云計算虛擬化技術的發展與趨勢

唐明雙

(長春工程學院，長春 130012)

云計算虛擬化技術的發展與趨勢

唐明雙

(長春工程學院，長春 130012)

介紹了虛擬化技術和主流虛擬化平臺，對虛擬化平臺應對的不同安全問題進行研究，對虛擬化平臺的安全現狀與安全威脅的發展趨勢進行分析，探討虛擬平臺存在的不足之處，提出一些建議，供大家參考。

云計算；云安全；虛擬化技術；安全漏洞；虛擬化平臺

1 虛擬化技術

虛擬化技術是利用物理資源映射，將其作為虛擬資源，使其成為一個共享底層讓多個程度或軟件使用的物理計算資源。通過客戶的要求來進行動態調整的虛擬化計算資源，以減少對資源的浪費，減少管理成本，且這個虛擬化的平臺還能使每個虛擬機享有整個物理硬件資源。

虛擬技術通常分為全虛擬化和半虛擬化兩部分，全虛擬化有著很好的兼容性，可是會給客戶增加軟件的復雜度和較大的損失。半虛擬化則需要將客戶的操作系統進行改動，修改過后，接近其物理機的性能。這兩個虛擬化技術的基本結構如圖1所示。目前，服務器虛擬化平臺使用較好的有vSphere和KVM等。

圖1 虛擬化平臺的兩種基本結構Fig.1 Two basic structures of virtualization platform

1.1 vSphere

vSphere是一種面向企業及應用的服務器虛擬化平臺，其核心的組件包括VMware ESX/ESXi,該服務器虛擬化平臺支持全虛擬化和半虛擬化。但由于Server和Hypervisor占用的資源較多，而且大部分都以全虛擬化為主體，因此，它的性能較低。

1.2 KVM

KVM利用QEMU設備中的虛擬化進行全虛擬化，而且能夠使用多個硬件平臺。近幾年來，眾多Linux的內核開發者都加入到這一研究行列，其發展態勢近些年非常可觀。

2 虛擬化平臺構成的安全威脅及必要防范

2.1 虛擬化平臺存在的安全威脅

從當前虛擬化平臺的部署應用來看，虛擬化平臺還存在許多安全性問題，其中最突出的表現為以下幾點：第一，虛擬機的逃逸。所謂的虛擬機逃逸，是指在通常情況下，處于同一個虛擬化平臺上的客戶虛擬機之間必然會出現相互監視、相互影響彼此進程的情況，但是在一些特殊的情況下，如果虛擬化漏洞存在，或者虛擬機間行駛的隔離方式不正確，則會導致虛擬機獲得了Hypervisor的訪問權限，如此，則會將其交給入侵至同一虛擬平臺上其余的虛擬機，這就稱之為虛擬機的逃逸現象。第二，虛擬機跳躍現象。簡單來講，如果通過一臺虛擬機服務監視別的虛擬機的運行或者直接介入至宿主機上，這種現象就稱之為虛擬機的跳躍。比如：通過虛擬機A，然后去獲取其余虛擬機B、C的流量，甚至截取宿主機的服務控制權，這樣很可能造成其余虛擬機的服務終端或者通信出現問題。第三，遠程管理的缺陷。運維工程師通常是通過遠程管理平臺來對虛擬機進行管理，這樣可以降低管理的難度，將復雜度降低，但如果一旦發生SQL注入或者是跨站式腳本攻擊，就會出現很大的問題或者危害。如圖2所示的是遠程管理平臺結構示意圖。

圖2 遠程管理平臺結構示意圖Fig.2 Remote management platform structure diagram

2.2 虛擬機平臺的安全防范

當前，虛擬化的服務器占據了總體服務的70%以上，而且還在持續增長，因此，了解和掌握虛擬化平臺的安全防范是十分重要的。筆者根據自身經驗及文案顯示，對安全防范總結了以下幾種方法，可參看表1。

表1 虛擬化平臺的安全防范方法Tab.1 Virtualization platform security precautions

3 對虛擬化平臺的安全性剖析

虛擬化平臺發展至今，安全性問題一直是有待解決的一項重要課題，它是制約虛擬化平臺發展的一個主要原因。只有實現云計算的安全，才能反過來促進虛擬化安全性的發展。筆者根據文獻與數據分析，總結出以下幾點：第一，就國內外比較而言，國外的虛擬化安全研究成果一直處于不斷增長的狀態，而我國則落后于國外。第二，國外對于虛擬化安全的研究熱度一直高于國內。第三，國外開始時會更關注虛擬化平臺安全方面的研究，然后帶動云計算發展，而國內則是持續研究云計算，再帶動虛擬化安全的發展。

總體而言，虛擬化平臺安全發展一直是較為重要的問題，因為該技術發展時間并不太長，熟悉并能對該技術構成威脅的人員并不多，此外，傳統的網絡攻擊手段并不使用于虛擬化平臺之上，但也必須居安思危，需要時刻避免虛擬機逃逸、信息泄露等問題，時刻提防SOL發生注入以及跨腳本的攻擊，只有保持嚴謹的態度，才能將威脅降到最低。

4 虛擬化安全所存在的不足與必要的改進

4.1 安全性的不足

在傳統環境中，單一的漏洞僅會攻擊這個漏洞的物理機，它的攻擊面較窄，攻擊范圍也有限，但是虛擬化的實現，使多租戶可以共同享受計算資源，這樣會加大被攻擊的可能性。在傳統網絡環境之中，對于各個安全廠商，他們會共同一起研究某一個漏洞，然后將所研究的結果公布出來，大家一起使用。但在云計算虛擬化平臺上，這些會涉及商業機密，具有一定封閉性，這對于安全性能的提升極為不利。

4.2 改進方法

可以進行跨界點硬件與虛擬機監視器安全性監控。通常使用云控制中心對跨界點的硬件的虛擬界進行安全性的監控，但是這種做法耗能大，會產生超負荷效果，所以可以使用跨界點硬件，研究其虛擬機的安全監控方法，從而提高安全性。還可以建立聯合的應急處理機制，雖然許多技術涉及企業機密，但是可以指定統一的行業標準，可以進行相互監督、相互交流，從而促進虛擬化平臺的發展和云計算技術的進步，也可以將危害降到最低。

[1] 武志學.云計算虛擬化技術的發展與趨勢[J].計算機應用，2017，37(04)：915-923.

[2] 王文旭，張健，常青，等.云計算虛擬化平臺安全問題研究[C]//中國計算機學會.第31次全國計算機安全學術交流會論文集，2016.

[3] 周佳昕.云計算資源管理平臺的設計與實現[D].長春：吉林大學，2016.

[4] Korir Sammy(克瑞).云計算數據中心中節能安全的虛擬機實時遷移研究[D].長沙：中南大學，2012.

Developmentandtrendofcloudcomputingvirtualizationtechnology

TANG Ming-shuang

(Changchun Institute of Technology, Changchun 130012, China)

This paper introduces the virtualization technology and the mainstream virtualization platform, studies the different security problems that the virtualization platform deals with, analyzes the security status quo of the virtualization platform and the development trend of security threats, discusses the shortcomings of the virtual platform, and puts forward some suggestions for reference.

Cloud computing; Cloud security; Virtualization technology; Security vulnerability; Virtualization platform

TP391.9

A

1674-8646(2017)21-0118-02

2017-09-22

唐明雙(1964-)，男，副教授，本科。