Xen虚拟机技术的安全问题

     摘要:针对Xen平台下的安全问题进行详细的讲解。分析Xen是怎样解决虚拟化安全问题的。并认识Xen未解决的问题，从而对云计算虚拟化的安全问题有更深一步的认识。

　　Xen概述及其与VMware的比较

　　Xen是一种基于虚拟机炼控器Xen Hypervisor的虚拟机体系结构。由剑桥大学开发。Xen Hypervisor作为虚拟机临控器直接运行在硬件上，提供虚拟化环境。同时，在Xen Hypervisor上运行一个具有管理接口的虚拟机（Domain 0）作为Xen Hypervisor的扩展。管理Xen hypervisor和其他虚拟机实例（Domain U）。

　　跟Xen比较起来。VMware是完全仿真计算机，理论上操作系统可不需更改就直接存虚拟机器上执行，但是VMware不够灵活。通常Xen采用半虚拟化技术，虽然操作系统必须进行显式地修改（“移植”）以在Xen上运行，但是提供给用户应用的兼容性强。这使得Xen无需特殊硬件支持，就能达到高性能的虚拟化。用Linux自带的网络服务测试工具测试VMware和Xen的虚拟网络性能时，随着请求文件长度的变大。每秒钟处理的请求数均降低。Xen的虚拟网络性能与真实主机接近，而比VMware虚拟网络的性能好。目前，Intel等公司的努力使Xen已经支持完全虚拟化。更重要的是。Xen是开源的，因此选用Xen搭建云计算环境是一个不错的选择。

　　Xen已解决的安全问题

　　（1）Xen的访问控制

　　Xen通过自己的访问控制模块ACM。能有效解决诸多访问不当造成的安全问题。

　　ACM实现了两种策略机制，分别是中国墙（Chinesewall）策略和简单类型强制（simple type enforcement.STE）策略。其中，中围墙策略定义了一组中国墙类型，并因此定义冲突集，然后根据类型定义标签。该策略根据标签来进行判断，若两个虚拟机的标签处在同一个冲突集中。则不能同时在相同的系统上运行。因此该机制主要用于虚拟机之间的信息流控制。STE策略亦定义了一组类型（该类型针对的是域所拥有的资源），然后根据类型定义标签，要求当上体拥有客体标签时。主体才能访问客体。以此来控制资源共享。除此以外，Xen的Domain 0用户可以根据自己的需求制定安全策略史档。当虚拟机请求与别的虚拟机进行通信或访问资源时。ACM模块能根据用户定义的策略判断。以此达到对虚拟机的资源进行控制以及对虚拟机之间的信息流进行控制的目的。

　　（2）Xen的可信计算

　　可信计算技术是一种新兴的信息安全手段，其安全措施是通过构建信任链来防御攻击。通过传递机制，在系统启动时可将B10S中最先启动的代码BIOS boot loader作为整个信任链的起点，依次逐级向上传递系统控制权并构建信任链，直到应用层。可信计算可以有效弥补传统安全防议无法提供的有关通信终点节点完整性与可信性差的问题。

　　可信计算平台是能够提供可信计算服务的计算机软硬件实体。它能够提供系统的可靠性、可用性以及信息和行为的安全性。因此，建立可信平台是应对云计算安全的一种重要手段。而可信平台模块（TPM）是可信计算的基石。

　　TPM实际上是一个含有密码运算部件和存储部件的系统级芯片，是云计算平台重要的防篡改组件，这能有效保证平台的安全。相对于传统物理平台，可信平台在Xen等虚拟化平台上实现TPM，有一定的优越性。平时计算机装了太多软件，这使得构建信任链变得很复杂。相对而言，使用虚拟机（VM）配合虚拟可信平台模块（vTPM）组成虚拟终端可信平台要方便得多例。这是因为虚拟终端可信平台通常只为处理某种特定任务而产生，可由用户自定义其所需功能，所以功能相对简单，更容易构建信任链。此平台可以来处理需要安全保障的在线服务或敏感数据的访问。

　　现在，Xen 3.0以上的版本都能支持vTPM的实现。vTPM能实现虚拟计算系统中虚拟机的安全可靠。vTPM可以使平台上的每个虚拟机利用其功能。让每个需要TPM功能的虚拟机都感觉是在访问自己私有的TPM一样。在平台搭建中。可以创建多个虚拟TPM，这样每一个如实地效仿硬件TPM的功能，可有效维护各个虚拟机的安全。从而使Xen搭建的云计算平台处于较稳定状态。

　　Xen的现有问题及解决策略

　　目前的Xen的安全性还有较多的安全问题。比如，Domain 0是一个安全瓶颈，其功能较其他域强，所以容易被敌手发起蠕虫、病毒、DoS等各种攻击，如果Domain 0瘫痪或者被敌手攻破，那么将破坏整个虚拟机系统。Xen的隐通道问题没有解决。在Xen上就不可能运行高安全等级的操作系统。虚拟机共享同一套硬件设备，一些网络安全协议可能更加容易遭到恶意破坏和恶意实施。Xen提供了方便的保存和恢复机制。使得操作系统数据的回滚和重放非常容易，但这些将影响操作本身的密码特性。除此之外，在Xen中，由于安全机制做在Guest OS中，所以不能保证VMM的安全。Xen只能限制页表一级的内存I/O地址空间。而中断和I/0端口地址空间的粒度要比页表小得多。如果不同虚拟机中的驱动不幸被分配到同一个页表空间，那么它们就可以访问对方的内存地址空间，造成安全问题。

　　针对Domain 0的问题。可削弱它的功能。将其功能分解到其他域。这将会适当减少Domain 0的瓶颈作用。对于敏感数据要进行多次擦除防止再恢复。另外，Xen的ACM模块不能完全解决设备隔离和资源隔离问题，将Xen和LaGrande技术结合是一个不错的选择。LaGrande是lnfel将要实施的一种硬件技术，它是一组通用的硬件安全增强组件。用来防止敏感的信息被恶意软件攻击。其安全功能将被整合到处理器和芯片集中。能有效增强设备隔离，实现I/O保护、内存越界保护、键盘、显示的隔离保护等。

　　业界对虚拟化安全的努力

　　针对传统安全防火墙技术不能有效监控虚拟机流量的问题，mtor Networks公司使用VMware的API来开发虚拟安全分析器，以检测虚拟交换机流量——在虚拟层之上的网络层流量。该公司也开发了虚拟网络防火墙，该防火墙基于虚拟机管理器，可认证有状态的虚拟防火墙，检查所有通过虚拟机的数据分组，组织所有未经批准的连接和允许对数据分组进行更深层次的检查，确保了虚拟机间通信的安全。针对虚拟环境的安全问题，目前Resolution Enterprise公司提出要对虚拟化环境采取深层防护战略。

　　除此以外。开源Xen管理程序社区Xen.org已经开始实施Xen云平台（XCP）计划。目的是在云环境中利用领先的Xen管理程序。为未来的云服务提供安全的、经过验证的开源基础设施乎台。目前。已经发布了XCPl.0及其修正版，并将慢慢发布更加稳定的版本。

        Citrix

Citrix系统公司是全球领先的应用服务器软件方案供应商。Citrix凭借其卓越的技术方案和业务成就，赢得了业界与用户的广泛赞誉。收购XenSource之后，Ctrix在虚拟化领域的能力进一步提高，具有了足够的技术储备应对云计算挑战。Citrix与其它云端服务供货商的最大不同在于，提供端对端的产品服务：包含Dazzle、XenDesktop、XenApp、NetScaler、XenServer与即将推出的XenClient，以及透过遵循开放标准等方式，与储存设备、服务器业者结盟、推广云端服务产品。Citrix相关产品>>