服務器虛擬化技術與安全

中國民用航空西南地區空中交通管理局 聶雨霏

隨著當前信息技術的不斷發展，計算機水平也在不斷地提高，服務器虛擬化技術也被廣泛地使用到網絡建設中，虛擬化技術可以有效地整合各類資源并且對其進行合理的運用，但是在實際的應用過程中也伴隨著很多風險。本文從服務器的虛擬化技術出發，圍繞著安全性進行簡單闡述。

虛擬化技術是依托于計算機技術的，虛擬化指的是用抽象的方法來表示計算機資源，可以使用訪問那些抽象之前的資源的訪問方法來對抽象之后的資源進行訪問，這種對資源抽象的方法不會被現實的物理配置以及地理條件干擾。而服務器的虛擬化技術從本質上來說是把物理層面上的一個服務器在網絡環境中虛擬成眾多服務器。在工作人員使用服務武器虛擬化技術之前三種不相同的應用要分別運行在三種不同的物理服務器中，在虛擬化之后應用運行在三個虛擬服務器上，而在網絡環境中進行虛擬化的服務器可以被物理層面的一個服務器所承載。

1 服務器虛擬化技術

服務器的虛擬化技術指的是在現實物理層面上的單獨服務器上來運用多種虛擬的服務器的技術。根據該項技術的虛擬化層面的實現方法不同可以把服務器虛擬化分為兩種類型，一是寄居虛擬化，二是裸機虛擬化。寄居虛擬化的虛擬層面的虛擬機監控器在用戶的操作系統上運行的，虛擬機是在用戶的操作系統中完成對硬件資源的使用的，所以其寄居虛擬化實現起來是比較容易的，雖然它的性能不是很理想。裸機虛擬化這種虛擬化技術的虛擬化層面是直接在物理硬件上實現虛擬化的，并沒有給虛擬機提供指令集以及實際的設備接口，裸機虛擬化想在工作中實現的話比較復雜，具有一定的難度，但是勝在性能強，資源分配上比較合理，穩定性也比較高，各個方面和寄居模式相比較都有一定的優勢。總的來說，服務器虛擬化技術是使用相應的應用程序把服務器內部的資源進行合理的整合和分配轉化，這樣可以有效地提升各種資源的利用率，是一種對服務器的運行方式，可以解決一些基本的問題。服務器虛擬化技術是把內存分為兩個空間，用戶空間和內核空間，其中系統自身的操作程序是在內核空間中實現運行的，而其中的用戶自行下載的應用程序是在用戶空間中運行的。服務器虛擬化技術的主要內容分為全虛擬化技術、半虛擬化技術、硬件輔助虛擬化技術。

1.1 完全虛擬化技術

完全虛擬化技術的實現是依托于DBT的執行技術和X86的操作系統兩者互相結合實現的。在網絡環境中的虛擬機執行DTT幾乎的時候，在比較敏感的指令前插入其他指令，然后再把執行的在VMM中嵌入，然后就經過動態轉換就可以把指令轉化成可以完成其他功能的指令隊列，從而做到對虛擬硬件的訪問。綜上所述，在完全虛擬化技術之中，Hypervisor可以做到對系統中所有的指令進行翻譯，而且翻譯之后的指令還可以在CPU中直接運行，用戶使用的操作系統是使用虛擬化技術直接把物理層面的硬件抽出來，所以用戶并不能感受到已經發生了虛擬化，所以用戶的操作系統不需要改動。完全虛擬化技術是當前唯一一種擺脫硬件束縛，不需要操作系統的協助就可以直接的把敏感指令虛擬化的技術。完全虛擬化技術有著擬機隔離的特點，這種特點保證了虛擬機的安全性，還給用戶的移植操作和操作系統的遷移操作帶來了便捷，但是這種完全虛擬化技術其中的DBT技術給相關的企業或者是個人增加了些許性能上的開銷。該項技術在商業應用市場之中由于其可靠性和高效性占據了很大部分的市場份額。

1.2 不完全虛擬化技術

不完全虛擬化技術指的是要稍微對用戶的操作系統進行少許的修改，用來替換掉其中不能進行虛擬化的指令，然后使用虛擬化平臺來對其進行超級調用，從而實現虛擬機對這些敏感指令的執行。在不完全虛擬化技術之中，用戶使用的操作系統和當前的虛擬化平臺有很強的兼容性，如果兼容性不高的話會導致虛擬化之后的虛擬機不能完全的對用戶的物理機實現完美操控。不完全虛擬化技術中非常有代表性的是Xen，它是在X86系統的架構之上進行的開源操作，其中VMM有著極高的效率和性能，所以在當前各個領域中比較受歡迎。Xen是直接運行于硬件之上的，把關鍵的硬件比如CPU、內存在網絡環境中進行虛擬化。DomainO是Linux經過修改之后的系統，是在VMM的架構中運行的系統。大多數的虛擬機設備是在該系統之下的驅動程序幫助下鎖運行的。一般情況下，虛擬化平臺中只能支持兩種虛擬機，一是不完全虛擬化的虛擬機，二是硬件虛擬機。半虛擬化虛擬機是需要修改用戶的操作系統內核來實現對VMM的虛擬化的，半虛擬化機中包括著前端的驅動，在Dmain0中則是包含著后端的驅動。硬件虛擬機是可以支持不修改用戶的操作系統內核，也叫HVM。

1.3 硬件輔助虛擬化

隨著虛擬化技術的廣泛使用，很多公司對虛擬化的重視度不斷地提高，其中英特爾在2006年的時候在CPU上推出了虛擬化支持的方案。初代的硬件輔助虛擬方面的技術有英特爾的VTX和超威公司的AMD-V，它們給CPU增加了新的執行模式ROOT，VMM可以直接在該種執行模式中使用，在使用的過程中出現的敏感指令的執行都是在Hypervisor之下運行的，并不需要DBT或者是不完全虛擬化技術來進行虛擬化，應用這種技術后，用戶的操作系統不會有其他的改動，會直接保存在虛擬機的系統架構之中。

2 服務器虛擬化技術的安全風險

服務器的虛擬化雖然通過在硬件設施和服務器之間加入虛擬層的技術來提高資源的利用率，但是這也帶來了很多的風險。(1)因為虛擬化之后的環境具備著開放性的特點，傳統的安全防護設備很難掌控虛擬狀態之下的通信情況，這就給服務器的虛擬化的運行安全制造了很大的威脅，這就導致了傳統的防護手段和系統沒有發揮出自身應當發揮的保護作用。(2)虛擬化的工具也存在著一定的問題，非常容易遭受到外來的攻擊，而且自身還沒有完善的自我保護手段，這就導致了服務器在運行當中可能會受到損害。(3)當前的情況就是人們如果過度的使用虛擬機，濫用虛擬機的話一定會讓服務器的壓力過大，從而讓虛擬機的主機漸漸癱瘓，還有在使用虛擬機遷移的功能時，也非常容易會受到外來的攻擊，這也會造成極大的安全隱患。(4)當前服務器中的VMM模式并沒有完善，所以虛擬機在運行的過程中很可能會出現漏洞，這就是目前虛擬機安全方面最大的危險之處[1]。

3 服務器虛擬化技術的安全防范措施

3.1 加強該項技術中的分類部署

在服務器虛擬化技術的運行過程中，加強該項技術的分類部署，可以讓服務器在邏輯層的運行得到優化，這就對服務器的安全性有一定的提升作用。在具體的實踐當中，工作人員可以著重的對其網絡進行設置，其中值得注意的是要把公共的虛擬機和自身專用的虛擬機分開進行設置，依據使用虛擬化技術的類型進行分類，讓其在自己應當處在的網絡位置上運行，最大程度上減少數據泄露到其他機器中的可能性，從而保證服務器虛擬機的安全運行。所以，工作人員要對虛擬化環境當中的邊界進行防護，切實的落實到每一臺虛擬機當中，超保證防護設備可以對其中每個虛擬機進行識別，所以工作人員要對虛擬機環境中的邊間訪問進行嚴格的控制，這就必須要在虛擬層的基礎上才能實現，所以邊界防護的重點是對其中的虛擬層進行防護。在防護的同時，要分層次地把重要的數據進行加密，把虛擬機以重要性為標準進行分類和等級劃分，對于其中等級比較高，重要性比較強的虛擬機使用相對應的隔離方法，必要的時候還可以建設防火墻來對外來的風險進行抵御，從而防止信息被泄露，極大程度上來提高虛擬化服務器的安全性[2]。

3.2 強化該項技術的設施保護

該項技術中的安全管理措施中最為重要的就是對服務器虛擬化相關設施的保護。因為虛擬化設施是虛擬化服務器運行的前提，是整體的服務器運行當中不可或缺的一部分，這對于虛擬化服務器的生產和運行有著極其重要的作用，所以提高對服務器虛擬化設施的保護是相當重要的。比如說在VMware虛擬化的環境當中，就是通過虛擬化的管理工作來實現對管理人員的控制，以這種方式來彌補虛擬化工具沒有自我保護能力的缺點，減少缺乏保護帶來的風險。在這個過程中，本地管理員是擁有最大權限的，這就可以通過使用分權制約的方法來實現日常的維護工作，對工作人員的職責進行分化，明確自身應當承擔的責任，然后進行桌面資源的授權工作。在工作當中還可以對數據中心的相關資料進行審計，從而實現對服務器虛擬化技術的最大程度保護。隨著當前網站業務的越來越多，所以虛擬機的濫用情況比較嚴重，那么針對于這種情況為了防止虛擬機被濫用，要對服務器內部的容量進行加強分析和監控，從而做到全面地掌握服務器的基礎情況。除了基礎的監控之外，也可以定期地召開對應的會議進行組織和回報，也可以在服務器虛擬化中設置自動警報器，如果發現有外來入侵的情況出現，就可以自動地發出警報，從而使得工作人員可以第一時間發現外來入侵，進行解決。對服務器中被使用的資源定時的進行報告和計算，并對一些比較特殊的情形進行警告，對其訪問進行嚴格的控制，并加強服務器管理工作人員對于服務器相關設施的保護意識，對虛擬化服務器做好相應的安全防范措施，按照規章制度嚴格進行操作，設立相應的保護制度來保護服務器虛擬化的工具來提升虛擬機在運行過程中的安全性[3]。

3.3 完善該項技術的加固系統

在對虛擬化服務器進行安全方面的管理的時候，要對服務器中的加固系統提高重視度，要做到不僅能夠抵御帶來的風險，還能保障服務器的安全運行。在實踐的過程當中要對服務器的加固系統合理地進行配置，在部署的工作環節中，要對服務器真實的用處進行確定，還要注意服務器的實際工作情況，在保障服務器運行的過程中要對服務器設置的數量合理化，比如對物理層面和虛擬層面的服務器的資源占比情況進行評估，對物理層面服務器的硬件設置和電源的使用情況進行評估，然后依據資源占比情況和物理層面的實際情況來進行具有可控制性的配置，從而以這種方式來實現對虛擬化服務器的安全管理。另一方面，除了對物理層面的服務器進行評估之外，還要對處在虛擬環境中的服務器開展全面的檢查工作和加固工作，同時要注意增強虛擬化服務器的身份認證技術，防止不確定身份的賬號對服務器進行訪問。除此之外，還要加強對虛擬機運行的優化，在出現故障的時候，要及時地對其進行修復和處理，在虛擬環境中建設完善的安全防御系統和機制，對于未經允許的訪問要嚴格的進行控制。在虛擬化服務器進行轉移的時候，要注意進行加密，從而做到全方位的多角度的對遷移過程中的虛擬化服務器進行保護。所以，為了對虛擬化服務器的安全性進行保證，相關的工作人員要制定可行性比較強的安全戰略，并且管理人員要進行相對應的管理制度，首要需要提升的就是現場工作人員的安全意識，只有工作人員的安全意識提高了才能形成完善的虛擬化服務器的加固系統，從而保障其安全[4]。

4 結論

綜上所述，服務器的虛擬化技術已經受到了廣泛的關注，是學術界和各行各業關注的重點。服務器虛擬化技術中的安全防范工作具有非常重要的意義，可以讓虛擬化技術更安全的應用到各大高端的服務器當中，所以要加強該項技術的分類部署，對相關設施強化保護，完善加固系統來發揮服務器虛擬化技術的作用，從而推動網絡建設向前發展。