服務器虛擬化技術及安全策略

來源:用戶上傳      作者:

　　摘 要：隨著計算機技術水平的不斷提升和互聯網的不斷普及，服務器虛擬化技術應用范圍隨之擴大，對其服務器虛擬化技術應用過程中的風險防范工作受到重視。本文從高資源利用率帶來的風險問題、虛擬化網絡環境存在的風險問題以及虛擬化管理工具保護方面存下的風險三個方面入手，對服務器虛擬化運行期間存在的安全風險問題展開分析。在此基礎上，對其運行安全風險防范策略提出具體建議。
　　關鍵詞：服務器 虛擬化技術 全虛擬化 安全風險
　　中圖分類號：TP393 文獻標識碼：A 文章編號：1674-098X（2019）03（c）-0135-02
　　在計算機技術不斷創新發展的背景下，虛擬化技術自身的應用優勢逐漸凸顯出來，并且在諸多商業高端服務器中也得到了較為廣泛的應用。但是從另一方面來看，服務器虛擬化技術的應用雖然有利于實現對資源的高效整合與控制管理成本，但是服務器在運行過程中的安全風險也隨之有所提升。為了保證服務器虛擬化技術運行安全，對其進行合理化控制具有重要的現實意義。
　　1 服務器虛擬化技術基本內容
　　1.1 全虛擬化內容
　　在分析研究服務器虛擬化技術基本內容這一問題時，對于全虛擬化內容的理解，主要在于直接執行技術和DBT同時應用的情況，這樣有利于實現操作系統虛擬化的根本目標。在虛擬機中的DBT在保持穩定運行狀態時，想要在VMM中嵌入相關指令，需要在敏感指令執行前插入相應的陷入指令，在此基礎上，當指令通過VMM便會轉化為能夠訪問虛擬硬件的功能指令[1]。除此之外，雖然虛擬化中的所有指令均為 Hypervisor翻譯操作系統擁有，但是其中CPU仍舊具有執行用戶級指令的權限，借助虛擬化層使物理硬件中的客戶操作系統抽取出來，同時不需要通過系統內核中的任何變動支持，體現了應用優勢。
　　1.2 半虛擬化內容
　　服務器虛擬化技術應用過程中，半虛擬化技術往往需要對計算機用戶的操作系統內核進行相應的修改，或者通過對無法虛擬化的指令進行替換，最終通過Hypervisor實現某些敏感指令的調用。綜合分析半虛擬化技術應用的實際情況，可以發現在半虛擬化技術中，計算機操作系統應該具備與虛擬化平臺兩者兼容的功能，以此來確保半虛擬化中使物理機可以對虛擬機進行有效操作，否則會對其應用效果產生較大的應用，使虛擬機無法正常操作宿主的計算機?，F階段應用較為廣泛的半虛擬化技術有Xen，其控制主體方面主要涉及VMM與Domain0，其中在硬件中運行的主要為VMM，能夠對內存、主要設備和相關處理器實施虛擬化，而Domain0為虛擬機中大部分設備的操作起到一定的輔助作用。
　　1.3 硬件輔助虛擬化內容
　　服務器虛擬化技術應用范圍的不斷擴大，在很大程度上使得物理服務器應用數量不斷減少。與傳統物理服務器應用情況相比，虛擬化技術的應用為服務器的運行增加了全新的模式，這一模式為Root[2]。在Root運行模式下，服務器虛擬化技術可以在Root模式下實現穩定運行，并且Root模式的構建往往在RingO下，敏感指令可以直接在Hypervisor執行，不需要借助BT或者半虛擬技術。期間，計算機用戶只需要通過將操作系統狀態保存在虛擬機控制結構中或者虛擬機控制模塊中的方式實現相關訴求。
　　2 服務器虛擬化運行期間存在的安全風險問題
　　2.1 高資源利用率帶來的風險問題
　　早在2011年，囯網德州供電公司所全面實施的服務器虛擬化應用整合項目，通過將VMware虛擬服務器管理技術靈活應用在服務器中這一方式，實現了對虛擬化服務器的統籌管理。與此同時，通過對虛擬服務器關鍵業務實施的科學整合，實現而來11臺物理服務器逐步遷移到2個刀片服務器的虛擬化環境中，從而大大提升了服務器的利用率。綜合分析來看，服務器虛擬化技術的廣泛應用，促進了高資源利用率的提升，但是隨之帶來的安全風險問題，對于服務器虛擬化運行產生了直接的影響。
　　2.2 虛擬化網絡環境存在的風險問題
　　與傳統的物理服務器運行模式對比分析，服務器虛擬技術在物理硬件以及虛擬服務器兩者之間引入了虛擬層，也就是常說的虛擬機監控器。而虛擬技術的應用也為服務器本身的安全性帶來了一定的風險。服務器虛擬化技術應用過程中，由于虛擬化網絡環境所導致的安全風險問題，主要體現在以下方面：在非虛擬化環境中，可以通過防火墻、IPS等設備對不同的服務器制定差異化的安全管理方案，該環境中的安全風險問題是有界限的，同時風險危害性的擴散也相對有限[3]。而在虛擬環境中，傳統的邊界防護設備難以捕捉到虛擬網絡通信，進而加大了服務器虛擬化運行的安全風險防范工作開展難度。另一方面，虛擬化環境中，同一臺物理服務器上運行的虛擬機，彼此之間均借助虛擬網絡實現通信，這一因素會在很大程度上導致傳統邊界防護作用無法真正發揮。
　　2.3 虛擬化管理工具保護方面存下的風險
　　虛擬化管理工具保護方面存在的風險問題，主要與虛擬化環境中管理工具缺乏完善的保護措施有著直接的聯系。虛擬化管理工作可以為服務器虛擬化技術的應用創造極大的便利條件，但是受到這一因素的影響，也使得虛擬化管理工具本身容易受到攻擊。如果沒有采取針對性的風險應對策略，一旦惡意攻擊者獲得了管理工具的相關權限，會對整個服務器虛擬環境帶來巨大的威脅，嚴重時這一威脅將會是災難性的。同時，虛擬機遷移后者虛擬機間的網絡通信，可以進一步加大服務器虛擬化技術應用的安全風險，服務器遭受外部滲透攻擊的機會也會隨著提升。比如：部分用作測試目的的虛擬機，可能會在運行過程中與一些重要的虛擬機之間共同存在同一虛擬局域網內，從而為外部滲透攻擊提供便利條件。
　　3 服務器虛擬化技術安全防范措施
　　3.1 優化服務器虛擬化技術分類部署
　　優化服務器虛擬化技術分類部署，有利于增強虛擬服務器運行邏輯隔離的安全性，在實現網絡隔離以及提升系統整體安全性等方面也同樣發揮著積極的作用。在具體的工作中，可以從細化網絡設置這一角度出發，即：將公共的虛擬機和專用的虛擬機兩者進行分開設置，必要時也可以將其按照服務器虛擬化技術類型分開設置。比如，將其分成系統虛擬服務器、應用程序類虛擬服務器以及數據庫虛擬服務器幾種類型。通過合理分類虛擬服務器與數據庫服務器，使其在各自的網絡分段中運行，可以在最大程度上降低數據經由網絡從一個虛擬機分區泄露至另一個虛擬機分區的安全風險。此外，虛擬化環境的邊界防護需要切實細化到每個虛擬機，保證邊界防護可以對每個虛擬機進行識別，從而實現對虛擬機邊界訪問的嚴密控制。這一措施，與所有虛擬化系統均是依靠虛擬層來實現這一理念相符合，為了達到高效的安全管理目的，邊界防護應該做到對虛擬層提供安全服務的充分利用。 　　3.2 強化對虛擬化基礎設施的保護
　　強化對虛擬化基礎設施的保護，是現階段服務器虛擬化技術應用安全管理的重要措施。虛擬化管理工具作為支持整體系統正常運行工作的基礎，也是系統安全管理的中樞，所有虛擬機的生產、策略設備和后期維護，均需要依靠虛擬化管理工具來實現。以VMware虛擬化管理工具為例，在VMware虛擬化環境中，通過對管理控制臺VMware本地管理人員的集中控制，可以有效化解虛擬化管理工具自身由于缺乏安全保護所帶來的風險問題。期間，VMware本地管理人員具有最大的管理員權限，想要實現其管理作用的最大化，一般可以通過采取分權制約的方式，實際的分權管理設計如下：第一，自主定義虛擬化管理系統管理員、安全管理員以及安全審計員三個主要角色，這一過程中需要確保三個角色之間禁止兼任。第二，在VMware與虛擬化桌面管理其的ViewManager中創建以上三個角色，同時對其管理權限進行合理限制。其中系統管理員主要負責虛擬機的創建以及數據中心的日常維護工作；安全管理員需要負責桌面資源池的創建工作以及對于桌面資源池的授權管理；安全審計員主要負責對系統管理員和安全管理員操作情況的審計，同時擁有VCenter數據中心的系統日志審計權限。
　　3.3 合理配置虛擬服務器與加固系統
　　在服務器安全管理過程中，合理配置虛擬化服務器和加固系統，可以在保證服務器虛擬化技術應用安全性的基礎上，最大程度上降低虛擬服務器運行過程中被惡意攻擊的風險。在具體的工作中，合理配置虛擬服務器與加固系統可以從以下兩個方面來實現：第一，在虛擬化服務器技術應用部署環節，應該明確掌握虛擬服務器的具體用途，同時結合虛擬服務器可能需要承擔的實際并發訪問量，保證物理服務器性能與數量設置的和合理性。比如：按照物理服務器和虛擬服務器的占比情況，評估出物理服務器的硬件配置、散熱情況以及電源負荷情況。只有切實保證服務器配置的可控制性，才能實現對虛擬服務器的安全管理。第二，對虛擬化環境中的服務器系統實施全面安全加固，其中不僅包括承載虛擬機的物理主機，對于管理虛擬化環境的vCenter Server和其他所有虛擬機，均需要進行采取相應的加固措施。此外，強化對虛擬機生命周期的管理以及身份認證，可以進一步降低安全保護級別較低機器對于其他設備運行安全性的影響。
　　4 結語
　　綜上所述，服務器虛擬化技術安全防范對于保證服務器虛擬化技術應用安全性等方面發揮著不可忽視的積極作用。在具體的管理工作中，可以從優化服務器虛擬化技術分類部署、強化對虛擬化基礎設施的保護以及合理配置虛擬服務器與加固系統等幾個方面入手，切實保證相關安全管理措施順利落實。只有切實認識到服務器虛擬化技術安全防范工作的重要性，才能更好地實現服務器虛擬化技術應用作用的最大化。
　　參考文獻
　　[1] 李友宏.面向煉化企業的服務器虛擬化技術方案設計[J].中國管理信息化，2019（5）：164-167.
　　[2] 郭婧.關于利用虛擬化技術對服務器和應用系統進行整合的研究[J].電子測試，2019（Z1）：85-87.
　　[3] 陳蕾.桌面虛擬化技術在辦公網絡中的應用研究[J].民航學報，2019，3（1）：39-42.
轉載注明來源:http://www.hailuomaifang.com/1/view-14921307.htm