CN105120010B - 一种云环境下虚拟机防窃取方法 - Google Patents

一种云环境下虚拟机防窃取方法 Download PDF

Info

Publication number
CN105120010B
CN105120010B CN201510599733.6A CN201510599733A CN105120010B CN 105120010 B CN105120010 B CN 105120010B CN 201510599733 A CN201510599733 A CN 201510599733A CN 105120010 B CN105120010 B CN 105120010B
Authority
CN
China
Prior art keywords
user
theft
virtual machine
copy
theft device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510599733.6A
Other languages
English (en)
Other versions
CN105120010A (zh
Inventor
陈乐然
王刚
陈威
徐小天
石磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
North China Electric Power Research Institute Co Ltd
Original Assignee
State Grid Corp of China SGCC
North China Electric Power Research Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, North China Electric Power Research Institute Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN201510599733.6A priority Critical patent/CN105120010B/zh
Publication of CN105120010A publication Critical patent/CN105120010A/zh
Application granted granted Critical
Publication of CN105120010B publication Critical patent/CN105120010B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及一种云环境下虚拟机防窃取方法,该方法基于防窃取装置进行,所述防窃取装置启用主机服务器内置的防火墙,设定只有所述防窃取装置的IP地址发送的管理命令被管理网络接收;防窃取的方法包括:获取企业网络对管理网络中磁盘文件的所有拷贝请求;从所述拷贝请求中获得用户身份认证信息,并根据所述用户身份认证信息验证用户身份;如果拷贝请求中的用户身份通过验证,则检测所述拷贝请求中执行任务和操作与对应的操作权限是否匹配;如果拷贝请求得到合法验证,则所述防窃取装置内运行的应用程序会暂时终止用户的连接,控制本次拷贝操作;否则,则所述防窃取装置内运行的应用程序会阻断用户请求;实现云环境下虚拟机防窃取。

Description

一种云环境下虚拟机防窃取方法
技术领域
本发明涉及网络安全技术领域,特别涉及一种云环境下虚拟机防窃取方法。
背景技术
虚拟化技术给予了现代化数据中心高效的硬件资源利用率和强大的运行稳定性,大幅提升了企业的业务连续性、灾难恢复和办公自动化能力,并因此得到了IT界的普遍认可。毫无疑问地,虚拟化技术提供了很多物理服务器无法比拟的优势,但是在虚拟化环境中仍然有一些需要注意的意想不到的安全风险,比如虚拟机磁盘文件被窃取的风险。
在虚拟化的基础架构中,虚拟机以单独的虚拟磁盘文件的形式(.vmdk文件)被封装在宿主机中运行,并为用户提供服务。但是对于具有对应访问权限的用户来讲,复制磁盘文件、通过移动存储设备拷贝,并窃取文件中的数据并非难事。
以VMware公司的ESXi体系结构为例,在一般的情况下有两种方法可以读取虚拟机的虚拟磁盘文件。第一种方法是通过ESXi宿主机的管理界面,如果拥有根密码或者主机上的用户账号,使用ESXi主机预装的命令行工具vmkfstools或第三方的虚拟磁盘文件拷贝工具,就可以轻松读取包含虚拟机文件的VMFS卷。第二种方法是通过vSphere或者包含有内置数据存储浏览器的VMware基础架构客户端,可以实现对数据存储的直接访问,执行删除、拷贝、修改等操作。得到磁盘数据后,也有很多种方法可以访问磁盘文件,例如使用VMware的虚拟磁盘开发工具包将虚拟磁盘文件挂载到PC机中,浏览虚拟机上的文件,或者将虚拟机文件导入VMware的运行环境中(例如VMware Workstation),然后开启虚拟机,再使用口令破解工具突破身份认证,就可以随意读取磁盘中的敏感数据。由此可见,对虚拟机数据的防窃取保护主要体现在对虚拟磁盘文件,即对你VMDK文件的保护上。
在VMware的基础架构中,提供了中等强度的用户权限控制功能,包括从多方位限制普通用户接入平台管理端口,将用户权限的分配按主机、虚拟机、存储、网络等对象实例进行分配,通过在对象上绑定“用户+角色”的方式限定每个用户或用户组对对象的操作权限。
在这种权限控制机制下,依然存在两方面的安全风险。一是缺乏在多访问方式下对虚拟机磁盘文件拷贝操作的有效管控,例如通过SSH、ESXi Remote-CLT等工具登录ESXi宿主机,以及通过应用程序编程接口(API)访问hypervisor底层数据时,缺乏对用户操作合法性的有效核查。
二是缺乏对拷贝操作的告警功能,以及对文件拷贝行为的日志记录功能较弱。在vCenter Server或者ESXi主机内并没有内置的审计或者告警功能可以通知有客户端正在进行虚拟磁盘文件的拷贝操作。此外,通过vCenter Server下载存储中的虚拟机文件时,所使用的安全文件传输协议(SFTP)或SCP等远程文件拷贝指令的相关操作在ESXi***中并不会留下任何痕迹,故难以追踪非法的数据拷贝行为。
发明内容
为解决现有技术的问题,本发明提出一种云环境下虚拟机防窃取方法,阻断非法请求,提升云环境中虚拟机磁盘文件的保密性。
为实现上述目的,本发明提供了一种云环境下虚拟机防窃取方法,该方法基于防窃取装置进行,所述防窃取装置启用主机服务器内置的防火墙,设定只有所述防窃取装置的IP地址发送的管理命令被管理网络接收;防窃取的方法包括:
获取企业网络对管理网络中磁盘文件的所有拷贝请求;
从所述拷贝请求中获得用户身份认证信息,并根据所述用户身份认证信息验证用户身份;
如果拷贝请求中的用户身份通过验证,则检测所述拷贝请求中执行任务和操作与对应的操作权限是否匹配;
如果拷贝请求得到合法验证,则所述防窃取装置内运行的应用程序会暂时终止用户的连接,控制本次拷贝操作;否则,则所述防窃取装置内运行的应用程序会阻断用户请求;实现云环境下虚拟机防窃取。
优选地,还包括:
通过日志的形式记录所有对虚拟机磁盘文件的拷贝行为。
优选地,所述防窃取装置采用串行连接的方式设置在企业网络和管理网络之间,构建多访问方式下统一的认证通道。
优选地,所述防窃取装置为双机热备的方式部署。
优选地,所述管理网络包括ESXi宿主机和vCenter Server服务器。
优选地,所述企业网络的访问包括:通过登录vCenter Server管理控制平台,访问云端资源,对虚拟机磁盘文件的读取或拷贝;通过远程传输协议方式直接连接ESXi主机的hypervisor,使用命令行工具访问数据存储。
优选地,所述日志以Excel、TXT或HTM格式存储。
优选地,还包括:检测到文件的下载行为时,发出警告。
上述技术方案具有如下有益效果:
本技术方案对虚拟机磁盘文件的拷贝请求并进行分析,认证用户身份并核查操作请求的合法性,阻断非法请求,提升云环境中虚拟机磁盘文件的保密性;检测到文件的下载行为时,向***管理员发出警告;日志记录用户登录和虚拟磁盘文件的拷贝行为,并提供集中式的日志检索服务。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提出的一种云环境下虚拟机防窃取方法流程图;
图2为VMware云环境体系结构示意图;
图3为本实施例云环境下虚拟机防窃取***体系结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本技术方案的工作原理:本发明提出一种云环境下虚拟机防窃取方法,本技术方案通过在管理网络和企业网络间部署防窃取装置的方式,构建多访问方式下统一的认证通道;截获用户对虚拟机磁盘文件的拷贝请求并进行分析,认证用户身份并核查操作请求的合法性,阻断非法请求,提升云环境中虚拟机磁盘文件的保密性。
进一步地,本技术方案检测到文件的下载行为时,向***管理员发出警告;日志记录用户登录和虚拟磁盘文件的拷贝行为,并提供集中式的日志检索服务,具有安全、实用等特点。
基于上述工作原理,本发明提出一种云环境下虚拟机防窃取方法,如图1所示。包括:
步骤101):获取企业网络对管理网络中磁盘文件的所有拷贝请求;
步骤102):从所述拷贝请求中获得用户身份认证信息,并根据所述用户身份认证信息验证用户身份;
步骤103):如果拷贝请求中的用户身份通过验证,则检测所述拷贝请求中执行任务和操作与对应的操作权限是否匹配;
步骤104):如果拷贝请求得到合法验证,则所述防窃取装置内运行的应用程序会暂时终止用户的连接,控制本次拷贝操作;否则,则所述防窃取装置内运行的应用程序会阻断用户请求;实现云环境下虚拟机防窃取。
上述方法中,涉及了防窃取装置。该装置为物理设备,采用串行连接的方式部署在管理网络和企业网络之间,构建多访问方式下统一的认证通道,管理网络由ESXi宿主机和vCenter Server服务器构成。***采用B/S架构,管理员通过Web浏览器登录管理界面,方便配置安全策略并查看日志记录。为防止单点故障,装置采用双机热备的方式部署。
如图2所示,为VMware云环境体系结构示意图。在VMware ESXi的体系结构中,ESXi宿主机被挂载在vCenter Server下,建立高可用性主机集群,vCenter提供图形界面对虚拟化云环境中的各类资源和策略进行统一的管理和配置。ESXi宿主机和vCenter Server所在的网络被定义为云环境的管理网络,主要有两类访问方法。一是通过登录vCenter Server管理控制平台,访问云端资源,实现对虚拟机磁盘文件的读取或拷贝,这类用户包括Web客户端、vSphere客户端,以及数据中心的备份设备;二是通过远程传输协议等方式直接连接ESXi主机的hypervisor,使用命令行工具访问数据存储,包括SSH登录、Remote-CLI登录,以及通过应用程序编程接口获取hypervisor底层数据等。
如图3所示,为本实施例云环境下虚拟机防窃取***体系结构示意图。在本实施例中,防窃取装置将首先启用主机服务器内置的轻量级防火墙,设定只有本装置的IP地址才可以发送管理命令,从而禁止ESXi宿主机和vCenter Server从其他渠道接收管理指令。之后防窃取装置将监控所有通过的数据包,如果连接指向一台被保护的ESXi宿主机或vCenter Server,并且是通过管理端口到达的,防窃取装置上的应用程序将会接管该连接,并对磁盘文件拷贝请求的合法性进行验证。反之,装置将会直接让连接通过而不做管理。
对于本实施例来说,防窃取装置将从vCenter Server中导入对用户的身份认证信息,对磁盘文件的访问控制策略可通过装置的管理Web界面自主创建,或者从vCenter中导入既有的安全策略。策略创建完成后,将用于监管和规范对虚拟机磁盘文件的访问和操作。
在运行过程时,防窃取装置将截获用户对管理网络中磁盘文件的所有拷贝请求,这些请求可能来自vShere Client、Web Client、虚拟机备份设备、SSH、ESXi Remote-CLI、应用程序编程接口等,并对这些请求进行分析。首先验证用户身份,确保用户身份是被认证的合法用户,然后检查其将要执行的任务和操作与对应的操作权限是否匹配。若用户通过验证且请求合法,防窃取装置内运行的应用程序会暂时终止用户的连接,然后以用户的身份重新开始一个从应用程序到目标主机的对话。通过这样的操作,控制用户对虚拟机磁盘文件执行的所有拷贝操作。若用户没有获得授权或请求不合法,应用程序将终止那些没有通过认证的用户操作。以上过程对用户完全透明,对用户的操作体验没有任何影响。
与此同时,对于合法用户的拷贝操作,装置将会记录日志信息,包括远程文件拷贝记录、使用安全文件传输协议的传输记录、数据存储浏览器过程中的高级应用程序接口的***调用等等,弥补VMware体系架构中日志记录功能的不足。并将所有的访问和拷贝操作的日志以Excel、TXT或HTM格式保存下来,提供集中式的日志检索服务,便于管理员的查询和审计。
根据上述实施例的描述可知,防窃取装置为物理设备,采用双机热备的方式部署在管理网络和企业网络之间,将多种认证登录渠道合并,实现身份认证的整合。软件方面,应用程序基于Windows Server操作***自主研发,提供对用户友好的管理界面,方便设备管理员进行配置,防窃取装置具有的功能包括:
1):从vCenter Server中导入云环境中各类用户的身份认证信息,包括用户、角色和权限。
2):提供对磁盘文件访问控制策略的创建、删除、修改功能,以及从vCenterServer中导入既有的安全策略。策略创建完成后,将用于监管和规范对虚拟机磁盘文件的访问和操作。
3):截获用户对管理网络中磁盘文件的所有拷贝请求,并对这些请求进行分析。首先验证用户身份,然后核查用户拷贝操作的合法性。若操作合法,应用将接管该连接,控制本次拷贝操作。反之,应用程序将阻断用户请求。
4):通过日志,记录所有对虚拟机磁盘文件的拷贝行为,包括远程文件拷贝记录、使用安全文件传输协议的传输记录、数据存储浏览器过程中的高级应用程序接口的***调用等。日志以Excel、TXT或HTM格式保存,以便提供集中式的检索服务。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (7)

1.一种云环境下虚拟机防窃取方法,其特征在于,该方法基于防窃取装置进行,所述防窃取装置采用串行连接的方式设置在企业网络和管理网络之间,构建多访问方式下统一的认证通道;所述防窃取装置启用主机服务器内置的防火墙,设定只有所述防窃取装置的IP地址发送的管理命令被管理网络接收;防窃取的方法包括:
获取企业网络对管理网络中磁盘文件的所有拷贝请求;
从所述拷贝请求中获得用户身份认证信息,并根据所述用户身份认证信息验证用户身份;
如果拷贝请求中的用户身份通过验证,则检测所述拷贝请求中执行任务和操作与对应的操作权限是否匹配;
如果拷贝请求得到合法验证,则所述防窃取装置内运行的应用程序会暂时终止用户的连接,控制本次拷贝操作;否则,则所述防窃取装置内运行的应用程序会阻断用户请求;实现云环境下虚拟机防窃取。
2.如权利要求1所述的方法,其特征在于,还包括:
通过日志的形式记录所有对虚拟机磁盘文件的拷贝行为。
3.如权利要求1所述的方法,其特征在于,所述防窃取装置为双机热备的方式部署。
4.如权利要求1或2所述的方法,其特征在于,所述管理网络包括ESXi宿主机和vCenterServer服务器。
5.如权利要求1或2所述的方法,其特征在于,所述企业网络的访问包括:通过登录vCenter Server管理控制平台,访问云端资源,对虚拟机磁盘文件的读取或拷贝;通过远程传输协议方式直接连接ESXi主机的hypervisor,使用命令行工具访问数据存储。
6.如权利要求2所述的方法,其特征在于,所述日志以Excel、TXT或HTM格式存储。
7.如权利要求1或2所述的方法,其特征在于,还包括:
检测到文件的下载行为时,发出警告。
CN201510599733.6A 2015-09-18 2015-09-18 一种云环境下虚拟机防窃取方法 Active CN105120010B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510599733.6A CN105120010B (zh) 2015-09-18 2015-09-18 一种云环境下虚拟机防窃取方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510599733.6A CN105120010B (zh) 2015-09-18 2015-09-18 一种云环境下虚拟机防窃取方法

Publications (2)

Publication Number Publication Date
CN105120010A CN105120010A (zh) 2015-12-02
CN105120010B true CN105120010B (zh) 2019-01-22

Family

ID=54667893

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510599733.6A Active CN105120010B (zh) 2015-09-18 2015-09-18 一种云环境下虚拟机防窃取方法

Country Status (1)

Country Link
CN (1) CN105120010B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106548066A (zh) * 2016-11-01 2017-03-29 广东浪潮大数据研究有限公司 一种保护虚拟机的方法及装置
CN107391991A (zh) * 2017-07-17 2017-11-24 郑州云海信息技术有限公司 一种安全的设备间数据拷贝方法和***
CN112541168A (zh) * 2020-12-04 2021-03-23 中国电子信息产业集团有限公司第六研究所 一种数据的防窃取方法、***及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102663278A (zh) * 2012-03-09 2012-09-12 浪潮通信信息***有限公司 云计算模式物联网平台数据处理安全保护方法
CN103634314A (zh) * 2013-11-28 2014-03-12 杭州华三通信技术有限公司 一种基于虚拟路由器vsr的服务访问控制方法及设备
EP2712141A1 (en) * 2011-08-26 2014-03-26 Huawei Technologies Co., Ltd Method, system and device for authenticating ip phone and negotiating voice field

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2712141A1 (en) * 2011-08-26 2014-03-26 Huawei Technologies Co., Ltd Method, system and device for authenticating ip phone and negotiating voice field
CN102663278A (zh) * 2012-03-09 2012-09-12 浪潮通信信息***有限公司 云计算模式物联网平台数据处理安全保护方法
CN103634314A (zh) * 2013-11-28 2014-03-12 杭州华三通信技术有限公司 一种基于虚拟路由器vsr的服务访问控制方法及设备

Also Published As

Publication number Publication date
CN105120010A (zh) 2015-12-02

Similar Documents

Publication Publication Date Title
TWI744797B (zh) 用於將安全客體之安全金鑰繫結至硬體安全模組之電腦實施方法、系統及電腦程式產品
US9646019B2 (en) Secure isolation of tenant resources in a multi-tenant storage system using a security gateway
EP2880589B1 (en) Trusted execution environment virtual machine cloning
Scarfone Guide to security for full virtualization technologies
US8544070B2 (en) Techniques for non repudiation of storage in cloud or shared storage environments
US20090276774A1 (en) Access control for virtual machines in an information system
US8254579B1 (en) Cryptographic key distribution using a trusted computing platform
JP2019197561A (ja) ローリングセキュリティプラットフォーム
US20140330936A1 (en) Secure isolation of tenant resources in a multi-tenant storage systemwith inter-server communication
US20110154023A1 (en) Protected device management
KR20170062529A (ko) 빠른 스마트 카드 로그온 및 연합된 풀 도메인 로그온
CN103002445A (zh) 一种安全的提供应用服务的移动电子设备
US9740870B1 (en) Access control
CN110764871A (zh) 一种基于云平台的拟态化应用封装与控制***和方法
CN111107044A (zh) 数据安全管理方法和信息化管理平台
EP2862119B1 (en) Network based management of protected data sets
LaBarge et al. Cloud penetration testing
CN105120010B (zh) 一种云环境下虚拟机防窃取方法
CN110543775B (zh) 一种基于超融合理念的数据安全防护方法及***
KR102275764B1 (ko) 가변 컴퓨터 파일시스템이 적용된 데이터 저장장치
Sun et al. Cloud armor: Protecting cloud commands from compromised cloud services
CN116018580B (zh) 用于跨云壳层的实例持久化数据的技术
Scarfone et al. Sp 800-125. guide to security for full virtualization technologies
Ver Dynamic load balancing based on live migration of virtual machines: Security threats and effects
CN107516039B (zh) 虚拟化***的安全防护方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant