淺談虛擬化技術應用風險與防范

周友明

【摘要】近年來，虛擬技術在各行各業(yè)得到廣泛應用，IT系統(tǒng)架構變更導致的安全問題引發(fā)各方面關注。本文從虛擬化技術應用在資源利用率、管理模式、運營成本、安全、應用遷移、虛擬化標準六方面可能引發(fā)的風險，提出了相應應對措施。

【關鍵詞】虛擬化技術 應用風險 防范

近年來，由于虛擬化技術能有效簡化基礎設施管理，提高軟硬件資源的利用率，能實現(xiàn)應用系統(tǒng)無縫遷移，節(jié)能降耗，降低成本等諸多優(yōu)點，而被各行各業(yè)得到廣泛應用，但它突破了傳統(tǒng)IT基礎和管理架構，相應應用規(guī)則和管理規(guī)則還未及時跟進，在實際應用中也帶來了新的風險。

一、引言

虛擬化技術作為一項能夠給應用單位簡化基礎設施管理、提高資源利用率、降低設備能耗的新技術，在各行各業(yè)得到廣泛應用。但由于改變了傳統(tǒng)基礎設施構架和管理構架，在帶來諸多便利的同時也給信息技術工作帶來了新風險。

二、風險分析

（一）高資源利用率風險

應用虛擬化技術，可以提高服務器的靈活性和效率，但每臺服務器的資源總是有限的，如果不限制單臺物理服務器上運行虛擬機的數(shù)量，可能引發(fā)服務器負載過重，影響運行效能。

（二）管理模式變化風險

應用虛擬化技術，管理模式由具體物理設備管理轉(zhuǎn)變?yōu)閷憫獣r間和服務級別的全面管理。需要管理的物理資源少了，但增加了一層虛擬軟件，增大了管理環(huán)境的復雜性，加大了技術人員維護系統(tǒng)的難度。同時也給權限管理和認證等環(huán)節(jié)帶來了新的風險。

（三）期望減少成本風險

應用虛擬化技術，可以減少服務器及附屬設備資源成本，大幅度減少用電、恒溫、安裝及管理等方面的支出，但需要增加存儲虛擬化和技術人員技能提升的成本。

（四）安全風險

應用虛擬化技術所帶來的安全風險：

一是網(wǎng)絡架構風險。虛擬化技術改變了網(wǎng)絡架構，引發(fā)了新的安全風險。應用虛擬化技術后，所有虛擬機集中與外部網(wǎng)絡通訊，傳統(tǒng)防護措施失去效用，若有一臺虛擬機發(fā)生安全問題，那么其他虛擬機都將受到影響。

二是安全監(jiān)管風險。部分安全監(jiān)管軟件是通過監(jiān)測物理硬件發(fā)揮作用，虛擬化會繞過這些安全措施，使虛擬機無法得到有效監(jiān)管。安裝的靈活性也使得虛擬機更加難以監(jiān)測，虛擬機可以隨時創(chuàng)建，可以臨時駐留在內(nèi)存中，使得這些虛擬機處于監(jiān)管范圍之外。

三是虛擬機對話風險。運行在同一臺服務器上虛擬機之間的對話是無法被外部的防火墻、入侵檢測設備和異常行為監(jiān)測器等網(wǎng)絡安全工具監(jiān)測到，運行在同一臺服務器上虛擬機之間就產(chǎn)生了對話風險。

四是虛擬環(huán)境風險。管理員是通管理程序管理虛擬環(huán)境的。管理程序受到威脅，那么，所有受托管的虛擬機都會受到威脅，同樣對個別虛擬機的攻擊也會對管理程序造成威脅。

（五）應用遷移風險

由于虛擬化技術屬新興技術，其移植和管理工具尚不夠完善，部署虛擬數(shù)據(jù)中心最大的困難在于遷移。將應用程序由物理環(huán)境向虛擬環(huán)境遷移還將是個耗時耗錢的過程，需要單位各業(yè)務部門通力配合，如果短時間內(nèi)完成應用遷移也將影響業(yè)務系統(tǒng)的連續(xù)性和時效性。

三、防范措施

（一）部署前評估

應將部署虛擬化技術項目納入本單位信息化建設規(guī)劃，部署前做好各項準備工作（如：評估、調(diào)研等等），將部署虛擬化技術工作風險降到最低，確保部署虛擬化技術項目實施后的效益。

一是業(yè)務目標評估。部署虛擬化技術項目必須和本單位工作實際相結合，不要因臨時解決當前問題而倉促應用虛擬化技術，應為本單位信息化建設作好長遠規(guī)劃。

二是應用環(huán)境評估。首先本單位各業(yè)務系統(tǒng)是否支持將要部署的虛擬化技術項目，若不支持是否有補救措施。其次是本單位網(wǎng)絡環(huán)境是否支持將要部署的虛擬化技術項目，若不支持是否有補救措施。

三是技術支持評估。單位技術部門技術人員具備“相應技能”是部署虛擬化技術應用項目成功與否的關鍵，應對單位技術部門技術人員進行評估，對癥進行相應培訓，提高維護技能，并進行小范圍虛擬化技術應用實驗。

四是成本評估。節(jié)省成本是部署虛擬化技術應用項目的目的之一，但應用虛擬化技術帶來的只是虛擬化技術應用項目建設時的一次性成本節(jié)省，需要對虛擬化技術應用項目后期運行成本進行評估。

（二）管理策略

一是管理措施。應當定期備份監(jiān)控設備和虛擬機設備上的事件日志文件，這些事件日志文件是日后的安全審計的依據(jù)。備份虛擬機主機、管理程序和每個客戶虛擬機等的配置，確保在應用系統(tǒng)變更時能夠正確配置，使單位的安全策略包含各虛擬機系統(tǒng)。

二是限授權原則。系統(tǒng)資源的訪問權限應與每個使用者的職責對應起來，限制對系統(tǒng)共享資源的訪問。

三是監(jiān)控工具的運用。監(jiān)控工具軟件應能對虛擬機系統(tǒng)進行全程監(jiān)控，并能記錄虛擬機系統(tǒng)所有操作。同一臺物理主機上運行的虛擬機系統(tǒng)的數(shù)量應得到嚴格的監(jiān)控和限制，降低因增大受攻擊面而帶來的風險。

（三）安全技術措施

一是常規(guī)安全措施。及時升級所有的虛擬機和主機操作系統(tǒng)，并禁用不使用的服務和端口，減少漏洞和被攻擊的機會；在物理主機和虛擬機上應用反病毒機制，減少病毒威脅；應用防火墻和入侵防御系統(tǒng)對各虛擬機進行隔離和防護，阻斷相關安全攻擊；在物理主機和虛擬機之間使用加密措施，防止虛擬機與物理主機之間的通信可能被嗅探和破壞。

二是隔離虛擬機。采用劃分VLAN的方式，對各虛擬機系統(tǒng)進行邏輯隔離，確保各虛擬機系統(tǒng)通訊安全性。另外，還可以利用數(shù)據(jù)庫信息數(shù)據(jù)對虛擬機系統(tǒng)安全檢測，發(fā)現(xiàn)異常執(zhí)行相關安全操作策略。

三是控制虛擬機蔓延。應加強虛擬機運行的控制和認證，杜絕虛擬機蔓延，制訂專門的審核策略和流程，對虛擬機進行審核、追蹤和監(jiān)控。

四、結束語

虛擬化技術可以使各應用單位提高硬件資源的利用率，減少管理工作量，在一定程度上減少管理成本。但也帶來了新的安全風險和安全隱患，各應用單位技術部門應充分認識這些潛在的風險并采取相應防護措施，降低應用風險，提高應用效能。