云计算虚拟机安全监控理论与实践

云计算安全涉及的范围比较广泛，在传统信息系统安全的基础上，虚拟层的安全是云计算环境的独特特征，本文重点在根据目前的一些理论和实践研究讨论识别虚拟层引入的安全风险，设计虚拟层安全风险的防御机制，并在具体的云计算平台环境中实现落地。

一、关于云计算虚拟机安全的理论分析与开源项目实现：

1、云计算的虚拟机涉及的相关功能模块，按照NIST-SP800-125A如下：

包含虚拟机执行环境，设备模拟接入控制，虚拟机的操作特权，虚拟机的生命周期管理，以及虚拟机容器的管理。

2、虚拟机安全风险分析，参考如下：

虚拟层安全主要设计三个层面，一个是对虚拟镜像安全的保障，虚拟镜像文件涉及到部署虚拟机的镜像文件，其安全性和可信性是首先考虑的问题，公有云环境中的镜像文件的管理和验证，是首先需要考虑的安全风险。

其次是虚拟机容器的安全，虚拟机逃逸攻击，客户机的病毒感染，虚拟机劫持，虚拟机管理工具的安全性工具都是需要考虑的安全风险。最后是虚拟机运行的安全问题，包括病毒感染，渗透攻击，以及虚拟机文件的攻击，对虚拟机的完整性和机密性攻击。

3、开源保障项目：

虚拟机镜像的安全保障，两个方法实现保障，通过镜像文件签名保障镜像文件的来源和完整性，通过镜像扫描软件实现安全性检测和保护，DMTF的OVF格式提出了数字签名机制实现镜像文件完整性的保障机制和方法。darkvuf实现了虚拟机黑盒安全分析，实现安全检测。

虚拟机容器安全通过对虚拟机的加固实现，针对qemu与kvm的svirt通过libvirt支持selinux实现MAC强制认证机制，可以组织未授权的恶意访问和恶意攻击。xen的虚拟机通过apparmo实现MAC强制访问机制，svirt与apparmo各有有确定，配置灵活性和便利性中间需要寻找平衡。

虚拟机的运行安全涉及到运营环境的检测与控制，虚拟机自省技术（VMI）是目前安全监控的主流解决方案，libvmi是支持多种虚拟机解决方案的开源自省库。

通过虚拟机自省技术实现对虚拟机的监控，libvmi通过监控虚拟机的底层硬件、内存状态实现安全监测的相关功能。

通过进一步的安全功能集合，可以实现病毒防护、入侵检测、防火墙、取证等进一步功能。

二、OpenStack环境虚拟机安全实现

1、虚拟机镜像文件签名验证保护，目前glance16.0.0.0b2 dev7版本，已经支持数字签名保护镜像文件的签名与验证功能。详见：https://docs.openstack.org/glance/latest/user/signature.html

2、虚拟层加固MAC支持svirt，apparmo在openstack-ansible中有支持，另外，QEMU的CVE漏洞频出，Openstack关于QEMU有进一步编译指导的安全加固方案。详见：https://docs.openstack.org/security-guide/compute/hardening-the-virtualization-layers.html

3、虚拟机监控层面，openstack偏向于运维与性能监控，目前可以采用nova metrics设置采集数据指标，通过监控服务monasca实现。

openstack 集成数据采集ceilometer 和监控aodh形成telemetry服务，redhat openstack发行版采用该服务实现系统的监控服务。

openstack发行商mirantis通过LMA（日志、监控、告警）解决方案stacklight实现，集成了开源项目telegraf和prometheus，实现强大的系统指标数据采集、分析预警功能。

openstack支持zabbix、nagios等开源监控解决方案，也支持更多的开源解决方案。

监控涉及到运维的更多指标，对安全的监控，需要进一步集成openstack 支持DMTF的CADF标准，通过ceilmeter agent等可以集成到开源的AlienVault ossiem或IBM qrader等SIEM软件，实现安全分析功能。

安全分析除了监控指标外，对日志、流量数据的采集，也是关键的安全分析基础，完整的参考架构如下：

基于时间序列的数据分析方案，可以参考influx data的开源数据架构。

至于分析的方法、规则、实现，需要根据业务场景和管理需求，进一步在生产环境实现。

参考资料：

1、《SEcure Cloud computing for CRitical Infrastructure IT》

2、DRAFT (2 nd ) NIST Special Publication 800-125A 《Security Recommendations for Hypervisor Deployment》

3、NIST Special Publication 800-125 Guide to Security for Full Virtualization Technologies

4、NIST Special Publication 500-299  NIST Cloud Computing  Security Reference Architecture 

5、raghu yeluri，apress，《building the infrastructure for cloud security 》

6、Kashif Munir，IGI《Handbook of Research on Security Considerations in Cloud Computing》

7、Fabio Alessandro Locati，PACKT《OpenStack Cloud Security》

8、Document Number: DSP0243  Date: 2012-12-13  Version: 2.0.0 Open Virtualization Format Specification

9、ECE ILLINOIS ，Virtual Machine Introspection Overview

10、G. Gardikis (SPH)，Deliverable D4.41，Monitoring and Maintenance -Interim

11、https://docs.mirantis.com/mcp/1.0/mcp-security-best-practices/openstack-security.html

12、https://docs.openstack.org/security-guide/compute/hardening-the-virtualization-layers.html

13、https://wiki.openstack.org/wiki/Monasca

14、https://docs.openstack.org/glance/latest/user/signature.html

15、http://libvmi.com/