一种云环境下虚拟机防窃取方法
【技术领域】
[0001]本发明涉及网络安全技术领域,特别涉及一种云环境下虚拟机防窃取方法。
【背景技术】
[0002]虚拟化技术给予了现代化数据中心高效的硬件资源利用率和强大的运行稳定性,大幅提升了企业的业务连续性、灾难恢复和办公自动化能力,并因此得到了 IT界的普遍认可。毫无疑问地,虚拟化技术提供了很多物理服务器无法比拟的优势,但是在虚拟化环境中仍然有一些需要注意的意想不到的安全风险,比如虚拟机磁盘文件被窃取的风险。
[0003]在虚拟化的基础架构中,虚拟机以单独的虚拟磁盘文件的形式(.vmdk文件)被封装在宿主机中运行,并为用户提供服务。但是对于具有对应访问权限的用户来讲,复制磁盘文件、通过移动存储设备拷贝,并窃取文件中的数据并非难事。
[0004]以VMware公司的ESXi体系结构为例,在一般的情况下有两种方法可以读取虚拟机的虚拟磁盘文件。第一种方法是通过ESXi宿主机的管理界面,如果拥有根密码或者主机上的用户账号,使用ESXi主机预装的命令行工具vmkfstools或第三方的虚拟磁盘文件拷贝工具,就可以轻松读取包含虚拟机文件的VMFS卷。第二种方法是通过vSphere或者包含有内置数据存储浏览器的VMware基础架构客户端,可以实现对数据存储的直接访问,执行删除、拷贝、修改等操作。得到磁盘数据后,也有很多种方法可以访问磁盘文件,例如使用VMware的虚拟磁盘开发工具包将虚拟磁盘文件挂载到PC机中,浏览虚拟机上的文件,或者将虚拟机文件导入VMware的运行环境中(例如VMware Workstat1n),然后开启虚拟机,再使用口令破解工具突破身份认证,就可以随意读取磁盘中的敏感数据。由此可见,对虚拟机数据的防窃取保护主要体现在对虚拟磁盘文件,即对你VMDK文件的保护上。
[0005]在VMware的基础架构中,提供了中等强度的用户权限控制功能,包括从多方位限制普通用户接入平台管理端口,将用户权限的分配按主机、虚拟机、存储、网络等对象实例进行分配,通过在对象上绑定“用户+角色”的方式限定每个用户或用户组对对象的操作权限。
[0006]在这种权限控制机制下,依然存在两方面的安全风险。一是缺乏在多访问方式下对虚拟机磁盘文件拷贝操作的有效管控,例如通过SSH、ESXi Remote-CLT等工具登录ESXi宿主机,以及通过应用程序编程接口(API)访问hypervisor底层数据时,缺乏对用户操作合法性的有效核查。
[0007]二是缺乏对拷贝操作的告警功能,以及对文件拷贝行为的日志记录功能较弱。在vCenter Server或者ESXi主机内并没有内置的审计或者告警功能可以通知有客户端正在进行虚拟磁盘文件的拷贝操作。此外,通过vCenter Server下载存储中的虚拟机文件时,所使用的安全文件传输协议(SFTP)或SCP等远程文件拷贝指令的相关操作在ESXi系统中并不会留下任何痕迹,故难以追踪非法的数据拷贝行为。
【发明内容】
[0008]为解决现有技术的问题,本发明提出一种云环境下虚拟机防窃取方法,阻断非法请求,提升云环境中虚拟机磁盘文件的保密性。
[0009]为实现上述目的,本发明提供了一种云环境下虚拟机防窃取方法,该方法基于防窃取装置进行,所述防窃取装置启用主机服务器内置的防火墙,设定只有所述防窃取装置的IP地址发送的管理命令被管理网络接收;防窃取的方法包括:
[0010]获取企业网络对管理网络中磁盘文件的所有拷贝请求;
[0011]从所述拷贝请求中获得用户身份认证信息,并根据所述用户身份认证信息验证用户身份;
[0012]如果拷贝请求中的用户身份通过验证,则检测所述拷贝请求中执行任务和操作与对应的操作权限是否匹配;
[0013]如果拷贝请求得到合法验证,则所述防窃取装置内运行的应用程序会暂时终止用户的连接,控制本次拷贝操作;否则,则所述防窃取装置内运行的应用程序会阻断用户请求;实现云环境下虚拟机防窃取。
[0014]优选地,还包括:
[0015]通过日志的形式记录所有对虚拟机磁盘文件的拷贝行为。
[0016]优选地,所述防窃取装置采用串行连接的方式设置在企业网络和管理网络之间,构建多访问方式下统一的认证通道。
[0017]优选地,所述防窃取装置为双机热备的方式部署。
[0018]优选地,所述管理网络包括ESXi宿主机和vCenter Server服务器。
[0019]优选地,所述企业网络的访问包括:通过登录vCenter Server管理控制平台,访问云端资源,对虚拟机磁盘文件的读取或拷贝;通过远程传输协议方式直接连接ESXi主机的hypervi sor,使用命令行工具访问数据存储。
[0020]优选地,所述日志以Excel、TXT或HTM格式存储。
[0021]优选地,还包括:检测到文件的下载行为时,发出警告。
[0022]上述技术方案具有如下有益效果:
[0023]本技术方案对虚拟机磁盘文件的拷贝请求并进行分析,认证用户身份并核查操作请求的合法性,阻断非法请求,提升云环境中虚拟机磁盘文件的保密性;检测到文件的下载行为时,向系统管理员发出警告;日志记录用户登录和虚拟磁盘文件的拷贝行为,并提供集中式的日志检索服务。
【附图说明】
[0024]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0025]图1为本发明提出的一种云环境下虚拟机防窃取方法流程图;
[0026]图2为VMware云环境体系结构不意图;
[0027]图3为本实施例云环境下虚拟机防窃取系统体系结构示意图。
【具体实施方式】
[0028]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0029]本技术方案的工作原理:本发明提出一种云环境下虚拟机防窃取方法,本技术方案通过在管理网络和企业网络间部署防窃取装置的方式,构建多访问方式下统一的认证通道;截获用户对虚拟机磁盘文件的拷贝请求并进行分析,认证用户身份并核查操作请求的合法性,阻断非法请求,提升云环境中虚拟机磁盘文件的保密性。
[0030]进一步地,本技术方案检测到文件的下载行为时,向系统管理员发出警告;日志记录用户登录和虚拟磁盘文件的拷贝行为,并提供集中式的日志检索服务,具有安全、实用等特点。
[0031]基于上述工作原理,本发明提出一种云环境下虚拟机防窃取方法,如图1所示。包括:
[0032]步骤101):获取企业网络对管理网络中磁盘文件的所有拷贝请求;
[0033]步骤102):从所述拷贝请求中获得用户身份认证信息,并根据所述用户身份认证信息验证用户身份;
[0034]步骤103):如果拷贝请求中的用户身份通过验证,则检测所述拷贝请求中执行任务和操作与对应的操作权限是否匹配;
[0035]步骤104):如果拷贝请求得到合法验证,则所述防窃取装置内运行的应用程序会暂时终止用户的连接,控制本次拷贝操作;否则,则所述防窃取装置内运行的应用程序会阻断用户请求;实现云环境下虚拟机防窃取。
[0036]上述方法中,涉及了防窃取装置。该装置为物理设备,采用串行连接的方式部署在管理网络和企业网络之间