虛擬化軟件棧攻擊面和攻擊源
(朱民、涂碧波、孟丹,中國(guó)科學(xué)院,虛擬化軟件棧安全研究,計(jì)算機(jī)學(xué)報(bào),2017年40卷第2期)
復(fù)雜多樣的安全威脅,必然需要多維度的防護(hù)體系來(lái)應(yīng)對(duì)。作為浪潮云海OS的基礎(chǔ)平臺(tái),服務(wù)器虛擬化系統(tǒng)InCloud Sphere在數(shù)據(jù)保護(hù)和防御機(jī)制方面,向來(lái)是全副武裝、有的放矢的:
InCloud Sphere完整性校驗(yàn):讓數(shù)據(jù)威脅無(wú)所遁形
完整性校驗(yàn)的目的是通過(guò)探測(cè)或阻止威脅,保護(hù)可能遭受不同方式危害的數(shù)據(jù)的完整性和數(shù)據(jù)相關(guān)屬性的完整性。在虛擬化系統(tǒng)中,完整性主要包括系統(tǒng)本身的完整性,以及運(yùn)行在虛擬化系統(tǒng)之上的虛擬機(jī)文件的完整性。
InCloud Sphere在系統(tǒng)完整性以及虛擬機(jī)完整性方面的執(zhí)行和控制機(jī)制有其獨(dú)到的設(shè)計(jì)思路:首先,在主機(jī)初始化時(shí),系統(tǒng)根據(jù)配置文件生成被校驗(yàn)文件的基準(zhǔn)數(shù)據(jù)庫(kù),基準(zhǔn)數(shù)據(jù)庫(kù)中加密保存各文件的唯一校驗(yàn)值及文件屬性。然后,系統(tǒng)通過(guò)設(shè)定時(shí)間檢測(cè)目標(biāo)文件的校驗(yàn)值,與數(shù)據(jù)庫(kù)中初始校驗(yàn)值對(duì)比,即可發(fā)現(xiàn)被更改文件。
系統(tǒng)完整性機(jī)制
另外,在對(duì)虛擬機(jī)的完整性保護(hù)方面,系統(tǒng)支持在虛擬機(jī)開(kāi)關(guān)機(jī)時(shí)分別生成保護(hù)對(duì)象的特征值,保護(hù)對(duì)象包括磁盤(pán)、快照以及虛擬機(jī)配置文件。
InCloud Sphere雙因子用戶鑒別機(jī)制:”Double Check”更穩(wěn)妥
InCloud Sphere擁有結(jié)合USB-KEY和PIN碼的雙因子鑒別機(jī)制。用戶登錄時(shí)需要插入U(xiǎn)SB-KEY,輸入用戶名、密碼以及PIN碼,通過(guò)瀏覽器插件訪問(wèn)USB-KEY中的PIN碼以及ID,由前臺(tái)比對(duì)用戶輸入的PIN碼與USB-KEY提供的是否一致。若一致,則將USB-KEY ID傳輸給后臺(tái),后臺(tái)會(huì)比對(duì)數(shù)據(jù)庫(kù)記錄的ID與USB-KEY提供的是否一致,得到肯定答案后才允許訪問(wèn)系統(tǒng)。
在鑒別信息的傳輸方面,管理入口采用加密通訊,對(duì)鑒別信息則采用二次加密;在鑒別信息的存儲(chǔ)方面,InCloud Sphere采用雙重加密機(jī)制;同時(shí),InCloud Sphere具備從時(shí)間、IP、MAC三方面對(duì)管理員登錄進(jìn)行限制的功能,全面加強(qiáng)對(duì)登錄路徑的安全防護(hù)。
InCloud Sphere強(qiáng)制訪問(wèn)控制技術(shù):為重要數(shù)據(jù)打造”金鐘罩”
InCloud Sphere具備基于標(biāo)記的強(qiáng)制訪問(wèn)控制技術(shù)。安全控制器是InCloud Sphere的強(qiáng)制訪問(wèn)控制子系統(tǒng),用于驗(yàn)證虛擬機(jī)及宿主機(jī)對(duì)系統(tǒng)重要資源訪問(wèn)的合法性,并記錄其訪問(wèn)行為,防止重要數(shù)據(jù)被惡意破壞或非法訪問(wèn),可有效增強(qiáng)虛擬化軟件的安全性。其主要安全特性包括:
· 實(shí)施”三權(quán)分立”并增強(qiáng)身份認(rèn)證
· 基于安全標(biāo)記的資源強(qiáng)制訪問(wèn)控制,實(shí)現(xiàn)各類角色的最小權(quán)限
· 重要進(jìn)程及文件保護(hù),防止非法中止和訪問(wèn)重要文件
· 完善的安全日志審計(jì)記錄及管理
安全控制器
基于安全控制器,InCloud Sphere實(shí)現(xiàn)了內(nèi)核級(jí)的虛擬化主機(jī)強(qiáng)制訪問(wèn)控制。安全控制器能夠旁路所有的文件訪問(wèn)操作,從驅(qū)動(dòng)層來(lái)達(dá)到為主客體進(jìn)行安全標(biāo)識(shí)判斷的目的,保障內(nèi)核安全。
內(nèi)核級(jí)的虛擬化主機(jī)強(qiáng)制訪問(wèn)控制
國(guó)密SM4:數(shù)據(jù)加密保護(hù),”算法”是關(guān)鍵
InCloud Sphere擁有基于國(guó)密SM4的關(guān)鍵數(shù)據(jù)加密保護(hù)策略。以虛擬磁盤(pán)文件保護(hù)為例,InCloud Sphere將虛擬磁盤(pán)文件保存為QCOW2格式,QCOW2格式包括一個(gè)header頭文件,兩級(jí)尋址表L1 & L2和數(shù)據(jù)存儲(chǔ)空間數(shù)據(jù)。InCloud Sphere通過(guò)深度定制libvirt和QEMU組件,實(shí)現(xiàn)了對(duì)關(guān)鍵數(shù)據(jù)的SM4加密,應(yīng)用國(guó)密算法實(shí)現(xiàn)了對(duì)關(guān)鍵數(shù)據(jù)的保護(hù)。
QCOW2文件保護(hù)
2018年4月,浪潮發(fā)布了全新的基于KVM的InCloud Sphere企業(yè)版,在虛擬機(jī)管理、監(jiān)控告警、資源調(diào)度、業(yè)務(wù)安全等方面進(jìn)行了全面升級(jí),通過(guò)了斷電斷網(wǎng)(虛擬機(jī)遷移、克隆等業(yè)務(wù)過(guò)程中)多種突發(fā)情況等308項(xiàng)測(cè)試,憑借在安全方面的卓越表現(xiàn),并通過(guò)中國(guó)信息安全測(cè)評(píng)中心權(quán)威機(jī)構(gòu)安全測(cè)評(píng),成為名副其實(shí)的”安全擔(dān)當(dāng)”。
中國(guó)信息安全測(cè)評(píng)中心證書(shū)
作為浪潮云海OS的核心組件,定位于云計(jì)算基礎(chǔ)平臺(tái),InCloud Sphere將在安全加固、穩(wěn)定可靠、開(kāi)放生態(tài)三大核心競(jìng)爭(zhēng)點(diǎn)上持續(xù)發(fā)力,為云數(shù)據(jù)中心構(gòu)筑穩(wěn)固的基石。