本文刊登於《網信軍民融合》雜誌2019年12月刊
【編者按】大力提高信息安全保障能力,是我國信息化發展的重要基礎。本文分析了服務器虛擬化操作系統的優勢及面臨的安全問題,重點介紹了基於KVM內核的國產服務器虛擬化操作系統的安全功能及應用實踐,為實現服務器虛擬化操作系統的國產自主安全可控提供支撐。
國產服務器虛擬化操作系統的應用與實踐
中國航天系統科學與工程研究院 張玉賀 劉京 宋智英中國航天科技集團有限公司 李陸 續煥超
近年來,隨著國際信息安全形式變化,信息安全成為各個國家關注的重點。使用信息技術作為手段,對國家基礎設施、人民群眾財產安全造成損害的案件屢屢發生。操作系統覆蓋領域非常廣泛,本文介紹的是服務器虛擬化操作系統。現主流的服務器虛擬化操作系統為VMware、Citrix以及Microsoft,均為國外服務器虛擬化操作系統。使用非國產的服務器虛擬化操作系統,導致政府、金融、國防信息系統、軍工保密單位信息系統存在安全隱患。國家保密局明確提出在涉密信息系統中使用服務器虛擬化操作系統的相應管理辦法及技術要求,國外服務器虛擬化操作系統並不能滿足涉密信息系統建設的安全要求,必須採用國產自主安全可控且獲得相關保密資質的服務器虛擬化操作系統。
一、服務器虛擬化操作系統的優勢
服務器虛擬化操作系統是一種資源管理技術,是將服務器的各種實體資源,如CPU、網絡、內存及存儲等,予以抽象轉換後呈現出來,打破實體結構間不可切割的障礙。在實際生產環境中,服務器虛擬化操作系統在信息化系統建設中的優勢主要體現在以下幾個方面:
(一)提高硬件資源使用效率
安裝部署服務器虛擬化操作系統主要用來解決高性能物理硬件產能過剩和老舊硬件產能過低的重組重用,透明化底層物理硬件,從而最大化的利用物理硬件。通過服務器虛擬化操作系統可以虛擬出新的虛擬機,新虛擬機不受現有資源架構的限制,可安裝其他操作系統處理相應業務。例如:輕量級的服務不適合佔用整臺服務器:比如域控制器、輔域控制器、DNS服務器等,這些服務要求穩定持久,但資源佔用並不大。
通過部署服務器虛擬化操作系統就可以大大提高服務器的使用效率,減少服務器數量,降低購買服務器的投資,降低服務器運行能耗,降低製冷費用,節省機房空間等。
(二)避免應用或服務直接的軟件衝突
有些應用系統、辦公軟件等由於特殊原因,不能裝在同一物理服務器中,可以部署服務器虛擬化操作系統虛擬出新虛擬機分開安裝應用系統、辦公軟件等,有效的避免各應用系統、辦公軟件之間的衝突。
(三)提高穩定性
部署服務器虛擬化操作系統可以實現物理服務器的負載均衡、虛擬機的動態遷移、故障自動隔離等功能(至少需要物理服務器2臺),減少物理服務器及虛擬機出現故障,業務中斷的情況。
(四)便於管理,降低管理成本
部署服務器虛擬化操作系統,可以使用服務器虛擬化管理平臺。在管理平臺上可以簡單快捷的對服務器進行操作,並通過可視化界面查看物理服務器資源使用情況等。便於管理員操作,有效提高運維效率,降低信息化日常運維成本。
二、服務器虛擬化操作系統面臨的安全問題
雖然在信息系統建設中服務器虛擬化操作系統有著無可替代的優勢,但它同樣也伴隨著一些嚴重的安全威脅,主要的安全問題體現在以下幾個方面:
(一)虛擬機跳躍
同一宿主機中的虛擬機可以通過獲取權限的方式進行攻擊。例如:虛擬機1和虛擬機2部署在同一臺宿主機上,虛擬機1上的攻擊者通過獲取虛擬機2的IP地址等信息或通過獲得宿主機本身的訪問權限接入到虛擬機2。攻擊者可以通過操縱流量攻擊或改變虛擬機2的配置文件等,對虛擬機2進行攻擊。
(二)虛擬機逃逸
攻擊者通過獲得虛擬化層(Hypervisor)的訪問權限,從而對其他虛擬機進行攻擊。若一個攻擊者接入的主機運行多個虛擬機,它可以關閉Hypervisor,最終導致這些虛擬機關閉。
(三)遠程管理缺陷
虛擬化層(Hypervisor)通常由管理平臺來為管理員管理虛擬機。控制檯可能會引起一些新的缺陷,例如:跨站腳本攻擊、SQL入侵、Rootkit攻擊等。
(四)拒絕服務缺陷
在虛擬化環境下,資源(如CPU、內存、硬盤和網絡)由虛擬機和宿主機一起共享。因此,DDoS攻擊可能會加到虛擬機上從而獲取宿主機上所有的資源,因為沒有可用資源,從而造成系統將會拒絕來自客戶的所有請求。
隨著國產服務器虛擬化操作系統的不斷研究與突破,上述安全問題可以通過不同的技術途徑得到有效地解決。
三、國產服務器虛擬化操作系統安全功能與應用實踐
近幾年,國產服務器虛擬化操作系統日趨完善,可以與VMware、Citrix等國外虛擬化廠商相媲美。他們不僅能夠實現虛擬化技術應有的功能,並且能夠滿足軍工保密單位信息系統建設的保密要求。因此在信息系統建設或改造中,利用國產服務器虛擬化操作系統進行信息系統基礎建設已成大勢所趨。
本文主要介紹的國產服務器虛擬化操作系統是航天恆星科技有限公司自主研發的ACloudAge KS服務器虛擬化操作系統V2.5(以下簡稱“KS系統”)。
(一)國產服務器虛擬化操作系統的安全功能分析
KS系統環境由兩部分組成:主機VS和管理端VMS平臺。
主機VS是軟件環境的重要單元組件,是VMS平臺的重要功能的實現者,是虛擬化運行的載體。它的主要作用是響應並執行通過VMS操作所傳送的命令,實現虛擬機硬件設備的模擬、共享存儲管理、I/O管理資源、虛擬機的監控等功能。
管理端VMS平臺主要用於管理主機(VS)及其上的虛擬機,功能是實現虛擬機的創建、克隆、快照等管理、數據中心和集群的管理、共享存儲的添加刪除、虛擬機在線遷移、虛擬機高可用HA(High Availability)、負載均衡、用戶權限管理、電源管理等功能。該平臺是由一個或多個主機組成。這些系統和它所有組件都是通過一個集中的管理系統進行管理。該平臺允許管理員從一個單一的強大的接口去查看和管理所有的系統組件、機器和鏡像。管理系統的GUI提供了廣泛的功能特性,包括強大的搜索功能、資源管理、實時遷移和配置功能。
KS系統包含的安全功能主要是以下幾個方面:
1、啟動完整性保護。系統啟動時對管理平臺程序進行完整性校驗,程序被篡改則拒絕啟動;管理平臺對每個宿主機的關鍵組件進行週期性的校驗,組件被篡改後主機將被置為維護模式,無法使用;虛擬機關機時記錄摘要值,開機前校驗,數據篡改後虛擬機無法啟動。
2、身份鑑別。系統整個生命週期內,用戶標識唯一;系統採用用戶名、密碼和USB-Key密碼,實現雙因子身份認證;系統對用戶身份鑑別信息均採用HTTPS方式,傳輸通道採用SSL加密傳輸;用戶密碼進行加密存儲於配置文件中;系統具備鑑別失敗處理措施,默認連續失敗3次即鎖定賬戶,安全保密員可自定義失敗的次數;根據時間、MAC、IP地址等因素限制管理員登錄。
3、三員管理。KS系統設置系統管理員、安全保密員、安全審計員角色,實現系統管理的三員權限劃分。系統管理員能夠在其權限範圍內對系統進行運維操作;安全保密員能夠進行權限的管理,能夠為系統管理員和安全審計員分配權限和設置安全策略,以及為虛擬機設置密級標識;安全審計員能夠進行日誌的審計工作,審計事件發生的時間、類型、結果等信息。
4、虛擬機隔離與訪問控制。Hypervisor統一管理物理資源,保證每個虛擬機都能獲得相對獨立的物理資源;並能屏蔽虛擬資源故障,某個虛擬機崩潰後不影響Hypervisor及其他虛擬機。
隔離訪問控制示意圖
5、數據保護。數據保護主要包含:虛擬機關機時記錄虛擬磁盤摘要值,開機前校驗摘要值,數據篡改後虛擬機無法啟動;使用硬件加密卡對虛擬磁盤進行透明加解密,使用加密隧道遷移虛擬機;虛擬磁盤刪除時對磁盤重複寫0進行數據擦除;具備虛擬機快照、模板、導入導出等備份與恢復機制;採用PostgreSQL9.6對數據庫數據進行透明加密,防止數據被非法訪問;終端與管理平臺之間所有數據採用S SL加密,防止數據在傳輸過程被竊取。
6、磁盤加解密。採用一機一密方式,磁盤與虛擬機綁定,不同虛擬機採用不同密鑰對磁盤進行加密;採用國家密碼管理局檢測合格的密鑰管理系統和密碼卡,保證密鑰管理和數據加密的安全性和可靠性;即使是管理員賬戶也無法獲取虛擬機磁盤密鑰,密鑰用密碼卡硬件保護;採用SM4對稱密碼算法進行磁盤數據加解密,算法通過硬件程序實現,密鑰長度128位。
通過以上安全功能的加固,整體KS系統框架如圖所示。
KS系統架構圖
(二)國產服務器虛擬化操作系統的應用實踐
目前,航天科技集團有限公司總部(以下簡稱“航天科技集團總部”)涉密信息系統中部署 VMware 虛擬化產品,在系統測評工作中被提及為整改項,因此需要將在原有服務器虛擬化操作系統上的虛擬機遷移至國家保密測評中心檢測合格的國產服務器虛擬化操作系統上(即“KS系統”)。KS系統不僅能夠滿足服務器虛擬化操作系統的基本功能,例如:服務器的安裝與升級,虛擬機的精簡置備,虛擬機的創建、刪除、啟動、關閉等,用戶管理,高可用和負載均衡,網絡管理,並且還能滿足國家保密科技測評中心針對於服務器虛擬化操作系統安全功能的要求,例如:身份鑑別、密級標識、完整性校驗、存儲安全、網絡安全等。
航天科技集團總部服務器虛擬化改造項目主要的工作是實現跨操作系統虛擬機的遷移轉換,利用合適的遷移工具能夠將原有服務器虛擬化操作系統上的虛擬機平穩、安全、有效地遷移至國產服務器虛擬化操作系統上,不僅需要保證虛擬機遷移過程中的數據不丟失,也需要保證虛擬機上的應用系統能夠正常啟動及訪問。
此次遷移工作中需要對現有VMware服務器虛擬化操作系統中虛擬機進行遷移,考慮到遷移過程可能會對系統和數據帶來影響,需要在遷移實施前對原有的虛擬機數據做好備份,備份完成後,通過遷移工具進行虛擬機跨操作系統的遷移工作。
到目前為止,航天科技集團總部局域網內原VMware服務器虛擬化操作系統上的所有虛擬機已全部遷移至國產化服務器虛擬化操作系統KS上,共部署服務器虛擬化操作系統15臺,共遷移虛擬機59臺。在滿足相關安全保密要求的前提下,KS系統已經持續穩定運行了大致兩個月的時間,服務器虛擬化操作系統上的虛擬機安全可靠地運行,保證後續服務器虛擬化操作系統相關業務的擴展和延伸。
四、總結
通過航天科技集團總部服務器虛擬化改造項目,KS系統解決方案構建了一套基於國產服務器虛擬化操作系統的涉密信息系統安全保密防護體系,形成了一套行之有效地服務器虛擬化操作系統建設和管理經驗,解決了一系列國產服務器虛擬化操作系統的常見安全問題。
(一)形成了國產服務器虛擬化操作系統在涉密信息系統的典型應用模式
航天科技集團總部在長期實踐服務器虛擬化操作系統的基礎上,根據國家保密標準進行了全面的對標分析和方案驗證,通過物理隔離、監控審計、訪問控制、加密與備份等核心機制,實現從物理層、網絡層、應用層到數據層全方位的安全防護,同時完善可信檢測、密鑰管理、終端管理、機房管理、分權管理等運行維護管理體系。在兼顧航天業務特點的同時,全面支持各類工程化應用,從可信、可控、可管、可用四個方面進行了充分驗證,有效提升了單位的保密管理能力和信息化水平,構建了國產服務器虛擬化操作系統應用於軍工涉密信息系統的典型應用模式。
(二)積累了一套行之有效的管理經驗和建設經驗
航天科技集團總部深入研究相關國家保密標準,結合運行管理實際,制訂了一系列虛擬化涉密信息系統的管理和運維規範,積累了一套行之有效的建設和項目管理經驗,歸納、總結出了基於服務器虛擬化操作系統的涉密信息系統典型網絡結構。
(三)解決了一系列國產服務器虛擬化操作系統的常見安全問題
早期國產服務器虛擬化操作系統不能和傳統安全軟件兼容,導致虛擬化涉密信息系統部分安全防護手段缺失。隨著國產服務器虛擬化操作系統的不斷深入研究,自主研發的國產服務器虛擬化操作系統KS已經解決了兼容性問題,同時還攻克了雙因子認證、數據保護以及動態環境下的虛擬機隔離等服務器虛擬化操作系統安全技術難關,有效解決了國產服務器虛擬化操作系統常見的安全問題。
閱讀更多 網信軍民融合雜誌 的文章
