資源描述:
《云計算虛擬化平臺安全分析》由會員上傳分享,免費在線閱讀��,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫�。
1、云計算虛擬化平臺安全分析時間:2013-04-11作者:來源:瀏覽次數(shù):263云計算的背景工^革命的發(fā)生使人類從手工業(yè)�、農(nóng)業(yè)社會開始邁入機器工業(yè)、信息化社會�����。第一�����、二次H��,以個人計算機和互聯(lián)網(wǎng)的廣泛應(yīng)用為標志���。而今我們又將經(jīng)歷第三次IT革命云計算���,這將是一場顛覆性的革命。有人說云計算是技術(shù)革命的產(chǎn)物�,也有人說云計算只不過是已有技術(shù)的最新包裝����,是設(shè)備廠商和軟件廠商新瓶裝舊酒的一種商業(yè)策略�����。但我們認為云計算是社會經(jīng)濟����、技術(shù)進步�、商業(yè)模式轉(zhuǎn)換的共同作用結(jié)果。云計算的典型特征是將IT的各類資源進行池化��,并以服務(wù)的形式提供或交付給用戶����。當然要實現(xiàn)資源的池化
2、����,就不得不提到虛擬化技術(shù),虛擬化技術(shù)實現(xiàn)了物理資源的邏輯抽象和統(tǒng)一表示���。通過虛擬化技術(shù)可以提高資源的利用率�����,并能根據(jù)用戶業(yè)務(wù)需求的變化���,快速�����、靈活地進行自由部署��。同時由于當前各行各業(yè)在云計算建設(shè)過程大多處于初級階段��,相對來講三大運營商和有實力的企業(yè)單位�,經(jīng)過幾年的建設(shè)已經(jīng)初步建成了基礎(chǔ)設(shè)施即服務(wù)(IaaS)云�,更多的單位已經(jīng)開展實驗環(huán)境的研究,逐步將非核心的業(yè)務(wù)移植到云平臺上�。縱觀國內(nèi)的云計算建設(shè)情況絕大部分是以IaaS為主�,當然要建設(shè)一個成熟的IaaS云計算平臺,必須實現(xiàn)服務(wù)器虛擬化��、網(wǎng)絡(luò)虛擬化、存儲虛擬化三大關(guān)鍵技術(shù)。這其中由于虛擬化技術(shù)的引
3����、入���,打破了傳統(tǒng)的網(wǎng)絡(luò)邊界的劃分方式����,使得傳統(tǒng)的安全技術(shù)手段無法做到有效的安全防護,因此許多人認為安全問題是云計算技術(shù)發(fā)展推廣的最大瓶頸�。虛擬化帶來的挑戰(zhàn)虛擬化是個寬泛的技術(shù)術(shù)語,是指將各類資源�,如計算資源等加以抽象,并對具體的技術(shù)特性加以封裝隱藏,對外提供統(tǒng)一的邏輯接口���。而虛擬化是云計算的重要支撐技術(shù),可以說是虛擬化為我們帶來了"云"��,同時也是云計算區(qū)別于傳統(tǒng)計算模式的重要特點����。常見的虛擬化技術(shù)主要包括:網(wǎng)絡(luò)虛擬化、服務(wù)器虛擬化��、存儲虛擬化�����、應(yīng)用虛擬化、桌面虛擬化等�����。無論哪種虛擬化技術(shù)���,虛擬化的目的就是虛擬化出一個或多個租戶相互隔離的執(zhí)行環(huán)境�,用
4���、于運行操作系統(tǒng)及應(yīng)用或者進行數(shù)據(jù)通訊�����。而主機虛擬化是建設(shè)IaaS云平臺的核心���,通過虛擬化技術(shù)可將一臺物理主機虛擬成多臺虛擬機,每個虛擬機可運行不同的操作系統(tǒng)和應(yīng)用����,使得傳統(tǒng)物理設(shè)施的資源利用率得到明顯提高,還使得系統(tǒng)動態(tài)部署變得更加靈活��、便捷。然而�����,在虛擬化技術(shù)大規(guī)模應(yīng)用的結(jié)果����,由于同一物理機內(nèi)部的虛擬機之間進行數(shù)據(jù)交換時并不經(jīng)過傳統(tǒng)的網(wǎng)絡(luò)接入層交換機,直接導(dǎo)致許多傳統(tǒng)的安全防護手段失效���,無法對虛擬機之間的進行隔離控制���,他們之間的流量數(shù)據(jù)無法做到監(jiān)控和審計等問題。并且當前的傳統(tǒng)基于主機層面的安全防護手段�,無法適應(yīng)虛擬機環(huán)境。同時虛擬化的網(wǎng)絡(luò)結(jié)構(gòu)��,
5�����、使得傳統(tǒng)的分域防護變得難以實現(xiàn)�,虛擬化的服務(wù)提供模式�,使得對使用者身份、權(quán)限和行為的鑒別、控制與審計變得更加困難����。為了解決虛擬化的安全問題,天融信推出了虛擬化安全平臺TopVSP��,全面應(yīng)對虛擬化所帶來的安全挑戰(zhàn)����,為虛擬化環(huán)境提供靈活,高效���,全面的安全解決方案��。天融信的解決思路和方法設(shè)計思路既然傳統(tǒng)的安全防護措施無法有效的對虛擬機的安全進行防護��,特別是在網(wǎng)絡(luò)虛擬化后��,同一主機內(nèi)����,不同虛擬機之間的網(wǎng)絡(luò)訪問控制層面上的安全防護�����。同時又由于虛擬化軟件的引入,導(dǎo)致hypervisor層的安全顯得至關(guān)重要�����。天融信提出了TopVSP三層防御體系��,從網(wǎng)絡(luò)層面��,系
6����、統(tǒng)層面,管理層面三個層面對虛擬化環(huán)境進行安全保護����。TopVSPMM系統(tǒng)瀾洞防御鏑像加密VM間DoS腦TopVSP三層防御體系架構(gòu)圖網(wǎng)絡(luò)層面?虛擬機的網(wǎng)絡(luò)安全,對虛擬機之間以及虛擬機與外網(wǎng)的通信進行訪問控制�����、內(nèi)容過濾���、應(yīng)用代理、QOS�、DOS/DDOS防御���、入侵檢測、病毒查殺等���。?虛擬機的虛擬出口安全����,防止虛擬機修改MAC地址��、監(jiān)聽以及偽造包對其他虛擬機進行攻擊的行為�。?安全策略遷移,借助集中管理平臺����,可以實現(xiàn)安全策略跟隨虛擬機進行遷移,從而保證虛擬機即使遷移了能繼續(xù)受到保護�����。系統(tǒng)層面.保護虛擬化平臺的安全:在虛擬化環(huán)境下最重要的也是最需要保護的就
7���、是虛擬化平臺自身��,虛擬化平臺一旦被攻破���,那么所有虛擬機都將受到威脅�。所以虛擬化安全平臺針對虛擬化平臺自身系統(tǒng)進行保護�,控制虛擬化平臺對外開放的端口,對虛擬化平臺系統(tǒng)進行IDS,IPS,Ddos防御���。虛擬化安全平臺會針對不同的虛擬化平臺進行漏洞掃描��,最新漏洞跟蹤�����,漏洞補丁管理等功能����。?限制虛擬機允許訪問的系統(tǒng)資源:在虛擬化環(huán)境下所有虛擬機都集中在一起����,并且虛擬機的控制權(quán)是分配給客戶的,同時虛擬機的硬件是虛擬化平臺提供的����,一旦用戶利用虛擬化平臺的漏洞就有可能穿越虛擬機,從而獲得虛擬化平臺的其他資源����,而這些資源是不應(yīng)該被虛擬機訪問到的。虛擬化安全平臺針
8���、對不同的虛擬化平臺可以限制虛擬機資源的訪問�����,虛擬機的每個訪問請求都會經(jīng)過資源控制策略的檢測����,每個虛擬機只能訪問分配給它的資源��。.虛擬機鏡
