◆鄭 毅

服務(wù)器虛擬化情況下的安全防護(hù)

◆鄭 毅

（中航工業(yè)哈爾濱飛機工業(yè)集團(tuán)有限責(zé)任公司 黑龍江 150000）

虛擬化技術(shù)已經(jīng)成為企業(yè)發(fā)展進(jìn)程的重要組成部分，直接關(guān)系企業(yè)的信息資源安全。對于企業(yè)來說，服務(wù)器虛擬化既是企業(yè)尋求進(jìn)一步發(fā)展的機遇，也是維護(hù)信息安全的挑戰(zhàn)。如何在服務(wù)器虛擬化情況下做好安全防護(hù)，已經(jīng)成為每一個運用虛擬化技術(shù)的企業(yè)必須要思考的問題。

服務(wù)器；虛擬化；安全防護(hù)

0 前言

似乎與所有顛覆性技術(shù)一樣，服務(wù)器虛擬化技術(shù)先是悄然出現(xiàn)，然后突然迸發(fā)，最終因為節(jié)省能源的合并計劃而得到了認(rèn)可。如今，許多企業(yè)使用虛擬化技術(shù)來提高硬件資源的利用率，進(jìn)行災(zāi)難恢復(fù)、提高辦公自動化水平。在進(jìn)行服務(wù)器虛擬化的過程中，也同樣存在一些不可忽視的問題。必須找出問題所在，維護(hù)信息安全。

1 目前服務(wù)器虛擬化情況下做好安全防護(hù)要面對的問題

1.1 服務(wù)器虛擬化帶來了更高的安全風(fēng)險

服務(wù)器虛擬化極大地提高了企業(yè)資源整合的效率，但也帶來了更高的安全風(fēng)險。這具體體現(xiàn)在兩個方面。一方面，虛擬化技術(shù)能夠集中眾多的數(shù)據(jù)進(jìn)行統(tǒng)一處理，提高了單個服務(wù)器的效率，使其功能性更強，更利于企業(yè)的管理；但是高資源利用率既集中了資源，也同時集中了風(fēng)險。相較于傳統(tǒng)的分散型處理信息的方式，服務(wù)器虛擬化將安全風(fēng)險全部集中到了一臺服務(wù)器上。一旦這臺服務(wù)器發(fā)生任何問題，企業(yè)的信息安全都會受到嚴(yán)重的影響。服務(wù)器非虛擬化中的信息好比是并聯(lián)電路，彼此存在聯(lián)系又獨立存在。而服務(wù)器虛擬化中的信息就好像是串聯(lián)電路，牽一發(fā)而動全身。一旦服務(wù)器中的某個應(yīng)用出現(xiàn)故障了，整臺服務(wù)器的所有應(yīng)用都會隨之停止。相同情況下，服務(wù)器虛擬化情況下的服務(wù)器崩潰會比非虛擬化情況下的崩潰帶來更大的損失。另一方面，在服務(wù)器虛擬化情況下，一臺物理服務(wù)器上的虛擬機之間可以直接進(jìn)行聯(lián)接，不需要通過外界進(jìn)行物理聯(lián)接。這就意味著，虛擬化情況下，安全防護(hù)的邊界消失了。這對于安全防護(hù)措施的建設(shè)來說，是一個難以解決的難題。

1.2 傳統(tǒng)的安全防護(hù)措施不適用于新的網(wǎng)絡(luò)環(huán)境

服務(wù)器虛擬化是對傳統(tǒng)技術(shù)的一次突破，它直接改變了網(wǎng)絡(luò)架構(gòu)。這也就意味著，基于非虛擬環(huán)境下的傳統(tǒng)安全防護(hù)措施不再適用于新的網(wǎng)絡(luò)環(huán)境。傳統(tǒng)的安全防護(hù)措施是根據(jù)邊界的安全隔離和訪問控制進(jìn)行防護(hù)的。這其中最重要的是，非虛擬環(huán)境下，各區(qū)域之間存在著明顯的邊界。分析不同區(qū)域之間的安全情況的差異，安全防護(hù)措施才能進(jìn)行工作。一般的傳統(tǒng)安全防護(hù)措施是防火墻、IPS、IDS等手段。這些手段主要是通過針對不同的服務(wù)器使用不同的安全規(guī)則進(jìn)行工作。而在服務(wù)器虛擬化的情況下，基礎(chǔ)網(wǎng)絡(luò)架構(gòu)統(tǒng)一化，存儲和計算資源高度整合，傳統(tǒng)的安全設(shè)備部署邊界正逐步消失。同一臺物理服務(wù)器上的虛擬機之間不存在傳統(tǒng)的所謂邊界，傳統(tǒng)的安全防護(hù)措施也就不能進(jìn)行防護(hù)。應(yīng)對新的網(wǎng)絡(luò)環(huán)境，應(yīng)該探索新的安全防護(hù)措施。

1.3 虛擬機補丁引起的安全問題

由服務(wù)器虛擬化衍生出的虛擬機也有著許多安全隱患。如果處理不當(dāng)，虛擬機也會引起許多安全問題。其中值得關(guān)注的就是由虛擬機補丁引起的安全問題。如果安裝補丁的進(jìn)度跟不上虛擬機系統(tǒng)的實際需要，虛擬機的安全漏洞就無法被及時修補，一旦受到病毒攻擊，虛擬機很容易就全盤崩潰。在服務(wù)器虛擬化的情況下，服務(wù)器上放置著多個虛擬機，而虛擬機又必須能像獨立的物理服務(wù)器那樣進(jìn)行工作。虛擬機應(yīng)該要獨立地進(jìn)行補丁的安裝和系統(tǒng)的更新，這樣才能更好地進(jìn)行自身的安全防護(hù)。但在實際情況中，由于管理對象的眾多，虛擬機的系統(tǒng)可能會延遲補丁的更新，這對信息安全來說無疑是個不容忽視的問題。除此之外，有時用戶會保持少量的重要鏡像。這些鏡像主要應(yīng)用于推出新的虛擬機、將一個快照寫入硬盤，或者是用于對部分虛擬機進(jìn)行災(zāi)難恢復(fù)。但是如果需要恢復(fù)的虛擬機中缺乏有安全防護(hù)能力的補丁，那在恢復(fù)過程中也可能會引起安全問題。因此，企業(yè)必須關(guān)注由虛擬機補丁引起的安全問題，及時地更新補丁。

2 關(guān)于建設(shè)服務(wù)器虛擬化情況下安全防護(hù)的相關(guān)建議

2.1 合理配置虛擬服務(wù)器，加固系統(tǒng)

降低服務(wù)器虛擬化情況下的安全風(fēng)險必須從虛擬服務(wù)器入手，找出虛擬服務(wù)器可能被攻擊的安全隱患。首先，配置虛擬服務(wù)器必須要從虛擬服務(wù)器的用途和并發(fā)訪問量等因素出發(fā)，選擇數(shù)量足夠、性能能夠滿足要求的物理服務(wù)器。在建設(shè)虛擬機的時候，也要根據(jù)物理服務(wù)器與虛擬服務(wù)器的比例進(jìn)行估算。企業(yè)要找到一套固定的模式，使得物理機和虛擬機的數(shù)量和配置保持在一個可控的范圍內(nèi)，以便更好地對服務(wù)器和虛擬機進(jìn)行安全防護(hù)。其次，針對新型網(wǎng)絡(luò)環(huán)境會帶來的更高安全風(fēng)險，應(yīng)該對服務(wù)器虛擬化環(huán)境中的所有系統(tǒng)進(jìn)行安全加固。進(jìn)行安全加固的范圍除了傳統(tǒng)的物理服務(wù)器，還要關(guān)注虛擬機的安全系統(tǒng)。值得注意的是，虛擬機本身承擔(dān)著像獨立服務(wù)器一樣的工作任務(wù)，也應(yīng)該進(jìn)行像物理服務(wù)器一樣獨立的安全加固。進(jìn)行安全加固的時候，應(yīng)該對虛擬機的系統(tǒng)補丁、應(yīng)用程序補丁、允許運行的服務(wù)、開放的端口等進(jìn)行加固。在加固的時候，除特殊情況外要關(guān)閉所有可控的物理設(shè)備。目前，在對虛擬機進(jìn)行維護(hù)時，通常會忽視對虛擬機生命周期的管理、身份認(rèn)證和訪問授權(quán)控制。而這恰恰是安全問題多發(fā)的部分，需要技術(shù)人員重點加固。同時，同一服務(wù)器中的虛擬機要采取相同的安全防護(hù)，保證每一個虛擬機都能夠安全運行，以便保障物理服務(wù)器的安全。虛擬機內(nèi)部可能會存在互相攻擊的問題，必須要進(jìn)行相關(guān)的安全加固。虛擬機上必須配備殺毒軟件等一些防護(hù)應(yīng)用，要及時更新補丁，防止安全漏洞被攻擊。還可以設(shè)立虛擬化監(jiān)控工具，及時監(jiān)管危險信息。一方面對服務(wù)器資源監(jiān)控與容量進(jìn)行分析，報告所占資源的情況。另一方面在發(fā)生突發(fā)情況時，也可以進(jìn)行及時的報警。

2.2 建立服務(wù)器虛擬化情況下新的邊界防護(hù)系統(tǒng)

由于新的網(wǎng)絡(luò)環(huán)境下傳統(tǒng)邊界逐漸消失，進(jìn)行新的安全防護(hù)時可以人工地分開虛擬機，增強虛擬服務(wù)器的邏輯隔離與網(wǎng)絡(luò)隔離。也就是說，可以把虛擬機分類。既可以分為公共的虛擬機和專用的虛擬機，也可以按照服務(wù)類型分開虛擬機。各組類型的虛擬機分布在各自的區(qū)域中，可以通過人為的邊界進(jìn)行隔離，這也更利于管理和防護(hù)。虛擬機之間的隔離可以防止虛擬機之間相互產(chǎn)生影響，降低安全問題的擴(kuò)散。針對這一情況，新的邊界防護(hù)系統(tǒng)就可以建立起來。邊界防護(hù)可以細(xì)化到每一個虛擬機。當(dāng)虛擬機之間進(jìn)行訪問時，也會存在明顯的邊界，一旦訪問行為出現(xiàn)問題，新的邊界防護(hù)系統(tǒng)也可以及時控制。當(dāng)然，所有的虛擬化系統(tǒng)都是基于虛擬層實現(xiàn)的。為了達(dá)到這樣的目的，邊界防護(hù)也應(yīng)該涉及到虛擬層提供的安全服務(wù)。建立服務(wù)器虛擬化情況下新的邊界防護(hù)系統(tǒng)，要能對進(jìn)出虛擬機的所有流量進(jìn)行檢測，識別信息的端口、協(xié)議、目的地，對信息的內(nèi)容進(jìn)行分析以識別入侵行為或者進(jìn)行病毒檢查。

2.3 加強建設(shè)虛擬化基礎(chǔ)設(shè)施、進(jìn)行分權(quán)制約

服務(wù)器虛擬化環(huán)境就像一個完整的系統(tǒng)，虛擬化管理工具是其中的核心。虛擬機的生成、策略設(shè)置以及維護(hù)都要通過虛擬化管理工具實現(xiàn)。一方面要加強建設(shè)虛擬化管理工具，加強安全性。另一方面，也可以通過分權(quán)制約的方式降低由虛擬化管理工具自身不足帶來的安全風(fēng)險?？蓪⑾到y(tǒng)分權(quán)為系統(tǒng)管理員、安全管理員、安全審計員三個角色。系統(tǒng)管理員負(fù)責(zé)進(jìn)行日常虛擬機創(chuàng)建和數(shù)據(jù)中心維護(hù)工作；安全管理員負(fù)責(zé)桌面資源池的日常創(chuàng)建和授權(quán)以及廢止虛擬機刪除；安全審計員負(fù)責(zé)查看系統(tǒng)管理員和安全管理員的操作情況。三個角色分權(quán)制約，既保證了各自工作任務(wù)的完成，又能保證彼此的合作。

3 結(jié)語

服務(wù)器虛擬化情況下的安全防護(hù)尚且處于探索和起步階段，存在著一些新問題，需要相關(guān)技術(shù)人員探索出一套新的網(wǎng)絡(luò)防護(hù)措施。

[1]吳濤主編.網(wǎng)站全程設(shè)計技術(shù)(修訂本)[M].北京:清華大學(xué)出版社,北京交通大學(xué)出版社，2016.

[2]張華,賈志娟主編.asp項目開發(fā)實踐[M].中國鐵道出版社，2016.