虛擬化軟件棧攻擊面和攻擊源
(朱民�、涂碧波、孟丹�,中國(guó)科學(xué)院����,虛擬化軟件棧安全研究����,計(jì)算機(jī)學(xué)報(bào),2017年40卷第2期)
復(fù)雜多樣的安全威脅�,必然需要多維度的防護(hù)體系來應(yīng)對(duì)。作為浪潮云海OS的基礎(chǔ)平臺(tái)��,服務(wù)器虛擬化系統(tǒng)InCloud Sphere在數(shù)據(jù)保護(hù)和防御機(jī)制方面���,向來是全副武裝�����、有的放矢的:
InCloud Sphere完整性校驗(yàn):讓數(shù)據(jù)威脅無所遁形
完整性校驗(yàn)的目的是通過探測(cè)或阻止威脅����,保護(hù)可能遭受不同方式危害的數(shù)據(jù)的完整性和數(shù)據(jù)相關(guān)屬性的完整性��。在虛擬化系統(tǒng)中�,完整性主要包括系統(tǒng)本身的完整性,以及運(yùn)行在虛擬化系統(tǒng)之上的虛擬機(jī)文件的完整性�。
InCloud Sphere在系統(tǒng)完整性以及虛擬機(jī)完整性方面的執(zhí)行和控制機(jī)制有其獨(dú)到的設(shè)計(jì)思路:首先,在主機(jī)初始化時(shí)�,系統(tǒng)根據(jù)配置文件生成被校驗(yàn)文件的基準(zhǔn)數(shù)據(jù)庫,基準(zhǔn)數(shù)據(jù)庫中加密保存各文件的唯一校驗(yàn)值及文件屬性���。然后�,系統(tǒng)通過設(shè)定時(shí)間檢測(cè)目標(biāo)文件的校驗(yàn)值��,與數(shù)據(jù)庫中初始校驗(yàn)值對(duì)比���,即可發(fā)現(xiàn)被更改文件���。
系統(tǒng)完整性機(jī)制
另外���,在對(duì)虛擬機(jī)的完整性保護(hù)方面,系統(tǒng)支持在虛擬機(jī)開關(guān)機(jī)時(shí)分別生成保護(hù)對(duì)象的特征值���,保護(hù)對(duì)象包括磁盤���、快照以及虛擬機(jī)配置文件。
InCloud Sphere雙因子用戶鑒別機(jī)制:”Double Check”更穩(wěn)妥
InCloud Sphere擁有結(jié)合USB-KEY和PIN碼的雙因子鑒別機(jī)制��。用戶登錄時(shí)需要插入U(xiǎn)SB-KEY��,輸入用戶名����、密碼以及PIN碼,通過瀏覽器插件訪問USB-KEY中的PIN碼以及ID����,由前臺(tái)比對(duì)用戶輸入的PIN碼與USB-KEY提供的是否一致。若一致�����,則將USB-KEY ID傳輸給后臺(tái)�,后臺(tái)會(huì)比對(duì)數(shù)據(jù)庫記錄的ID與USB-KEY提供的是否一致��,得到肯定答案后才允許訪問系統(tǒng)。
在鑒別信息的傳輸方面���,管理入口采用加密通訊�����,對(duì)鑒別信息則采用二次加密�;在鑒別信息的存儲(chǔ)方面���,InCloud Sphere采用雙重加密機(jī)制�;同時(shí)����,InCloud Sphere具備從時(shí)間、IP�����、MAC三方面對(duì)管理員登錄進(jìn)行限制的功能��,全面加強(qiáng)對(duì)登錄路徑的安全防護(hù)��。
InCloud Sphere強(qiáng)制訪問控制技術(shù):為重要數(shù)據(jù)打造”金鐘罩”
InCloud Sphere具備基于標(biāo)記的強(qiáng)制訪問控制技術(shù)。安全控制器是InCloud Sphere的強(qiáng)制訪問控制子系統(tǒng)��,用于驗(yàn)證虛擬機(jī)及宿主機(jī)對(duì)系統(tǒng)重要資源訪問的合法性�,并記錄其訪問行為,防止重要數(shù)據(jù)被惡意破壞或非法訪問����,可有效增強(qiáng)虛擬化軟件的安全性。其主要安全特性包括:
· 實(shí)施”三權(quán)分立”并增強(qiáng)身份認(rèn)證
· 基于安全標(biāo)記的資源強(qiáng)制訪問控制���,實(shí)現(xiàn)各類角色的最小權(quán)限
· 重要進(jìn)程及文件保護(hù),防止非法中止和訪問重要文件
· 完善的安全日志審計(jì)記錄及管理
安全控制器
基于安全控制器�,InCloud Sphere實(shí)現(xiàn)了內(nèi)核級(jí)的虛擬化主機(jī)強(qiáng)制訪問控制。安全控制器能夠旁路所有的文件訪問操作�����,從驅(qū)動(dòng)層來達(dá)到為主客體進(jìn)行安全標(biāo)識(shí)判斷的目的�����,保障內(nèi)核安全。
內(nèi)核級(jí)的虛擬化主機(jī)強(qiáng)制訪問控制
國(guó)密SM4:數(shù)據(jù)加密保護(hù)���,”算法”是關(guān)鍵
InCloud Sphere擁有基于國(guó)密SM4的關(guān)鍵數(shù)據(jù)加密保護(hù)策略���。以虛擬磁盤文件保護(hù)為例��,InCloud Sphere將虛擬磁盤文件保存為QCOW2格式���,QCOW2格式包括一個(gè)header頭文件��,兩級(jí)尋址表L1 & L2和數(shù)據(jù)存儲(chǔ)空間數(shù)據(jù)���。InCloud Sphere通過深度定制libvirt和QEMU組件,實(shí)現(xiàn)了對(duì)關(guān)鍵數(shù)據(jù)的SM4加密����,應(yīng)用國(guó)密算法實(shí)現(xiàn)了對(duì)關(guān)鍵數(shù)據(jù)的保護(hù)。
QCOW2文件保護(hù)
2018年4月����,浪潮發(fā)布了全新的基于KVM的InCloud Sphere企業(yè)版,在虛擬機(jī)管理����、監(jiān)控告警����、資源調(diào)度�����、業(yè)務(wù)安全等方面進(jìn)行了全面升級(jí)����,通過了斷電斷網(wǎng)(虛擬機(jī)遷移、克隆等業(yè)務(wù)過程中)多種突發(fā)情況等308項(xiàng)測(cè)試����,憑借在安全方面的卓越表現(xiàn),并通過中國(guó)信息安全測(cè)評(píng)中心權(quán)威機(jī)構(gòu)安全測(cè)評(píng)�����,成為名副其實(shí)的”安全擔(dān)當(dāng)”��。
中國(guó)信息安全測(cè)評(píng)中心證書
作為浪潮云海OS的核心組件����,定位于云計(jì)算基礎(chǔ)平臺(tái)�,InCloud Sphere將在安全加固�、穩(wěn)定可靠、開放生態(tài)三大核心競(jìng)爭(zhēng)點(diǎn)上持續(xù)發(fā)力�,為云數(shù)據(jù)中心構(gòu)筑穩(wěn)固的基石。
