蘇雪飛

摘 要：隨著計算機(jī)技術(shù)水平的不斷提升和互聯(lián)網(wǎng)的不斷普及，服務(wù)器虛擬化技術(shù)應(yīng)用范圍隨之?dāng)U大，對其服務(wù)器虛擬化技術(shù)應(yīng)用過程中的風(fēng)險防范工作受到重視。本文從高資源利用率帶來的風(fēng)險問題、虛擬化網(wǎng)絡(luò)環(huán)境存在的風(fēng)險問題以及虛擬化管理工具保護(hù)方面存下的風(fēng)險三個方面入手，對服務(wù)器虛擬化運行期間存在的安全風(fēng)險問題展開分析。在此基礎(chǔ)上，對其運行安全風(fēng)險防范策略提出具體建議。

關(guān)鍵詞：服務(wù)器 虛擬化技術(shù) 全虛擬化 安全風(fēng)險

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1674-098X（2019）03（c）-0135-02

在計算機(jī)技術(shù)不斷創(chuàng)新發(fā)展的背景下，虛擬化技術(shù)自身的應(yīng)用優(yōu)勢逐漸凸顯出來，并且在諸多商業(yè)高端服務(wù)器中也得到了較為廣泛的應(yīng)用。但是從另一方面來看，服務(wù)器虛擬化技術(shù)的應(yīng)用雖然有利于實現(xiàn)對資源的高效整合與控制管理成本，但是服務(wù)器在運行過程中的安全風(fēng)險也隨之有所提升。為了保證服務(wù)器虛擬化技術(shù)運行安全，對其進(jìn)行合理化控制具有重要的現(xiàn)實意義。

1 服務(wù)器虛擬化技術(shù)基本內(nèi)容

1.1 全虛擬化內(nèi)容

在分析研究服務(wù)器虛擬化技術(shù)基本內(nèi)容這一問題時，對于全虛擬化內(nèi)容的理解，主要在于直接執(zhí)行技術(shù)和DBT同時應(yīng)用的情況，這樣有利于實現(xiàn)操作系統(tǒng)虛擬化的根本目標(biāo)。在虛擬機(jī)中的DBT在保持穩(wěn)定運行狀態(tài)時，想要在VMM中嵌入相關(guān)指令，需要在敏感指令執(zhí)行前插入相應(yīng)的陷入指令，在此基礎(chǔ)上，當(dāng)指令通過VMM便會轉(zhuǎn)化為能夠訪問虛擬硬件的功能指令[1]。除此之外，雖然虛擬化中的所有指令均為 Hypervisor翻譯操作系統(tǒng)擁有，但是其中CPU仍舊具有執(zhí)行用戶級指令的權(quán)限，借助虛擬化層使物理硬件中的客戶操作系統(tǒng)抽取出來，同時不需要通過系統(tǒng)內(nèi)核中的任何變動支持，體現(xiàn)了應(yīng)用優(yōu)勢。

1.2 半虛擬化內(nèi)容

服務(wù)器虛擬化技術(shù)應(yīng)用過程中，半虛擬化技術(shù)往往需要對計算機(jī)用戶的操作系統(tǒng)內(nèi)核進(jìn)行相應(yīng)的修改，或者通過對無法虛擬化的指令進(jìn)行替換，最終通過Hypervisor實現(xiàn)某些敏感指令的調(diào)用。綜合分析半虛擬化技術(shù)應(yīng)用的實際情況，可以發(fā)現(xiàn)在半虛擬化技術(shù)中，計算機(jī)操作系統(tǒng)應(yīng)該具備與虛擬化平臺兩者兼容的功能，以此來確保半虛擬化中使物理機(jī)可以對虛擬機(jī)進(jìn)行有效操作，否則會對其應(yīng)用效果產(chǎn)生較大的應(yīng)用，使虛擬機(jī)無法正常操作宿主的計算機(jī)?，F(xiàn)階段應(yīng)用較為廣泛的半虛擬化技術(shù)有Xen，其控制主體方面主要涉及VMM與Domain0，其中在硬件中運行的主要為VMM，能夠?qū)?nèi)存、主要設(shè)備和相關(guān)處理器實施虛擬化，而Domain0為虛擬機(jī)中大部分設(shè)備的操作起到一定的輔助作用。

1.3 硬件輔助虛擬化內(nèi)容

服務(wù)器虛擬化技術(shù)應(yīng)用范圍的不斷擴(kuò)大，在很大程度上使得物理服務(wù)器應(yīng)用數(shù)量不斷減少。與傳統(tǒng)物理服務(wù)器應(yīng)用情況相比，虛擬化技術(shù)的應(yīng)用為服務(wù)器的運行增加了全新的模式，這一模式為Root[2]。在Root運行模式下，服務(wù)器虛擬化技術(shù)可以在Root模式下實現(xiàn)穩(wěn)定運行，并且Root模式的構(gòu)建往往在RingO下，敏感指令可以直接在Hypervisor執(zhí)行，不需要借助BT或者半虛擬技術(shù)。期間，計算機(jī)用戶只需要通過將操作系統(tǒng)狀態(tài)保存在虛擬機(jī)控制結(jié)構(gòu)中或者虛擬機(jī)控制模塊中的方式實現(xiàn)相關(guān)訴求。

2 服務(wù)器虛擬化運行期間存在的安全風(fēng)險問題

2.1 高資源利用率帶來的風(fēng)險問題

早在2011年，囯網(wǎng)德州供電公司所全面實施的服務(wù)器虛擬化應(yīng)用整合項目，通過將VMware虛擬服務(wù)器管理技術(shù)靈活應(yīng)用在服務(wù)器中這一方式，實現(xiàn)了對虛擬化服務(wù)器的統(tǒng)籌管理。與此同時，通過對虛擬服務(wù)器關(guān)鍵業(yè)務(wù)實施的科學(xué)整合，實現(xiàn)而來11臺物理服務(wù)器逐步遷移到2個刀片服務(wù)器的虛擬化環(huán)境中，從而大大提升了服務(wù)器的利用率。綜合分析來看，服務(wù)器虛擬化技術(shù)的廣泛應(yīng)用，促進(jìn)了高資源利用率的提升，但是隨之帶來的安全風(fēng)險問題，對于服務(wù)器虛擬化運行產(chǎn)生了直接的影響。

2.2 虛擬化網(wǎng)絡(luò)環(huán)境存在的風(fēng)險問題

與傳統(tǒng)的物理服務(wù)器運行模式對比分析，服務(wù)器虛擬技術(shù)在物理硬件以及虛擬服務(wù)器兩者之間引入了虛擬層，也就是常說的虛擬機(jī)監(jiān)控器。而虛擬技術(shù)的應(yīng)用也為服務(wù)器本身的安全性帶來了一定的風(fēng)險。服務(wù)器虛擬化技術(shù)應(yīng)用過程中，由于虛擬化網(wǎng)絡(luò)環(huán)境所導(dǎo)致的安全風(fēng)險問題，主要體現(xiàn)在以下方面：在非虛擬化環(huán)境中，可以通過防火墻、IPS等設(shè)備對不同的服務(wù)器制定差異化的安全管理方案，該環(huán)境中的安全風(fēng)險問題是有界限的，同時風(fēng)險危害性的擴(kuò)散也相對有限[3]。而在虛擬環(huán)境中，傳統(tǒng)的邊界防護(hù)設(shè)備難以捕捉到虛擬網(wǎng)絡(luò)通信，進(jìn)而加大了服務(wù)器虛擬化運行的安全風(fēng)險防范工作開展難度。另一方面，虛擬化環(huán)境中，同一臺物理服務(wù)器上運行的虛擬機(jī)，彼此之間均借助虛擬網(wǎng)絡(luò)實現(xiàn)通信，這一因素會在很大程度上導(dǎo)致傳統(tǒng)邊界防護(hù)作用無法真正發(fā)揮。

2.3 虛擬化管理工具保護(hù)方面存下的風(fēng)險

虛擬化管理工具保護(hù)方面存在的風(fēng)險問題，主要與虛擬化環(huán)境中管理工具缺乏完善的保護(hù)措施有著直接的聯(lián)系。虛擬化管理工作可以為服務(wù)器虛擬化技術(shù)的應(yīng)用創(chuàng)造極大的便利條件，但是受到這一因素的影響，也使得虛擬化管理工具本身容易受到攻擊。如果沒有采取針對性的風(fēng)險應(yīng)對策略，一旦惡意攻擊者獲得了管理工具的相關(guān)權(quán)限，會對整個服務(wù)器虛擬環(huán)境帶來巨大的威脅，嚴(yán)重時這一威脅將會是災(zāi)難性的。同時，虛擬機(jī)遷移后者虛擬機(jī)間的網(wǎng)絡(luò)通信，可以進(jìn)一步加大服務(wù)器虛擬化技術(shù)應(yīng)用的安全風(fēng)險，服務(wù)器遭受外部滲透攻擊的機(jī)會也會隨著提升。比如：部分用作測試目的的虛擬機(jī)，可能會在運行過程中與一些重要的虛擬機(jī)之間共同存在同一虛擬局域網(wǎng)內(nèi)，從而為外部滲透攻擊提供便利條件。

3 服務(wù)器虛擬化技術(shù)安全防范措施

3.1 優(yōu)化服務(wù)器虛擬化技術(shù)分類部署

優(yōu)化服務(wù)器虛擬化技術(shù)分類部署，有利于增強(qiáng)虛擬服務(wù)器運行邏輯隔離的安全性，在實現(xiàn)網(wǎng)絡(luò)隔離以及提升系統(tǒng)整體安全性等方面也同樣發(fā)揮著積極的作用。在具體的工作中，可以從細(xì)化網(wǎng)絡(luò)設(shè)置這一角度出發(fā)，即：將公共的虛擬機(jī)和專用的虛擬機(jī)兩者進(jìn)行分開設(shè)置，必要時也可以將其按照服務(wù)器虛擬化技術(shù)類型分開設(shè)置。比如，將其分成系統(tǒng)虛擬服務(wù)器、應(yīng)用程序類虛擬服務(wù)器以及數(shù)據(jù)庫虛擬服務(wù)器幾種類型。通過合理分類虛擬服務(wù)器與數(shù)據(jù)庫服務(wù)器，使其在各自的網(wǎng)絡(luò)分段中運行，可以在最大程度上降低數(shù)據(jù)經(jīng)由網(wǎng)絡(luò)從一個虛擬機(jī)分區(qū)泄露至另一個虛擬機(jī)分區(qū)的安全風(fēng)險。此外，虛擬化環(huán)境的邊界防護(hù)需要切實細(xì)化到每個虛擬機(jī)，保證邊界防護(hù)可以對每個虛擬機(jī)進(jìn)行識別，從而實現(xiàn)對虛擬機(jī)邊界訪問的嚴(yán)密控制。這一措施，與所有虛擬化系統(tǒng)均是依靠虛擬層來實現(xiàn)這一理念相符合，為了達(dá)到高效的安全管理目的，邊界防護(hù)應(yīng)該做到對虛擬層提供安全服務(wù)的充分利用。

3.2 強(qiáng)化對虛擬化基礎(chǔ)設(shè)施的保護(hù)

強(qiáng)化對虛擬化基礎(chǔ)設(shè)施的保護(hù)，是現(xiàn)階段服務(wù)器虛擬化技術(shù)應(yīng)用安全管理的重要措施。虛擬化管理工具作為支持整體系統(tǒng)正常運行工作的基礎(chǔ)，也是系統(tǒng)安全管理的中樞，所有虛擬機(jī)的生產(chǎn)、策略設(shè)備和后期維護(hù)，均需要依靠虛擬化管理工具來實現(xiàn)。以VMware虛擬化管理工具為例，在VMware虛擬化環(huán)境中，通過對管理控制臺VMware本地管理人員的集中控制，可以有效化解虛擬化管理工具自身由于缺乏安全保護(hù)所帶來的風(fēng)險問題。期間，VMware本地管理人員具有最大的管理員權(quán)限，想要實現(xiàn)其管理作用的最大化，一般可以通過采取分權(quán)制約的方式，實際的分權(quán)管理設(shè)計如下：第一，自主定義虛擬化管理系統(tǒng)管理員、安全管理員以及安全審計員三個主要角色，這一過程中需要確保三個角色之間禁止兼任。第二，在VMware與虛擬化桌面管理其的ViewManager中創(chuàng)建以上三個角色，同時對其管理權(quán)限進(jìn)行合理限制。其中系統(tǒng)管理員主要負(fù)責(zé)虛擬機(jī)的創(chuàng)建以及數(shù)據(jù)中心的日常維護(hù)工作；安全管理員需要負(fù)責(zé)桌面資源池的創(chuàng)建工作以及對于桌面資源池的授權(quán)管理；安全審計員主要負(fù)責(zé)對系統(tǒng)管理員和安全管理員操作情況的審計，同時擁有VCenter數(shù)據(jù)中心的系統(tǒng)日志審計權(quán)限。

3.3 合理配置虛擬服務(wù)器與加固系統(tǒng)

在服務(wù)器安全管理過程中，合理配置虛擬化服務(wù)器和加固系統(tǒng)，可以在保證服務(wù)器虛擬化技術(shù)應(yīng)用安全性的基礎(chǔ)上，最大程度上降低虛擬服務(wù)器運行過程中被惡意攻擊的風(fēng)險。在具體的工作中，合理配置虛擬服務(wù)器與加固系統(tǒng)可以從以下兩個方面來實現(xiàn)：第一，在虛擬化服務(wù)器技術(shù)應(yīng)用部署環(huán)節(jié)，應(yīng)該明確掌握虛擬服務(wù)器的具體用途，同時結(jié)合虛擬服務(wù)器可能需要承擔(dān)的實際并發(fā)訪問量，保證物理服務(wù)器性能與數(shù)量設(shè)置的和合理性。比如：按照物理服務(wù)器和虛擬服務(wù)器的占比情況，評估出物理服務(wù)器的硬件配置、散熱情況以及電源負(fù)荷情況。只有切實保證服務(wù)器配置的可控制性，才能實現(xiàn)對虛擬服務(wù)器的安全管理。第二，對虛擬化環(huán)境中的服務(wù)器系統(tǒng)實施全面安全加固，其中不僅包括承載虛擬機(jī)的物理主機(jī)，對于管理虛擬化環(huán)境的vCenter Server和其他所有虛擬機(jī)，均需要進(jìn)行采取相應(yīng)的加固措施。此外，強(qiáng)化對虛擬機(jī)生命周期的管理以及身份認(rèn)證，可以進(jìn)一步降低安全保護(hù)級別較低機(jī)器對于其他設(shè)備運行安全性的影響。

4 結(jié)語

綜上所述，服務(wù)器虛擬化技術(shù)安全防范對于保證服務(wù)器虛擬化技術(shù)應(yīng)用安全性等方面發(fā)揮著不可忽視的積極作用。在具體的管理工作中，可以從優(yōu)化服務(wù)器虛擬化技術(shù)分類部署、強(qiáng)化對虛擬化基礎(chǔ)設(shè)施的保護(hù)以及合理配置虛擬服務(wù)器與加固系統(tǒng)等幾個方面入手，切實保證相關(guān)安全管理措施順利落實。只有切實認(rèn)識到服務(wù)器虛擬化技術(shù)安全防范工作的重要性，才能更好地實現(xiàn)服務(wù)器虛擬化技術(shù)應(yīng)用作用的最大化。

參考文獻(xiàn)

[1] 李友宏.面向煉化企業(yè)的服務(wù)器虛擬化技術(shù)方案設(shè)計[J].中國管理信息化，2019（5）：164-167.

[2] 郭婧.關(guān)于利用虛擬化技術(shù)對服務(wù)器和應(yīng)用系統(tǒng)進(jìn)行整合的研究[J].電子測試，2019（Z1）：85-87.

[3] 陳蕾.桌面虛擬化技術(shù)在辦公網(wǎng)絡(luò)中的應(yīng)用研究[J].民航學(xué)報，2019，3（1）：39-42.