服務器虛擬化技術及安全研究
2017-09-08 23:27:45李華芳
數字技術與應用 2017年6期
李華芳
摘要:隨著計算機技術的發展,企業、機關單位、政府等數據中心產生的數據越來越多,服務器以及數據中心每年的電費以及維修費用不斷上漲,然而高投入并沒有取得良好的效果。將虛擬化技術應用在服務器中,能提高硬件資源利用率,降低管理和維修成本。本文主要分析了服務器虛擬化技術內容、服務器虛擬化存在的安全風險,并根據這些安全風險,采取相應的措施,提高服務器的安全等級,確保服務器運行安全。
關鍵詞:服務器;虛擬化技術;安全風險
中圖分類號:TP309 文獻標識碼:A 文章編號:1007-9416(2017)06-0213-01
1 服務器虛擬化技術的內容
1.1 全虛擬化
全虛擬化技術又叫硬件輔助虛擬化技術,是通過BDT和直接執行技術實現的,BDT在虛擬機運行時,一些敏感指令會在指令到達之前陷入到其他指令中,將這些敏感執行命令插入到VMM中,VMM技術將這些動態指令轉化為具有相同功能的指令,按照順序直接訪問計算機虛擬硬件。從這也可以看出,在全虛擬化技術中,計算機用戶所有的指令都是通過CPU運行的,計算機操作系統從虛擬層硬件中抽離出來。全虛擬化技術也是唯一一個不需要硬件或者操作系統協助完成敏感指令虛擬化技術。
1.2 半虛擬化
半虛擬化技術需要修改計算機用戶的操作系統內核,替換不能虛擬化的指令,并通過Hypervisor完成敏感指令的調用。在半虛擬化技術中,計算機操作系統還要與虛擬化平臺兼容,否則虛擬機無法有效的操作宿主的計算機。
1.3 硬件輔助虛擬化
虛擬化技術的應用給CPU的運行增加了新的模式—Root,這種模式下,VMM可以在Root模式下運行,而Root模式建立在RingO下,敏感指令可以直接在Hypervisor執行,不需要BT或者半虛擬技術,計算機用戶只要將操作系統狀態保存在虛擬機控制結構中或者虛擬機控制模塊中。
2 服務器虛擬化存在的安全風險
與傳統的服務器運行模式相比,服務器虛擬技術在物理硬件和虛擬服務器之間引入了虛擬層,也就是虛擬機監控器。虛擬技術的應用也給服務器的安全帶來了一定的風險。具體體現在以下幾個方面:第一,VMM為虛擬機提供統一的資源抽象,資源共享技術的出現增加了服務器運行的安全風險。此外,VMM理論還不夠成熟,VMM出現系統漏洞時,很容易受到黑客的攻擊和病毒的感染,黑客可以直接進入到數據中心的主機系統,隨意篡改數據庫的數據,給虛擬機的運行帶來了極大地安全隱患。第二,隨著計算機技術的進入,網絡邊界逐漸消失,服務器和網絡逐漸融合,在這種融合模式下,每一個虛擬機都需要一套相對完整的防護產品保護虛擬機。使用這種新的網絡模型,將計算機十幾個操作系統用虛擬機形式展現在服務器上,虛擬機可以共享十幾個操作系統的數據資料,一旦一臺計算機操作系統出現問題,可能影響整個網絡系統和其他虛擬機。第三,由于虛擬化技術的優越性,越來越多的企業使用虛擬機,造成虛擬機濫用現象,影響到物理主機CPU和網絡資源,造成計算機服務器運行負荷過重,造成計算機操作系統崩潰或者虛擬應用中斷等現象。
3 服務器虛擬化安全應對措施
虛擬化技術安全風險除了遇到病毒、木馬的入侵以及惡意軟件的感染等因素,還會造成服務器負荷過重,影響計算機運行的速度和效率。因此必須采取有效的措施:第一,針對共享技術帶來的安全風險,可以提高VMM安全策略。根據數據中心資料的重要性,建立安全等級防御系統。并優化虛擬機的隔離和封裝制度,加強服務器內部的保護,嚴格控制審計未通過的瀏覽和訪問。第二,為了解決虛擬機網絡內部攻擊現象,程序設計時要根據虛擬機的重要性劃分等級,安全等級比較高的虛擬機要及時備份數據,并采取隔離措施。創立虛擬機防護邊界和安全防火墻,防止惡意攻擊和訪問服務器系統。第三,為了解決虛擬機濫用這個問題,要加強服務器數據資源的容量分析和數據監控,服務器資源要定期進行匯報,一旦出現安全風險或者惡意入侵,系統能自動發出警報,以便維護人員第一時間掌握服務器情況。同時,企業要加強管理人員的安全意識,對服務器的訪問、跟蹤和審計等做好安全防護措施,嚴格設置業務邏輯訪問控制策略,提高虛擬機網絡的安全性和可靠性。
4 結語
服務器虛擬技術在網絡技術中應用十分廣泛,服務器虛擬技術能降低用戶硬件成本,最大限度利用硬件資源,讓計算機系統變得更加簡潔,便于用戶安裝、使用和管理。但是近年來的網絡安全問題使得服務器虛擬化技術的安全性成為社會關注的焦點。通過提高安全等級,制定訪問控制策略,提高虛擬機的安全性。
參考文獻
[1]伊波.服務器虛擬化技術及安全研究[J].神州(中旬刊),2016,(2):49-49.
[2]彭錦.服務器虛擬化技術及安全性探討[J].通訊世界,2015,(9):193-193.
[3]關慶娟,楊燕梅,吾湖蘭·吾拉木,等.服務器虛擬化技術在數字圖書館中的研究進展[J].福建電腦,2014,30(3):15-17.endprint
