CN105120010A - 一种云环境下虚拟机防窃取方法 - Google Patents

一种云环境下虚拟机防窃取方法 Download PDF

Info

Publication number
CN105120010A
CN105120010A CN201510599733.6A CN201510599733A CN105120010A CN 105120010 A CN105120010 A CN 105120010A CN 201510599733 A CN201510599733 A CN 201510599733A CN 105120010 A CN105120010 A CN 105120010A
Authority
CN
China
Prior art keywords
user
virtual machine
copy
stealing
theft device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510599733.6A
Other languages
English (en)
Other versions
CN105120010B (zh
Inventor
陈乐然
王刚
陈威
徐小天
石磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
North China Electric Power Research Institute Co Ltd
Original Assignee
State Grid Corp of China SGCC
North China Electric Power Research Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, North China Electric Power Research Institute Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN201510599733.6A priority Critical patent/CN105120010B/zh
Publication of CN105120010A publication Critical patent/CN105120010A/zh
Application granted granted Critical
Publication of CN105120010B publication Critical patent/CN105120010B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及一种云环境下虚拟机防窃取方法,该方法基于防窃取装置进行,所述防窃取装置启用主机服务器内置的防火墙,设定只有所述防窃取装置的IP地址发送的管理命令被管理网络接收;防窃取的方法包括:获取企业网络对管理网络中磁盘文件的所有拷贝请求;从所述拷贝请求中获得用户身份认证信息,并根据所述用户身份认证信息验证用户身份;如果拷贝请求中的用户身份通过验证,则检测所述拷贝请求中执行任务和操作与对应的操作权限是否匹配;如果拷贝请求得到合法验证,则所述防窃取装置内运行的应用程序会暂时终止用户的连接,控制本次拷贝操作;否则,则所述防窃取装置内运行的应用程序会阻断用户请求;实现云环境下虚拟机防窃取。

Description

一种云环境下虚拟机防窃取方法
技术领域
本发明涉及网络安全技术领域,特别涉及一种云环境下虚拟机防窃取方法。
背景技术
虚拟化技术给予了现代化数据中心高效的硬件资源利用率和强大的运行稳定性,大幅提升了企业的业务连续性、灾难恢复和办公自动化能力,并因此得到了IT界的普遍认可。毫无疑问地,虚拟化技术提供了很多物理服务器无法比拟的优势,但是在虚拟化环境中仍然有一些需要注意的意想不到的安全风险,比如虚拟机磁盘文件被窃取的风险。
在虚拟化的基础架构中,虚拟机以单独的虚拟磁盘文件的形式(.vmdk文件)被封装在宿主机中运行,并为用户提供服务。但是对于具有对应访问权限的用户来讲,复制磁盘文件、通过移动存储设备拷贝,并窃取文件中的数据并非难事。
以VMware公司的ESXi体系结构为例,在一般的情况下有两种方法可以读取虚拟机的虚拟磁盘文件。第一种方法是通过ESXi宿主机的管理界面,如果拥有根密码或者主机上的用户账号,使用ESXi主机预装的命令行工具vmkfstools或第三方的虚拟磁盘文件拷贝工具,就可以轻松读取包含虚拟机文件的VMFS卷。第二种方法是通过vSphere或者包含有内置数据存储浏览器的VMware基础架构客户端,可以实现对数据存储的直接访问,执行删除、拷贝、修改等操作。得到磁盘数据后,也有很多种方法可以访问磁盘文件,例如使用VMware的虚拟磁盘开发工具包将虚拟磁盘文件挂载到PC机中,浏览虚拟机上的文件,或者将虚拟机文件导入VMware的运行环境中(例如VMwareWorkstation),然后开启虚拟机,再使用口令破解工具突破身份认证,就可以随意读取磁盘中的敏感数据。由此可见,对虚拟机数据的防窃取保护主要体现在对虚拟磁盘文件,即对你VMDK文件的保护上。
在VMware的基础架构中,提供了中等强度的用户权限控制功能,包括从多方位限制普通用户接入平台管理端口,将用户权限的分配按主机、虚拟机、存储、网络等对象实例进行分配,通过在对象上绑定“用户+角色”的方式限定每个用户或用户组对对象的操作权限。
在这种权限控制机制下,依然存在两方面的安全风险。一是缺乏在多访问方式下对虚拟机磁盘文件拷贝操作的有效管控,例如通过SSH、ESXiRemote-CLT等工具登录ESXi宿主机,以及通过应用程序编程接口(API)访问hypervisor底层数据时,缺乏对用户操作合法性的有效核查。
二是缺乏对拷贝操作的告警功能,以及对文件拷贝行为的日志记录功能较弱。在vCenterServer或者ESXi主机内并没有内置的审计或者告警功能可以通知有客户端正在进行虚拟磁盘文件的拷贝操作。此外,通过vCenterServer下载存储中的虚拟机文件时,所使用的安全文件传输协议(SFTP)或SCP等远程文件拷贝指令的相关操作在ESXi系统中并不会留下任何痕迹,故难以追踪非法的数据拷贝行为。
发明内容
为解决现有技术的问题,本发明提出一种云环境下虚拟机防窃取方法,阻断非法请求,提升云环境中虚拟机磁盘文件的保密性。
为实现上述目的,本发明提供了一种云环境下虚拟机防窃取方法,该方法基于防窃取装置进行,所述防窃取装置启用主机服务器内置的防火墙,设定只有所述防窃取装置的IP地址发送的管理命令被管理网络接收;防窃取的方法包括:
获取企业网络对管理网络中磁盘文件的所有拷贝请求;
从所述拷贝请求中获得用户身份认证信息,并根据所述用户身份认证信息验证用户身份;
如果拷贝请求中的用户身份通过验证,则检测所述拷贝请求中执行任务和操作与对应的操作权限是否匹配;
如果拷贝请求得到合法验证,则所述防窃取装置内运行的应用程序会暂时终止用户的连接,控制本次拷贝操作;否则,则所述防窃取装置内运行的应用程序会阻断用户请求;实现云环境下虚拟机防窃取。
优选地,还包括:
通过日志的形式记录所有对虚拟机磁盘文件的拷贝行为。
优选地,所述防窃取装置采用串行连接的方式设置在企业网络和管理网络之间,构建多访问方式下统一的认证通道。
优选地,所述防窃取装置为双机热备的方式部署。
优选地,所述管理网络包括ESXi宿主机和vCenterServer服务器。
优选地,所述企业网络的访问包括:通过登录vCenterServer管理控制平台,访问云端资源,对虚拟机磁盘文件的读取或拷贝;通过远程传输协议方式直接连接ESXi主机的hypervisor,使用命令行工具访问数据存储。
优选地,所述日志以Excel、TXT或HTM格式存储。
优选地,还包括:检测到文件的下载行为时,发出警告。
上述技术方案具有如下有益效果:
本技术方案对虚拟机磁盘文件的拷贝请求并进行分析,认证用户身份并核查操作请求的合法性,阻断非法请求,提升云环境中虚拟机磁盘文件的保密性;检测到文件的下载行为时,向系统管理员发出警告;日志记录用户登录和虚拟磁盘文件的拷贝行为,并提供集中式的日志检索服务。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提出的一种云环境下虚拟机防窃取方法流程图;
图2为VMware云环境体系结构示意图;
图3为本实施例云环境下虚拟机防窃取系统体系结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本技术方案的工作原理:本发明提出一种云环境下虚拟机防窃取方法,本技术方案通过在管理网络和企业网络间部署防窃取装置的方式,构建多访问方式下统一的认证通道;截获用户对虚拟机磁盘文件的拷贝请求并进行分析,认证用户身份并核查操作请求的合法性,阻断非法请求,提升云环境中虚拟机磁盘文件的保密性。
进一步地,本技术方案检测到文件的下载行为时,向系统管理员发出警告;日志记录用户登录和虚拟磁盘文件的拷贝行为,并提供集中式的日志检索服务,具有安全、实用等特点。
基于上述工作原理,本发明提出一种云环境下虚拟机防窃取方法,如图1所示。包括:
步骤101):获取企业网络对管理网络中磁盘文件的所有拷贝请求;
步骤102):从所述拷贝请求中获得用户身份认证信息,并根据所述用户身份认证信息验证用户身份;
步骤103):如果拷贝请求中的用户身份通过验证,则检测所述拷贝请求中执行任务和操作与对应的操作权限是否匹配;
步骤104):如果拷贝请求得到合法验证,则所述防窃取装置内运行的应用程序会暂时终止用户的连接,控制本次拷贝操作;否则,则所述防窃取装置内运行的应用程序会阻断用户请求;实现云环境下虚拟机防窃取。
上述方法中,涉及了防窃取装置。该装置为物理设备,采用串行连接的方式部署在管理网络和企业网络之间,构建多访问方式下统一的认证通道,管理网络由ESXi宿主机和vCenterServer服务器构成。系统采用B/S架构,管理员通过Web浏览器登录管理界面,方便配置安全策略并查看日志记录。为防止单点故障,装置采用双机热备的方式部署。
如图2所示,为VMware云环境体系结构示意图。在VMwareESXi的体系结构中,ESXi宿主机被挂载在vCenterServer下,建立高可用性主机集群,vCenter提供图形界面对虚拟化云环境中的各类资源和策略进行统一的管理和配置。ESXi宿主机和vCenterServer所在的网络被定义为云环境的管理网络,主要有两类访问方法。一是通过登录vCenterServer管理控制平台,访问云端资源,实现对虚拟机磁盘文件的读取或拷贝,这类用户包括Web客户端、vSphere客户端,以及数据中心的备份设备;二是通过远程传输协议等方式直接连接ESXi主机的hypervisor,使用命令行工具访问数据存储,包括SSH登录、Remote-CLI登录,以及通过应用程序编程接口获取hypervisor底层数据等。
如图3所示,为本实施例云环境下虚拟机防窃取系统体系结构示意图。在本实施例中,防窃取装置将首先启用主机服务器内置的轻量级防火墙,设定只有本装置的IP地址才可以发送管理命令,从而禁止ESXi宿主机和vCenterServer从其他渠道接收管理指令。之后防窃取装置将监控所有通过的数据包,如果连接指向一台被保护的ESXi宿主机或vCenterServer,并且是通过管理端口到达的,防窃取装置上的应用程序将会接管该连接,并对磁盘文件拷贝请求的合法性进行验证。反之,装置将会直接让连接通过而不做管理。
对于本实施例来说,防窃取装置将从vCenterServer中导入对用户的身份认证信息,对磁盘文件的访问控制策略可通过装置的管理Web界面自主创建,或者从vCenter中导入既有的安全策略。策略创建完成后,将用于监管和规范对虚拟机磁盘文件的访问和操作。
在运行过程时,防窃取装置将截获用户对管理网络中磁盘文件的所有拷贝请求,这些请求可能来自vShereClient、WebClient、虚拟机备份设备、SSH、ESXiRemote-CLI、应用程序编程接口等,并对这些请求进行分析。首先验证用户身份,确保用户身份是被认证的合法用户,然后检查其将要执行的任务和操作与对应的操作权限是否匹配。若用户通过验证且请求合法,防窃取装置内运行的应用程序会暂时终止用户的连接,然后以用户的身份重新开始一个从应用程序到目标主机的对话。通过这样的操作,控制用户对虚拟机磁盘文件执行的所有拷贝操作。若用户没有获得授权或请求不合法,应用程序将终止那些没有通过认证的用户操作。以上过程对用户完全透明,对用户的操作体验没有任何影响。
与此同时,对于合法用户的拷贝操作,装置将会记录日志信息,包括远程文件拷贝记录、使用安全文件传输协议的传输记录、数据存储浏览器过程中的高级应用程序接口的系统调用等等,弥补VMware体系架构中日志记录功能的不足。并将所有的访问和拷贝操作的日志以Excel、TXT或HTM格式保存下来,提供集中式的日志检索服务,便于管理员的查询和审计。
根据上述实施例的描述可知,防窃取装置为物理设备,采用双机热备的方式部署在管理网络和企业网络之间,将多种认证登录渠道合并,实现身份认证的整合。软件方面,应用程序基于WindowsServer操作系统自主研发,提供对用户友好的管理界面,方便设备管理员进行配置,防窃取装置具有的功能包括:
1):从vCenterServer中导入云环境中各类用户的身份认证信息,包括用户、角色和权限。
2):提供对磁盘文件访问控制策略的创建、删除、修改功能,以及从vCenterServer中导入既有的安全策略。策略创建完成后,将用于监管和规范对虚拟机磁盘文件的访问和操作。
3):截获用户对管理网络中磁盘文件的所有拷贝请求,并对这些请求进行分析。首先验证用户身份,然后核查用户拷贝操作的合法性。若操作合法,应用将接管该连接,控制本次拷贝操作。反之,应用程序将阻断用户请求。
4):通过日志,记录所有对虚拟机磁盘文件的拷贝行为,包括远程文件拷贝记录、使用安全文件传输协议的传输记录、数据存储浏览器过程中的高级应用程序接口的系统调用等。日志以Excel、TXT或HTM格式保存,以便提供集中式的检索服务。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (8)

1.一种云环境下虚拟机防窃取方法,其特征在于,该方法基于防窃取装置进行,所述防窃取装置启用主机服务器内置的防火墙,设定只有所述防窃取装置的IP地址发送的管理命令被管理网络接收;防窃取的方法包括:
获取企业网络对管理网络中磁盘文件的所有拷贝请求;
从所述拷贝请求中获得用户身份认证信息,并根据所述用户身份认证信息验证用户身份;
如果拷贝请求中的用户身份通过验证,则检测所述拷贝请求中执行任务和操作与对应的操作权限是否匹配;
如果拷贝请求得到合法验证,则所述防窃取装置内运行的应用程序会暂时终止用户的连接,控制本次拷贝操作;否则,则所述防窃取装置内运行的应用程序会阻断用户请求;实现云环境下虚拟机防窃取。
2.如权利要求1所述的方法,其特征在于,还包括:
通过日志的形式记录所有对虚拟机磁盘文件的拷贝行为。
3.如权利要求1或2所述的方法,其特征在于,所述防窃取装置采用串行连接的方式设置在企业网络和管理网络之间,构建多访问方式下统一的认证通道。
4.如权利要求3所述的方法,其特征在于,所述防窃取装置为双机热备的方式部署。
5.如权利要求1或2所述的方法,其特征在于,所述管理网络包括ESXi宿主机和vCenterServer服务器。
6.如权利要求1或2所述的方法,其特征在于,所述企业网络的访问包括:通过登录vCenterServer管理控制平台,访问云端资源,对虚拟机磁盘文件的读取或拷贝;通过远程传输协议方式直接连接ESXi主机的hypervisor,使用命令行工具访问数据存储。
7.如权利要求2所述的方法,其特征在于,所述日志以Excel、TXT或HTM格式存储。
8.如权利要求1或2所述的方法,其特征在于,还包括:
检测到文件的下载行为时,发出警告。
CN201510599733.6A 2015-09-18 2015-09-18 一种云环境下虚拟机防窃取方法 Active CN105120010B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510599733.6A CN105120010B (zh) 2015-09-18 2015-09-18 一种云环境下虚拟机防窃取方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510599733.6A CN105120010B (zh) 2015-09-18 2015-09-18 一种云环境下虚拟机防窃取方法

Publications (2)

Publication Number Publication Date
CN105120010A true CN105120010A (zh) 2015-12-02
CN105120010B CN105120010B (zh) 2019-01-22

Family

ID=54667893

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510599733.6A Active CN105120010B (zh) 2015-09-18 2015-09-18 一种云环境下虚拟机防窃取方法

Country Status (1)

Country Link
CN (1) CN105120010B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106548066A (zh) * 2016-11-01 2017-03-29 广东浪潮大数据研究有限公司 一种保护虚拟机的方法及装置
CN107391991A (zh) * 2017-07-17 2017-11-24 郑州云海信息技术有限公司 一种安全的设备间数据拷贝方法和系统
CN112541168A (zh) * 2020-12-04 2021-03-23 中国电子信息产业集团有限公司第六研究所 一种数据的防窃取方法、系统及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102663278A (zh) * 2012-03-09 2012-09-12 浪潮通信信息系统有限公司 云计算模式物联网平台数据处理安全保护方法
CN103634314A (zh) * 2013-11-28 2014-03-12 杭州华三通信技术有限公司 一种基于虚拟路由器vsr的服务访问控制方法及设备
EP2712141A1 (en) * 2011-08-26 2014-03-26 Huawei Technologies Co., Ltd Method, system and device for authenticating ip phone and negotiating voice field

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2712141A1 (en) * 2011-08-26 2014-03-26 Huawei Technologies Co., Ltd Method, system and device for authenticating ip phone and negotiating voice field
CN102663278A (zh) * 2012-03-09 2012-09-12 浪潮通信信息系统有限公司 云计算模式物联网平台数据处理安全保护方法
CN103634314A (zh) * 2013-11-28 2014-03-12 杭州华三通信技术有限公司 一种基于虚拟路由器vsr的服务访问控制方法及设备

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106548066A (zh) * 2016-11-01 2017-03-29 广东浪潮大数据研究有限公司 一种保护虚拟机的方法及装置
CN107391991A (zh) * 2017-07-17 2017-11-24 郑州云海信息技术有限公司 一种安全的设备间数据拷贝方法和系统
CN112541168A (zh) * 2020-12-04 2021-03-23 中国电子信息产业集团有限公司第六研究所 一种数据的防窃取方法、系统及存储介质

Also Published As

Publication number Publication date
CN105120010B (zh) 2019-01-22

Similar Documents

Publication Publication Date Title
TWI744797B (zh) 用於將安全客體之安全金鑰繫結至硬體安全模組之電腦實施方法、系統及電腦程式產品
US20190342309A1 (en) Data protection in a networked computing environment
CN106534362B (zh) 一种基于云平台的软件资源共享的方法以及装置
CN104268484B (zh) 一种基于虚拟隔离机制的云环境下数据防泄漏方法
CN110661831B (zh) 一种基于可信第三方的大数据试验场安全初始化方法
CN111082940A (zh) 物联网设备控制方法、装置及计算设备、存储介质
CN107634951A (zh) Docker容器安全管理方法、系统、设备及存储介质
Pasquale et al. Adaptive evidence collection in the cloud using attack scenarios
US9619262B2 (en) Techniques for security auditing of cloud resources
CN103810422A (zh) 一种基于镜像智能管理的安全虚拟化隔离方法
US11481478B2 (en) Anomalous user session detector
Luo et al. Virtualization security risks and solutions of cloud computing via divide-conquer strategy
CN111107044A (zh) 数据安全管理方法和信息化管理平台
US10637864B2 (en) Creation of fictitious identities to obfuscate hacking of internal networks
CN113132318A (zh) 面向配电自动化系统主站信息安全的主动防御方法及系统
CN105120010A (zh) 一种云环境下虚拟机防窃取方法
CN111212077A (zh) 主机访问系统及方法
Chadha et al. Security aspects of cloud computing
Wu et al. Public cloud security protection research
Anupa et al. Cloud workflow and security: A survey
JP6933320B2 (ja) サイバーセキュリティフレームワークボックス
CN114491452A (zh) 面向云主机和云堡垒机实现云资源多账户权限管控的方法
KR102034883B1 (ko) 보안 오케스트레이션 시스템
Falk et al. System Integrity Monitoring for Industrial Cyber Physical Systems
Tang The research on cloud computing security model and countermeasures

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant