試析云計算虛擬化安全技術

張 野

（遼寧行政學院，遼寧沈陽，110161）

試析云計算虛擬化安全技術

張 野

（遼寧行政學院，遼寧沈陽，110161）

通過云計算虛擬化安全技術，可以有效提升數據中心基礎資源的使用效率，避免由于黑客的入侵而影響到用戶個人信息的安全性與穩定性，將云計算服務推升至全新的高度和深度。本文主要針對云計算虛擬化安全技術展開深入的研究，重點闡述云計算虛擬化安全技術架構，以供相關人士的借鑒。

云計算；虛擬化安全技術；架構

0 引言

目前，在計算機互聯網技術的強大推動下，云計算虛擬化安全技術的應用越來越廣泛，使云計算服務發生了前所未有的改變，可以保證用戶個人信息的安全性與穩定性。根據虛擬化安全問題可以看出，云計算對現代社會生活產生了極其深遠的影響，也改變了以往傳統的商業模式。加強云計算虛擬化安全技術的應用，可以避免信息安全隱患的發生，維護云服務商和廣大用戶的合法權益。

1 云計算虛擬化安全技術的相關概述分析

虛擬化技術是云計算技術的關鍵所在，通過對軟硬件分時服務、模擬以及仿真執行等技術的使用，可以保證通過單個計算機物理設備進行多個相互隔離硬件執行環境的模擬，進而被稱為虛擬機，為用戶運行多個操作系統個應用程序提供了極大的便利條件，虛擬機結構圖如圖1所示。

圖1 虛擬機結構圖

通過對圖1的理解，虛擬機監控器的附加層位于虛擬機中運行的操作系統和底層硬件資源之間，主要負責管理底層的硬件資源，將其分配到上層運行的虛擬機。VMM 具有著較高的控制權利，可以有效控制上層虛擬機和其中操作系統的運行狀況。

同時，操作系統和底層硬件資源之間的交互需要借助虛擬機監控器。對于虛擬化而言，可以對一個、多個相互隔離的執行環境進行虛擬，保證虛擬環境操作系統、應用運行情況以及真實物理設備運行情況的一致性與統一性。

2 云計算虛擬化安全威脅分析

2.1 虛擬機之間流量不可視

在虛擬化環境中，每臺物理機上具有著較多臺的虛擬機，借助虛擬化平臺，可以為虛擬機之間提供虛擬交換機通信。對于來自同一個虛擬交換機上的虛擬機，可以實現相互通信。在虛擬機出自不同用戶時，極容易引發數據泄露現象。而且以往傳統的防護手段處于物理主機的邊界，如果一臺物理機中的多臺虛擬機發生通信，一些流量嚴重超出了外部安全設備的監控和保護范圍。

2.2 虛擬機之間存在著資源共享沖突

在虛擬化環境的影響下，因為多臺虛擬機共同享用同一種物理機資源，資源競爭現象屢禁不止。如果很難通過正確配置限制單一虛擬機的可用資源[1]，一些個別虛擬機的資源占用現象經常發生，也造成了其他虛擬機拒絕服務。同時，如果利用同一物理機上的虛擬機進行病毒掃描，在物理機資源消耗殆盡時，便會出現宕機，進而出現虛擬機業務中斷。

2.3 云數據安全風險的出現

其一，海量用戶數據集中進行存儲，為黑客的入侵和攻擊提供了“機會”；其二，大多數租戶共享存儲資源，用戶數據和系統數據均共同保存起來，數據混淆在一起，不利于對重要數據進行可針對性的處理，一旦在對不同用戶的存儲數據隔離出現問題，將會造成數據泄露風險；最后，虛擬機數據往往以明文方式存儲起來，如果遭受到了突如其來的入侵，由于虛擬機之間一些流量很難直接看出來，再加上流量行為審計的嚴重缺失，黑客會將數據轉移到其他虛擬機或外部服務器，用戶在短時間內很難察覺到數據已經被盜用。

3 云計算虛擬化安全技術架構分析

3.1 基于KVM的虛擬化安全技術框架

要想解決KVM虛擬化安全問題的蔓延，要提高對虛擬化層和虛擬化機安全問題的重視 程度。現階段，KVM已經被RHEL、CENTOS等作為內核集成到Linux操作系統之中。通過KVM虛擬化功能可以看出，需要Linux中的QEMU、KVM模塊來共同完成。CPU、內存以及存儲等是KVM模塊的重要組成部分，主要負責調用宿主機硬件資源，為虛擬機資源的合理分配提供一定的便利性。

（1）QEMU模塊安全

在虛擬化模塊中，QEMU扮演著極其重要的角色，如果黑客入侵或攻擊，所有虛擬機實例將會被控制起來，由此造成用戶數據的泄漏現象，這些虛擬機已經成為了黑客的攻擊工具之一，嚴重影響著CSP。因此，QEMU模塊的安全補丁要及時進行更新與維護。

（2）KVM模塊安全

如果發現KVM模塊存有薄弱點和空白點，黑客就會直接調用CPU、內存以及網絡等主機上的物理資源，限制著整個云服務的正常運轉。因此，要在KVM模塊中構建相應的安全機制。

3.2 構建虛擬化集中管理和控制平臺

基于虛擬機個體視角來分析，不能僅僅局限于對云計算虛擬化安全問題的考慮。一旦云平臺出現問題，將會造成大面積虛擬機故障，不鱸魚云的正常運行。而且對于每一臺虛擬機或云服務器來說，必須要部署一定的安全組件，切忌過多地依賴運行維護人員的手動配置，以免造成安全措施部署和更新的滯后現象，CSP的運維成本也會由此上漲。因此，CSP需要借助虛擬化集中管控平臺，來對所有虛擬機和安全組件進行集中管理，具體涵蓋的功能圖如圖2所示。

（1）云平臺完整性監視

一旦云平臺組件被惡意修改，極容易影響云平臺的安全性與穩定性，造成數據的泄漏，由此可以看出，維護云平臺的完整性[2]，對CSP產生了極其深遠的影響。要加大云平臺信息和狀態的監督與控制力度，切實維護好云平臺的完整性。并且要在第一時間內向管理人員告知系統平臺和組件的變化情況，確保云平臺的高效運行。

圖2 虛擬化集中管控平臺框架圖

（2）虛擬機數據行為審計與警示

通過虛擬化防火墻，可以有效提升單臺虛擬機流量的安全性與可靠性。然而很難直接判斷虛擬機的數據出現的異常現象。因此，要積極構建虛擬化集中管控平臺，利用虛擬化防火墻上傳的流量日志來進行審計，及時發現流量異常行為，向運維人員發出一定的提示，以免其他沒有授權的虛擬機或外部服務器來盜用用戶的個人信息。

4 結束語

應用云計算虛擬化安全技術勢在必行，具有著實質性的指導意義，提升云計算服務的能力和水平。深入分析云計算虛擬化環境中的安全問題，及時采取相應的解決對策，正確理解和運用云計算虛擬化安全技術架構，維護用戶個人信息的完整性，獲取用戶高度的滿意度，創建良好的云氛圍。

[1]金明日,馬春艷,梁霞.網絡安全技術在云計算背景下的實現路徑[J].信息與電腦(理論版),2016,(14):69-70.[2017-10-12].

[2]黃昊.智能電網中虛擬化云計算的應用和安全技術分析[J].網絡安全技術與應用,2014,(03):111-112.[2017-10-12].

Virtual security technology of cloud computing

Zhang Ye
（Liaoning Academy of Governance，Shenyang Liaoning,110161）

This paper focuses on cloud computing virtualization security technology to carry out in-depth research, focusing on cloud computing virtualization security technology architecture, for the reference of the relevant people.

cloud computing;virtualization security technology;architecture