數據中心虛擬化安全性研究

高遵富，張居庫，程 輝

（中國石油遼河油田公司，遼寧 盤錦 124010）

隨著虛擬化技術不斷向前發展，許多企業數據中心面臨著實施虛擬化的需要。虛擬化所具有的優勢，如服務器的整合、更快的硬件、使用上的簡單、靈活的快照技術等，都使得虛擬化［1］更加引人注目。整合、節省成本、動態配置和動態遷移等因素正在推動虛擬系統在數據中心的應用。在這里，技術再次走在了最佳的安全方法的前面。隨著機構對災難恢復和業務連續性的重視，從2009年開始，企業所在公司陸續開展了VMware和Hyper－V的虛擬化應用，現在已廣泛運用在油田的業務和生產中。通過近幾年的應用，我們更加關注這種繁榮背后的隱憂，探討服務器虛擬化的安全問題極有必要。

1 服務器虛擬化安全問題的提出

（1）如果主機受到破壞，那么主要的主機所管理的客戶端服務器有可能被攻克。

（2）如何保障客戶端共享和主機共享的安全？因為這些共享有可能被不法之徒利用其漏洞。

（3）主機利用率多大為最好，能承載多少虛擬機？

（4）虛擬機之間通話是否安全？

（5）虛擬機補丁如何更新？還需要在所有的虛擬機上都安裝防護系統嗎？

2 服務器虛擬化可能引起的安全風險分析

2.1 虛擬化技術給數據中心架構帶來新的安全風險［2］

虛擬化技術改變了數字中心的網絡架構，產生了新的安全問題。采用虛擬化技術以前，數據中心是由網絡、服務器、存儲三大層次組成，但各服務器和存儲都是獨立存在，被網絡分割在不同的隔離區內，被各自的安全規則和防火墻所控制，出現問題時造成的危害被限制在一個狹小的隔離區內，影響不大。但采用虛擬化后，所有的虛擬機都處于防火墻內，虛擬機之間處于安全空白地帶，如果有一臺虛擬機發生問題，危害就會擴展到整個虛擬化系統。

2.2 虛擬化服務器出現負載過重或崩潰

服務器虛擬化就是將多個現獨立的虛擬操作系統在單一的物理計算機上運行，這可以最大化地利用服務器。但是，無論什么服務器都有各自的性能極限，不同的虛擬機在爭奪有限的資源時，可能會出現網絡和性能瓶頸，從而引起服務器過載或崩潰［3］，造成部分或全部業務的中斷或崩潰，它比常規環境中一臺服務器崩潰引起一個應用中斷帶來的問題要嚴重得多。

2.3 虛擬化補丁引起的安全問題

由虛擬機補丁引起的安全問題有兩種情況：一是虛擬機眾多，不能及時對各虛擬機進行補丁更新；二是鏡像經常處于沉默狀態，不能及時得到最新的補丁和病毒特征。

3 服務器虛擬化安全風險相關對策

管理虛擬安全問題：首先，也是最重要的，企業應該分析自己使用的虛擬平臺的具體風險。要知道這個架構的變化如何影響到現有的安全管理系統。企業IT部門在向虛擬機遷移或者應用虛擬機之前還應該制訂戰術層面和戰略層面安全計劃。這些安全計劃是通過對現有的虛擬安全進行綜合分析實現的。同時還要計劃應付虛擬平臺未來的安全威脅。總的來說，作為整個虛擬化安全架構的一部分，數據中心應該把重點放在以下幾個方面：

3.1 數據中心架構安全保障

傳統的DMZ設置現在已經不能滿足虛擬化對網絡架構的安全需要。虛擬化之后，所有的虛擬機器很可能就集中連接到同一臺虛擬交換器（如 VMwareESX/ESXi，微軟的 Hyper－V），或者由虛擬—實體網卡之間的橋接（如VMwareServer/Workstation，微軟的VirtualServer/PC），與外部網絡進行通訊。在這種架構之下，原本可以通過防火墻采取阻隔的防護就會消失不見，屆時只要一臺虛擬機器發生問題，安全威脅就可以通過網絡散布到其他的虛擬機器。虛擬化平臺的廠商VMware已推出VMsafe的API技術，VMsafe的運作架構相當簡單，相當于我們在每一臺虛擬機器前面放置一臺安全檢查設備，去過濾進出這些虛擬機器的所有流量，于是虛擬機器不需要安裝任何軟件便能得到保護，而實際上，殺毒軟件僅是安裝在VMware ESX/ESXi平臺之上的一臺虛擬機器而已，目前各主流安全軟件廠商都已經推出了基于虛擬化的安全防護產品。

3.2 制定合理的部署策略預防過載

3.2.1 控制虛擬機的數量

每臺服務器的硬件性能都有其極限值，而每個應用程序的運行都有其消耗資源的最低需求，所以虛擬機的數量并不是可以無限創建的。要實時監控設備的運行情況，根據實踐情況控制虛擬機的數量。創建虛擬機只要短短幾分鐘，但虛擬機數量越多，面臨的安全風險也越大。

3.2.2 嚴格控制創建流程

創建虛擬服務器和對其進行維護要像物理服務器一樣嚴格。無論是物理服務器還是虛擬服務器，都要通過同樣的流程才能獲得批準。

3.2.3 控制虛擬機的部署系統

3.2.3.1 按照位置分開虛擬機

虛擬安全領域經常討論的問題之一是在隔離區使用虛擬平臺。經常看到一個物理虛擬機主機在隔離區運行公共的和專有的虛擬機，這兩個安全領域的區分是在軟交換機上實施的。在實踐上，這種架構沒有物理環境的架構那樣安全，因為這種架構的虛擬機和物理機器共享運行環境。消除共享的隔離區資源的安全威脅的解決方案是在物理上把公共的虛擬機與專用的虛擬機分開，在不同的主機上運行和管理這些虛擬機。

3.2.3.2 按照服務類型分開虛擬機

一旦根據位置分開虛擬資源之后，下一步就是根據任務或者服務分開虛擬機。換句話說，就是讓全部的網絡服務器虛擬機在一個資源池和集群中，讓所有的應用虛擬機在另一個資源池或者集群中。同在隔離區內分開位置一樣，這個架構旨在限制那些與攻破虛擬平臺有關的風險。如果一個攻擊者能夠攻破一個客戶虛擬機，在同一個物理主機上運行的其他客戶機預計也會被攻破，因為它們共享同樣的運行環境。如果在一個主機上運行的所有的虛擬機都是相同的并且都執行同樣的任務，而且整個系統沒有完全暴露，攻擊者不必利用10個虛擬機安全漏洞，能夠利用一個虛擬機的漏洞就夠了。

3.3 虛擬化補丁安全管理

虛擬機和平臺的主要好處之一是能夠方便地創建、移動和撤銷虛擬機，虛擬機的創建、移動和銷毀過程構成了虛擬機的生命周期。

虛擬機在生命周期的每一步都容易受到安全威脅。當從頭開始創建新的虛擬機的時候，重要的是要保證虛擬機使用最新的安全補丁，保證補丁更新的及時性、嚴密性、持續性、兼容性。當克隆虛擬機鏡像和移動虛擬機的時候，重要的是保持每一個虛擬機的“穩定狀態”。同時，隨著時間的推移，很容易重復地克隆一個使用了補丁的“黃金”鏡像，最終使各種虛擬機保持各種補丁水平，因此需要在使用的間歇時間里離線更新最新補丁。通常情況下，在局域網內部一般采取如下策略：

（1）制定系統補丁管理制度或辦法；

（2）部署局域網補丁服務器；

（3）測試補丁和虛擬化系統的兼容性；

（4）制定補丁分發策略，定時、分時強制補丁更新和升級病毒庫；

（5）定期虛擬化系統巡檢，檢查更新狀況。

4 結論

雖然虛擬平臺帶來了額外的管理和安全風險，但是虛擬化帶來的各種風險是可以管控的。如果在部署虛擬化系統之前或者在進行虛擬化移植之前、期間或者之后能夠充分地考慮到虛擬化技術因素以及可能帶來的風險，就有可能成功地實施虛擬基礎設施遷移。提前進行虛擬化系統規劃，從第一天開始就考慮虛擬化的安全管理問題，企業就能夠成功地實現虛擬化的部署，并做到虛擬化環境比物理環境更安全。

［1］ 韓寓.服務器虛擬技術研究與分析［J］.電腦知識和技術，2011，7（7）：1654－1655.

［2］ 余明輝.虛擬化技術應用的風險分析及對策研究［J］.信息安全與技術，2010（8）.

［3］ 東緣.實施虛擬化如何避免服務器過載.［EB/OL］.［2009－10－19/2009－12－14］.http：//server.ctocio.com.cn/server＿vm/169 /9237669.shtml.