中國民用航空西南地區(qū)空中交通管理局 聶雨霏

隨著當(dāng)前信息技術(shù)的不斷發(fā)展，計算機水平也在不斷地提高，服務(wù)器虛擬化技術(shù)也被廣泛地使用到網(wǎng)絡(luò)建設(shè)中，虛擬化技術(shù)可以有效地整合各類資源并且對其進行合理的運用，但是在實際的應(yīng)用過程中也伴隨著很多風(fēng)險。本文從服務(wù)器的虛擬化技術(shù)出發(fā)，圍繞著安全性進行簡單闡述。

虛擬化技術(shù)是依托于計算機技術(shù)的，虛擬化指的是用抽象的方法來表示計算機資源，可以使用訪問那些抽象之前的資源的訪問方法來對抽象之后的資源進行訪問，這種對資源抽象的方法不會被現(xiàn)實的物理配置以及地理條件干擾。而服務(wù)器的虛擬化技術(shù)從本質(zhì)上來說是把物理層面上的一個服務(wù)器在網(wǎng)絡(luò)環(huán)境中虛擬成眾多服務(wù)器。在工作人員使用服務(wù)武器虛擬化技術(shù)之前三種不相同的應(yīng)用要分別運行在三種不同的物理服務(wù)器中，在虛擬化之后應(yīng)用運行在三個虛擬服務(wù)器上，而在網(wǎng)絡(luò)環(huán)境中進行虛擬化的服務(wù)器可以被物理層面的一個服務(wù)器所承載。

1 服務(wù)器虛擬化技術(shù)

服務(wù)器的虛擬化技術(shù)指的是在現(xiàn)實物理層面上的單獨服務(wù)器上來運用多種虛擬的服務(wù)器的技術(shù)。根據(jù)該項技術(shù)的虛擬化層面的實現(xiàn)方法不同可以把服務(wù)器虛擬化分為兩種類型，一是寄居虛擬化，二是裸機虛擬化。寄居虛擬化的虛擬層面的虛擬機監(jiān)控器在用戶的操作系統(tǒng)上運行的，虛擬機是在用戶的操作系統(tǒng)中完成對硬件資源的使用的，所以其寄居虛擬化實現(xiàn)起來是比較容易的，雖然它的性能不是很理想。裸機虛擬化這種虛擬化技術(shù)的虛擬化層面是直接在物理硬件上實現(xiàn)虛擬化的，并沒有給虛擬機提供指令集以及實際的設(shè)備接口，裸機虛擬化想在工作中實現(xiàn)的話比較復(fù)雜，具有一定的難度，但是勝在性能強，資源分配上比較合理，穩(wěn)定性也比較高，各個方面和寄居模式相比較都有一定的優(yōu)勢。總的來說，服務(wù)器虛擬化技術(shù)是使用相應(yīng)的應(yīng)用程序把服務(wù)器內(nèi)部的資源進行合理的整合和分配轉(zhuǎn)化，這樣可以有效地提升各種資源的利用率，是一種對服務(wù)器的運行方式，可以解決一些基本的問題。服務(wù)器虛擬化技術(shù)是把內(nèi)存分為兩個空間，用戶空間和內(nèi)核空間，其中系統(tǒng)自身的操作程序是在內(nèi)核空間中實現(xiàn)運行的，而其中的用戶自行下載的應(yīng)用程序是在用戶空間中運行的。服務(wù)器虛擬化技術(shù)的主要內(nèi)容分為全虛擬化技術(shù)、半虛擬化技術(shù)、硬件輔助虛擬化技術(shù)。

1.1 完全虛擬化技術(shù)

完全虛擬化技術(shù)的實現(xiàn)是依托于DBT的執(zhí)行技術(shù)和X86的操作系統(tǒng)兩者互相結(jié)合實現(xiàn)的。在網(wǎng)絡(luò)環(huán)境中的虛擬機執(zhí)行DTT幾乎的時候，在比較敏感的指令前插入其他指令，然后再把執(zhí)行的在VMM中嵌入，然后就經(jīng)過動態(tài)轉(zhuǎn)換就可以把指令轉(zhuǎn)化成可以完成其他功能的指令隊列，從而做到對虛擬硬件的訪問。綜上所述，在完全虛擬化技術(shù)之中，Hypervisor可以做到對系統(tǒng)中所有的指令進行翻譯，而且翻譯之后的指令還可以在CPU中直接運行，用戶使用的操作系統(tǒng)是使用虛擬化技術(shù)直接把物理層面的硬件抽出來，所以用戶并不能感受到已經(jīng)發(fā)生了虛擬化，所以用戶的操作系統(tǒng)不需要改動。完全虛擬化技術(shù)是當(dāng)前唯一一種擺脫硬件束縛，不需要操作系統(tǒng)的協(xié)助就可以直接的把敏感指令虛擬化的技術(shù)。完全虛擬化技術(shù)有著擬機隔離的特點，這種特點保證了虛擬機的安全性，還給用戶的移植操作和操作系統(tǒng)的遷移操作帶來了便捷，但是這種完全虛擬化技術(shù)其中的DBT技術(shù)給相關(guān)的企業(yè)或者是個人增加了些許性能上的開銷。該項技術(shù)在商業(yè)應(yīng)用市場之中由于其可靠性和高效性占據(jù)了很大部分的市場份額。

1.2 不完全虛擬化技術(shù)

不完全虛擬化技術(shù)指的是要稍微對用戶的操作系統(tǒng)進行少許的修改，用來替換掉其中不能進行虛擬化的指令，然后使用虛擬化平臺來對其進行超級調(diào)用，從而實現(xiàn)虛擬機對這些敏感指令的執(zhí)行。在不完全虛擬化技術(shù)之中，用戶使用的操作系統(tǒng)和當(dāng)前的虛擬化平臺有很強的兼容性，如果兼容性不高的話會導(dǎo)致虛擬化之后的虛擬機不能完全的對用戶的物理機實現(xiàn)完美操控。不完全虛擬化技術(shù)中非常有代表性的是Xen，它是在X86系統(tǒng)的架構(gòu)之上進行的開源操作，其中VMM有著極高的效率和性能，所以在當(dāng)前各個領(lǐng)域中比較受歡迎。Xen是直接運行于硬件之上的，把關(guān)鍵的硬件比如CPU、內(nèi)存在網(wǎng)絡(luò)環(huán)境中進行虛擬化。DomainO是Linux經(jīng)過修改之后的系統(tǒng)，是在VMM的架構(gòu)中運行的系統(tǒng)。大多數(shù)的虛擬機設(shè)備是在該系統(tǒng)之下的驅(qū)動程序幫助下鎖運行的。一般情況下，虛擬化平臺中只能支持兩種虛擬機，一是不完全虛擬化的虛擬機，二是硬件虛擬機。半虛擬化虛擬機是需要修改用戶的操作系統(tǒng)內(nèi)核來實現(xiàn)對VMM的虛擬化的，半虛擬化機中包括著前端的驅(qū)動，在Dmain0中則是包含著后端的驅(qū)動。硬件虛擬機是可以支持不修改用戶的操作系統(tǒng)內(nèi)核，也叫HVM。

1.3 硬件輔助虛擬化

隨著虛擬化技術(shù)的廣泛使用，很多公司對虛擬化的重視度不斷地提高，其中英特爾在2006年的時候在CPU上推出了虛擬化支持的方案。初代的硬件輔助虛擬方面的技術(shù)有英特爾的VTX和超威公司的AMD-V，它們給CPU增加了新的執(zhí)行模式ROOT，VMM可以直接在該種執(zhí)行模式中使用，在使用的過程中出現(xiàn)的敏感指令的執(zhí)行都是在Hypervisor之下運行的，并不需要DBT或者是不完全虛擬化技術(shù)來進行虛擬化，應(yīng)用這種技術(shù)后，用戶的操作系統(tǒng)不會有其他的改動，會直接保存在虛擬機的系統(tǒng)架構(gòu)之中。

2 服務(wù)器虛擬化技術(shù)的安全風(fēng)險

服務(wù)器的虛擬化雖然通過在硬件設(shè)施和服務(wù)器之間加入虛擬層的技術(shù)來提高資源的利用率，但是這也帶來了很多的風(fēng)險。(1)因為虛擬化之后的環(huán)境具備著開放性的特點，傳統(tǒng)的安全防護設(shè)備很難掌控虛擬狀態(tài)之下的通信情況，這就給服務(wù)器的虛擬化的運行安全制造了很大的威脅，這就導(dǎo)致了傳統(tǒng)的防護手段和系統(tǒng)沒有發(fā)揮出自身應(yīng)當(dāng)發(fā)揮的保護作用。(2)虛擬化的工具也存在著一定的問題，非常容易遭受到外來的攻擊，而且自身還沒有完善的自我保護手段，這就導(dǎo)致了服務(wù)器在運行當(dāng)中可能會受到損害。(3)當(dāng)前的情況就是人們?nèi)绻^度的使用虛擬機，濫用虛擬機的話一定會讓服務(wù)器的壓力過大，從而讓虛擬機的主機漸漸癱瘓，還有在使用虛擬機遷移的功能時，也非常容易會受到外來的攻擊，這也會造成極大的安全隱患。(4)當(dāng)前服務(wù)器中的VMM模式并沒有完善，所以虛擬機在運行的過程中很可能會出現(xiàn)漏洞，這就是目前虛擬機安全方面最大的危險之處[1]。

3 服務(wù)器虛擬化技術(shù)的安全防范措施

3.1 加強該項技術(shù)中的分類部署

在服務(wù)器虛擬化技術(shù)的運行過程中，加強該項技術(shù)的分類部署，可以讓服務(wù)器在邏輯層的運行得到優(yōu)化，這就對服務(wù)器的安全性有一定的提升作用。在具體的實踐當(dāng)中，工作人員可以著重的對其網(wǎng)絡(luò)進行設(shè)置，其中值得注意的是要把公共的虛擬機和自身專用的虛擬機分開進行設(shè)置，依據(jù)使用虛擬化技術(shù)的類型進行分類，讓其在自己應(yīng)當(dāng)處在的網(wǎng)絡(luò)位置上運行，最大程度上減少數(shù)據(jù)泄露到其他機器中的可能性，從而保證服務(wù)器虛擬機的安全運行。所以，工作人員要對虛擬化環(huán)境當(dāng)中的邊界進行防護，切實的落實到每一臺虛擬機當(dāng)中，超保證防護設(shè)備可以對其中每個虛擬機進行識別，所以工作人員要對虛擬機環(huán)境中的邊間訪問進行嚴(yán)格的控制，這就必須要在虛擬層的基礎(chǔ)上才能實現(xiàn)，所以邊界防護的重點是對其中的虛擬層進行防護。在防護的同時，要分層次地把重要的數(shù)據(jù)進行加密，把虛擬機以重要性為標(biāo)準(zhǔn)進行分類和等級劃分，對于其中等級比較高，重要性比較強的虛擬機使用相對應(yīng)的隔離方法，必要的時候還可以建設(shè)防火墻來對外來的風(fēng)險進行抵御，從而防止信息被泄露，極大程度上來提高虛擬化服務(wù)器的安全性[2]。

3.2 強化該項技術(shù)的設(shè)施保護

該項技術(shù)中的安全管理措施中最為重要的就是對服務(wù)器虛擬化相關(guān)設(shè)施的保護。因為虛擬化設(shè)施是虛擬化服務(wù)器運行的前提，是整體的服務(wù)器運行當(dāng)中不可或缺的一部分，這對于虛擬化服務(wù)器的生產(chǎn)和運行有著極其重要的作用，所以提高對服務(wù)器虛擬化設(shè)施的保護是相當(dāng)重要的。比如說在VMware虛擬化的環(huán)境當(dāng)中，就是通過虛擬化的管理工作來實現(xiàn)對管理人員的控制，以這種方式來彌補虛擬化工具沒有自我保護能力的缺點，減少缺乏保護帶來的風(fēng)險。在這個過程中，本地管理員是擁有最大權(quán)限的，這就可以通過使用分權(quán)制約的方法來實現(xiàn)日常的維護工作，對工作人員的職責(zé)進行分化，明確自身應(yīng)當(dāng)承擔(dān)的責(zé)任，然后進行桌面資源的授權(quán)工作。在工作當(dāng)中還可以對數(shù)據(jù)中心的相關(guān)資料進行審計，從而實現(xiàn)對服務(wù)器虛擬化技術(shù)的最大程度保護。隨著當(dāng)前網(wǎng)站業(yè)務(wù)的越來越多，所以虛擬機的濫用情況比較嚴(yán)重，那么針對于這種情況為了防止虛擬機被濫用，要對服務(wù)器內(nèi)部的容量進行加強分析和監(jiān)控，從而做到全面地掌握服務(wù)器的基礎(chǔ)情況。除了基礎(chǔ)的監(jiān)控之外，也可以定期地召開對應(yīng)的會議進行組織和回報，也可以在服務(wù)器虛擬化中設(shè)置自動警報器，如果發(fā)現(xiàn)有外來入侵的情況出現(xiàn)，就可以自動地發(fā)出警報，從而使得工作人員可以第一時間發(fā)現(xiàn)外來入侵，進行解決。對服務(wù)器中被使用的資源定時的進行報告和計算，并對一些比較特殊的情形進行警告，對其訪問進行嚴(yán)格的控制，并加強服務(wù)器管理工作人員對于服務(wù)器相關(guān)設(shè)施的保護意識，對虛擬化服務(wù)器做好相應(yīng)的安全防范措施，按照規(guī)章制度嚴(yán)格進行操作，設(shè)立相應(yīng)的保護制度來保護服務(wù)器虛擬化的工具來提升虛擬機在運行過程中的安全性[3]。

3.3 完善該項技術(shù)的加固系統(tǒng)

在對虛擬化服務(wù)器進行安全方面的管理的時候，要對服務(wù)器中的加固系統(tǒng)提高重視度，要做到不僅能夠抵御帶來的風(fēng)險，還能保障服務(wù)器的安全運行。在實踐的過程當(dāng)中要對服務(wù)器的加固系統(tǒng)合理地進行配置，在部署的工作環(huán)節(jié)中，要對服務(wù)器真實的用處進行確定，還要注意服務(wù)器的實際工作情況，在保障服務(wù)器運行的過程中要對服務(wù)器設(shè)置的數(shù)量合理化，比如對物理層面和虛擬層面的服務(wù)器的資源占比情況進行評估，對物理層面服務(wù)器的硬件設(shè)置和電源的使用情況進行評估，然后依據(jù)資源占比情況和物理層面的實際情況來進行具有可控制性的配置，從而以這種方式來實現(xiàn)對虛擬化服務(wù)器的安全管理。另一方面，除了對物理層面的服務(wù)器進行評估之外，還要對處在虛擬環(huán)境中的服務(wù)器開展全面的檢查工作和加固工作，同時要注意增強虛擬化服務(wù)器的身份認(rèn)證技術(shù)，防止不確定身份的賬號對服務(wù)器進行訪問。除此之外，還要加強對虛擬機運行的優(yōu)化，在出現(xiàn)故障的時候，要及時地對其進行修復(fù)和處理，在虛擬環(huán)境中建設(shè)完善的安全防御系統(tǒng)和機制，對于未經(jīng)允許的訪問要嚴(yán)格的進行控制。在虛擬化服務(wù)器進行轉(zhuǎn)移的時候，要注意進行加密，從而做到全方位的多角度的對遷移過程中的虛擬化服務(wù)器進行保護。所以，為了對虛擬化服務(wù)器的安全性進行保證，相關(guān)的工作人員要制定可行性比較強的安全戰(zhàn)略，并且管理人員要進行相對應(yīng)的管理制度，首要需要提升的就是現(xiàn)場工作人員的安全意識，只有工作人員的安全意識提高了才能形成完善的虛擬化服務(wù)器的加固系統(tǒng)，從而保障其安全[4]。

4 結(jié)論

綜上所述，服務(wù)器的虛擬化技術(shù)已經(jīng)受到了廣泛的關(guān)注，是學(xué)術(shù)界和各行各業(yè)關(guān)注的重點。服務(wù)器虛擬化技術(shù)中的安全防范工作具有非常重要的意義，可以讓虛擬化技術(shù)更安全的應(yīng)用到各大高端的服務(wù)器當(dāng)中，所以要加強該項技術(shù)的分類部署，對相關(guān)設(shè)施強化保護，完善加固系統(tǒng)來發(fā)揮服務(wù)器虛擬化技術(shù)的作用，從而推動網(wǎng)絡(luò)建設(shè)向前發(fā)展。