◆樊 強

（中國刑事警察學院網(wǎng)絡(luò)信息中心 遼寧 110854）

服務(wù)器虛擬化安全措施探究

◆樊 強

（中國刑事警察學院網(wǎng)絡(luò)信息中心 遼寧 110854）

服務(wù)器虛擬化技術(shù)可以降低服務(wù)器硬件采購成本和運維管理成本，能較大地提供服務(wù)器資源的利用率，但我們必須認識到，服務(wù)器虛擬化技術(shù)也產(chǎn)生了許多新的安全隱患和安全風險，給我們的使用造成了影響。本文針對服務(wù)器虛擬化安全風險加以分析，并提出一些防護措施與建議，以期為今后服務(wù)器虛擬化技術(shù)的發(fā)展與應用提供幫助和參考。

服務(wù)器虛擬化；安全威脅；防范措施

0 引言

服務(wù)器虛擬化技術(shù)是近年來發(fā)展的熱門技術(shù)之一。它能夠把操作系統(tǒng)與物理硬件分離開來，實現(xiàn)不同操作系統(tǒng)的多個虛擬機，在相同的物理硬件上各自運行，有效提高了硬件資源利用效率。但是，服務(wù)器虛擬化技術(shù)在給我們帶來效益的同時，也產(chǎn)生了新的安全隱患和風險，阻礙了服務(wù)器虛擬化的應用。所以，我們在部署、使用、分配、管理虛擬服務(wù)器時，需要加強安全威脅的防范意識。

1 服務(wù)器虛擬化技術(shù)

對于服務(wù)器虛擬化還沒有統(tǒng)一的界定，它的核心思想是根據(jù)服務(wù)器資源的負載情況和資源請求的優(yōu)先級別，把服務(wù)器的硬件形成資源池，對多個應用系統(tǒng)進行分配和回收，從而有效提高服務(wù)器硬件的利用率，簡化管理維護工作，提高工作效率。服務(wù)器虛擬化技術(shù)實現(xiàn)了在一臺硬件服務(wù)器上運行多個獨立的虛擬機，各虛擬機共同使用硬件服務(wù)器的物理資源，如硬盤、內(nèi)存、CPU、緩存等，管理員可以根據(jù)虛擬機的負載情況調(diào)整或回收硬件資源。在使用服務(wù)器虛擬化時，我們可以通過調(diào)整虛擬機的數(shù)量或是配置，從而充分利用服務(wù)器硬件資源，也可以對服務(wù)器硬件資源的增加，來提高虛擬機的性能，這樣有效降低了維護的成本。實現(xiàn)服務(wù)器虛擬化離不開虛擬化軟件，通過虛擬化軟件可以對虛擬化硬件環(huán)境進行配置，也可以新建、修改、刪除和管理虛擬機。目前，市面上主流的虛擬化軟件有微軟的Hyper-V、VMware的ESX Server、思杰Xen Server和Parallels 的Virtuozzo等。

2 服務(wù)器虛擬化的安全問題分析

2.1 虛擬化網(wǎng)絡(luò)環(huán)境存在安全風險

在傳統(tǒng)服務(wù)器安全方面，我們可以使用防火墻、IDS、IPS等安全設(shè)備，通過設(shè)置安全規(guī)則來對它們進行管理，即使某臺服務(wù)器被攻擊，它的危害性也是有限的。而由于服務(wù)器虛擬化改變了網(wǎng)絡(luò)的架構(gòu)，虛擬機主要是通過虛擬交換機或網(wǎng)卡橋接來實現(xiàn)與外部網(wǎng)絡(luò)的通訊，處于同一物理服務(wù)器上的虛擬機之間可以自由通訊，這樣一來防火墻等安全設(shè)備就無法檢測到這樣的通訊數(shù)據(jù)，如果哪臺虛擬機被攻擊，就很容易傳播給其他虛擬機。

2.2 服務(wù)器虛擬化管理軟件本身存在安全隱患

服務(wù)器虛擬化管理軟件在建設(shè)、管理虛擬機時非常方便快捷，但由于服務(wù)器虛擬化管理軟件本身也存在安全隱患，使得虛擬機也很容易受到攻擊。如果不法分子破解了服務(wù)器虛擬化管理軟件，取得了管理員權(quán)限，所有的虛擬機都將面臨威脅。其次，虛擬機相互通信交換數(shù)據(jù)、虛擬機從一臺硬件遷移到另一臺硬件過程中，都容易受到不法分子的滲透攻擊。最后，當不法分子攻破某一虛擬機時，可以將該虛擬機做為跳板，對與其在相同虛擬局域網(wǎng)的其他虛擬機進行攻擊，并增加了攻擊成功的概率。

2.3 虛擬機更新系統(tǒng)補丁不及時引起的安全漏洞

虛擬機不及時更新操作系統(tǒng)補丁，也會帶來巨大的安全漏洞風險。我們在使用服務(wù)器虛擬化技術(shù)以后，經(jīng)常是將一臺硬件服務(wù)器虛擬成多臺虛擬機，而這些虛擬機都是一個個相對獨立的個體，每一臺虛擬機都要像獨立的物理服務(wù)器一樣來安裝殺毒軟件、更新操作系統(tǒng)的補丁。因為管理員要管理、更新補丁的虛擬機較多，如果是哪臺虛擬機沒有及時更新操作系統(tǒng)補丁，就會留下安全隱患，增加被攻擊的風險。此外，有時管理員會通過虛擬機鏡像文件來克隆新虛擬機，由于鏡像文件都是較早建設(shè)的，所以客隆出來的新虛擬機的操作系統(tǒng)補丁一定不是最新的，此時如果沒有及時更新補丁，就會給不法分子留下可乘之機。

2.4 已停用虛擬機未能及時清除產(chǎn)生隱患

采用服務(wù)器虛擬化技術(shù)后，我們添加新虛擬機變得非常簡便快捷，但這也會造成虛擬機泛濫的情況發(fā)生。我們經(jīng)常會根據(jù)業(yè)務(wù)需要，來增加新的虛擬機，但當某項業(yè)務(wù)結(jié)束后，往往是新增的虛擬機不能被及時的停用、關(guān)閉和清除。這些僵尸虛擬機會一直運行，繼續(xù)占用服務(wù)器資源，造成硬件資源的極大浪費。同時僵尸虛擬機也會處于無人看管的狀態(tài)，久而久之像操作系統(tǒng)補丁漏洞、用戶登錄密碼失效過期等都會造成安全隱患。尤其是采用虛擬機漂移技術(shù)后，某些僵尸虛擬機可以漂移到其他硬件上，這將花費管理員的大量時間和精力來治理它。

3 服務(wù)器虛擬化的安全防范措施

3.1 劃分網(wǎng)絡(luò)VLAN，進行虛擬機隔離

考慮到處于同一虛擬局域網(wǎng)的虛擬機之間存在安全風險，我們可以對網(wǎng)絡(luò)進行劃分，從而實現(xiàn)對虛擬機的邏輯隔離和網(wǎng)絡(luò)隔離。在劃分虛擬網(wǎng)絡(luò)的過程中，我們既可以按照虛擬機的位置來劃分，分成公共虛擬機和專用虛擬機；也可以按照虛擬機的服務(wù)類型來劃分，分成業(yè)務(wù)類虛擬機、數(shù)據(jù)庫虛擬機或系統(tǒng)管理類虛擬機等。通過對網(wǎng)絡(luò)的VLAN劃分，從而有效降低不同VLAN間虛擬機的風險傳播。

3.2 設(shè)置虛擬化管理軟件的控制權(quán)限

虛擬化管理軟件給服務(wù)器虛擬化的應用帶來了極大的方便，通過虛擬化管理軟件，我們可以快速地新建、修改和刪除業(yè)務(wù)虛擬機。但虛擬化管理軟件的控制權(quán)限也存在巨大安全隱患，一旦惡意攻擊者取得了該權(quán)限，即掌握了所有虛擬機。為了消除這一隱患，我們可以采用分權(quán)制約的方式來管理。我們可以將虛擬化管理軟件的管理員角色劃分成三個獨立的角色，即安全審計員、安全管理員和系統(tǒng)管理員。安全審計員角色負責對安全管理員和系統(tǒng)管理員的操作日志進行審計；安全管理員角色負責對已停用虛擬機的刪除和桌面資源池的創(chuàng)建和授權(quán)；系統(tǒng)管理員角色負責新增虛擬機創(chuàng)建和數(shù)據(jù)中心維護。三個角色不得兼任，從而保障了虛擬化管理軟件的安全使用。

3.3 及時給虛擬機更新補丁

每一臺虛擬機都是一個相對的個體，管理員需要對每一臺虛擬機及時更新系統(tǒng)補丁。但隨著信息化的發(fā)展，需要管理的虛擬機數(shù)量將會越來越多，這將對管理員是個巨大挑戰(zhàn)，管理員需要制定好補丁更新計劃表，以便能保證每一臺虛擬機的補丁得到及時更新。管理員也可以借助微軟或第三方補丁更新工具來完成此項工作，設(shè)置好補丁更新時間以確保正常業(yè)務(wù)不受影響，管理員還需要定期對虛擬機的鏡像文件進行更新。

3.4 制定監(jiān)控和審計制度

為了進一步保障服務(wù)器虛擬化的安全使用，我們還需要制定監(jiān)控和審計的制度。一方面，我們要對虛擬化平臺和所有虛擬機實行二十四小時實時監(jiān)控，一旦發(fā)現(xiàn)超出規(guī)定閾值，立刻報警；另一方面，我們還需要對管理員的操作行為進行審計，如果行為異常，立刻進行隔離。例如，當發(fā)生應用程序服務(wù)請求突然加劇時，可采用負載均衡手段或?qū)嵤┨摂M機遷移措施。通過對平臺和虛擬機的監(jiān)控以及對用戶行為的審計，保障服務(wù)器虛擬化平臺的穩(wěn)定運行。

4 結(jié)束語

綜上所述，服務(wù)器虛擬化技術(shù)整合了硬件資源，有效提升了現(xiàn)有資源的利用率，并縮減了管理員維護和管理服務(wù)器的繁瑣工作量，為企業(yè)和單位節(jié)省了成本，但同時服務(wù)器虛擬化技術(shù)也存在巨大的安全隱患。我們應該充分認清服務(wù)器虛擬化存在的各種風險，統(tǒng)籌考慮，從技術(shù)、管理和審計等多個方面入手，降低和消除服務(wù)器虛擬化存在的風險和隱患，讓服務(wù)器虛擬化更好的服務(wù)于我們，并為我們發(fā)揮出更大的價值。

[1]徐琦.服務(wù)器虛擬化技術(shù)在高校校園網(wǎng)中的應用[J].中國教育信息化，2013.

[2]趙夢.云計算環(huán)境下虛擬化服務(wù)器的安全探討[J].電子技術(shù)與軟件工程，2016.

[3]鄧高峰，高四良等.服務(wù)器虛擬化安全問題分析及防護措施[J].計算機安全，2014.