服務器虛擬化技術與安全研究

洪亞玲

摘要：虛擬化技術作為一種全新的計算機技術，它的誕生與發展，為科技界帶來了諸多新的突破。現階段，服務器虛擬化技術在企事業單位、學校等各行業普及應用，得到了社會上很多層面的關注。隨著服務器虛擬化技術大范圍的應用及發展，伴隨而來的也有應用安全等方面的問題。文章主要立足服務器虛擬化技術的特點、分類和主要關鍵技術，分析其在應用過程中面臨的一些安全風險以及防范措施，切實促進服務器虛擬化技術的發展，提升應用效率。

關鍵詞：服務器虛擬化;虛擬化技術;應用安全

中圖分類號：TP311? ? ? ?文獻標識碼：A

文章編號：1009-3044（2022）08-0034-02

我國科技的快速發展帶動了很多新興技術的發展，對于計算機科技領域而言，虛擬服務器的存在是一項突破[1]。服務器虛擬化技術不僅解決了很多傳統服務器遇到的問題，從基本的整合計算機資源開始，還可以提高服務可用性、加快應用程序部署、節約運營成本、減少能源消耗、提高應用程序兼容性、靈活調度動態資源、提高災難恢復能力以及硬件資源的利用率和管理效率。但是，服務器虛擬化技術在發揮其優勢的同時也具有一定的安全風險。

1 服務器虛擬化技術的內涵

虛擬化技術是指在虛擬而不是真實的環境中運行計算元件，它是云計算系統中的一種基礎技術。從虛擬化扮演的角色來看，可分為桌面、網絡、應用、存儲以及服務器虛擬化。其中服務器虛擬化就是運用相應的程序將服務器內的資源進行整合轉化，提高資源的利用效率及對服務器進行維護的一種方式[2]。實現服務器虛擬化技術典型的有VMware ESXi Server、微軟的Hyper-V、Citrix XenServer，它們共同的特點就是通過軟件將服務器的物理資源如CPU、磁盤、內存、I/0設備等模擬出具有完整硬件系統的邏輯服務器，讓一臺服務器變成若干臺相互隔離的虛擬服務器[3]，服務器虛擬化前后如圖1所示。

目前，服務器虛擬化典型的有“一虛多”“多虛一”“多虛多”三種類型[4]。“一虛多”可以實現多域服務，也就是說可以將一臺物理服務器虛擬化后，成為多個互不干擾的虛擬服務器，它可運行多個網站或服務的技術，用戶可自行管理，擁有獨立的主機功能。比較常用的代表包括虛擬主機和VPS等?！岸嗵撘弧笨梢詫崿F集群多臺獨立的服務器后虛擬化為一臺邏輯上的服務器，即虛擬化為一個主機系統為客戶端和應用程序提供服務。由于服務器進行集群后，并行計算和備份是由多臺計算機完成的，因此可以達到非常高的計算速度，更保證了系統的正常運行，比較常用的代表有云服務器?！岸嗵摱唷眲t是在“多虛一”技術，再將此臺邏輯服務器劃分為多臺虛擬服務器，且性能都能根據資源池中實際資源情況進行靈活配置和調度。比較常用的代表是云虛擬主機。

服務器虛擬化是基于X86架構服務器的虛擬化，從IT基礎架構物理資源層面來分析，可以劃分為3個部分：CPU虛擬化、I/O設備虛擬化以及內存虛擬化，要實現虛擬化服務器，其中CPU虛擬化的技術最為關鍵。CPU虛擬化技術是將物理CPU抽象為虛擬CPU，并且在系統運行期間可以同時運行一個或多個虛擬CPU指令[5]?，F代計算機體系結構一般至少提供核心態和用戶態兩個特權級，服務器虛擬化技術后，操作系統將內存劃分為內核空間和用戶空間兩個部分，其中內核空間運行操作系統內核代碼，用戶空間運行應用程序代碼。X86架構的服務器CPU提供4個特權級，按權限由高到低分別是ring0、ring1、ring2、ring3，最高權限級別的ring0提供給操作系統內核空間。它可以用于所有CPU指令，也可以直接操作CPU、內存等硬件，如CPU運行的修改就是在ring0中完成的。最低權限級別的ring3提供給用戶空間，只能調用基本的CPU指令。ring1 和 ring2 旨在運行驅動程序。X86系統虛擬化運行在虛擬層，操作系統和硬件之間需要設置虛擬層。 通常ring0只能運行在虛擬層，一些特殊的指令不能直接運行在硬件上。服務器虛擬化技術采用主流的軟件輔助虛擬化技術和硬件輔助虛擬化技術。其中，二進制翻譯、hypercall兩種處理方式是依靠軟件來實現的，稱為軟件虛擬化;硬件輔助虛擬化則提供了Root根環境和Non-root非根環境2個運行環境。此種技術相比傳統虛擬技術解決了無論是普通指令還是特權指令都可以執行，特別是使用高級的前插和陷入指令，可以直接作用于虛擬機進行指令翻譯，從而實現多系統操作。通過特權級機制，將系統軟件和應用軟件隔開，區分了內核和應用程序代碼的相關權限，從而保護數據和阻止惡意行為，使操作系統得以正常運行。

鑒于服務器虛擬化技術的種種優勢，國內的虛擬化數據中心、分布式計算、服務器整合、定制化服務、私有云部署、云托管提供商、學校教學培訓等各大領域都在普及應用，并取得了較好的經濟效益與工作效率。

2 服務器虛擬化存在的安全風險

服務器虛擬化技術是在硬件設施和服務器之間增加了虛擬層，雖然有效提高了服務器相關資源的利用率，同時也不可避免地帶來了一定的風險。（1）軟件平臺有風險：以虛擬機監視器VMM為中心使得服務器平臺實現的虛擬化模式本身還在不斷的發展和完善過程中，因此在運行虛擬機時可能會存在漏洞，這是虛擬機存在的最大的危險，諸如目前流行的KVM、VMware、Xen等虛擬化平臺也頻頻暴露出安全漏洞，攻擊者通過漏洞攻擊或完全控制宿主機，或者滲透到裸機型的管理系統，使得信息資產暴露。（2）硬件環境存在風險：服務器虛擬化時，多個應用可能會爭奪同一臺物理服務器的CPU、內存、網絡帶寬、存儲空間等資源。相應地會導致服務器負載過重或硬件出現故障。若虛擬化安全產品使用不當時或者過度地利用虛擬機，也會使CPU、內存開銷過大，導致該物理機無法響應，虛擬主機逐漸癱瘓，從而性能下降。（3）網絡架構方面存在風險：服務器采用虛擬化技術后，要與外部網絡之間進行通信，生成的多臺虛擬機以串行方式連接到同一臺主機上，目前的網絡安全系統技術難以實現對連接到同一臺主機上的多臺虛擬機的監控，導致虛擬網絡通信難以被傳統的防護設備把握，使得原來采取防火墻的防護措施無法真正發揮防護作用，這個BUG將成為黑客利用虛擬機入侵主機，獲得主機和虛擬機控制權的機會，輕易對數據進行篡改和刪除等操作，同時虛擬服務器的運行受到威脅，風險還有可能擴散到多臺虛擬機。（4）運維管理存在風險：服務器虛擬化后，服務器的管理和運維對技術管理人員的水平提出了更高的要求，如物理服務器、虛擬機操作系統、虛擬化應用、虛擬機鏡像等方面的加固或更新升級以及虛擬化的數據安全管理等。若運維管理不當，使系統存在兼容性問題或眾多安全漏洞，則系統與數據的安全性難以得到保障。E06B7A2B-274D-4DD7-8E47-98DBC0214EF3

3 服務器虛擬化安全風險的防范措施

當前正處于大數據時代，數據采集和數據分析以及數據處理等各方面工作都離不開計算機技術的支持，因此在虛擬服務器應用中，應注重做好虛擬服務器的安全防范和管理，盡可能促進服務器虛擬化的安全建設，確保有效推進服務器虛擬化技術應用及發展。

3.1 合理選用服務器虛擬化系統和安全保護軟件

在局域網內提供各項服務依靠服務器，通過廣域網對外提供各種服務也需要依靠服務器。由于它的特性和重要性，在選用服務器的虛擬化系統平臺前，一定要充分做好市場調研，了解軟件的市場應用情況及客戶反饋，多關注系統軟件的安全風險及防范技術，根據所需合理選用服務器虛擬化系統。在安全保護軟件選擇時，首先，要遵循兼容性原則，即系統程序與安保軟件應該具有高度的兼容性，確保安全保護軟件能起到積極的防護作用;其次，應符合針對性原則，即針對性地選擇安裝、程序防護軟件和殺毒軟件，確保更加合理有效的應用軟件技術。在使用過程中，一定要及時更新版本、修補漏洞，慎重安裝虛擬機相關插件，做好軟件平臺方面的安全風險防控。

3.2 強化服務器虛擬化硬件設施保護

服務器硬件設施是虛擬化服務器運行的基礎，是不可或缺的重要的部分。本地管理員使用虛擬化管理工具，合理分配CPU、內存、存儲容量和帶寬等資源;采用分權制約、分職負責的方式，對虛擬機進行日常維護工作以及管理桌面資源授權，全方位掌握服務器使用的基本情況，加強虛擬化服務器的實時數據監控和容量分析，及時進行動態調整，以免過度使用虛擬機;同時，要提高管理人員對服務器硬件設施保護的意識，健全硬件實施操作規范制度，要嚴格按照規定程序來操作，化解硬件環境風險，切實提高虛擬服務器硬件性能，確保虛擬機系統安全穩定運行。

3.3 重視虛擬服務器的分類部署

實際搭建網絡時，注意將公共虛擬機和私有虛擬機分開，讓它們按照劃分的類型在各自的網絡位置正常運行，盡量減少與其他虛擬機的數據泄露。此外，還需要加強對虛擬化環境邊界的保護，在每臺虛擬服務器上安裝虛擬IDS和防火墻，確保保護設備能夠識別所有虛擬服務器，并依靠虛擬層實現嚴格控制邊界訪問。同時，根據虛擬服務器的重要性劃分相應的級別，對重要數據進行不同級別的加密，以加強每個虛擬服務器的入侵檢測和病毒防護。 通過對虛擬服務器進行分類部署，可以優化服務器內部的邏輯運行，提高虛擬服務器的安全性。

3.4 提升運維管理人員技術水平和素養

虛擬服務器的安全管理包含虛擬機操作系統和應用程序的加固與補丁升級、更新病毒庫，虛擬化的數據安全存儲與銷毀機制、虛擬服務器的安全遷移以及虛擬機鏡像等。這就對運維管理人員提出了較高的要求。各方要不斷提升虛擬服務器運維管理人員的技術水平和素養，使其與時俱進，系統學習虛擬化知識，提升信息安全意識，以便能在實踐中巧妙應用，同時也要增強使用服務器人員的安全意識，形成從硬件、軟件、網絡、人員等各方面完備的虛擬服務器加固系統，全方位地確保服務器虛擬化安全應用。

4 結語

時代在變化，科技在進步，計算機技術不斷發展，虛擬化技術彰顯其重要性，服務器虛擬化技術作為其典型的分支，具備節省資金、整合服務器以及服務器資源的最大化利用率的優勢，被廣泛應用在各企事業單位、學校等多行業，因此，要不斷加強服務器虛擬化技術應用安全，發揮服務器虛擬化的最大作用，提升其應用效果。

參考文獻：

[1] 何厚華.計算機服務器虛擬化的風險隱患及對策研究[J].衛星電視與寬帶多媒體，2020（11）：139-140.

[2] 郭春梅，孟慶森，畢學堯.服務器虛擬化技術及安全研究[J].信息網絡安全，2011（9）：35-37.

[3] 馬宏偉，魏曉婷，張雅棋.服務器虛擬化在企業的應用及優缺點分析[J].天津科技，2019，46（9）：50-51，54.

[4] 陳世清.服務器虛擬化的風險隱患及對策研究[J].金融科技時代，2020，28（6）：79-81.

[5] 莫偉.計算機服務器虛擬化關鍵技術探析[J].通訊世界，2019，26（8）：107-108.

【通聯編輯：梁書】E06B7A2B-274D-4DD7-8E47-98DBC0214EF3