基于VMwarev Sphere的集群虛擬機安全問題研究

蔡建軒 李梅

摘要：隨著虛擬化技術(shù)的不斷發(fā)展，集群虛擬機的應(yīng)用越來越廣泛，但也帶來了更多的安全問題。該文針對高職院校數(shù)據(jù)中心中基于VMware vSphere的集群虛擬機安全問題展開研究，簡要闡述了VMware vSphere技術(shù)，探討了服務(wù)器虛擬化存在的安全問題，提出了相應(yīng)的解決方案，有效提高高職院校信息化數(shù)據(jù)安全。

關(guān)鍵詞：VMware vSphere;集群;虛擬機;安全問題

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2019）16-0005-02

開放科學（資源服務(wù)）標識碼（OSID）：

隨著高等院校信息化建設(shè)步伐的加快，在數(shù)據(jù)中心建設(shè)中服務(wù)器虛擬化技術(shù)的應(yīng)用日益廣泛。集群式管理可以有效提高虛擬機軟硬件資源的利用率，然而當前網(wǎng)絡(luò)安全事件呈多發(fā)態(tài)勢，如前不久的“勒索病毒”嚴重威脅到網(wǎng)絡(luò)安全，給網(wǎng)絡(luò)用戶造成很大的損失，也引發(fā)社會對計算機網(wǎng)絡(luò)安全的重視，同時這些網(wǎng)絡(luò)安全事件也嚴重威脅到集群虛擬機。因此，如何有效解決基于VMware vSphere的集群虛擬機安全問題，保證集群虛擬機的安全穩(wěn)定運行成為一個重要的研究課題。本文針對高職院校數(shù)據(jù)中心中基于VMware vSphere的集群虛擬機安全問題展開了研究。

1 VMware vSphere介紹

ESXi是Vmware虛擬架構(gòu)套件vSphere的核心部分。Vmware ESXi虛擬層可以直接部署在物理服務(wù)器上，可以對服務(wù)器資源進行虛擬化處理，在將其合理分配給多個虛擬機，從而實現(xiàn)服務(wù)器資源的高效利用，有效節(jié)約成本，同時借助高級資源管理功能、安全功能、資源密集型應(yīng)用程序能夠有效提高服務(wù)水平。傳統(tǒng)服務(wù)器部署模式下服務(wù)器硬件資源利用率很低，通常在5-15%之間，而借助虛擬化技術(shù)可以將服務(wù)器資源的利用率提高至60%以上，還能有效降低成本，提高服務(wù)器管理靈活性。

2 基于VMware vSphere的集群虛擬機安全問題

2.1 主機間的安全問題

服務(wù)器虛擬化本質(zhì)上是使用VMware vSphere等軟件，而ESXi自身也存在一些安全漏洞，假如不及時修復(fù)就會增加宿主機面臨的安全風險。網(wǎng)絡(luò)黑客如果抓住這些安全漏洞攻擊宿主機獲得VMware平臺管理權(quán)就能隨意訪問宿主機中的虛擬機，這會給各業(yè)務(wù)系統(tǒng)造成嚴重的安全隱患。除此以外，因為虛擬化技術(shù)的應(yīng)用日益廣泛，僵尸虛擬機的存在可能性增大，占用物理機的硬件資源，使得物理機負荷過大，引發(fā)死機、業(yè)務(wù)中斷的問題，甚至導(dǎo)致物理機崩潰。

2.2 虛擬機與主機間的安全問題

運用虛擬化技術(shù)可以將物理服務(wù)器的虛擬為多個虛擬機，因此，常規(guī)的網(wǎng)絡(luò)安全監(jiān)控方法已不適用。如果宿主機中某臺虛擬機受到網(wǎng)絡(luò)攻擊時，它就會搶奪物理服務(wù)器的資源，使得服務(wù)器負荷過大而宕機。同時，位于同一臺物理宿主機上的其他虛擬機也面臨同樣的安全風險，導(dǎo)致服務(wù)器宕機、數(shù)據(jù)損壞丟失等網(wǎng)絡(luò)安全事件。

2.3 主機內(nèi)虛擬機間的安全問題

現(xiàn)階段往往只關(guān)注宿主機的安全防護，不重視虛擬機的安全防范。當前集群虛擬機之間的安全防護非常薄弱，無法有效保證虛擬機的安全。如果一臺宿主機上一臺虛擬機受到網(wǎng)絡(luò)攻擊就會影響到其他虛擬機。同時虛擬機的遷移會將安全風險擴散到其他物理宿主機上，使得安全問題在集群虛擬機中進行傳播，造成嚴重的安全事件。

3 集群虛擬機安全問題解決措施

3.1 構(gòu)建安全防護體系

做好集群虛擬機的隔離，在各個虛擬機的網(wǎng)絡(luò)邊界設(shè)置網(wǎng)絡(luò)防火墻等安全產(chǎn)品，設(shè)置集群內(nèi)主機、虛擬機的安全訪問策略，建立嚴格明確的訪問權(quán)限，有效控制宿主機、虛擬機的訪問協(xié)議、端口號、IP設(shè)置。依照各業(yè)務(wù)系統(tǒng)、應(yīng)用系統(tǒng)的重要等級進行相應(yīng)的隔離、封裝，建立安全防護體系，嚴格審查各虛擬機的訪問行為，有效保證虛擬機的安全穩(wěn)定運行。

3.2 虛擬機的網(wǎng)絡(luò)隔離

有效利用虛擬局域網(wǎng)技術(shù)對處于同個局域網(wǎng)中的虛擬機進行網(wǎng)絡(luò)隔離。根據(jù)虛擬機服務(wù)類型、用途，將其劃分成網(wǎng)站虛擬機、管理虛擬機、數(shù)據(jù)庫虛擬機、業(yè)務(wù)虛擬機等，以有效減少虛擬機之間的安全風險，保證虛擬機的安全穩(wěn)定運行。

3.3 做好VMware平臺更新和漏洞修復(fù)

及時更新VMware vSphere軟件安全補丁，修復(fù)Exsi、主機系統(tǒng)、虛擬機業(yè)務(wù)系統(tǒng)、應(yīng)用軟件、操作系統(tǒng)的安全漏洞。利用騰訊電腦管家、360殺毒等安全軟件的漏洞修復(fù)功能，不但可以及時更新操作系統(tǒng)的安全漏洞，還可以對虛擬機上運行的服務(wù)以及相關(guān)協(xié)議、端口號進行審核，有效防止虛擬機處于不設(shè)防狀態(tài)。

3.4 建立完善的集群虛擬機管理制度

首先，制定合理的虛擬機申請審查制度。在管理虛擬機的實踐中面對新虛擬機的申請要進行嚴格審查，通過簽署相應(yīng)的協(xié)議，明確各方安全責任，跟蹤后續(xù)的安全管理，禁止隨意添加新的虛擬機，避免形成大量的僵尸虛擬機，浪費物理服務(wù)器的資源，帶來安全問題。其次，加強監(jiān)控物理宿主機、虛擬機的數(shù)據(jù)、性能、網(wǎng)絡(luò)、資源，力求第一時間發(fā)現(xiàn)潛在的安全問題、網(wǎng)絡(luò)攻擊，以便安全管理員可以快速做出反應(yīng)，采取措施解決安全問題。再次，要定期備份虛擬機的數(shù)據(jù)。制定科學合理的數(shù)據(jù)備份方案，定期備份重要的虛擬機數(shù)據(jù)。最好是將數(shù)據(jù)備份在異地存儲設(shè)備中，最大限度地提升數(shù)據(jù)的安全性。最后，提高虛擬機管理員的安全意識，建立完善的虛擬機建立、訪問、跟蹤等相關(guān)安全防護措施，建立安全的虛擬機訪問策略，提高虛擬機的穩(wěn)定性、安全性。

4 結(jié)束語

綜上所述，在高職院校的數(shù)據(jù)中心建設(shè)中虛擬化技術(shù)的應(yīng)用非常廣泛，能夠有效減少服務(wù)器軟硬件資源的投入，最大化地利用有限的服務(wù)器軟硬件資源，簡化數(shù)據(jù)中心、服務(wù)器、虛擬機的管理。但虛擬化技術(shù)的應(yīng)用也帶來一定的安全風險。為了保證校園網(wǎng)絡(luò)安全，應(yīng)該建立科學合理的虛擬機安全管理制度，做好虛擬機之間的網(wǎng)絡(luò)隔離，運用各種網(wǎng)絡(luò)安全產(chǎn)品有效防范網(wǎng)絡(luò)攻擊，保障集群虛擬機的安全穩(wěn)定運行。

參考文獻：

[1] 鄭小長， 閆格. 基于VMware vSphere環(huán)境下虛擬服務(wù)器集群的構(gòu)建[J]. 閩南師范大學學報（自然科學版）， 2013， 26（1）：44-46.

[2] 茍潔.基于VMware vSphere技術(shù)的虛擬云平臺的研究與設(shè)計[D]. 成都理工大學， 2016.

[3] 張魁. 基于VMWARE VSPHERE的虛擬機管理平臺設(shè)計與實現(xiàn)[D]. 蘇州大學， 2013.

【通聯(lián)編輯：代影】