中标软件有限公司
全国客服电话:400-089-1870
上海总部
电话:021-51098866
上海市番禺路1028号数娱大厦10层
北京分公司
电话:010-51659955
北京市北四环西路9号银谷大厦20层
细数银河麒麟5大虚拟化安全功能,让安全无懈可击!
2020年12月17日 浏览次数:1620次 国产操作系统中标软件
近日,麒麟软件积极推进基于银河麒麟高级服务器操作系统V10的虚拟化平台。银河麒麟服务器虚拟化系统不仅能够提供扩展性好、运行稳定的虚拟化服务器平台,还能提供统一、高效的虚拟化资源管理、配置和监控平台,更能提供实施高效的实体机与虚拟机之间资源迁移解决方案,它将帮助广大中小企业快速建立易用、高效的虚拟化实施平台。
当社会信息安全已经关系到一个企业和国家安全时,信息安全问题无忧也就为国家和社会稳定提供了可靠的保障。那么,虚拟化系统中的安全加固模块都有哪些?在应用方面,虚拟化特有的安全功能又有哪些呢?
事实上,在虚拟化系统中的安全加固模块“家族成员众多”,主要分为:虚拟机加解密、虚拟机启动完整性校验、可信引导、ukey、终端管理、锁定管理、时间登录限制、主机虚拟机性能监控、防火墙、selinux安全策略增强、审计规则增强、完整性校验规则增强等等。
在这个大家族中,可谓“各路英雄汇聚,人人有武艺绝活儿”,下面就让我们来领略一下虚拟化特有的安全功能吧。
虚拟机加解密
应用场景:作为密码安全的硬件支撑,它可以嵌入到服务器类设备使用,提供高安全等级的敏感数据保护。对于一些保密单位,为了确保虚拟机镜像信息不被窃取,常常对虚拟机磁盘信息进行加密保护,这时候它可提供国密算法SM1、SM2、SM3、SM4的算法支撑,可以满足便捷要求性高,性能相对较小的密码算法场景。即便当虚拟机磁盘被窃取后,也没有相对应的密钥进行解密,就轻松保护了磁盘信息。
虚拟机启动完整性校验
虚拟机启动完整性校验主要对用户所建的虚拟机磁盘进行校验,可以校验磁盘的MD5值,磁盘的大小,磁盘的路径,并且建立web server与SC通信。
只要vm-measure服务启动,就能时时刻刻校验虚拟机磁盘,当磁盘被篡改的时候,它可以提示虚拟机完整性已经改变,告知用户自己的磁盘已经被篡改,从而起到安全提示作用。
可信引导
可信引导是指虚拟化系统在开机引导的时候对内核模块进行安全校验,当我们的主机被病毒非法入侵或者内核参数被篡改的时候,它可以在启动阶段提示用户该内核不可信。
体系结构框图:
可信引导模块主要通过case_tcm和grub2 file check两部分来实现。
case_tcm:grub2的tools中的组件,主要功能遍历启动分区下的所有文件,并将所有文件生成对应的SM3的64位hash值写入文件MCF*中,为grub2主流程在系统启动时对启动分区文件进行校验提供比对信息,通过命令:“case_tcm 1”开启可信引导,通过命令“case_tcm 0”关闭可信引导。
grub2 file check:在系统启动引导时,grub2主流程会对MFC*中文件列表所列文件进行SM3校验,然后进行相关信息提示。
假如我们修改一下启动参数,并且开启可信引导,系统启动的时候就会有警告提示:
UKEY
我们的虚拟化系统是提供三员机制的,某些应用场景对登录的安全性要求比较高,只是用户名对应相应的密码这种安全机制已经不能满足保密的需求,所以就引入了UKEY。UKEY是一种USB直接与计算机相连、具有密码验证功能、可靠高速的小型存储设备,通过内置芯片的运算进行加密,可以实现UKEY对应用户的一对一机制,比如当安全管理员开启UKEY认证的时候,若我们不插入安全管理员的UKEY则无法登陆,而若使用其他的用户的UKEY登录则提示UKEY不匹配。
终端管理
终端管理,换言之就是能不能登录取决于安全管理员,安全管理员可以指定哪些终端有登录权限。首先安全管理员开启终端登录限制功能,然后添加允许登录的终端的IP、mac地址、硬盘序列号即可,当开启了此功能后,要想登录虚拟化平台,必须由安全管理员进行添加。