在内的各种底层硬件资源以及各种软 件资源,设置和管理VM所属接入端口的各种网络属性,如VLAN ID和QOS 策略等Profile规则等。VM创建好之后就可以通过网络对外提供业务服务了。 请参考图1,在典型的应用环境中,各个VM通过接入层交换机和汇聚交换机连 接到安全设备(如防火墙)进而连接到外部网络(如互联网)。

    如前所述,在安全设备上需要针对这些VM部署对应的安全策略,以保证 从内网与外网之间的通信是受控,尤其是需要避免受到来自外网的攻击。以防 火墙为例,安全策略可以覆盖到非常广义的范畴。最简单的安全策略是所有的 防火墙都具有的基于IP地址过滤功能。这项任务要检查IP包头,根据其源IP 地址和目的IP地址做出报文放行或丢弃决定。如今主流的防火墙在网络层面的 安全策略已经能够包括源IP地址、目的IP地址、协议类型、源端口、目的端口、 等在内的多个要素的任意组合。很多防火墙还包括应用层面的安全策略,比如 针对应用程序名称或者特定的协议报文载荷中的字段进行报文过滤,还可以基 于TTL值、来源的网域名称等要素进行过滤。而网络层面的安全策略与应用层 面的安全策略又可以组合起来使用。由于不同VM承担的业务服务可能不尽相 同,因此管理员在防火墙等安全设备上为其所部署的安全策略也不尽相同,但 本发明的实现并不受限于安全策略的具体内容。

    在数据中心的管理过程中,由于一些特定的原因,比如调整物理服务器硬 件资源在VM上的分配,或者需要进行物理服务器硬件资源维护,或者为了进 行系统备份操作,都可能需要对相关的VM进行迁移,因此对于KVM来说, VM迁移是常见的管理操作。KVM需要通过配置VM的迁移策略,将VM从 DC1的某个服务器迁移到DC2的另外的物理服务器。在本发明中,除了VM自 身以外,网络上层所部署的安全设备上的VM安全策略迁移装置10也会在KVM 的配合下自动感知VM的迁移动作,并完成安全策略的相应迁移。以下结合图1 图2、图3以及图4,以计算机程序实现为例来描述本发明的虚拟机安全策略迁 移装置10是如何在虚拟机管理装置的配合下实现安全设备上的安全策略跟随 VM迁移而无缝迁移的。需要说明的是,本发明并不局限于VM在不同数据中 心站点之间的迁移,即便是同一个数据中心站点(可能部署了多个安全设备) 内部进行迁移也是同样适用的。

    图3示出了本发明一种实施方式中虚拟机安全策略迁移装置10的逻辑结构 图,该装置包括迁移感知单元11、定位单元12以及安全策略管理单元13。虚 拟机安全策略迁移装置10在本实施方式中是计算机程序在安全管理服务器CPU 上运行所形成的逻辑装置。而所述安全管理服务器可以各种通用的服务器,其 硬件架构如图2所示。同样的道理,虚拟机管理装置在本实施方式中是计算机 程序在VM管理服务器CPU上运行所形成的逻辑装置,本发明未给出其逻辑结 构图,然而本领域普通技术人员可以轻易地根据下文的描述结合现有技术抽象 出与本发明思路一致的逻辑结构。

    步骤101,虚拟机管理装置启动VM迁移并向虚拟机安全策略迁移装置10 的感知单元发送迁移报告。

    虚拟机管理装置对VM进行迁移的细节本发明不再一一描述。在本发明中, 迁移报告的发送时机可以有多种选择,可以在迁移完成后再发送,也可以在迁 移启动前或者迁移过程中来发送。在较佳的实施方式中,可以选择在迁移完成 后来发送VM迁移报告,虽然在理论上来说迁移完成后发送可能会对VM及时 对外提供业务服务产生影响,但是后续的安全策略迁移将是自动完成的,所需 时间很短,因此这种影响很轻微。而且迁移后再发送可以避免其他方式中迁移 不成功而触发的安全策略的错误迁移。

    所述VM迁移报告至少包括VM位置参数;该位置参数可以包括VM的IP 地址、VM的MAC地址、迁移前后的物理服务器IP地址、迁移前后VM的接 入端口ID以及迁移前后VM的VLAN ID中任意一种或多种。迁移报告可以由 各种私有或者公有的协议报文来承载,而消息的格式在较佳的事实方式中可以 采用JSON格式,该消息包含的具体内容如下:

    {″Version″:″1.0″,″Type″:1,″Src_Host_IP″:″192.168.0.1″,″Src_Host_Name″:″srchost″, ″Dest_Host_IP″:″192.168.2.2″,″Dest_Host_Name″:″desthost″,″VM_Ip″:″10.10.0.1″, ″VM_Name″:″vmname″,″VM_Vlan″:500,″VM_IF_name″:″eth0/0″,″VM_Port_Profile_index″: 1234,″VM_MAC″:″112233ccddee″,}

    Version表示版本号,其取值1.0,1.1等等。

    Type表示报文类型,可以取值为1,表示这是虚拟机迁移后的上报消息。

    Src_Host_IP表示虚拟机迁移前所在物理服务器的IP地址。

    Src_Host_name表示虚拟机迁移前所在物理服务器的名称。

    Dest_Host_IP表示虚拟机迁移后所在物理服务器的IP地址。

    Dest_Host_name表示虚拟机迁移后所在实服务器名称。

    VM_IP表示虚拟机的IP地址。

    VM_Name表示虚拟机的名称描述。

    VM_Vlan表示虚拟机所属的VLAN ID,取值范围是14094。

    VM_IF_Port表示虚拟机接入的交换机的端口ID。

    VM_Port_Profile_index表示虚拟机对应接入的交换机端口的QOS等策略的 profile索引。

    VM_MAC表示虚拟机MAC地址信息,格式为“xxxxxxxxxxxx”。

    其中物理服务器以及虚拟机的名称主要是为了在交互界面上提供给管理员 更为直观的标识,因为IP地址对于管理员来说并不容易记忆。迁移报告中的各 种位置参数并不是要求全部发送,这取决于厂商在管理平面的技术实现方式。

    步骤102,根据所述VM的位置参数确定迁移前该虚拟机所归属的原安全设 备以及迁移后该虚拟机所归属的新安全设备。

    有了上述VM位置参数以后,定位单元可以根据所述VM的位置参数确定 迁移前该虚拟机所归属的原安全设备以及迁移后该虚拟机所归属的新安全设 备。在较佳的实施方式中,考虑到虚拟机管理装置以及安全策略迁移装置10可 能是由不同厂商提供的,因此为了更好地与对端兼容,虚拟机管理装置可以将 尽可能多的VM位置参数放在迁移报告中发送过来,这样一来定位单元的实现 就会更加灵活,不同厂商在定位单元的实现上各有不同,不同的算法所需要的 VM位置参数也自然不尽相同。

    以最为简单的方式为例,请参考图1,安全管理服务器上保存有各个防火墙 所管辖的物理服务器的IP地址,比如说防火墙1所管辖的物理服务器的IP地址 段是192.168.1.2192.168.1.100,防火墙3所管辖的物理服务器的IP地址段 192.168.1.101192.168.1.200。假设迁移前VM所在的物理服务器的IP地址是 192.168.1.20,迁移后VM所在的物理服务器的IP地址是192.168.1.120,由此定 位单元可以获知VM迁移之前归属于防火墙1,VM迁移之后归属于防火墙3。

    再比如说,假设安全管理服务器上保存有各个安全设备所辖区域的网络拓 扑信息,定位单元可以判断迁移报告中的VM接入交换机的端口ID或者VM所 属的VLAN ID在哪个安全设备所辖区域的网络拓扑信息中,进而可以得知迁移 之前VM所归属的安全设备以及迁移之后VM所归属的安全设备。再比如说, 假设安全管理服务器上保存有各个安全设备所辖区域的网络拓扑信息,定位单 元可以使用MAC地址定位技术来确定VM是从哪个交换机接入到网络中来,进 而根据网络拓扑确定VM所归属的安全设备。同样的道理,在定位单元实现时, 可以采用其他算法结合不同的VM位置参数(或者位置参数的组合)来确定VM 归属的安全设备,在此不再一一列举。

    进一步来说,考虑到虚拟机管理装置以及安全策略迁移装置10可能是由不 同厂商提供的,因此为了更好地与对端兼容,定位单元中可以预置多个定位子 单元(如图3所示的那样),这些定位子单元分别使用不同的VM位置参数来 确定VM归属的安全设备,也就是说即便虚拟机管理装置发送的迁移报告中的 VM位置参数种类很少,定位单元依然可以借助多种定位算法(也就是多个内置 的定位子单元)来确定VM所归属的安全设备。同样的道理,即便不同的虚拟 机管理装置发送的迁移报告中的VM位置参数种类不同,由于预置多个定位子 单元,可以应对对端的变化,具有更好的兼容性。

    步骤103,判断所述原安全设备与所述新安全设备是否为同一个安全设备, 如果是则返回,否则通知安全策略处理单元进行处理。

    在有的数据中心中,一个防火墙这样的安全设备可能管辖着较大的区域, 有可能VM迁移之后归属的安全设备没有变化,因此再做进一步处理之前还需 要判断迁移前后VM归属的安全设备是否是同一台,比如说比较一下设备的标 识。如果是同一台,那么就不需要做处理,返回即可;如果不是同一台,可以 通知安全策略处理单元进行进一步处理。

    步骤104,获取配置在原安全设备上的该虚拟机的安全策略,并将所述安全 策略下发到新安全设备上。

    安全管理服务器与各个安全设备之间存在管理通道。安全策略管理单元可 以借助该管理通道从VM所归属的原安全设备读取其上的为VM配置的安全策 略,然后再下发到VM所归属的新安全设备。当然,很显然原安全设备上的VM 的安全策略也是安全策略管理单元下发的,因此安全策略管理单元很可能本来 在安全管理服务器上保存有该VM的安全策略,因此安全策略管理单元还可以 从安全管理服务器的存储单元中获取到。由于新的安全设备使用了与原安全设 备同样的安全策略,因此实现了安全策略跟随VM迁移而无缝迁移,对于VM 对外提供业务服务的影响很小,外部访问VM的用户基本不会感知到VM有任 何变化。进一步来说,在成功将VM的安全策略下发到VM归属的新安全设备 后,原安全设备不再需要VM的安全策略了,安全策略管理单元还可以将原安 全设备上的安全策略对应移除,比如删除或者使之处于无效装置,以节约原安 全设备的空间,减少其业务处理时间。

    本发明通过虚拟机管理装置(也就是VM侧管理服务器一侧)与虚拟机安 全策略迁移装置(也就是安全管理服务器一侧)之间的联动实现了VM在安全 设备上的安全策略自动跟随着VM迁移而无缝迁移,免除了管理员因为VM迁 移而进行的安全设备手工配置操作,这对VM迁移事件较多的大型数据中心来 说意义非常显著。

    以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发 明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发 明保护的范围之内。

    专利2一种基于SDN的虚拟机安全策略迁移的系统及方法

    技术领域

    本发明涉及虚拟化技术领域,尤其涉及一种基于SDN的虚拟机安全策略迁移的系统及方法。

    背景技术

    虚拟机迁移技术为服务器虚拟化提供了便捷的方法。目前流行的虚拟化工具如VMware,Xen,HyperV,KVM都提供了各自的迁移组件。迁移服务器可以为用户节省管理资金、维护费用和升级费用。迁移的优势在于简化系统维护管理,提高系统负载均衡,增强系统错误容忍度和优化系统电源管理。但是迁移也带来了一些安全策略实施的问题,如一旦VM虚拟机迁移,该VM虚拟机对应的网络层信息可以通过后端的管理平台自动跟随VM虚拟机迁移到新的位置,但是对于在VM主机所在的网络中针对该VM的安全策略如防火墙、 IPS、IDS,只能由网络管理员手动重新单独配置和维护,不能从原有网络自动的迁移至新的网络中去。  

    发明内容

    本发明为了解决现有技术中虚拟机迁移时其安全策略不能与其同步迁移至 新主机所在网络以实现策略的无缝迁移的缺点或不足,采用了一种基于SDN的 虚拟机安全策略迁移的系统及方法,从而实现了安全策略如防火墙、流量管理 等随虚拟机迁移至目标网络的目的。

    一种基于SDN的虚拟机安全策略迁移的系统,其由安全策略管理模块、控 制器集群控制模块和虚拟机迁移监控模块构成。

    安全策略管理模块是系统中最重要的模块,包括安全策略执行模块,策略 同步模块,安全策略获取模块,安全策略加密传输模块和安全策略数据库。

    安全策略执行模块负责将迁入的虚拟机相关的安全策略添加到安全策略数 据库中,并通过与安全策略相关的安全设备的接口将迁入虚拟机的安全策略添 加到相关的安全设备上。

    策略同步模块更新指定虚拟机的安全策略至相关的安全设备上并更新安全 策略数据库,或将迁出虚拟机相关的安全设备上的安全策略移除并在迁移完成 后将此虚拟机的安全策略从本地的安全策略数据库中删去。

    安全策略获取模块从安全策略数据库中提取迁移虚拟机相关的所有安全策 略。

    安全策略加密传输模块对待迁移的虚拟机安全策略进行加密,并选择安全 的方式传输到目标网络中的安全策略服务器,或接收待迁入的虚拟机安全策略 进行解密。

    控制器集群控制模块对数据中心内的多控制器进行协调管理,包括状态分 发/同步模块,分域管理模块,分布式存储管理模块,交换机共享控制模块,交 换机接口通信模块。

    虚拟机迁移监控模块对虚拟机的迁移情况进行监控。

    一种基于SDN的虚拟机安全策略迁移的方法,其具体的步骤如下:

    1)当虚拟机准备迁移时,支持SDN的交换机匹配到虚拟机迁移的相关流量, 按照SDN控制器下发的流表规则,立即通过南向接口协议报告给SDN控制器;

    2)SDN控制器收到由交换机发来的消息后,将信息直接转发给安全策略管 理服务器;

    3)安全策略管理服务器收到控制器集群中其中一台SDN控制器发送的信 息,察觉有虚拟机待迁移;

    4)安全策略管理服务器通过信息分析出虚拟机迁移的目标网络地址,查找 安全策略数据库以寻找出目标网络的安全策略管理服务器地址;

    5)安全策略管理服务器调用安全策略获取模块查找安全策略数据库以提取 该虚拟机相关的安全策略;

    6)安全策略管理服务器调用安全策略加密传输模块通过带外安全传输到目 标网络的安全策略管理服务器;

    7)目标网络的安全策略管理服务器调用安全策略加密传输模块解密待迁入 虚拟机的安全策略信息,通知安全策略执行模块;

    8)安全策略执行模块将迁入的虚拟机相关的安全策略添加到安全策略数据 库中,并通过与安全策略相关的安全设备的接口将迁入虚拟机的安全策略添加 到相关的安全设备上,通知迁出网络的安全策略管理服务器;

    9)迁出网络的安全策略管理服务器调用策略同步模块,将迁出虚拟机相关 的安全设备上的安全策略移除并将此虚拟机的安全策略从本地的安全策略数据 库中删去。

    附图说明

    为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施 例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述 中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付 出创造性劳动的前提下,还可以根据这些附图获得其它的附图。

    图1是本发明的一种基于SDN的虚拟机安全策略迁移的系统功能模块图;

    图2是本发明的一种基于SDN的虚拟机安全策略迁移的方法网络拓扑图。



    具体实施方式

    下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清 楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是 全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造 性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。

    一种基于SDN的虚拟机安全策略迁移的系统功能模块图如图1所示:

    它由安全策略管理模块、控制器集群控制模块和虚拟机迁移监控模块构成。

    安全策略管理模块是系统中最重要的模块,包括安全策略执行模块,策略 同步模块,安全策略获取模块,安全策略加密传输模块和安全策略数据库。安 全策略执行模块负责将迁入的虚拟机相关的安全策略添加到安全策略数据库 中,并通过与安全策略相关的安全设备的接口将迁入虚拟机的安全策略添加到 相关的安全设备上。策略同步模块可更新指定虚拟机的安全策略至相关的安全 设备上并更新安全策略数据库,或将迁出虚拟机相关的安全设备上的安全策略 移除并在迁移完成后将此虚拟机的安全策略从本地的安全策略数据库中删去。 安全策略获取模块从安全策略数据库中提取迁移虚拟机相关的所有安全策略。 安全策略加密传输模块对待迁移的虚拟机安全策略进行加密,并选择安全的方 式传输到目标网络中的安全策略服务器;或接收待迁入的虚拟机安全策略进行 解密。

    控制器集群控制模块对数据中心内的多控制器进行协调管理,包括状态分 发/同步模块,分域管理模块,分布式存储管理模块,交换机共享控制模块,交 换机接口通信模块。控制器集群控制模块通过交换机接口通信模块使用南向接 口协议与支持SDN的交换机进行通信,使用其他模块实现多控制器之间的流表 的同步。

    虚拟机迁移监控模块对虚拟机的迁移情况进行监控。通过SDN控制器定义 “虚拟迁移发现”流表项,并且下发到数据中心内的支持SDN的交换机。当虚 拟机开始迁移时,支持SDN的交换机立即接收到虚拟机迁移的相关数据包并且 匹配到“虚拟迁移发现”流表项,并且根据此流表项的动作执行将虚拟迁移信 息通知发送给SDN控制器,进而通知到安全策略管理模块。

    一种基于SDN的虚拟机安全策略迁移的方法针对虚拟机迁移时安全策略需 要随同迁移的问题,基于SDN技术,将安全策略迁移与虚拟机迁移分离开来。 这种方法中安全策略迁移不再依赖虚拟机完成,而是依赖于支持SDN的交换机。

    一种基于SDN的虚拟机安全策略迁移的方法的网络拓扑图如图2所示,其 具体的实施流程如下:

    1)当虚拟机准备迁移时,支持SDN的交换机匹配到虚拟机迁移的相关 流量,按照SDN控制器下发的流表规则,立即通过南向接口协议报告给SDN 控制器;

    2)SDN控制器收到由交换机发来的消息后,将信息直接转发给安全策略 管理服务器;

    3)安全策略管理服务器收到控制器集群中其中一台SDN控制器发送的 信息,察觉有虚拟机待迁移;

    4)安全策略管理服务器通过信息分析出虚拟机迁移的目标网络地址,查 找安全策略数据库以寻找出目标网络的安全策略管理服务器地址;

    5)安全策略管理服务器调用安全策略获取模块查找安全策略数据库以 提取该虚拟机相关的安全策略;

    6)安全策略管理服务器调用安全策略加密传输模块通过带外方式将信 息安全传输到目标网络的安全策略管理服务器;

    7)目标网络的安全策略管理服务器调用安全策略加密传输模块解密待 迁入虚拟机的安全策略信息,通知安全策略执行模块;

    8)安全策略执行模块将迁入的虚拟机相关的安全策略添加到安全策略 数据库中,并通过与安全策略相关的安全设备的接口将迁入虚拟机的安全策略 添加到相关的安全设备上,通知迁出网络的安全策略管理服务器;

    9)迁出网络的安全策略管理服务器调用策略同步模块,将迁出虚拟机相 关的安全设备上的安全策略移除并将此虚拟机的安全策略从本地的安全策略数 据库中删去。

    此外,本发明还可在现有技术的基础上,通过使用专门算法来识别出虚拟 机并在虚拟机中记录其相应的安全策略,最终在迁入网络中使用专门函数提取 其安全策略部署至各安全设备上。这需要使用额外对虚拟机较高的识别能力, 安全策略提取,跨平台的能力,到达目标网络将安全策略分发到相应安全设备 的能力等。

    本发明还可直接迁移虚拟机,之后由人工根据每个虚拟机的不同安全策略 在迁入的网络中进行设计、配置,并从迁出网络中删去此虚拟机相关的安全策 略。这种方法费时费力,且协调虚拟机在目标环境的使用和此虚拟机在目标网 络的相关安全策略部署事件上存在困难。

    以上对本发明实施例所提供的一种基于SDN的虚拟机安全策略迁移的系统 及方法进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进 行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想; 同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应 用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限 制。

    展开全文
  • 虚拟机安全

    2011-09-28 22:09:59
    虚拟机安全稳定好用免安装版 虚拟机安全稳定好用免安装版
  • 云计算环境下虚拟机安全管理模型研究,桂小林,庄威,在云计算环境中,由于云端虚拟机(VM)数量会越来越多,虚拟机的安全和管理面临巨大挑战。为了解决云计算虚拟化环境的安全问题,论��
  • 2013 年国家信息安全专项云操作系统安全加固和虚拟机安全管理产品测评方案
  • 云计算中虚拟机安全性分析.pdf
  • 云计算环境下虚拟机安全管理模型研究.pdf
  • 云计算中XEN虚拟机安全隔离相关技术综述.pdf
  • 电信设备-基于可信资源池的虚拟机安全迁移方法.zip
  • 网络游戏-一种基于细胞神经网络的虚拟机安全监控方法.zip
  • 行业分类-物理装置-一种虚拟平台网络隔离下保护虚拟机安全的方法及系统.zip
  • 虚拟机它真的安全

    千次阅读 2020-12-30 08:55:59
    在某些情况下,在虚拟机里运行的程序会绕过底层,从而利用宿主机,这种技术叫做虚拟机逃逸技术,由于宿主机的特权地位,其结果是整个安全模型完全崩溃。这也就是说,你在虚拟机上测试病毒、恶意软件,这些东西如果...

    虚拟机让我们能够分享主机的资源并提供隔离。在理想的世界中,一个程序运行在虚拟机里,他应该无法影响其他虚拟机。不幸的是,由于技术的限制和虚拟化软件的一些bug,这种理想世界并不存在。在某些情况下,在虚拟机里运行的程序会绕过底层,从而利用宿主机,这种技术叫做虚拟机逃逸技术,由于宿主机的特权地位,其结果是整个安全模型完全崩溃。这也就是说,你在虚拟机上测试病毒、恶意软件,这些东西如果设计好的话,就会通过虚拟机进入你的系统!!!
    从虚拟机中逃逸 虚拟环境的安全威胁已由理论变为现实

    从虚拟机中逃逸,一直以来被看作类似于一种黑色操作。你不断的能听到研究人员们研究一些恶意软件样本的传言,而这些恶意软件可以从虚拟客户机逃逸到主机里。与此同时,其他研究人员也在研究一些允许***者从虚拟机中逃逸的漏洞。
      这些有形的***威胁到了虚拟化项目的神圣性,而虚拟化在许多公司里相当流行,因为在服务器整合和功耗方面,它们具有很大的优势。但漏洞利用工具的数量也正在日益高涨,每一个月都会增加不少。
      在2009年7月下旬的美国黑帽大会上,一些研究机构对虚拟机的这一漏洞提出了最为清楚的阐释。Immunity是一家安全评估和***测试的公司,它向外界提供了一个被称为Cloudburst的工具软件的详细信息,该工具由高级安全研究员Kostya Kortchinsky开发。Cloudburst目前能提供给装有Immunity的CANVAS测试工具的用户使用,它利用的是VMware Workstation 6.5.1和更早期版本的显示功能bug,而这一bug同样出现在VMware Player、服务器、Fusion、ESXi和ESX [见CVE 2009-1244,以得到确切版本编号]。
      Kortchinsky 在Cloudburst的开发中有一些创新的思维,他选择利用的是虚拟机和一些设备的依赖关系(如视频适配器、软盘控制器、IDE控制器、键盘控制器和网络适配器),从而获得对主机的访问。在黑帽大会上,他向外界做了一次报告,解释了他如何利用VMware模拟视频设备的漏洞来进行***,他还演示了如何利用主机泄漏到客户机的内存,以及如何从客户机向主机内存中的任何位置写入任意数据。
      "视频适配器处理最复杂的数据,“他说到。“它有一个特别巨大的共享内存。”
      Kortchinsky说,相同的代码模拟每个VMware产品上的设备。“如果有一个漏洞存在,那么每一个VMware的产品上都存在该漏洞,而且通过I / O端口或内存映射I / O端口可以从客户机上对其进行访问”。 Immunity表示,Cloudburst具有可以破坏(corrupt)内存的能力,这允许它以隧道方式在客户机帧缓冲区(frame buffer)之上建立起与主机的MOSDEF连接,从而与主机进行通信。MOSDEF是CANVAS工具集里的漏洞利用工具,它由Immunity公司创始人Dave Aitel开发。
      在今年4月10日,VMware已经修补了这些版本的漏洞。4天之后,Cloudburst发布,并被加入到CANVAS工具集中。而正是这一点使得Cloudburst与众不同,它不再是一个漏洞验证性触发代码(proof of concept),这和大多数虚拟机恶意软件不同。
      文章写到这里,该安全问题技术部分的内容已经结束了,但作为一个具有购买权力和负责决策的安全经理来说,它对于你意味着什么呢?在两年前经济还没有衰退的时候,这一问题给我们的启示会更多,你会争辩说企业的支出应更多的考虑安全因素,而不是经济因素。因为安全问题可能会影响企业的IT环境,而这种影响是可以切身感受到的。
      虚拟化的威胁一直是抽象的,理论多于实践。当然,目前还存在着一些不易察觉的、虚拟的rootkit技术(如Blue Pill),但这要求***具有对技术的理解天赋,而把一些非常复杂的东西作为***的工具对***来说似乎是不可行的。专家同时警告说,虚拟环境里有形的威胁已经出现,但对于这些理论性的东西,你仍然不可能制定企业自身战略并购买相应的虚拟化产品。你很可能需要做的就是,跟上虚拟化的趋势,因为它能带来很大的好处,让用户垂涎欲滴。而它的安全性问题将来也会随之来临。
      不过,是在未来。
      针对虚拟机的***已从理论慢慢的变成现实。目前,已经出现了关于虚拟机逃逸的五个CVE警报,在Kortchinsky、iDefense 公司的Greg McManus以及Core Security公司研究小组工作的基础上,研究人员和其他的***者会继续对这一问题进行分析、研究,因此以后出现更多安全漏洞几乎是必然的事情。
      专家说,网络不应该依赖传统的安全措施,因为它们不能抵御每个虚拟机的威胁。到目前为止,大多数组织都在反应有关虚拟环境的安全问题,以及不断涌现的新***、漏洞利用程序和漏洞验证性触发代码(proof of concept)。虚拟机的安全正处于风口浪尖的境地。
      两年前,安全专家、现任思科云和虚拟化解决方案的总监Chris Hoff曾说过:“虚拟化的安全威胁和漏洞晦涩难懂,而企业管理层对这些安全问题表现消极,他们认为在部署虚拟化技术的时候,安全问题不是考虑的重点。所以,即使尝试通过建立商业案例来考虑针对安全虚拟化环境的投资,这些努力也起不到多大的作用。”
      随着Cloudburst被看作最近一次针对虚拟机的***,在这一背景下,Hoff以及其他致力于虚拟环境安全的专家的预言似乎得到了验证。
      所以,也是在两年前,Hoff写了一篇关于某虚拟机漏洞的文章。在当时,者利用该漏洞可以在VMware客户端操作系统上运行任意代码。在那篇文章中,他的最后一句话是:"这将是针对虚拟机的第一次,以后还会出现更多,这是可以肯定的… 在你必须去重新配置或为你的全球虚拟数据中心(server farms)打补丁之前…你可以开始用这样的例子与管理层讨论进行冷静、理性的讨论…”

    展开全文
  • 服务器虚拟化只需要较少的硬件资源就能运行多重应用程序和操作系统,能允许用户根据自身...接下来,就让我们从以下四个方面看一看与服务器虚拟化的相关问题: 服务器虚拟机安全管理四大注意事项1.虚拟机溢出导致安全问

    服务器虚拟化只需要较少的硬件资源就能运行多重应用程序和操作系统,能允许用户根据自身需求快速调配新的资源。但是这些灵活性也导致网络和安全管理者们不禁担心存在于虚拟环境中的安全隐患会在整个网络中蔓延开去。因为如果服务器管理程序发生问题,那么很快就会通过虚拟机在整个网络中蔓延出来。接下来,就让我们从以下四个方面看一看与服务器虚拟化的相关问题:

    服务器虚拟机安全管理四大注意事项1.虚拟机溢出导致安全问题蔓延

    管理程序设计过程中的安全隐患会传染同台物理主机上的虚拟机,这种现象被称作“虚拟机溢出”。

    如果虚拟机能够从所在管理程序的独立环境中脱离出来,入侵者会有机可乘进入控制虚拟机的管理程序,进而避开专门针对保护虚拟机而设计的安全控制系统。

    虚拟世界的安全问题正在试图脱离虚拟机的控制范围。尽管没有那家公司会允许安全问题通过管理程序技术的方式在虚拟主机间相互传播和蔓延,但这样的安全隐患还是存在的。因为入侵者或者安全漏洞会在虚拟机之间来回捣乱,这将成为开发者在开发过程中的必须面对的问题。

    现在技术工程师通常采用隔离虚拟机的方式来保障虚拟环境的安全性。保障虚拟环境安全的传统方式是在数据库和应用程序层间设置防火墙。他们从网络上脱机保存虚拟化环境有助于缓解安全隐忧。这对于虚拟化环境来说是比较好的方法。

    服务器虚拟机安全管理四大注意事项2.虚拟机成倍增长,补丁更新负担加重

    虚拟机遇到的另外一个安全隐患是:虚拟机修补面临更大的挑战,因为随着虚拟机增长速度加快,补丁修复问题也在成倍上升。

    IT管理人们也认同补丁在虚拟化环境中的关键性,但是在虚拟机和物理服务器补丁之间实质的区别并非在于安全问题,而是量的问题。虚拟化服务器与物理服务器一样也需要补丁管理和日常维护。目前,世界上有公司采取三种虚拟化环境--两个在网络内部,一个在隔离区(DMZ)上--大约有150台虚拟机。但这样的布置就意味着管理程序额外增加了层来用于补丁管理。但即便如此,还是无法改变不管物理机还是虚拟机上补丁的关键问题。

    另外当服务器成倍增长也给技术工程师及时增加补丁服务器的数量带来一定的压力,他们开始越来越关注实现这一进程的自动化的工具的诞生。

    服务器虚拟机安全管理四大注意事项3.在隔离区(DMZ)运行虚拟机

    通常,许多IT管理人都不愿在隔离区(DMZ)上放置虚拟服务器。其它的IT管理者们也不会在隔离区(DMZ)的虚拟机上运行关键性应用程序,甚至是对那些被公司防火墙保护的服务器也敬而远之。不过如果用户正确采取安全保障措施,这样做也是可行的。用户你可以在隔离区(DMZ)内运行虚拟化,即使防火墙或隔离设备都是物理机上。在多数情况下,如果把资源分离出来是比较安全的方式。这个时候,不管是隔离区还是非隔离区,都可以建立虚拟化环境,他是采用在虚拟资源的集群中限制访问的办法。“每个集群都是自己的资源和入口,因此无法在集群之间来回串联”,他解释说。许多IT管理者们致力于将他们的虚拟服务器分隔开,将他们置于公司防火墙的保护之下,还有一些做法是将虚拟机放置在隔离区内-只在上面运行非关键性应用程序。

    服务器虚拟机安全管理四大注意事项4.管理程序技术的新特性容易受到黑客的攻击

    任何新的操作系统都是会有漏洞和瑕疵的。那这是否意味着黑客就有机可乘,发现虚拟操作系统的缺陷进而发动攻击呢?

    工业观察家们建议安全维护人员要时刻对虚拟化操作系统保持警惕,他们存在潜在导致漏洞和安全隐患的可能性,安全维护人员只靠人工补丁修护是不够的。

    虚拟化从本质上来说全新的操作系统,还有许多我们尚不了解的方面。它会在优先硬件和使用环境之间相互影响,让情况一团糟的情况成为可能。

    虚拟化管理程序并非是人们自己所想象的那种安全隐患。根据对微软公司销售旺盛的补丁Windows操作系统的了解,象VMware这样的虚拟化厂商也在致力于开发管理程序技术时控制安全漏洞的可能性.

    展开全文
  • 信任计算技术与虚拟化技术,提出了一种基于Xen的信任虚拟机安全访问机制,为用户提供了一种有效 的安全访问敏感数据的模式。其核心思想是利用虚拟机的隔离性,为数据信息应用提供一个专用的隔离环境,同时利用信 任...
  • 针对虚拟机动态迁移面临的虚拟机信息泄露的安全问题,引入内存动态保护技术SGX,基于KVM虚拟化环境,提出一种动态迁移安全增强方法。在迁移两端构建以 SGX 技术为核心的硬件隔离的安全执行环境,保障加密、完整性...
  • 随着云计算的广泛应用, 虚拟机技术得到了复苏和长足的发展, 但同时也带来了新...较为全面地总结了目前国内外针对虚拟机安全各方面相关的研究成果, 通过系统的比较分析, 指出了目前存在的问题, 探讨了下一步的研究方向。
  • VMware 产品允许用户将 Linux、Windows 等多个操作系统作为虚拟机在单台 PC 上运行。...Workstation 还提供隔离的安全环境,用于评估新的操作系统(如 Windows 10)、测试软件应用和补丁程序以及参考体系结构。
  • FortiGate 虚拟机为用户提供了在虚拟架构基础上的安全管理体系, 让用户随时随地享受安全服务。
  • JVM虚拟机如何枚举根节点:原理、安全点和安全区域 枚举根节点——可作为GC Roots的节点 可作为GC Roots的节点主要在全局性的引用(例如常量或类静态属性)与执行上下文(例如栈帧中的本地变量表) 枚举根节点——...
  • 开启安全组功能并新建虚拟机,在VM的host上,Iptables的Filter表的INPUT链以及FORWARD将增加一些默认的规则: 注:在该规则下,虚拟机内部是ping不通默认网关的,下一篇文章将分析具体的原因。 *filter :...
  • 6.2 步骤 实现此案例需要按照如下步骤进行。 步骤一:建立安全组 图15 2)允许ssh访问,如图-16 图-16 3)允许HTTPS访问,如图-17所示: 图-17
  • [PConline应用]提起在电脑里的虚拟机,相信许多看官都有接触过,通过虚拟机我们可以在操作系统中虚拟出另一个操作系统,从而实现各种操作。那么,在手机里的虚拟机你有用过没(它可不是在电脑里虚拟安卓系统哦,而是...
  • 使用ansible对虚拟机进行安全设置iptables设置修改防火墙配置文件修改 ssh 端口,查看结果,重启服务ansible 配置批量分发秘钥修改 hosts 文件 iptables设置 设置方法参考前边的文章 修改防火墙配置文件 将配置好的...
  • 基于云计算的虚拟机系统安全探析.pdf
  • 虚拟机操作代码

    千次阅读 2021-01-16 09:29:40
    虚拟机操作代码 pwd:查看当前目录 clear:清除 sudo passed:设置root密码 cd /:进入目录 ls-a:查看目录文件 ll:列显示文件 rm -rf:删除文件 rm -ri:是否删除 mkdir:创建文件夹 cp:拷贝文件(cp./文件名/...
  • 怎么在虚拟机中搭建mysql服务器

    千次阅读 2021-01-21 17:21:10
    姓名:余甜 学号:16180288004【嵌牛导读】:时至2017年,个人服务器,即使是大学生优惠,也不再有当年腾讯...现在的电脑基本都能轻松带动几个虚拟机,所以大家也很容易想到在虚拟机中搭建mysql服务,在宿主机中将其...
  • 侧信道攻击是当前云计算与数据中心环境下多租户间信息泄露的主要途径,现有基于虚拟机动态迁移的防御方法存在迁移算法收敛时间长,开销大的问题,为此,提出一种基于安全等级的虚拟机动态迁移方法。首先,对虚拟机...
  • Java卡虚拟机安全攻击技术及防御技术研究.pdf
  • 一、关于虚拟机技术的背景知识 1、Emulator和Virtualizer的区别 现在很多杀毒软件里面有所谓的智能脱壳功能,其实它就是用一个Emulator模拟器来解释执行机器指令,比如说x86的机器语言是一条一条来被翻译执行的。...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 325,696
精华内容 130,278
关键字:

虚拟机安全