虛擬化軟件棧攻擊面和攻擊源
(朱民��、涂碧波�����、孟丹�����,中國科學(xué)院��,虛擬化軟件棧安全研究��,計(jì)算機(jī)學(xué)報(bào)�����,2017年40卷第2期)
復(fù)雜多樣的安全威脅����,必然需要多維度的防護(hù)體系來應(yīng)對。作為浪潮云海OS的基礎(chǔ)平臺��,服務(wù)器虛擬化系統(tǒng)InCloud Sphere在數(shù)據(jù)保護(hù)和防御機(jī)制方面�,向來是全副武裝、有的放矢的:
InCloud Sphere完整性校驗(yàn):讓數(shù)據(jù)威脅無所遁形
完整性校驗(yàn)的目的是通過探測或阻止威脅�,保護(hù)可能遭受不同方式危害的數(shù)據(jù)的完整性和數(shù)據(jù)相關(guān)屬性的完整性。在虛擬化系統(tǒng)中����,完整性主要包括系統(tǒng)本身的完整性,以及運(yùn)行在虛擬化系統(tǒng)之上的虛擬機(jī)文件的完整性����。
InCloud Sphere在系統(tǒng)完整性以及虛擬機(jī)完整性方面的執(zhí)行和控制機(jī)制有其獨(dú)到的設(shè)計(jì)思路:首先,在主機(jī)初始化時(shí)�,系統(tǒng)根據(jù)配置文件生成被校驗(yàn)文件的基準(zhǔn)數(shù)據(jù)庫,基準(zhǔn)數(shù)據(jù)庫中加密保存各文件的唯一校驗(yàn)值及文件屬性��。然后����,系統(tǒng)通過設(shè)定時(shí)間檢測目標(biāo)文件的校驗(yàn)值,與數(shù)據(jù)庫中初始校驗(yàn)值對比�����,即可發(fā)現(xiàn)被更改文件����。
系統(tǒng)完整性機(jī)制
另外,在對虛擬機(jī)的完整性保護(hù)方面�����,系統(tǒng)支持在虛擬機(jī)開關(guān)機(jī)時(shí)分別生成保護(hù)對象的特征值�,保護(hù)對象包括磁盤、快照以及虛擬機(jī)配置文件���。
InCloud Sphere雙因子用戶鑒別機(jī)制:”Double Check”更穩(wěn)妥
InCloud Sphere擁有結(jié)合USB-KEY和PIN碼的雙因子鑒別機(jī)制�����。用戶登錄時(shí)需要插入U(xiǎn)SB-KEY�,輸入用戶名����、密碼以及PIN碼����,通過瀏覽器插件訪問USB-KEY中的PIN碼以及ID����,由前臺比對用戶輸入的PIN碼與USB-KEY提供的是否一致。若一致���,則將USB-KEY ID傳輸給后臺���,后臺會比對數(shù)據(jù)庫記錄的ID與USB-KEY提供的是否一致,得到肯定答案后才允許訪問系統(tǒng)����。
在鑒別信息的傳輸方面,管理入口采用加密通訊���,對鑒別信息則采用二次加密��;在鑒別信息的存儲方面��,InCloud Sphere采用雙重加密機(jī)制�;同時(shí),InCloud Sphere具備從時(shí)間����、IP��、MAC三方面對管理員登錄進(jìn)行限制的功能�����,全面加強(qiáng)對登錄路徑的安全防護(hù)���。
InCloud Sphere強(qiáng)制訪問控制技術(shù):為重要數(shù)據(jù)打造”金鐘罩”
InCloud Sphere具備基于標(biāo)記的強(qiáng)制訪問控制技術(shù)����。安全控制器是InCloud Sphere的強(qiáng)制訪問控制子系統(tǒng)�,用于驗(yàn)證虛擬機(jī)及宿主機(jī)對系統(tǒng)重要資源訪問的合法性,并記錄其訪問行為����,防止重要數(shù)據(jù)被惡意破壞或非法訪問,可有效增強(qiáng)虛擬化軟件的安全性�。其主要安全特性包括:
· 實(shí)施”三權(quán)分立”并增強(qiáng)身份認(rèn)證
· 基于安全標(biāo)記的資源強(qiáng)制訪問控制,實(shí)現(xiàn)各類角色的最小權(quán)限
· 重要進(jìn)程及文件保護(hù)�,防止非法中止和訪問重要文件
· 完善的安全日志審計(jì)記錄及管理
安全控制器
基于安全控制器���,InCloud Sphere實(shí)現(xiàn)了內(nèi)核級的虛擬化主機(jī)強(qiáng)制訪問控制。安全控制器能夠旁路所有的文件訪問操作���,從驅(qū)動(dòng)層來達(dá)到為主客體進(jìn)行安全標(biāo)識判斷的目的�,保障內(nèi)核安全�����。
內(nèi)核級的虛擬化主機(jī)強(qiáng)制訪問控制
國密SM4:數(shù)據(jù)加密保護(hù)���,”算法”是關(guān)鍵
InCloud Sphere擁有基于國密SM4的關(guān)鍵數(shù)據(jù)加密保護(hù)策略����。以虛擬磁盤文件保護(hù)為例�,InCloud Sphere將虛擬磁盤文件保存為QCOW2格式,QCOW2格式包括一個(gè)header頭文件�,兩級尋址表L1 & L2和數(shù)據(jù)存儲空間數(shù)據(jù)。InCloud Sphere通過深度定制libvirt和QEMU組件�����,實(shí)現(xiàn)了對關(guān)鍵數(shù)據(jù)的SM4加密���,應(yīng)用國密算法實(shí)現(xiàn)了對關(guān)鍵數(shù)據(jù)的保護(hù)����。
QCOW2文件保護(hù)
2018年4月,浪潮發(fā)布了全新的基于KVM的InCloud Sphere企業(yè)版���,在虛擬機(jī)管理�����、監(jiān)控告警、資源調(diào)度����、業(yè)務(wù)安全等方面進(jìn)行了全面升級,通過了斷電斷網(wǎng)(虛擬機(jī)遷移�����、克隆等業(yè)務(wù)過程中)多種突發(fā)情況等308項(xiàng)測試�����,憑借在安全方面的卓越表現(xiàn)���,并通過中國信息安全測評中心權(quán)威機(jī)構(gòu)安全測評���,成為名副其實(shí)的”安全擔(dān)當(dāng)”�����。
中國信息安全測評中心證書
作為浪潮云海OS的核心組件��,定位于云計(jì)算基礎(chǔ)平臺����,InCloud Sphere將在安全加固����、穩(wěn)定可靠、開放生態(tài)三大核心競爭點(diǎn)上持續(xù)發(fā)力���,為云數(shù)據(jù)中心構(gòu)筑穩(wěn)固的基石���。
