淺析服務(wù)器虛擬化常見(jiàn)的安全隱患及其防范措施

摘 要：目前，隨著我國(guó)互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，服務(wù)器虛擬化在計(jì)算機(jī)中的應(yīng)用不斷增加，尤其是在云計(jì)算等大數(shù)據(jù)領(lǐng)域中，服務(wù)器虛擬化的應(yīng)用使其運(yùn)轉(zhuǎn)效率和數(shù)據(jù)整合等能力得到了顯著提高，但是隨著服務(wù)器虛擬化的應(yīng)用規(guī)模不斷擴(kuò)大，常見(jiàn)的安全隱患也逐漸顯露。因此，本文將針對(duì)服務(wù)器虛擬化常見(jiàn)的安全隱患及其防范措施進(jìn)行探究。

關(guān)鍵詞：服務(wù)器；虛擬化；安全隱患；防范措施

中圖分類(lèi)號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-4706（2018）11-0153-02

Analysis of Common Security Risks and Preventive Measures of Server Virtualization

XIE Yiping，ZHAO Danrui

（Guangzhou Railway Polytechnic，Guangzhou 510430，China）

Abstract：At present，with the continuous development of Internet technology in China，the application of server virtualization in computer is increasing. Especially in the field of cloud computing and other data fields，the application of server virtualization makes its operation efficiency and data integration ability improved significantly，but with the application of server virtualization. As the scale continues to expand，common security risks are also gradually revealed. Therefore，this article will explore the common security risks and preventive measures of server virtualization.

Keywords：server；virtualization；security risks；preventive measures

0 引 言

服務(wù)器虛擬化主要是將計(jì)算機(jī)內(nèi)的硬件虛擬化成通過(guò)邏輯表達(dá)的軟件。目前，我國(guó)許多服務(wù)器的運(yùn)行負(fù)載小于15%，服務(wù)器規(guī)模遠(yuǎn)大于實(shí)際所需要的規(guī)模，同時(shí)計(jì)算機(jī)內(nèi)硬件的IT架構(gòu)過(guò)于龐雜，導(dǎo)致服務(wù)器運(yùn)行效率低。服務(wù)器虛擬化形式多樣，可以將一臺(tái)服務(wù)器虛擬化成多臺(tái)服務(wù)器，或者將多個(gè)服務(wù)器虛擬化成一個(gè)邏輯服務(wù)器，又或者將多臺(tái)服務(wù)器虛擬化成一臺(tái)服務(wù)器后，再繼續(xù)將其分散到多個(gè)虛擬環(huán)境中，采用這種“一虛多”、“多虛一”或“多虛多”的方式實(shí)現(xiàn)服務(wù)器虛擬化有很多好處，一方面能滿足計(jì)算機(jī)系統(tǒng)的多種需要，另一方面能夠提高系統(tǒng)運(yùn)轉(zhuǎn)效率，節(jié)省物理空間，簡(jiǎn)化管理系統(tǒng)，同時(shí)虛擬化的平臺(tái)擁有負(fù)載均衡、動(dòng)態(tài)遷移和故障自動(dòng)隔離等功能，使服務(wù)器的穩(wěn)定性大大提高。然而服務(wù)器虛擬化的應(yīng)用也存在著許多傳統(tǒng)服務(wù)器并不存在安全隱患，同時(shí)隱蔽性較強(qiáng)，無(wú)論是修復(fù)難度還是修復(fù)成本都較大。因此，本文將針對(duì)服務(wù)器虛擬化常見(jiàn)的安全隱患，提出相應(yīng)的防范措施。

1 服務(wù)器虛擬化常見(jiàn)的安全隱患

1.1 信息安全泄露風(fēng)險(xiǎn)

目前，服務(wù)器虛擬化的應(yīng)用規(guī)模正在逐漸擴(kuò)大，在為我們帶來(lái)便利的同時(shí)，也使服務(wù)器內(nèi)的資源被盜取的風(fēng)險(xiǎn)增加，相關(guān)研究數(shù)據(jù)顯示，有一半以上的虛擬化服務(wù)器比其替代的物理服務(wù)器安全性能更低。Gartner會(huì)議研究的數(shù)據(jù)顯示，在進(jìn)行服務(wù)器虛擬化項(xiàng)目的初始階段，并不是所有項(xiàng)目都關(guān)注信息安全保護(hù)。一般情況下，運(yùn)營(yíng)團(tuán)隊(duì)由于將更多精力集中于數(shù)據(jù)的備份和恢復(fù)，從而忽視了信息安全的管理。這樣一來(lái)，不僅使安全問(wèn)題發(fā)生率升高，同時(shí)由于服務(wù)器虛擬化的特殊性，安全問(wèn)題一旦發(fā)生，其定位分析過(guò)程也會(huì)比傳統(tǒng)服務(wù)器更加復(fù)雜和困難。

1.2 所有托管虛擬機(jī)都會(huì)受底層虛擬化平臺(tái)漏洞影響

通過(guò)虛擬化平臺(tái)，物理服務(wù)器實(shí)現(xiàn)了自身虛擬化。這種新型技術(shù)導(dǎo)致其不可避免地存在漏洞，而這些漏洞通常是技術(shù)人員容易忽視或難以發(fā)現(xiàn)的。目前，許多知名虛擬化平臺(tái)頻頻被爆出存在安全隱患，由于服務(wù)器虛擬化平臺(tái)本身就存在漏洞，當(dāng)黑客進(jìn)入虛擬化程序時(shí)，就可以利用底層虛擬化平臺(tái)漏洞進(jìn)行攻擊和逃逸。通過(guò)宿主服務(wù)器執(zhí)行惡意程序，使宿主服務(wù)器關(guān)聯(lián)的所有托管虛擬機(jī)遭到控制或攻擊，導(dǎo)致宿主服務(wù)器網(wǎng)絡(luò)訪問(wèn)權(quán)限和私密信息面臨泄露的風(fēng)險(xiǎn)。

1.3 現(xiàn)有安全策略受虛擬機(jī)之間的虛擬性限制

虛擬機(jī)之間的虛擬網(wǎng)絡(luò)的可見(jiàn)性和可控性都很差，這就導(dǎo)致現(xiàn)有的安全策略難以實(shí)施。目前，市面上主要通過(guò)在物理服務(wù)器內(nèi)創(chuàng)立網(wǎng)卡和虛擬交換機(jī)來(lái)實(shí)現(xiàn)虛擬機(jī)間的相互通信，具體操作通過(guò)模擬網(wǎng)絡(luò)通信和數(shù)據(jù)交換能力，進(jìn)一步實(shí)現(xiàn)虛擬化平臺(tái)的網(wǎng)絡(luò)虛擬化。網(wǎng)絡(luò)入侵檢測(cè)防御系統(tǒng)、防火墻和網(wǎng)絡(luò)流量控制監(jiān)控系統(tǒng)等基礎(chǔ)網(wǎng)絡(luò)安全保護(hù)設(shè)備的保護(hù)范圍被稱(chēng)作物理服務(wù)器的進(jìn)出流量或南北流量，虛擬機(jī)之間的隱性的網(wǎng)絡(luò)流量被稱(chēng)作東西流量。

1.4 未將同一物理服務(wù)器內(nèi)安全等級(jí)不同的虛擬機(jī)進(jìn)行隔離

目前，為了提升軟件全面虛擬化，同時(shí)節(jié)約制作成本及提高工作效率，業(yè)務(wù)系統(tǒng)將更多重要和關(guān)鍵的系統(tǒng)安裝在安全等級(jí)高的虛擬機(jī)中，但是安全等級(jí)高的虛擬機(jī)與安全等級(jí)低的虛擬機(jī)同時(shí)處在同一個(gè)物理服務(wù)器內(nèi)，且沒(méi)有進(jìn)行隔離，這樣就會(huì)導(dǎo)致虛擬機(jī)的安全等級(jí)受到影響，且高安全等級(jí)的虛擬機(jī)被低安全等級(jí)的虛擬機(jī)限制。

1.5 虛擬機(jī)管理程序在安全訪問(wèn)中的控制性缺乏

虛擬機(jī)管理程序的功能主要是對(duì)虛擬機(jī)進(jìn)行規(guī)劃、部署和管理，同時(shí)對(duì)虛擬基礎(chǔ)結(jié)構(gòu)等端到端功能進(jìn)行相應(yīng)的管理和優(yōu)化，因此在對(duì)虛擬機(jī)管理程序進(jìn)行安全訪問(wèn)時(shí)，必須注意嚴(yán)格控制。如果網(wǎng)絡(luò)配置中缺乏相應(yīng)的安全訪問(wèn)控制，黑客可能會(huì)利用IP地址控制虛擬機(jī)管理程序，此時(shí)即使黑客破解虛擬機(jī)管理程序的登錄口令困難，也仍然可以進(jìn)行分布式拒絕服務(wù)攻擊，此時(shí)如果虛擬機(jī)管理程序資源消耗完全，那么管理程序中的虛擬機(jī)也將無(wú)法繼續(xù)運(yùn)行。

2 服務(wù)器虛擬化常見(jiàn)安全隱患的相關(guān)防范措施

2.1 提高對(duì)虛擬化平臺(tái)安全問(wèn)題的重視程度

首先，虛擬化平臺(tái)相關(guān)管理人員一定要意識(shí)到虛擬化平臺(tái)安全問(wèn)題的重要性，從根本上保障虛擬化平臺(tái)的安全性；其次，在虛擬化平臺(tái)中，其安全問(wèn)題比傳統(tǒng)服務(wù)器的安全問(wèn)題更為重要，虛擬化平臺(tái)融合運(yùn)算、存儲(chǔ)、網(wǎng)絡(luò)等多方面于一體，這使得虛擬化安全的廣度和復(fù)雜性更強(qiáng)，在進(jìn)行虛擬化項(xiàng)目引入初始階段時(shí)，就要注重安全技術(shù)的應(yīng)用，全方位地考慮和調(diào)查虛擬化平臺(tái)可能存在的安全隱患，同時(shí)進(jìn)一步提出相應(yīng)的解決方案。

2.2 修補(bǔ)虛擬化平臺(tái)漏洞

目前，虛擬化平臺(tái)漏洞需要特權(quán)等級(jí)，因此破壞者會(huì)利用提升特權(quán)等級(jí)的方式破壞其承載的虛擬機(jī)。為提高虛擬化平臺(tái)IT安全性，同時(shí)便于其管理，一方面可以讓虛擬化平臺(tái)供應(yīng)商提供檢測(cè)工具或協(xié)助掃描，旨在找出虛擬化平臺(tái)存在的漏洞與缺陷，同時(shí)盡快修繕，安裝補(bǔ)丁；另一方面，可以通過(guò)將虛擬化平臺(tái)底層硬件架構(gòu)變薄的方式，簡(jiǎn)化虛擬化平臺(tái)，同時(shí)修改和更改參數(shù)權(quán)限，使其配置參數(shù)在未經(jīng)同意的情況下無(wú)法修改。

2.3 加強(qiáng)網(wǎng)絡(luò)流量監(jiān)測(cè)，實(shí)現(xiàn)虛擬機(jī)網(wǎng)絡(luò)流量可視化

首先，可通過(guò)收集器將虛擬網(wǎng)絡(luò)流量進(jìn)行收集，然后通過(guò)網(wǎng)絡(luò)性能監(jiān)控工具進(jìn)行數(shù)據(jù)分析；其次，需要通過(guò)協(xié)議分析器的端口鏡像方式，對(duì)虛擬網(wǎng)絡(luò)流量中的數(shù)據(jù)進(jìn)行深層次的分析；最后，利用網(wǎng)絡(luò)流量監(jiān)測(cè)設(shè)施實(shí)現(xiàn)服務(wù)器內(nèi)虛擬機(jī)流量、服務(wù)器間虛擬機(jī)流量和虛擬機(jī)到物理基礎(chǔ)設(shè)施流量的可視化管理，同時(shí)實(shí)施監(jiān)管服務(wù)器的運(yùn)行和網(wǎng)內(nèi)的異常流量，精準(zhǔn)查找問(wèn)題流量源，對(duì)存在的問(wèn)題加強(qiáng)排查。

2.4 不同安全等級(jí)的虛擬機(jī)設(shè)置相應(yīng)隔離

在進(jìn)行虛擬化架構(gòu)的部署時(shí)，需要把虛擬化網(wǎng)絡(luò)劃分為兩部分，即Inside區(qū)域與Outside區(qū)域。Inside區(qū)域包括所有虛擬業(yè)務(wù)，可使用VLAN將不同類(lèi)型的業(yè)務(wù)系統(tǒng)進(jìn)行劃分，同時(shí)在VSG上配置虛擬機(jī)網(wǎng)關(guān)，VSG使手機(jī)集群中服務(wù)器的所有流量虛擬化，進(jìn)一步實(shí)現(xiàn)各個(gè)虛擬機(jī)在各自安全域中的有效隔離。另外，由于一個(gè)安全域中的所有系統(tǒng)經(jīng)受著同等程度的安全風(fēng)險(xiǎn)，因此，高價(jià)值的資產(chǎn)與低價(jià)值的資產(chǎn)不應(yīng)位于一個(gè)安全域內(nèi)，這樣即使某一安全域受到破壞，其他安全域并不會(huì)受到影響。

2.5 增加加密通訊、身份驗(yàn)證等一系列訪問(wèn)限制管理程序

首先，在增加相應(yīng)訪問(wèn)限制管理程序時(shí)，應(yīng)使用HTTPS、TLS或加密VPN等方式對(duì)登錄虛擬機(jī)的管理程序權(quán)限進(jìn)行設(shè)置，以避免源IP地址遭到攻擊，同時(shí)需完善登錄時(shí)身份驗(yàn)證的機(jī)制，例如登錄次數(shù)與登陸時(shí)長(zhǎng)的限制等；其次，在對(duì)虛擬化平臺(tái)用戶(hù)進(jìn)行管理時(shí)，需根據(jù)角色的管理職責(zé)給予相應(yīng)權(quán)限，當(dāng)出現(xiàn)需要臨時(shí)登錄虛擬化平臺(tái)的用戶(hù)時(shí)，需要提供臨時(shí)賬號(hào)，當(dāng)相關(guān)工作結(jié)束后，將賬號(hào)回收，便于循環(huán)使用，同時(shí)可通過(guò)引入第三方工具來(lái)實(shí)時(shí)測(cè)評(píng)虛擬化平臺(tái)監(jiān)管是否存在問(wèn)題，評(píng)估其安全性和有效性。

3 結(jié) 論

我國(guó)互聯(lián)網(wǎng)技術(shù)正處在高速蓬勃發(fā)展時(shí)期，服務(wù)器虛擬化作為這一領(lǐng)域中的新興技術(shù)，在給各行各業(yè)帶來(lái)便利和提高效率的同時(shí)，也存在著許多安全隱患。本文通過(guò)列舉服務(wù)器虛擬化中常見(jiàn)的安全隱患，并進(jìn)一步提出防范措施，旨在推動(dòng)我國(guó)服務(wù)器虛擬化技術(shù)的發(fā)展，進(jìn)而推動(dòng)我國(guó)科技、經(jīng)濟(jì)、文化等領(lǐng)域的發(fā)展。

參考文獻(xiàn)：

[1] 韓偉.服務(wù)器虛擬化常見(jiàn)安全隱患及防范 [J].中國(guó)管理信息化，2017，20（23）.

[2] 唐彥，肖亮.服務(wù)器虛擬化關(guān)鍵技術(shù)探析 [J].數(shù)字通信，2012，39（3）.

作者簡(jiǎn)介：謝藝平（1987.03-），男，漢族，廣東河源龍川人，實(shí)驗(yàn)員，實(shí)驗(yàn)師，碩士。研究方向：虛擬化云計(jì)算、數(shù)據(jù)恢復(fù)。