近年来，云计算受到了学术界和产业界的一致关注。随着云计算应用的日益复杂。其安全性要求也越来越高。而且传统的IT系统是封闭的，存在于企业内部，对外暴露的只是网页服务器、邮件服务器等少数接口，因此只需要在出口设置防火墙、访问控制等安全措施，就可以解决大部分安全问题。但在云环境下，云暴露在公开的网络中，任何一个节点及它们的网络都可能受到攻击，存在诸多安全隐患。

　　云计算中的安全包括身份和访问管理、数据安全、隐私保护、虚拟化安全等。图l描述了虚拟化角度下的云计算架构。节点的物理硬件和网络物理硬件通过多层虚拟化的逻辑简化过程形成了弹性化的计算、存储和网络带宽3者整合的虚拟资源池。提供了随需而选的资源共享、分配、管控平台，用户可根据上层的数据和业务形态的不同需求，搭配出各种互相隔离的应用。这样通过虚拟技术，就形成一个服务导向的可伸缩的lT基础架构，可以提供云计算服务。比如Amazon EC2（elastic compute cloud），它为用户提供了大量的虚拟资源，用户只需根据自己的需要创建虚拟机实例。从而通过这些资源完成用户的任务。

　　专家大多认为。云计算与传统IT环境最大的区别在于其虚拟的计算环境，也正是这一区别导致其安全问题变得异常“棘手”。身份管理、数据安全等问题可以通过现有的访问控制策略、数据加密等传统安全手段来解决，而虚拟化作为云计算最重要的技术，且虚拟环境是云计算的独特环境。传统的安全措施很难从根本上解决问题，必须采取新的安全策略。

　　1、虚拟化技术

　　云计算的特征体现为虚拟化、分布式和动态可扩展。虚拟化是云计算最主要的特点。每一个应用部署的环境和物理平台是没有关系的，通过虚拟平台进行管理、扩展、迁移、备份，种种操作都是通过虚拟化技术完成。虚拟化技术是一种调配计算资源的方法。它将应用系统的不同层面——硬件、软件、数据、网络、存储等一一隔离开来，从而打破数据中心、服务器、存储、网络、数据和应用中的物理设备之间的划分，实现架构动态化。并实现集中管理和动态使用物理资源及虚拟资源。图2显示的是一个典型的虚拟机系统。其中，虚拟机监控器（virtual machine monitor，VMM），又称为监管程序（Hypervisor），是虚拟化技术的核心。通过在计算机系统上添加一个虚拟机监控程序软件对计算机系统进行虚拟化。在物理机上构建一个虚拟机系统，每个虚拟机（VM）运行自己的客户机操作系统（GuestOS）。这可以说是云计算的一个雏形。

　　现在，整个IT环境已逐步向云计算时代跨越，虚拟化技术也从最初的侧重于整合数据中心内的资源。发展到可以跨越IT架构实现包括资源、网络、应用和桌面在内的多种虚拟化。这些都促进了云计算模式的形成。大部分软件和硬件已经对虚拟化有一定支持，可以把各种IT资源、软件、硬件、操作系统和存储网络等要素都进行虚拟化，放在云计算平台中统一管理。

　　2、虚拟化安全问题研究

　　2.1 虚拟化的安全问题

    虚拟化技术对于云计算而言是非常重要的，所以，虚拟化的安全也直接关系到云计算的安全。从目前研究来看，云计算的虚拟化安全问题主要集中在以下几点。

　　（1）VM Hopping

    一台虚拟机可能监控另一台虚拟机甚至会接人到宿主机。这称为VM Hopping。如果两个虚拟机在同一台宿主机上。一个在虚拟机1上的攻击者通过获取虚拟机2的IP地址或通过获得宿主机本身的访问权限可接人到虚拟机2。攻击者监控虚拟机2的流量，可以通过操纵流量攻击。或改变它的配置文件。将虚拟机2由运行改为离线，造成通信中断。当连接重新建立时。通信将需要重新开始。

　　（2）VM Escape

    VM Escape攻击获得Hypervisor的访问权限。从而对其他虚拟机进行攻击。若一个攻击者接人的主机运行多个虚拟机，它可以关闭Hypervisor，最终导致这些虚拟机关闭。

　　（3）远程管理缺陷

    Hypervisor通常由管理平台来为管理员管理虚拟机。例如，Xen用XenCenter管理其虚拟机。这些控制台可能会引起一些新的缺陷。例如跨站脚本攻击、SQL入侵等。

　　（4）拒绝服务（DoS）的缺陷

    在虚拟化环境下，资源（如CPU、内存、硬盘和网络）由虚拟机和宿主机一起共享。因此，DOS攻击可能会加到虚拟机上从而获取宿主机上所有的资源。因为没有可用资源，从而造成系统将会拒绝来自客户的所有请求。

　　（5）基于Rootkit的虚拟机

　　Rootkit概念出现在Unix中，它是一些收集工具，能够获得管理员级别的计算机或计算机网络访问。如果Hypervisor被Rootkit控制。Rootkit可以得到整个物理机器的控制权。

　　（6）迁移攻击

　　迁移攻击可以将虚拟机从一台主机移动到另一台，也可以通过网络或USB复制虚拟机。虚拟机的内容存储在Hypervisor的一个文件中。如图3所示。在虚拟机移动到另一个位置的过程中，虚拟磁盘被重新创建。攻击者能够改变源配置文件和虚拟机的特性。一旦攻击者接触到虚拟磁盘。攻击者有足够的时间来打破所有的安全措施，例如密码、重要认证等。由于该虚拟机是一个实际虚拟机的副本，难以追踪攻击者的此类威胁。

 　　除此以外。虚拟机和主机之间共享剪切板可能造成安全问题。若主机记录运行在主机上的虚拟机的登录按键和屏幕操作，如何确保主机日志的安全也是一个问题。

　　2.2虚拟化安全分层分析

　　目前对虚拟化安全的研究综合起来可以归结为两个方面：一个是虚拟化软件的安全；另一个是虚拟服务器的安全。

　　（1）虚拟化软件的安全

　　该软件层直接部署于裸机之上，提供能够创建、运行和销毁虚拟服务器的能力。主机层的虚拟化能通过任何虚拟化模式完成，包括操作系统级虚拟化（Solaris container、BSDiail、Linax.Vserver）、半虚拟化（硬件和Xen、VMware的结合）或基于硬件的虚拟化（Xen、VMwaxe、Microsoft Hyper-V）。

　　这一层的特点是虚拟机的安全。其中Hypervisor作为虚拟机的核心。要确保安全。目前有两种攻击方式，一是恶意代码通过应用程序接口（API）攻击，因虚拟机通过调用AP!向Hypervisor发出请求。Hypervisor要确保虚拟机只会发出经过认证和授权的请求。二是通过网络对Hypervisor进行攻击。通常，Hypervisor所使用的网络接口设备也是虚拟机所使用的。如果网络配置得不是很严格，这意味着虚拟机可以连接到Hypervisor的IP地址，并且可以在Hypervisor的登录密码没有使用强密码保护的情况下入侵到Hypervisor。这种不严格的网络配置还可能导致对Hypervisor的DoS攻击。使得外网无法链接到Hypervisor去关闭这些有问题的虚拟机。

　　（2）虚拟服务器的安全

　　虚拟服务器位于虚拟化软件之上。服务器的虚拟化相对于之前的服务器，变化最大的一点是网络架构。网络架构的改变相应地产生了许多安全问题。采用虚拟化技术前，用户可以在防火墙设备商建立多个隔离区。对不同服务器采用不同的规则进行管理。由于隔离区的存在。对一个服务器的攻击不会扩散到其他服务器。采用虚拟服务器后。所有的虚拟机会集中连接到同一台虚拟交换机与外部网络通信，会造成安全问题的扩散。服务器虚拟化后。每一台服务器都将支持若干个资源密集型的应用程序。可能出现负载过重。甚至会出现物理服务器崩溃的状况。在管理程序设计过程中的安全隐患会传染到同台物理主机上的虚拟机。造成虚拟机溢出，此时的虚拟机从管理程序脱离出来，黑客可能进入虚拟机管理程序，能够避开虚拟机安全保护系统。对虚拟机进行危害。

　　另外。虚拟机迁移以及虚拟机问的通信将会大大增加服务器遭受渗透攻击的机会。虚拟服务器或客户端面临着许多主机安全威胁。包括接人和管理主机的密钥被盗，攻击来打补丁的主机。在脆弱的服务标准端口侦听，劫持未采取合适安全措施的账户等。面对以上不安全因素，目前研究发现。可以采取以下措施：

　　·针对网络架构的变化，在每台虚拟机上都安装防毒软件或者其他种类的杀毒软件；

　　·避免服务器过载崩溃，要不断监视服务器的硬件利用率，并进行容量分析，使用容错服务器或容错软件是一个好的选择；

　　·为阻止虚拟机溢出。在数据库和应用层问设置防火墙，通过隔离虚拟机实现从网络上脱机保存虚拟化环境；

　　·选择具有可信平台模块（trusted platform module，TPM）的虚拟服务器：

　　·安装时为每台虚拟服务器分配一个独立的硬盘分区。以便进行逻辑隔离；

　　·每台虚拟服务器应通过VLAN和不同的IP地址网段的方式进行逻辑隔离。需要通信的虚拟服务器间通过VPN进行网络连接：

　　·进行有计划的备份，包括完整、增量或差量备份方式，进行虚拟化的灾难恢复。

　　预了解Xen平台虚拟化安全问题，请看云计算安全：Xen平台安全问题分析。