CN105120010B - 一种云环境下虚拟机防窃取方法 - Google Patents
一种云环境下虚拟机防窃取方法 Download PDFInfo
- Publication number
- CN105120010B CN105120010B CN201510599733.6A CN201510599733A CN105120010B CN 105120010 B CN105120010 B CN 105120010B CN 201510599733 A CN201510599733 A CN 201510599733A CN 105120010 B CN105120010 B CN 105120010B
- Authority
- CN
- China
- Prior art keywords
- user
- theft
- virtual machine
- copy
- theft device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 32
- 230000005540 biological transmission Effects 0.000 claims description 3
- 238000007726 management method Methods 0.000 description 17
- 238000012546 transfer Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 238000012550 audit Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 235000015170 shellfish Nutrition 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种云环境下虚拟机防窃取方法,该方法基于防窃取装置进行,所述防窃取装置启用主机服务器内置的防火墙,设定只有所述防窃取装置的IP地址发送的管理命令被管理网络接收;防窃取的方法包括:获取企业网络对管理网络中磁盘文件的所有拷贝请求;从所述拷贝请求中获得用户身份认证信息,并根据所述用户身份认证信息验证用户身份;如果拷贝请求中的用户身份通过验证,则检测所述拷贝请求中执行任务和操作与对应的操作权限是否匹配;如果拷贝请求得到合法验证,则所述防窃取装置内运行的应用程序会暂时终止用户的连接,控制本次拷贝操作;否则,则所述防窃取装置内运行的应用程序会阻断用户请求;实现云环境下虚拟机防窃取。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种云环境下虚拟机防窃取方法。
背景技术
虚拟化技术给予了现代化数据中心高效的硬件资源利用率和强大的运行稳定性,大幅提升了企业的业务连续性、灾难恢复和办公自动化能力,并因此得到了IT界的普遍认可。毫无疑问地,虚拟化技术提供了很多物理服务器无法比拟的优势,但是在虚拟化环境中仍然有一些需要注意的意想不到的安全风险,比如虚拟机磁盘文件被窃取的风险。
在虚拟化的基础架构中,虚拟机以单独的虚拟磁盘文件的形式(.vmdk文件)被封装在宿主机中运行,并为用户提供服务。但是对于具有对应访问权限的用户来讲,复制磁盘文件、通过移动存储设备拷贝,并窃取文件中的数据并非难事。
以VMware公司的ESXi体系结构为例,在一般的情况下有两种方法可以读取虚拟机的虚拟磁盘文件。第一种方法是通过ESXi宿主机的管理界面,如果拥有根密码或者主机上的用户账号,使用ESXi主机预装的命令行工具vmkfstools或第三方的虚拟磁盘文件拷贝工具,就可以轻松读取包含虚拟机文件的VMFS卷。第二种方法是通过vSphere或者包含有内置数据存储浏览器的VMware基础架构客户端,可以实现对数据存储的直接访问,执行删除、拷贝、修改等操作。得到磁盘数据后,也有很多种方法可以访问磁盘文件,例如使用VMware的虚拟磁盘开发工具包将虚拟磁盘文件挂载到PC机中,浏览虚拟机上的文件,或者将虚拟机文件导入VMware的运行环境中(例如VMware Workstation),然后开启虚拟机,再使用口令破解工具突破身份认证,就可以随意读取磁盘中的敏感数据。由此可见,对虚拟机数据的防窃取保护主要体现在对虚拟磁盘文件,即对你VMDK文件的保护上。
在VMware的基础架构中,提供了中等强度的用户权限控制功能,包括从多方位限制普通用户接入平台管理端口,将用户权限的分配按主机、虚拟机、存储、网络等对象实例进行分配,通过在对象上绑定“用户+角色”的方式限定每个用户或用户组对对象的操作权限。
在这种权限控制机制下,依然存在两方面的安全风险。一是缺乏在多访问方式下对虚拟机磁盘文件拷贝操作的有效管控,例如通过SSH、ESXi Remote-CLT等工具登录ESXi宿主机,以及通过应用程序编程接口(API)访问hypervisor底层数据时,缺乏对用户操作合法性的有效核查。
二是缺乏对拷贝操作的告警功能,以及对文件拷贝行为的日志记录功能较弱。在vCenter Server或者ESXi主机内并没有内置的审计或者告警功能可以通知有客户端正在进行虚拟磁盘文件的拷贝操作。此外,通过vCenter Server下载存储中的虚拟机文件时,所使用的安全文件传输协议(SFTP)或SCP等远程文件拷贝指令的相关操作在ESXi***中并不会留下任何痕迹,故难以追踪非法的数据拷贝行为。
发明内容
为解决现有技术的问题,本发明提出一种云环境下虚拟机防窃取方法,阻断非法请求,提升云环境中虚拟机磁盘文件的保密性。
为实现上述目的,本发明提供了一种云环境下虚拟机防窃取方法,该方法基于防窃取装置进行,所述防窃取装置启用主机服务器内置的防火墙,设定只有所述防窃取装置的IP地址发送的管理命令被管理网络接收;防窃取的方法包括:
获取企业网络对管理网络中磁盘文件的所有拷贝请求;
从所述拷贝请求中获得用户身份认证信息,并根据所述用户身份认证信息验证用户身份;
如果拷贝请求中的用户身份通过验证,则检测所述拷贝请求中执行任务和操作与对应的操作权限是否匹配;
如果拷贝请求得到合法验证,则所述防窃取装置内运行的应用程序会暂时终止用户的连接,控制本次拷贝操作;否则,则所述防窃取装置内运行的应用程序会阻断用户请求;实现云环境下虚拟机防窃取。
优选地,还包括:
通过日志的形式记录所有对虚拟机磁盘文件的拷贝行为。
优选地,所述防窃取装置采用串行连接的方式设置在企业网络和管理网络之间,构建多访问方式下统一的认证通道。
优选地,所述防窃取装置为双机热备的方式部署。
优选地,所述管理网络包括ESXi宿主机和vCenter Server服务器。
优选地,所述企业网络的访问包括:通过登录vCenter Server管理控制平台,访问云端资源,对虚拟机磁盘文件的读取或拷贝;通过远程传输协议方式直接连接ESXi主机的hypervisor,使用命令行工具访问数据存储。
优选地,所述日志以Excel、TXT或HTM格式存储。
优选地,还包括:检测到文件的下载行为时,发出警告。
上述技术方案具有如下有益效果:
本技术方案对虚拟机磁盘文件的拷贝请求并进行分析,认证用户身份并核查操作请求的合法性,阻断非法请求,提升云环境中虚拟机磁盘文件的保密性;检测到文件的下载行为时,向***管理员发出警告;日志记录用户登录和虚拟磁盘文件的拷贝行为,并提供集中式的日志检索服务。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提出的一种云环境下虚拟机防窃取方法流程图;
图2为VMware云环境体系结构示意图;
图3为本实施例云环境下虚拟机防窃取***体系结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本技术方案的工作原理:本发明提出一种云环境下虚拟机防窃取方法,本技术方案通过在管理网络和企业网络间部署防窃取装置的方式,构建多访问方式下统一的认证通道;截获用户对虚拟机磁盘文件的拷贝请求并进行分析,认证用户身份并核查操作请求的合法性,阻断非法请求,提升云环境中虚拟机磁盘文件的保密性。
进一步地,本技术方案检测到文件的下载行为时,向***管理员发出警告;日志记录用户登录和虚拟磁盘文件的拷贝行为,并提供集中式的日志检索服务,具有安全、实用等特点。
基于上述工作原理,本发明提出一种云环境下虚拟机防窃取方法,如图1所示。包括:
步骤101):获取企业网络对管理网络中磁盘文件的所有拷贝请求;
步骤102):从所述拷贝请求中获得用户身份认证信息,并根据所述用户身份认证信息验证用户身份;
步骤103):如果拷贝请求中的用户身份通过验证,则检测所述拷贝请求中执行任务和操作与对应的操作权限是否匹配;
步骤104):如果拷贝请求得到合法验证,则所述防窃取装置内运行的应用程序会暂时终止用户的连接,控制本次拷贝操作;否则,则所述防窃取装置内运行的应用程序会阻断用户请求;实现云环境下虚拟机防窃取。
上述方法中,涉及了防窃取装置。该装置为物理设备,采用串行连接的方式部署在管理网络和企业网络之间,构建多访问方式下统一的认证通道,管理网络由ESXi宿主机和vCenter Server服务器构成。***采用B/S架构,管理员通过Web浏览器登录管理界面,方便配置安全策略并查看日志记录。为防止单点故障,装置采用双机热备的方式部署。
如图2所示,为VMware云环境体系结构示意图。在VMware ESXi的体系结构中,ESXi宿主机被挂载在vCenter Server下,建立高可用性主机集群,vCenter提供图形界面对虚拟化云环境中的各类资源和策略进行统一的管理和配置。ESXi宿主机和vCenter Server所在的网络被定义为云环境的管理网络,主要有两类访问方法。一是通过登录vCenter Server管理控制平台,访问云端资源,实现对虚拟机磁盘文件的读取或拷贝,这类用户包括Web客户端、vSphere客户端,以及数据中心的备份设备;二是通过远程传输协议等方式直接连接ESXi主机的hypervisor,使用命令行工具访问数据存储,包括SSH登录、Remote-CLI登录,以及通过应用程序编程接口获取hypervisor底层数据等。
如图3所示,为本实施例云环境下虚拟机防窃取***体系结构示意图。在本实施例中,防窃取装置将首先启用主机服务器内置的轻量级防火墙,设定只有本装置的IP地址才可以发送管理命令,从而禁止ESXi宿主机和vCenter Server从其他渠道接收管理指令。之后防窃取装置将监控所有通过的数据包,如果连接指向一台被保护的ESXi宿主机或vCenter Server,并且是通过管理端口到达的,防窃取装置上的应用程序将会接管该连接,并对磁盘文件拷贝请求的合法性进行验证。反之,装置将会直接让连接通过而不做管理。
对于本实施例来说,防窃取装置将从vCenter Server中导入对用户的身份认证信息,对磁盘文件的访问控制策略可通过装置的管理Web界面自主创建,或者从vCenter中导入既有的安全策略。策略创建完成后,将用于监管和规范对虚拟机磁盘文件的访问和操作。
在运行过程时,防窃取装置将截获用户对管理网络中磁盘文件的所有拷贝请求,这些请求可能来自vShere Client、Web Client、虚拟机备份设备、SSH、ESXi Remote-CLI、应用程序编程接口等,并对这些请求进行分析。首先验证用户身份,确保用户身份是被认证的合法用户,然后检查其将要执行的任务和操作与对应的操作权限是否匹配。若用户通过验证且请求合法,防窃取装置内运行的应用程序会暂时终止用户的连接,然后以用户的身份重新开始一个从应用程序到目标主机的对话。通过这样的操作,控制用户对虚拟机磁盘文件执行的所有拷贝操作。若用户没有获得授权或请求不合法,应用程序将终止那些没有通过认证的用户操作。以上过程对用户完全透明,对用户的操作体验没有任何影响。
与此同时,对于合法用户的拷贝操作,装置将会记录日志信息,包括远程文件拷贝记录、使用安全文件传输协议的传输记录、数据存储浏览器过程中的高级应用程序接口的***调用等等,弥补VMware体系架构中日志记录功能的不足。并将所有的访问和拷贝操作的日志以Excel、TXT或HTM格式保存下来,提供集中式的日志检索服务,便于管理员的查询和审计。
根据上述实施例的描述可知,防窃取装置为物理设备,采用双机热备的方式部署在管理网络和企业网络之间,将多种认证登录渠道合并,实现身份认证的整合。软件方面,应用程序基于Windows Server操作***自主研发,提供对用户友好的管理界面,方便设备管理员进行配置,防窃取装置具有的功能包括:
1):从vCenter Server中导入云环境中各类用户的身份认证信息,包括用户、角色和权限。
2):提供对磁盘文件访问控制策略的创建、删除、修改功能,以及从vCenterServer中导入既有的安全策略。策略创建完成后,将用于监管和规范对虚拟机磁盘文件的访问和操作。
3):截获用户对管理网络中磁盘文件的所有拷贝请求,并对这些请求进行分析。首先验证用户身份,然后核查用户拷贝操作的合法性。若操作合法,应用将接管该连接,控制本次拷贝操作。反之,应用程序将阻断用户请求。
4):通过日志,记录所有对虚拟机磁盘文件的拷贝行为,包括远程文件拷贝记录、使用安全文件传输协议的传输记录、数据存储浏览器过程中的高级应用程序接口的***调用等。日志以Excel、TXT或HTM格式保存,以便提供集中式的检索服务。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种云环境下虚拟机防窃取方法,其特征在于,该方法基于防窃取装置进行,所述防窃取装置采用串行连接的方式设置在企业网络和管理网络之间,构建多访问方式下统一的认证通道;所述防窃取装置启用主机服务器内置的防火墙,设定只有所述防窃取装置的IP地址发送的管理命令被管理网络接收;防窃取的方法包括:
获取企业网络对管理网络中磁盘文件的所有拷贝请求;
从所述拷贝请求中获得用户身份认证信息,并根据所述用户身份认证信息验证用户身份;
如果拷贝请求中的用户身份通过验证,则检测所述拷贝请求中执行任务和操作与对应的操作权限是否匹配;
如果拷贝请求得到合法验证,则所述防窃取装置内运行的应用程序会暂时终止用户的连接,控制本次拷贝操作;否则,则所述防窃取装置内运行的应用程序会阻断用户请求;实现云环境下虚拟机防窃取。
2.如权利要求1所述的方法,其特征在于,还包括:
通过日志的形式记录所有对虚拟机磁盘文件的拷贝行为。
3.如权利要求1所述的方法,其特征在于,所述防窃取装置为双机热备的方式部署。
4.如权利要求1或2所述的方法,其特征在于,所述管理网络包括ESXi宿主机和vCenterServer服务器。
5.如权利要求1或2所述的方法,其特征在于,所述企业网络的访问包括:通过登录vCenter Server管理控制平台,访问云端资源,对虚拟机磁盘文件的读取或拷贝;通过远程传输协议方式直接连接ESXi主机的hypervisor,使用命令行工具访问数据存储。
6.如权利要求2所述的方法,其特征在于,所述日志以Excel、TXT或HTM格式存储。
7.如权利要求1或2所述的方法,其特征在于,还包括:
检测到文件的下载行为时,发出警告。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510599733.6A CN105120010B (zh) | 2015-09-18 | 2015-09-18 | 一种云环境下虚拟机防窃取方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510599733.6A CN105120010B (zh) | 2015-09-18 | 2015-09-18 | 一种云环境下虚拟机防窃取方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105120010A CN105120010A (zh) | 2015-12-02 |
CN105120010B true CN105120010B (zh) | 2019-01-22 |
Family
ID=54667893
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510599733.6A Active CN105120010B (zh) | 2015-09-18 | 2015-09-18 | 一种云环境下虚拟机防窃取方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105120010B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106548066A (zh) * | 2016-11-01 | 2017-03-29 | 广东浪潮大数据研究有限公司 | 一种保护虚拟机的方法及装置 |
CN107391991A (zh) * | 2017-07-17 | 2017-11-24 | 郑州云海信息技术有限公司 | 一种安全的设备间数据拷贝方法和*** |
CN112541168A (zh) * | 2020-12-04 | 2021-03-23 | 中国电子信息产业集团有限公司第六研究所 | 一种数据的防窃取方法、***及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102663278A (zh) * | 2012-03-09 | 2012-09-12 | 浪潮通信信息***有限公司 | 云计算模式物联网平台数据处理安全保护方法 |
CN103634314A (zh) * | 2013-11-28 | 2014-03-12 | 杭州华三通信技术有限公司 | 一种基于虚拟路由器vsr的服务访问控制方法及设备 |
EP2712141A1 (en) * | 2011-08-26 | 2014-03-26 | Huawei Technologies Co., Ltd | Method, system and device for authenticating ip phone and negotiating voice field |
-
2015
- 2015-09-18 CN CN201510599733.6A patent/CN105120010B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2712141A1 (en) * | 2011-08-26 | 2014-03-26 | Huawei Technologies Co., Ltd | Method, system and device for authenticating ip phone and negotiating voice field |
CN102663278A (zh) * | 2012-03-09 | 2012-09-12 | 浪潮通信信息***有限公司 | 云计算模式物联网平台数据处理安全保护方法 |
CN103634314A (zh) * | 2013-11-28 | 2014-03-12 | 杭州华三通信技术有限公司 | 一种基于虚拟路由器vsr的服务访问控制方法及设备 |
Also Published As
Publication number | Publication date |
---|---|
CN105120010A (zh) | 2015-12-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI744797B (zh) | 用於將安全客體之安全金鑰繫結至硬體安全模組之電腦實施方法、系統及電腦程式產品 | |
US9646019B2 (en) | Secure isolation of tenant resources in a multi-tenant storage system using a security gateway | |
EP2880589B1 (en) | Trusted execution environment virtual machine cloning | |
Scarfone | Guide to security for full virtualization technologies | |
US8544070B2 (en) | Techniques for non repudiation of storage in cloud or shared storage environments | |
US20090276774A1 (en) | Access control for virtual machines in an information system | |
US8254579B1 (en) | Cryptographic key distribution using a trusted computing platform | |
JP2019197561A (ja) | ローリングセキュリティプラットフォーム | |
US20140330936A1 (en) | Secure isolation of tenant resources in a multi-tenant storage systemwith inter-server communication | |
US20110154023A1 (en) | Protected device management | |
KR20170062529A (ko) | 빠른 스마트 카드 로그온 및 연합된 풀 도메인 로그온 | |
CN103002445A (zh) | 一种安全的提供应用服务的移动电子设备 | |
US9740870B1 (en) | Access control | |
CN110764871A (zh) | 一种基于云平台的拟态化应用封装与控制***和方法 | |
CN111107044A (zh) | 数据安全管理方法和信息化管理平台 | |
EP2862119B1 (en) | Network based management of protected data sets | |
LaBarge et al. | Cloud penetration testing | |
CN105120010B (zh) | 一种云环境下虚拟机防窃取方法 | |
CN110543775B (zh) | 一种基于超融合理念的数据安全防护方法及*** | |
KR102275764B1 (ko) | 가변 컴퓨터 파일시스템이 적용된 데이터 저장장치 | |
Sun et al. | Cloud armor: Protecting cloud commands from compromised cloud services | |
CN116018580B (zh) | 用于跨云壳层的实例持久化数据的技术 | |
Scarfone et al. | Sp 800-125. guide to security for full virtualization technologies | |
Ver | Dynamic load balancing based on live migration of virtual machines: Security threats and effects | |
CN107516039B (zh) | 虚拟化***的安全防护方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |