服務(wù)器虛擬化技術(shù)及安全研究

王棋

【摘 要】進(jìn)入21世紀(jì)后，我國的計算機技術(shù)水平也得到了長足的進(jìn)步，在互聯(lián)網(wǎng)不斷普及應(yīng)用的情況下，服務(wù)器虛擬化技術(shù)的應(yīng)用范圍不斷擴大，其在提高資源利用效率、解決舊設(shè)備服務(wù)器性能不好等方面的問題上發(fā)揮出巨大的作用，但是服務(wù)器虛擬化運行期間存在的安全風(fēng)險問題仍然影響著其實際的應(yīng)用效果。基于此，本文就服務(wù)器虛擬化技術(shù)及其安全進(jìn)行了研究。

【關(guān)鍵詞】服務(wù)器虛擬化技術(shù);安全;應(yīng)用

虛擬化技術(shù)在諸多商業(yè)高端服務(wù)器中也得到了較為廣泛的應(yīng)用，作為一種主流應(yīng)用技術(shù)，越來越多的組織機構(gòu)都已經(jīng)或者正在實施服務(wù)器虛擬化，對其進(jìn)行安全的風(fēng)險進(jìn)行合理化控制具有重要的現(xiàn)實意義。

一、服務(wù)器虛擬化技術(shù)的基本內(nèi)容

服務(wù)器虛擬化是指將服務(wù)器物理資源抽象成邏輯資源，讓一臺服務(wù)器變成幾臺甚至上百臺相互隔離的虛擬服務(wù)器，我們不再受限于物理上的界限，而是讓CPU、內(nèi)存、磁盤、I/O等硬件變成可以動態(tài)管理的“資源池”，從而提高資源的利用率，簡化系統(tǒng)管理，實現(xiàn)服務(wù)器整合，讓IT對業(yè)務(wù)的一些變化更具適應(yīng)力。

（一）全虛擬化內(nèi)容

全虛擬化內(nèi)容主要在于直接執(zhí)行技術(shù)和DBT同時應(yīng)用的情況，這樣有利于實現(xiàn)操作系統(tǒng)虛擬化的根本目標(biāo)。虛擬化中的CPU具有執(zhí)行用戶級指令的權(quán)限，不需要通過系統(tǒng)內(nèi)核中的任何變動支持就可以使物理硬件中的客戶操作系統(tǒng)抽取出來，具有較高的應(yīng)用優(yōu)勢。

（二）半虛擬化內(nèi)容

在半虛擬化技術(shù)中，計算機操作系統(tǒng)具備與虛擬化平臺兩者兼容的功能，以此來確保半虛擬化中使物理機可以對虛擬機進(jìn)行有效操作，以半虛擬化技術(shù)Xen為例，其能夠?qū)?nèi)存、主要設(shè)備和相關(guān)處理器實施虛擬化，并輔助虛擬機中大部分設(shè)備的操作過程。

（三）硬件輔助虛擬化內(nèi)容

Root運行模式是虛擬化技術(shù)的應(yīng)用為服務(wù)器的運行所新增的一種模式，計算機用戶只需要通過將操作系統(tǒng)狀態(tài)保存在虛擬機控制結(jié)構(gòu)中或者虛擬機控制模塊中的方式實現(xiàn)相關(guān)訴求。

二、服務(wù)器虛擬化運行中存在的安全風(fēng)險

（一）高資源利用率帶來的風(fēng)險

將VMware虛擬服務(wù)器管理技術(shù)靈活應(yīng)用在服務(wù)器中可以實現(xiàn)對虛擬化服務(wù)器的統(tǒng)籌管理工作，繼而能夠科學(xué)整合虛擬服務(wù)器關(guān)鍵業(yè)務(wù)實施，使得服務(wù)器的利用效率大大提升，但是高資源利用率的提升伴隨而來的安全風(fēng)險問題也屢見不鮮，嚴(yán)重影響著服務(wù)器虛擬化運行。

（二）虛擬化網(wǎng)絡(luò)環(huán)境存在的風(fēng)險

服務(wù)器虛擬技術(shù)在物理硬件以及虛擬服務(wù)器兩者之間引入了虛擬機監(jiān)控器，但是也為服務(wù)器本身的安全性帶來了一定的風(fēng)險，主要是因為傳統(tǒng)的邊界防護設(shè)備很難捕捉虛擬環(huán)境中網(wǎng)絡(luò)通信，服務(wù)器虛擬化運行的安全風(fēng)險防范工作開展受到限制。而且在虛擬環(huán)境下主要是借助虛擬網(wǎng)絡(luò)實現(xiàn)同一臺物理服務(wù)器上運行的虛擬機的通信，導(dǎo)致傳統(tǒng)邊界防護無法發(fā)揮出較大的作用。

（三）虛擬化管理工具保護等方面存在的風(fēng)險

虛擬化管理工作在具體開展過程中可以為服務(wù)器虛擬化技術(shù)的應(yīng)用創(chuàng)造良好的條件，但是其在實際應(yīng)用中也會受到攻擊，再加上虛擬化環(huán)境中管理工具缺乏完善的保護措施，導(dǎo)致虛擬化管理工具保護等方面存在的風(fēng)險嚴(yán)重影響著其實際運行。如果不采取積極的風(fēng)險應(yīng)對策略就有可能會威脅到整個服務(wù)器虛擬環(huán)境。隨著服務(wù)器虛擬化技術(shù)的深入應(yīng)用，虛擬機遷移后者虛擬機間的網(wǎng)絡(luò)通信則使得遭受外部滲透攻擊的機會越來越多，嚴(yán)重影響著服務(wù)器虛擬化技術(shù)的應(yīng)用效果。

三、服務(wù)器虛擬化技術(shù)安全防范措施

（一）優(yōu)化服務(wù)器虛擬化技術(shù)分類部署

通過隨服務(wù)器虛擬化技術(shù)分類部署后進(jìn)行優(yōu)化可以有效的增強虛擬服務(wù)器運行邏輯隔離的安全性，繼而提高系統(tǒng)整體安全性。在具體的工作開展中主要就是從細(xì)化網(wǎng)絡(luò)設(shè)置出發(fā)，通過分開設(shè)置公共的虛擬機和專用的虛擬機或者是按照服務(wù)器虛擬化技術(shù)類型（系統(tǒng)虛擬服務(wù)器、應(yīng)用程序類虛擬服務(wù)器以及數(shù)據(jù)庫虛擬服務(wù)器）分開設(shè)置就能夠提高其運行安全性[1]。

（二）強化對虛擬化基礎(chǔ)設(shè)備的保護

虛擬化基礎(chǔ)設(shè)備的保護工作指的是對虛擬化管理工具進(jìn)行保護，在當(dāng)前ed系統(tǒng)運行過程中，虛擬化管理工具是整體系統(tǒng)正常運行工作的基礎(chǔ)，其作為系統(tǒng)安全管理的中樞直接關(guān)系到所有虛擬機的生產(chǎn)、策略設(shè)備和后期維護工作，在其保護過程中，應(yīng)該根據(jù)管理工具的實際情況開展，比如在VMware虛擬化管理工具的保護工作中，可以對管理控制臺VMware本地管理人員進(jìn)行集中控制，以便杜絕虛擬化管理工具自身由于缺乏安全保護所帶來的風(fēng)險問題，同時，相關(guān)工作人員可以采取分權(quán)制約的方式，一是要自主定義虛擬化管理系統(tǒng)管理員、安全管理員以及安全審計員，保證職位的獨立性，杜絕兼任職位的現(xiàn)象;二是在VMware與虛擬化桌面管理其的ViewManager中創(chuàng)建以上三個角色，并合理限制以上角色所具有的管理權(quán)限。

（三）合理配置虛擬服務(wù)器與加固系統(tǒng)

合理配置虛擬服務(wù)器與加固系統(tǒng)是服務(wù)器安全管理的重要工作環(huán)節(jié)，主要目的就是最大程度上降低虛擬服務(wù)器運行過程中被惡意攻擊的風(fēng)險。在實際工作中，一是要在虛擬化服務(wù)器技術(shù)應(yīng)用部署環(huán)節(jié)加強管理，比如按照物理服務(wù)器和虛擬服務(wù)器的占比情況來評估物理服務(wù)器的硬件配置、散熱情況以及電源負(fù)荷情況，這樣詳細(xì)了解虛擬服務(wù)器的具體用途，明確其在實際應(yīng)用中可能需要承擔(dān)的實際并發(fā)訪問量，能夠更好的提高物理服務(wù)器性能，并且保證數(shù)量設(shè)置的合理性，進(jìn)一步提高對虛擬服務(wù)器的安全管理工作的質(zhì)量;二是需要全面安全加固虛擬化環(huán)境中的服務(wù)器系統(tǒng)，加固內(nèi)容涵蓋承載虛擬機的物理主機、管理虛擬化環(huán)境的vCenter Server和其他所有虛擬機，而且強化對虛擬機生命周期的管理以及身份認(rèn)證也能夠提高安全保護級別較低設(shè)備的運行安全[2]。

四、虛擬化服務(wù)器的應(yīng)用

（一）服務(wù)器整合

隨著先進(jìn)技術(shù)手段的進(jìn)步發(fā)展，原有的舊系統(tǒng)已經(jīng)取法滿足實際需要，服務(wù)器在更新過程中可以利用服務(wù)器虛擬化技術(shù)將多個舊系統(tǒng)裝入一個物理服務(wù)器中，具體實施辦法是：將多個不同物理服務(wù)器中的信息內(nèi)容先轉(zhuǎn)移到VPS上，然后將這些VPS運行在一個單獨的物理服務(wù)器上。這樣就可以保證在節(jié)省空間、節(jié)約電力，節(jié)約投資的同時又滿足多系統(tǒng)并存對資源的需求。

（二）數(shù)據(jù)系統(tǒng)的災(zāi)難恢復(fù)

利用VPS構(gòu)建冗余的作業(yè)環(huán)境，可以有效加快數(shù)據(jù)的拷貝和應(yīng)用程序的恢復(fù)，對數(shù)據(jù)損毀的恢復(fù)工作具有十分重要的現(xiàn)實意義。

（三）互聯(lián)網(wǎng)主機服務(wù)商

對于互聯(lián)網(wǎng)主機服務(wù)提供商來說，原有系統(tǒng)錯存在的資源“閑置”和“不足”等方面的問題嚴(yán)重制約著其進(jìn)一步的發(fā)展，采用Virtuozzo工具則可以將“閑置”資源充分的利用起來，靈活自由的虛擬化技術(shù)將極大地提高服務(wù)商服務(wù)資源的效率。

五、結(jié)語

綜上所述，服務(wù)器虛擬化技術(shù)在實際應(yīng)用過程中為系統(tǒng)安全帶來了新的風(fēng)險和威脅，在IT新技術(shù)快速發(fā)展的現(xiàn)在，可以通過優(yōu)化服務(wù)器虛擬化技術(shù)分類部署、強化對虛擬化基礎(chǔ)設(shè)施的保護以及合理配置虛擬服務(wù)器與加固系統(tǒng)等幾個方面入手來做好服務(wù)器虛擬化技術(shù)安全防范工作，以便充分發(fā)揮出服務(wù)器虛擬化技術(shù)應(yīng)用價值。

【參考文獻(xiàn)】

[1]龍達(dá)鑫.淺析服務(wù)器虛擬化技術(shù)的安全性[J].信息系統(tǒng)工程，2019（06）：46.

[2]王鈺.服務(wù)器虛擬化安全風(fēng)險及防范措施[J].信息技術(shù)與信息化，2019（04）：25-26.