服務器虛擬化在網絡信息體系中的應用和安全防護

李 超 ，黨增江

(1.中國人民解放軍92728 部隊，上海 200040；2.中國航天科工集團第二研究院七〇六所，北京 100854)

0 引言

隨著虛擬化技術的快速發展，服務器虛擬化作為最常用的虛擬化技術已經在各行各業得到了廣泛應用。服務器虛擬化通過運用相應的虛擬化軟件將服務器中的資源進行整合轉換，實現對資源的均衡分配，并且還能實現對網絡資源的合理利用，進而達到提高工作效率的目的[1-4]。

目前，服務器虛擬化有“一虛多”“多虛一”和“多虛多”三種方式[5]?！耙惶摱唷笔莻鹘y的虛擬化方式，實現把一臺物理服務器虛擬為多臺邏輯服務器，虛擬出的邏輯服務器彼此獨立、互不干擾，每個邏輯服務器單獨運行一個操作系統的副本，并且應用程序都可以在相互獨立的空間內運行而不相互影響。“多虛一”實現把多臺物理服務器虛擬成一臺邏輯服務器，多臺物理服務器之間使用高速網絡或專用總線連接，在虛擬出的這臺邏輯服務器上運行單一的操作系統副本，應用程序運行在邏輯服務器中可以同時使用多臺物理服務器中的硬件資源，構成一個大節點服務器。“多虛多”是在“多虛一”的技術上，再將虛擬出的邏輯服務器劃分為多臺虛擬服務器，且性能都能根據資源池中實際資源情況進行靈活配置和調度。無論那種服務器虛擬化方式，都存在虛擬機逃逸、跳躍、蔓延，虛擬機鏡像被非法拷貝，虛擬機間流量難以被審計等安全風險，這些安全風險一旦被黑客利用進行網絡攻擊，容易造成關鍵數據被竊取，甚至虛擬機被完全控制，這對服務器虛擬化在軍工等特殊行業的應用帶來了巨大挑戰[6]。

本文重點分析了常用的“一虛多”服務器虛擬化在網絡信息體系應用中面臨的安全風險，從部署環境、宿主機、虛擬機、系統運行和運維管理等方面的采取安全防護措施，形成一套服務器虛擬化安全防護解決方案，推動服務器虛擬化在企事業單位網絡信息體系中的落地應用。

1 服務器虛擬化安全風險分析

服務器虛擬化技術的應用提升了計算機服務器的應用效率及價值，但在實際的技術應用過程中，尤其在軍工企業等敏感網絡信息體系中，還存在一定的安全風險[7-8]，這在一定程度上影響了服務器虛擬化在軍工等特殊行業的應用效果。下面對虛擬化技術的安全風險進行分析和總結。

1.1 技術架構安全風險

在服務器“一虛多”的虛擬化方式下，所有的虛擬機共享宿主機上的硬件資源并彼此邏輯隔離，依靠虛擬機管理器進行統一管理和調度。目前，在X86架構下，常用的虛擬化軟件大多都是國外產品，如VMware Station、Virtual Box 等，若這些國外虛擬機產品存在后門，將會影響整個虛擬化系統的安全運行。

同時，虛擬化技術存在虛擬機逃逸、跳躍、蔓延等技術缺陷，非法用戶可以利用虛擬化軟件的漏洞發起攻擊，獲取宿主機的管理員權限，控制虛擬機管理器，或者以某一個虛擬機為跳板，獲得同一宿主機上其他虛擬機的訪問權限，最終實現越權訪問、拒絕服務，甚至對虛擬機進行完全控制[9]。

1.2 系統運行安全風險

在虛擬化環境中，同一臺宿主機上一般運行著多個虛擬機，這些虛擬機共享宿主機上的處理器、內存、存儲和網絡資源。所有虛擬機都連接到宿主機的同一張網卡或虛擬交換機上，虛擬機之間的通信流量可以不經過外部網絡，傳統的基于交換機鏡像端口的網絡流量入侵檢測技術將會失效，如果一臺虛擬機發生安全問題，將可能會擴散到同一宿主機的其他虛擬機[6]。

虛擬化環境下的端口由物理服務器映射到虛擬機，如果端口沒有設置安全規則，虛擬機的端口有可能連接到外部網絡，有可能會受到攻擊者的非法訪問。

在進行服務器虛擬化時，為了部署快捷方便，管理員可能使用同一鏡像文件批量創建多個虛擬機，如果虛擬機的鏡像文件本身存在漏洞或攜帶病毒，虛擬機運行時這種漏洞和病毒會影響到整個網絡，帶來極大的安全隱患。

虛擬機在使用過程中需要對物理服務器中的資源進行競爭，包括處理器、內存和帶寬等，在實際的建設過程中，一旦虛擬出的服務器過多或者同一虛擬機中出現過多應用程序，就會導致整個服務器工作負載過重，使服務器的工作效率降低，影響整個虛擬化系統的運行質量。

1.3 配置管理安全風險

在虛擬化環境中，物理資源高度集中，管理員在配置過程中若因規劃或設計不當，可能導致虛擬機存在配置缺陷而留下安全隱患。配置缺陷主要包括：管理流量和業務流量共用網絡鏈路，可能在管理流量中混入攻擊流量而不被監管，造成業務系統正常訪問受到影響；不同密級的虛擬機共用一臺宿主機或存儲設備未進行有效的安全隔離，網絡邊界模糊，一些敏感信息可能會被其他虛擬機非法讀??；虛擬磁盤中的文件明文存儲，虛擬機在遷移過程中文件被非法復制，可能造成重要數據外泄；安全產品缺失或者安全策略配置不合理，虛擬機中的流量無法被監管和審計，都會導致安全風險[10]。

1.4 運維管理安全風險

在虛擬化環境中，對服務器硬件維修、軟件維護、虛擬機遷移和刪除等運維過程缺少相應的安全監管，極易發生運維安全事件。如虛擬機管理員權限過大，宿主機的管理員賬號隨意使用，運維操作缺乏安全審計導致隨意創建虛擬機和修改虛擬機配置，不能及時更新病毒庫和系統補丁，非授權人員隨意接觸虛擬機管理器，運維過程中移動存儲介質隨意接入虛擬機等，都會對虛擬化系統帶來惡意攻擊和數據泄密等安全隱患，更有甚者造成整個虛擬化系統癱瘓和業務中斷。

2 服務器虛擬化安全防護設計

為推動服務器虛擬化在企事業單位網絡信息體系中的落地應用，保證虛擬化系統的安全運行，本文提出了一種服務器虛擬化的安全防護設計方案，從部署環境安全、宿主機安全、虛擬機安全、系統運行安全和運維安全管理方面進行了詳細闡述。

2.1 安全防護架構

本文提出的安全防護設計總體架構如圖1 所示，該安全防護架構的設計思路如下：

圖1 安全防護總體架構

(1)分級分域設計，將整個網絡劃分為高密級應用服務域、低密級應用服務域、高密級用戶終端域、低密級用戶終端域、安全監管域、運維管理域和核心交換域，對服務器宿主機、虛擬機、存儲資源、用戶終端等進行安全分級管理。

(2)安全域訪問控制，各安全域之間的通信通過核心交換域進行安全防護控制，嚴禁低密級終端訪問高密級的虛擬機和存儲資源。

(3)“三網設計”，將整個網絡中按照流量類型設計為業務網、存儲網和管理網，業務交換機、管理交換機和存儲交換機獨立設置，在服務器虛擬化宿主機上配置3 塊不同的網卡承載相應的數據流量，避免流量交叉[10]。

(4)加密存儲，各虛擬機的系統文件和數據文件均存儲在磁盤陣列中，并使用存儲密碼機進行透明加密存放，保證虛擬機的文件和數據安全[7]。

(5)在服務器虛擬化宿主機上部署服務器審計系統，對宿主機的操作和運行狀態進行安全審計，在網絡中部署入侵檢測設備，對服務器交換機和核心交換機上的流量進行安全分析和異常檢測。

(6)設置專用的運維管理終端，對虛擬化系統和其他設備進行日常運維管理。

2.2 部署環境安全

服務器虛擬化系統的服務器、存儲設備及相關網絡設備等要放置在機房進行集中管理，并對機房進行安全防護和訪問控制：

(1)機房配置電子門禁系統，通過身份認證后方可進入，控制、鑒別和記錄出入人員。

(2)機房配置視頻監控和紅外入侵監控，及時發現非法人員進入，防止對機房設備進行破壞。

(3)機房配置動環監控系統，實時調節機房的溫濕度環境，監控機房的供電狀態，防止對技術設備造成損壞，保障機房環境運行安全。

(4)機房內業務網、存儲網和管理網使用不同顏色的線纜，并設置相應標志，防止不同網絡之間交叉使用。

(5)對服務器、交換機等設備上不使用的接口進行物理關閉。

2.3 宿主機安全

宿主機的安全是整個服務器虛擬化系統的前提，宿主機一旦被控制，其上運行的虛擬機都有可能被攻擊，可以從以下幾方面對宿主機進行安全加固：

(1)設置宿主機BIOS 密碼，設置默認從本地硬盤啟動，禁止從網絡或USB 口啟動，確保宿主機的啟動安全。

(2)宿主機優先使用國產服務器，并安裝配套的融合系統，對外設端口進行管控，控制開放的網絡服務和端口，安裝服務器審計系統，對宿主機的登錄、運行狀態和指令操作進行審計，保障宿主機的運行安全。

(3)在宿主機中安裝相應的安全管理軟件，定期對宿主機進行病毒和惡意代碼查殺、漏洞修復。

(4)設置高強度的宿主機操作系統登錄密碼，密碼由字母、數字和特殊字符混合組成，并定期進行密碼更換。

(5)宿主機配置不同的網口和HBA 卡，分別用于連接業務網、管理網和存儲網。

(6)按照設備密級，對宿主機進行分機柜放置，嚴禁在低密級的宿主機上創建高密級的虛擬機。

2.4 虛擬機安全

虛擬機中承載著網絡中各業務系統的運行，虛擬機的安全是保障業務系統安全的關鍵所在，虛擬機一旦被攻擊，業務系統將會受到破壞或直接癱瘓。可以從以下幾方面對虛擬機進行安全防護：

(1)優先使用國產化虛擬化軟件，防止非國產化虛擬化軟件存在后門，對業務系統帶來潛在的安全威脅。

(2)對KVM、QEMU 等虛擬化軟件已知的漏洞進行修復和加固，持續追蹤和修復最新發現的虛擬機漏洞。

(3)虛擬機的系統文件和數據文件存放在磁盤陣列中，磁盤陣列設置RAID 進行冗余，并經存儲加密機進行文件存儲加密，防止硬盤損壞或丟失帶來的數據損壞或泄密，同時保證虛擬機遷移過程的安全性。

(4)在虛擬機中開啟虛擬化防火墻，對進出虛擬機的流量進行訪問控制，及時阻斷非法網絡連接。

(5)定期對虛擬機進行快照操作，防止虛擬機因意外情況無法正常運行，可對狀態異常的虛擬機進行及時恢復。

(6)對虛擬機的操作系統設置高強度登錄密碼，密碼由字母、數字和特殊字符混合組成，并定期進行密碼更換。

2.5 系統運行安全

為進一步加強整個虛擬化系統的安全防護，應部署防火墻、網絡接入控制系統、違規外聯系統、終端安全登錄系統、網絡防病毒系統、入侵檢測系統和安全審計系統等，提升虛擬化系統的整體安全防護能力。

(1)訪問策略控制

在網絡中部署防火墻，可以在虛擬化服務器與用戶終端、不同級別的安全域之間提供網絡安全隔離服務，提供基于IP、協議、端口等要素的安全訪問策略，通過制定合理的訪問規則防止各安全域設備之間的非法網絡訪問。

(2)網絡接入控制

在網絡中部署網絡接入控制系統，對接入交換機上的端口進行入網管控，并在計算機終端上安裝網絡接入控制客戶端，計算機入網時校驗IP 地址、MAC 地址、交換機管理IP、交換機端口和用戶名密碼等信息。同時，網絡接入控制客戶端可以對計算機終端進行健康檢查，如檢測是否安裝了防病毒軟件、主機監控和審計軟件、終端安全登錄軟件等，只有通過終端健康檢查后才能通過網絡準入認證，確保只有授權的計算機終端可以接入網絡中，訪問業務服務。

(3)違規外聯管控

在計算機終端上安裝違規外聯軟件，制定違規外聯策略，對計算機中的外設接口進行有限管控，防止移動存儲介質交叉使用帶來數據外泄風險。實時檢測計算機是否連接到互聯網，發現外聯后立即阻斷網絡通信，避免受到外部網絡的攻擊。

(4)終端登錄管控和身份認證

在網絡中建立統一的身份認證體系，結合USB Key 等物理硬件，保證各用戶身份的唯一性，部署終端安全登錄系統和身份認證網關，實現計算機終端安全登錄管控和應用認證，記錄終端登錄和應用認證日志，方便管理員進行日常審計。

(5)網絡防病毒

在網絡中部署網絡防病毒系統，服務器和終端上安裝防病毒客戶端，在防病毒系統的控制中心制定病毒和惡意代碼查殺策略，對各客戶端進行升級管理，通過控制中心可以查看整個網絡中的病毒查殺和主動防御信息。

(6)網絡入侵檢測

在網絡中部署入侵檢測系統，實時檢測核心交換機、服務器交換機上的網絡流量，及時發現網絡中的異常流量并進行報警。將虛擬化宿主機連接的服務器交換機的鏡像流量接入到入侵檢測系統，可以監控宿主機之間、虛擬機之間的非法網絡訪問，通過分析服務器交換機上的網絡流量，可以對應用服務的訪問事件進行記錄和分析，及時發現網絡中的潛在攻擊行為。

(7)安全審計

在網絡中部署安全審計系統，可以接收來自其他安全設備的審計日志，實現對審計日志的集中存儲、統一管理、關聯分析，可以對安全事件進行溯源和定位。

2.6 運維安全管理

任何系統的安全防護僅僅依靠技術措施是不夠的，必須輔助管理手段，做到人防和技防相結合。針對服務虛擬化所在的網絡，可以從以下幾個方面進行日常運維和安全管理：

(1)設置專用的運維管理終端，對虛擬化系統宿主機和虛擬機進行日常運維，做到管理信息和業務信息安全隔離。

(2)設置系統“三員”，即系統管理員、安全管理員和安全審計員，三員相互獨立，彼此監督，明確各管理員的權限和職責，禁止權限交叉，嚴禁越權操作。

(3)建立與服務器虛擬化日常運行相適應的安全管理制度，對虛擬機的創建、修改、刪除、遷移以及開機、重啟、關機、快照等日常操作制定操作規程，必要時進行審批流程，做好日常操作記錄。

(4)定期對虛擬化系統的運維日志和安全防護設備日志進行安全審計，及時發現違規操作，并采取針對性的補救措施。

3 試驗驗證

本節對上文中提出的服務虛擬化安全防護設計方案進行了試驗驗證。

3.1 試驗設備

試驗驗證需要用到的主要設備如表1～表3 所示。

表1 服務器列表

表2 交換機及存儲設備列表

表3 安全防護設備列表

試驗中使用的管理終端和業務終端使用普通的X86 電腦，高密級業務終端配置2 臺，低密級業務終端配置2 臺，管理終端配置3 臺。

3.2 試驗過程

3.2.1 搭建試驗環境

將試驗設備按照圖1 進行組網，搭建試驗環境。網絡VLAN 劃分如表4 所示，服務器的IP 地址分配如表5 所示，其他設備按照VLAN 劃分分配相應的IP 地址。

表4 VLAN 劃分

表5 服務器IP 地址分配

3.2.2 防護策略配置

(1)宿主機安全配置

2 臺天玥服務器和2 臺浪潮服務器均設置BIOS啟動密碼，安裝天擎終端安全管理系統客戶端軟件，并在天擎系統控制中心設置違規外聯和外設管控措施。同時，在物理服務器中加裝HBA 卡，使用光纖通過存儲密碼機連接到相應的磁盤陣列，磁盤陣列配置的硬盤組建RAID5，并為相應的服務器提供存儲空間。

2 臺天玥國產服務器中安裝服務器審計代理軟件，進行服務器狀態監控和操作審計。

(2)虛擬機安全配置

在天玥服務器中使用QEMU 創建虛擬機，浪潮服務器使用VMware Station 創建虛擬機，將虛擬機的系統文件保存到磁盤陣列提供的存儲空間中，確保虛擬機中的文件通過存儲密碼機進行安全加密。在虛擬機中開啟系統自帶的防火墻，并設置復雜的登錄口令。

(3)系統運行安全配置

在核心交換機中配置ACL 列表，控制各VLAN之間的網絡通信，在防火墻中設置訪問控制策略保證業務終端只能訪問授權的業務資源。在網絡準入控制系統中配置802.1X 準入模式，同時在接入交換機中啟用802.1X 認證，確保只有授權的設備才可以接入網絡。利用天擎終端安全管理系統對服務器、終端電腦進行外設使用控制和違規外聯控制，違反外聯控制策略時及時斷開主機網絡。

使用網絡安全審計系統和服務器審計系統對網絡中的異常事件、違規操作以及服務器的狀態和操作進行安全審計。

(4)運維安全配置

設置系統管理員、安全管理員和安全審計員，并配置專用的管理終端，對整個系統進行配置和維護，虛擬機的創建、修改、刪除、遷移操作由系統管理員負責，安全管理員對系統管理員和安全審計員的操作進行安全審計，安全審計員對安全管理員的操作進行安全審計。

3.3 防護效果

通過試驗驗證，本文提出的服務器虛擬化安全防護方案能夠達到以下防護效果：

(1)做到業務數據流和管理數據流分離，降低內部人員或外部惡意人員通過業務終端攻擊虛擬化服務器的安全風險；

(2)實現虛擬機系統文件和數據文件的透明加密存儲，在保障業務正常運行的同時，防止因硬盤丟失造成虛擬機中的數據泄密風險；

(3)高密級虛擬機和低密級虛擬機嚴格邏輯隔離，分域使用，杜絕數據高密低用；

(4)在國產服務器中安裝服務器審計系統客戶端，對服務器的系統狀態、系統登錄、操作行為、網絡配置等進行審計，能夠追溯登錄用戶對虛擬機的創建、刪除、修改等操作行為；

(5)通過入侵檢測系統和安全審計系統對網絡中的業務流量進行檢測和審計，及時發現網絡中的異常行為，識別可能的虛擬機攻擊行為；

(6)通過網絡準入控制系統、終端安全登錄系統確保只有授權的用戶可以接入網絡并訪問虛擬出的業務應用，有效防止非法用戶的接入和訪問。

3.4 功能性能提升

以本文的試驗為例，在保持業務應用系統部署需求不變的情況下，使用服務器虛擬化方案可以達到以下提升效果：

(1)物理服務器需求數量減少50%，服務器資源利用率可以提升1 倍；

(2)在模擬100 人同時訪問業務系統的情況下，服務器的網絡帶寬實際利用率可以提高近30%；

(3)可擴展性較好，在物理服務器硬件性能滿足的情況下，新增業務系統可以通過創建新的虛擬機快捷部署，業務系統停用可以通過刪除虛擬機快速停用，釋放硬件資源，在一定程度上減少業務系統安裝維護工作量；

(4)虛擬機均存儲在磁盤陣列中，當物理服務器發生故障時，可以將對應的分區掛載到新的服務器中，實現虛擬機的快速遷移，并可以保證業務數據不丟失。

4 結論

本文針對服務器虛擬化的技術特點，從技術架構、系統運行、配置管理和運維管理四方面分析了服務器虛擬化在網絡信息體系應用中面臨的安全風險，提出了一種服務器虛擬化的安全防護設計方案，介紹了設計方案的安全防護總體架構，在部署環境安全、宿主機安全、虛擬機安全、系統運行安全和運維安全管理等方面進行了詳細的技術防護措施設計和安全管理設計，為服務虛擬化的應用提供了一種可行的安全解決方案，并搭建試驗環境進行了安全防護試驗驗證，有助于推動服務器虛擬化在企事業單位信息化和數字化轉型中的落地應用。