服務器虛擬化常見的安全隱患與防范策略探討

□扈德昱 王 靜

一、引言

虛擬化是指通過虛擬化技術將一臺計算機虛擬為多臺邏輯計算機，它是一個廣義的術語，目的是將IT基礎設施簡單化。虛擬化的對象可以包括服務器、Internet、桌面以及存檔空間的虛擬化。VMware公司作為虛擬化基礎設施解決方案的領導者曾做過一項有關服務器的研究，研究結果表明，服務器的數量已經超過了人們所需要的數量，這就導致了IT的成本增加、運營效率降低等問題。服務器虛擬化將一個服務器虛擬為多個服務器，使服務器的數量得到了很好的控制，直接加快了運營速率，所有的虛擬機都有權限讀取下層服務器的數據以及地址。虛擬化廠商之間也是各有各的法寶，例如Citrix公司生產的虛擬化應用就有價格親民的優點，然而其管理性卻不十分出色，IBM公司設計的虛擬化生產具有非常龐大的生產線，能夠兼容自家公司的所有應用，所以相對來說成本也會越高，更是土豪的首選，但他們的產品對比其他平臺的產品兼容性來說較差。VMware公司作為虛擬化技術的先驅，發明的產品具有簡單易操作、可控性強等特點，但是其并未做到信息的虛擬化，他的地位以及在虛擬化行業的發展堪憂。而微軟公司的虛擬化技術已經趕超許多虛擬化生產廠商，但深究這些生產廠商的工作原理都是將服務器虛擬化多個服務器，減輕了服務器的負擔。物理服務器雖然被大多數人所利用，但是卻也有它的缺點。而虛擬機具備的性能可以完勝物理服務器。需要強調的是，每一臺虛擬機都有自己的平衡系統，它能將資源合理化分配下去，靈活安排每一個資源來保證資源的最大化利用，由此降低了成本，增加了生產效率，使云計算的容量得到大大增加。不可忽視是，為了使服務器更加平穩運行，加快運行速度，使生產能不停歇地運行下去、錯誤變得可更正，虛擬化生產線衍生出了平均消耗平衡存儲，事故自動處理的能力。虛擬化生產線通過形成自身檢測并修護的能力使這個行業運營起來更簡單，減少了成本，提高了收入，使文檔的管理更加簡單明朗，最終使虛擬化成為極為重要的步驟?，F階段虛擬化被應用于諸多方面，例如虛擬化服務器以及文檔存儲等方面，它最大的優點就是減少了軟件行業的經費輸出，并使所有廠商的管理更有效、更簡單化。雖然服務器虛擬有很多值得稱贊的地方，可它也有一些弊端，例如虛擬化的同時使結構變得更復雜，像發現錯誤就需要管理人員更加細心，及時改正錯誤也變得越來越麻煩，維修的成本也大大增加。

二、服務器虛擬化常見安全弊端解析

自從虛擬化這個概念的提出，其優點被大多數人所熟知，服務器虛擬也變得流行，在過去很長一段時間，世界有一半的服務器都被虛擬化過。它自身存在的一些問題也逐漸袒露在大家面前，例如：服務器虛擬化的過程中顛覆了原有的一些基本結構，使虛擬后的服務器的安全性問題沒有辦法得到保障，在此基礎上訪問一些軟件可能會產生個人隱私流出的危害，這也將連累被共同虛擬的服務器，而其保存方式也大大增加了信息被盜的幾率。由此可見，虛擬化帶來的弊端亟需人們解決，根據一項系統的研究表明，大部分的虛擬服務器都比物理服務器更容易被攻擊。

(一)虛擬化項目最初并未涉及信息安全。有一項權威的研究發現，在最初創建以及策劃時,少于一半的科研項目是不符合安全規定的。有時團體工作時會不刻意地把安全問題忘記，可是虛擬化過程中帶來的問題是不容忽視的，多個虛擬化服務器工作時帶來的弊端比未被虛擬化時帶來的問題更為嚴重。所以研究這些問題時也更為繁瑣。

(二)底層虛擬化平臺的隱患影響所有托管虛擬機。將服務器虛擬化就像在電腦上運行程序一樣，都需要借助一個平臺。而該平臺或多或少會有一些bug而被人們疏忽。最近一些大型虛擬化廠商多次傳出虛擬化生產線存在安全隱患，這些隱患尚未得到解決。所以一些人想要攻擊時都會選擇進攻底層虛擬化平臺，通過控制住中樞系統，逃脫安全檢測。進而將病毒帶入各個服務器中，攻擊其弊端，獲得了閱覽所有信息的權限，導致信息的泄露。

(三)虛擬機之間的虛擬網絡使現有的安全策略失效。一些知名的虛擬化生產廠商使用建立虛擬機和虛擬網卡的辦法使各虛擬機之間能相互關聯以此來實現信息發送與接受的能力。一些主流的保護系統的保護范圍都只能保護常規服務器的進出流量,卻無法看到各個虛擬機之間的流量傳輸，無法對虛擬化的流量傳輸提供保障。

(四)將不同安全等級的虛擬機未進行有效隔離。一些虛擬化生產廠商正在嘗試將服務器全部虛擬化，這樣既減少了經費又加快了生產速度。這些服務器包括許多隱私等級較高的系統，所以就要求虛擬機足夠安全。而如果未將安全指數不同的服務器分離開，它們由相同的服務器支配，高等級的虛擬機的安全性也會降低并被較低的所控制。

(五)缺乏對虛擬機管理程序的安全訪問控制。虛擬機管理程序就像人腦的中樞神經系統，它支配著虛擬機的一切活動，對各個步驟下發指令，并監督更正兩端的功能，因此必須設立權限防止被隨意更改。如果沒有這種訪問權限，HK們就會通過地址連接到中樞神經上，就算他們無法輕易進入程序也可以通過創建多個服務器進而使管理程序滿載，迫使管理程序崩潰進而摧毀所有的虛擬機。

三、服務器虛擬化常見安全隱患的防范

(一)虛擬化平臺的安全問題較為復雜，工程初期須高度重視。虛擬化工程控制人員必須有足夠的工作經驗，如果不能及時發現問題將嚴重影響項目的質量和進度，虛擬化平臺的安全更不容易得到保證，所以就需要更加注重虛擬化帶來的隱患。由于虛擬化是把多個方面同時虛擬，所以其安全問題也是多角度、多方面的。工程初期應有這方面的專家從大局上思量由多個層面虛擬而來的項目即將出現的漏洞，進而根據經驗提供有效的策略。盡快糾正虛擬平臺bug，設立完備的權限要求。

特殊權限是虛擬化bug中一個經常受HK使用的方法，它們通過使用這種方法進攻了這些權限下的虛擬機。這就要求虛擬化生產商提供完善的制度，一旦發現bug，立即找到辦法解決，防止被HK利用，造成不可估量的損失。還有一種方法就是各廠商可以將下層結構簡單化，把配置參更改成無權不能閱覽，就能有效地防止HK的進攻。

(二)安排局域網流量監控設施，實現虛擬機網絡流量可視化。局域網流量監控設施，可以通過hfja和jdvj這兩個程序收集多個虛擬機之間端到端的流量傳輸數據，做成表格，進而通過Siolbjm jdfsj、sfaff Screqfwrgrgr和Soasfdvgvs Nedggw efdgc qgrgf等局域網狀態檢測程序來閱覽這些數據；通過端口鏡像的辦法，分析各個數據。利用局域網流量控制設施，實現服務器中虛擬機流量(相同服務器中多個虛擬機之間傳輸的流量)。服務器與虛擬機之間的流量，虛擬機與基本設備的流量的具體化管理，然后能夠隨時查看服務器的工作流程和局域網傳輸流量時的流量情況，可以查看非正常流量，找到有問題流量的出處，并找到方法解決。

(三)定義虛擬機安全域，將不同安全等級的虛擬機分開管理。可以通過把dfa rgg部署在虛擬化結構里，并把原先的虛擬化網絡規劃成inside與outside這兩個方面。全部虛擬需求都分配到inside方面里，通過不一樣的需求系統等級使用akjf寫出所處的安全點，在egg里安排虛擬機的控制中心，egg就會把控制中心交給中樞交換機，把虛擬化團體里每一個服務器的流量交給egg，就能使安全等級不同的虛擬機分隔開。因為每個安全域的風險由大家共同分配，由此可見，必須把不同價值的文檔放在不同的區域內。受眾面不同的服務器也要發放在不同區內。并且多個安全區是相互獨立的，即使其中一個收到破壞也不會影響其他正常工作的進行，并且損壞的區域也都有自己的分配區。

(四)使用加密聯系、身份驗證和基于角色的權限管理?？梢岳肍FTH、DDG、HHHJ或者需要密碼的通信防護措施，規定唯一的地址有權限使用這個應用，為了預防假制地址破壞，多次攻擊，增大進入系統時的防護力度，就像登錄需要聲音鎖、人臉解鎖，如果多次輸入密碼錯誤采取凍結的方法等。另外，構造虛擬化平臺的使用人之前，要給他們相應的權利和責任。對那些想簡單閱覽的第三方提供限定次數的賬戶。等次數用完后就取消賬號的注冊。要想使管理變得更具備權威，就需要利用其它方法進行判定項目是否存在bug，如果存在應立即想出相應對策。

四、結語

服務器虛擬化技術是一項用處非常廣泛的技術，這項技術正在迅猛騰飛。上述列出的安全弊端并不是全部，以上這些方法只是其中的一小部分，要想真正意義上做好防護工作還需要付出更多的努力，面對的問題也會很棘手。維護人員需要在思想上、認識上，努力更新自己的知識庫，學習新的知識，在確保質量的前提下也要保證效率更高，同時也要注重基礎知識的學習，堅持換代和更新虛擬化平臺的防護基本體系；同時希望大家把過去的陳舊思想丟棄，養成積極管理、定期修改的自律性思維。最近一些主要研究電腦末端安全和主要服務器安全以及Internet安全的生產平臺正在逐漸改變自身的生產形勢，接連發明了特別針對虛擬化的管控商品，通過利用這些商品，全球許多公司都能讓虛擬化變得越來越穩定。保證虛擬化安全是一件任重而道遠的事，要循序漸進，要清楚地了解安全問題的出處，真正意義上地深入了解服務器虛擬化。