服务器虚拟化存在风险及对策

王福成

（中航沈飞民用飞机有限责任公司 辽宁 110850）

0 引言

服务器虚拟技术逐渐走入各大机构，虚拟技术给各方面带来很大便捷，在信息的交流方面做出重大改进。计算机技术不断发展成熟，服务器虚拟技术被广泛应用。微软等公司走在虚拟服务器开发的前沿，由各大企业共同宣传推出的“云计算”，让人们对服务器虚拟化技术有了深入了解。随之而来的是服务器虚拟化对人们信息造成的安全问题。

1 服务器虚拟化介绍

服务器虚拟化技术在计算机领域是一种突破性的技术。他可以给用户解决在应用服务器时出现不方便等问题，给用户带来真实的利益。例如，用户在通过硬件分享和服务器整合时，能够在极大程度上提高投资获得的效益。为了避免服务器之间的兼容性问题，虚拟服务器起到极大作用，其通过事先保存好的标准，在启用服务器时，迅速恢复相关信息数据。但是，虚拟化服务器在给用户带来便捷的同时，也对用户的信息安全带来挑战，因此当前对服务器虚拟化存在安全问题的讨论极为重要。

2 服务器虚拟化存在的安全问题

服务器虚拟化技术的出现，给IT行业带来新的风险，其安全隐患主要来自三方面：一是VMM的设计缺陷；二是虚拟机之间交流引起的风险；三是虚拟化管理平台存在不足。这些风险影响服务器虚拟化的应用，对用户信息带来安全隐患。

2.1 VMM设计缺陷

当前虚拟机安全机制都是建立在VMM之上的，VMM完全可靠性是虚拟机安全的基础。但是在服务器虚拟系统技术实现中，VMM的保护性并没有得到体现，VMM的设计过程中存在大量漏洞，这些漏洞成为虚拟服务器的缺陷，导致攻击者非法使用，VMM内部的安全措施还无法识别来自外部因素的篡改。

2.2 虚拟机通讯风险

服务器虚拟化后，相对于传统的服务器环境，发生极大的变化，网络格局的差异导致安全问题的产生。传统的IT环境中效果较好的安全措施，应用在虚拟服务器网络环境中无法得到预想中的效果。传统的服务器，严密的网络安全隔离可以有效的控制受到攻击的计算机其危害向外部扩散，但是服务器虚拟化的出现，使得网络中安全系数降低，同一台宿主机的所有虚拟机，只通过一个共享网卡与外部网络通信，这样当虚拟网络中被控制之后，处于虚拟网络之中的虚拟机都会受到侵害，因此传统的防护实施急需改变。一些虚拟技术为了方便应用并提高应用性能，虚拟机之间通讯交流改过共享内存的方法进行，这样造成虚拟机之间的交流风险。

在虚拟机运行的环境中，CPU、内存、硬盘和网络等资源均由虚拟机和宿主机共享。例如一台虚拟机M受到攻击，M自身的资源将会受到损坏，在虚拟网络中，攻击会顺着M传递到宿主机N上，结果导致宿主机上的所有虚拟机都受到攻击，促使整个网络瘫痪。

2.3 管理平台漏洞

（1）远程管理漏洞：在虚拟服务器系统中，攻击者一旦攻破管理平台的防护，得到管理平台的控制权，那么他就会掌握平台之下所有虚拟机的控制权。

（2）迁移攻击和副本离线破解：在虚拟设计时候，出于对虚拟机的可用性考虑，主流服务器虚拟化软件都支撑虚拟机的迁移功能，如果攻击者控制了管理平台，攻击者就可以控制虚拟机从一台宿主机迁移到另外一台宿主机上，由于虚拟机文件的存储方式是以特定的镜像文件格式存储，当虚拟机被迁移之后，虚拟机磁盘中的镜像文件将会重新被创建，攻击者可以借助文件重建的时机，替换原虚拟机中的配置文件和相关特性。，

（3）数据安全风险：服务器虚拟化技术是“云计算”的基础，服务器虚拟化中需要注意数据安全问题，要注重数据的隐私性、完整性和实用性。由于在虚拟系统中所有的数据都存储在同一个物理环境中，对数据的保护问题变得极为重要。

（4）虚拟机自身补丁更新管理困难，虚拟机的补丁管理存在的问题：服务器虚拟化技术中，虚拟机经常需要安装补丁，在补丁下载过程中采用的是虚拟机复制方式，很容易为虚拟机提供一个副本镜像，作为基本备份存储在一定的数据库中，当虚拟机需要时，就可以利用存储在数据库中的备份文件进行数据恢复。但是对于存储备份文件的虚拟机杀毒软件等的更新无法达到要求，虚拟机的安全状况影响数据的安全。

3 解决服务器虚拟化风险的对策

3.1 VMM设计在虚拟机应用中不可缺少，安全问题的解决方案分为两种

第一，对API攻击的预防思路，其将可信的计算机应用技术与虚拟的技术结合，建立可信的虚拟化平台，形成完整性的信任关系，被赋予同时运行不同安全等级应用的权利，宿主机应该选着具有可信度高的计算机平台作为服务器。第二，在虚拟平台中每台虚拟机中的物理机上的VMM唏嘘严格的分配虚拟局域网子网，实现网络的逻辑上隔离，在虚拟机的控制上，只有处于控制级别的虚拟平台管理机，才能通过对防火墙的监测访问对VMM进行管理控制。

3.2 在虚拟局域网上严格设置安全域

这种安全域的划分应该分为按照安全级别的差异和虚拟机用户区别两个方面进行划分。防火墙才有分段式，对虚拟机之间信息交流进行访问控制，可以应用虚拟专用网络来实现。

3.3 对数据安全问题的防范

可以采用加密系统，加密技术在现今计算机领域普遍应用。对于数据的加密可以结合数据的分割和散列的方式存储，这样一来，虚拟平台的管理员都无法获取虚拟机的准确数据信息，其中内容趋于安全。

3.4 对于虚拟机补丁更新问题

微软等大公司经过研究，开始推行虚拟机补丁自动更新工具，虚拟系统可以应用这些大公司开发的软件，但是这些软件占有市场又会出现新的问题。因此合理的制定补丁的自动更新任务列表，保证对虚拟机进行及时更新，减小平台网络的负担。

4 结束语

服务器虚拟化在给用户带来快捷的服务同时，也带来相应的经济效益。但是服务器虚拟化给IT行业带来的安全隐患不可忽视。服务器虚拟化的安全运营需要满足内外两个大条件，其中防火墙和虚拟设备需要采用相应的安全实施，应用容纳错误的软件，物理环境和虚拟环境采用的平台统一，促使物理的安全组件和虚拟的安全组件具有相同的特性，配置能实现不同功能的虚拟机对系统不定进行日常的维护管理。虚拟机不能及时的发现风险，并及时对风险做出解决的策略，因此采用虚拟技术是要慎重使用，在使用的过程中，要从人员和技术等多方面进行考虑，严格实行安全管理，提高系统安全保障。

[1]刘小珍，李焕洲.基于验证欺骗的 AVM 2虚拟机逃逸技术[J].计算及应用，2010，8：2130-2133.

[2]刘谦，骆源，翁楚良，李明禄.基于可信平台模块的虚拟机安全协议[J].信息安全与技术，2010，8：49-55.

[3]段翼真，王晓程.可信安全虚拟机平台的研究[C].第26次全国计算机安全学术交流会论文集，2011，9：129-132.

[4]房晶，吴昊，白松林.云计算的虚拟化安全问题[J].电信科学，2012，：135-140.

[5]张志国.服务器虚拟化安全风险及其对策研究［J］.晋中学院学报，2010（3）：83－85.

[6]李永佳.服务器虚拟化下的安全问题与对策［J］.信息系统工程，2010（7）：54－55.