刘艳丽
摘要:虚拟化是利用程序对计算机进行相应的逻辑表示表达,让其能够不会受到运行环境的影响,并且能够使用通用的方式进行访问、资源维护和查看。结合虚拟服务器的现状,分析虚拟服务器所带来的一些安全问题,并且需找相应的解决方案,其中包括机房的管理、防火墙的配置和抵御系统,通过分析服务的安全措施使用新的技术手段,寻得更好的解决虚拟服务器安全的安全对策。
关键词:虚拟服务器 安全问题 解决方案 VEPA
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2016)05-0000-00
伴随着科学水平的不断提高,信息技术不断的发展,服务器的形态也发生了很大的改变,从最初的塔式服务器演变成机架式服务器再到的刀片式服务器,相应的服务系统和应用模式也不断变化,尤其是近几年发展的虚拟服务器。虚拟服务器是一种新型的应用模式,它能够让很多台物理服务器联合使用,只要安装虚拟服务器软件就可以让他成为一个能够符合许多操作系统的平台。虚拟服务器的不光是在物理服务器上和一个操作系统上的应用,一组虚拟服务器可以承载多个操作系统,每个操作系统的需求都能被科学的方法进行分配系统资源,而且每个虚拟系统之间存在独立的逻辑关系。
1虚拟服务器的安全分析
1.1虚拟服务器的安全隐患
虚拟服务器具备相比传统服务器的强大优势,它可以将依据信息的应用来分配系统资源,而且至只占用一组刀片服务器,虚拟完成后可以负载一百多个常规的应用信息,还可以将大量的系统资源分配给需要大量访问的服务器。但是并不代表这样的虚拟服务器就是没有缺点的,虚拟服务器也是具有一定的安全隐患的。服务器在安全方面分为数据安全和系统安全,一般受到的攻击是来自内网和外网的,像数据盗取、系统攻击这类的攻击是来自网络。一般服务器的网络口都是配备防御措施的,用来抵挡来自外网的攻击,但是没有办法抵御来自局域网内的攻击。对于局域网内的攻击,通常在内部交换机上设置访问的控制标来进行解决。虚拟服务器有可能处于一片刀机中,通过虚拟化平台上的虚拟交换机进行数据交换而不经过物理交换机。虚拟交换机仅仅可以提供二层数据的交换,并不支持安全访问控制,造成了在数据交换的过程中不安全性。另一方面系统中的防火墙等安全防御软件会占用很多资源,产生系统资源的浪费,这会使虚拟服务器的高效率大打折扣。是我们在当前阶段急需解决的问题。
1.2虚拟服务器的安全分析
虚拟机的抽象资源是由虚拟机监控器提供的,而这种资源共享技术会导致新的安全风险发生。虚拟机监控器由于自生理论模式不完善存在漏洞而被攻击时,很容易使虚拟机发生逃逸,使攻击者可以随意出入主机系统和运行其他虚拟机的权利,这是对虚拟机最为严重的安全隐患。网络构架最大的变化就是网络边界的消失,服务器安全与网络安全之间的融合。在传统的模式中,每一个物理机上都有各自的安全产品进行防御保护,并且在外围又设置防火墙和网关,安全性能十分高。而虚拟服务器使用了新型的网络模型,多个操作系统和应用程序都是凭借虚拟机的形态部署在物理服务器上,这些虚拟机都能使用物理服务器的资源,虚拟机的网络流量能够不被外网所感知,但是如果一台虚拟机发生了安全问题,其他的虚拟机也会有安全隐患。而虚拟机的泛滥使用,也会严重的影响主机的内存、资源和处理器,造成因服务器的负荷运作而导致的物理主机崩溃和虚拟机应用中断。虚拟机的在线迁移会导致虚拟机在不中断应用的情况下在不同的物理主机之间的迁移,增加了服务器的安全隐患。
2解决虚拟服务器的方案
2.1构建合适的机房管理制度
俗话说没有规矩不成方圆,想要一个组织进行良好的运作必须要有相对科学的制度管理,定制的机房管理制度要规范使用机器的制度、监督上机操作的规范性,要求专人专机并且有专门的负责人员对其进行监管,培养良好科学的使用习惯。使用合适的管理制度能够让信息设备的安全获得保障,在出现问题师可以利用排查和解决,还能避免闲杂人员对服务器的错误操作造成的损失。在进入机房后任何上机的操作都必须记录下来,方便日后出现问题时有效的解决。
2.2建立数据中心
安全备份是服务器应用系统存储和运算得出的数据不能缺少的,而服务器应该在计算处理和对需求的快速反馈方面体现出它的性能,不是浪费在信息存储方面。单台的物理服务器的存储空间是有限的,在使用磁盘阵列以后,可以在一定程度上提供数据的备份,但是会造成存储的空间大幅缩小的问题。在很多网络应用所产生的数据的存储过程中,继续配置数据中心。所谓数据中心是一种集中存储的方式,由专用的存储服务器所组成,既能集中部署,还能分布式部署,在通过高速网络和各个服务器进行连接,具有十分可观的存储空间并且具有扩充性,可以承载上百块的高速硬盘的运作,还能满足整个机房服务器的所有需求。分布式的存储模式是属于虚拟存储,它让所保存的数据具有了灾备能力。当前主流的实施策略是根据每个机房的不同情况,使用适合机房特点的虚拟存储用以配合虚拟服务器的制备和运作。服务器端只保留必要的系统文件,是高效可行的。
2.3配置防御系统
配置防御系统是指配置防火墙和入侵防御系统。传统的服务器容易遭到外网的病毒侵害,虚拟服务器也存在这一安全隐患。为了防止受到外网的侵害的而设置防御系统和防火墙。当受到来自外部网络的攻击是,性能优良的防火墙可以保证自己平安无事并且可以截断非法的数据包。一部包过滤式的路由器或者一台双网关的主机就能组成防火系统,屏蔽子网防火墙是现在比较成熟和安全性较高的防火墙,它的安全策略在应用层和网络层中工作。屏蔽子网防火墙是由被屏蔽子网和两部包过滤式的路由器所构成的,被屏蔽子网内有具有安全设置的堡垒主机和简单的应用服务器,两部包过滤式路游器的功效是分别截断来自外部网络和内部网络的直接访问,达到只允许内部网络和外部网络与非军事区的主机之间的通讯。内部网络和外部网络之中所有的数据都通过非军事区的堡垒主机中进行中转,保证了服务器的安全。入侵防御系统是由检测系统和防火墙融合的的产物,入侵防御系统可以对通讯所产生的数据进收集和分析,在检测出违背安全策略的攻击行为后对其进行阻断。入侵检测系统在一定程度上弥补了防火墙不能识别通信数据的缺点。入侵防御系统的检测手段又分为转换分析、神经网络法、概率统计法和模型推理法,而常见的是专家系统。
2.4服务器的安全策略
服务器的自身安全包括软件维护和操作系统,它们需要使用正版的应用软件进行定期的升级维护。使用一种合适的杀毒系统能够有效的抵御来自网络的木马病毒植入,还可以预防因为操作不恰当导致的病毒感染。服务器所提供的信息应用的数目越多,受到病毒攻击的可能性就越大,所以将不必要的系统服务关闭,在一定程度上可以使安全系数得到提高。而来自局域网尤其的是服务器机房内部的攻击,只能在网络交换机上设定安全策略来使受到攻击的可能降低。交换机安全策略是指虚拟局域网和访问控制列表。访问控制列表是普遍使用的安全措施,它能够通过对数据帧中的源地址、端口号、协议类型的对比,来判断是否符合规则,作出丢弃数据帧或者放行数据帧的动作,达到对一些访问和数据传输控制的目的。虚拟局域网可以增强局域网内的安全性,不同的虚拟局域网的数据帧在传输的过程中是相互独立的,就是说一个虚拟局域网中的用户不可以跟其他的虚拟局域网中的用户进行直接通讯的,将一些安全需求高的服务器设置在独立的虚拟局域网中,可以大大降低受到攻击的几率。
2.5解决共享技术带来的问题
想要良好的解决共享技术所带来的问题,除了加强虚拟机监控器的安全策略,并且设计能够支持不同级别的安全性和不同硬件分区的防御策略以外,还应该将虚拟机的隔离和封装机制进行优化处理,达到增加内存的保护和在出现故障后及时隔离的机制。与此同时在运行的过程中,对未经授权的访问操作进行严格的监控,使虚拟机的安全系数得到提高。
2.6解决虚拟机滥用和在线迁移问题
加强服务器资源的监控和容量的分析功能能够很好的防止虚拟机的滥用情况发生,因为会定期将占用的资源进行报告,在出现突发变化时会发出警报。同时还要规范内部人员的行为,使他们的安全意识得到提高,并且对虚拟机加密和访问授权等安全措施。而解决虚拟机的在线迁移问题,需要增强对迁移数据的加密工作,制定良好的安全迁移策略,加强对虚拟机生命周期的管理,达到使虚拟机的安全隐患消除的目的。
3结语
虚拟服务器是学术界的研究热点,它与传统服务器相比具有优良的使用价值和优势,可以节约客户的资源等。当然虚拟服务器的安全问题也是我们不能忽视的问题,所以我们要努力避免这些问题的发生,提高虚拟服务器的信息安全性,保证用户的信息安全。
参考文献
[1]顾勤丰.虚拟服务器安全存在的问题及应对策略[J].信息通信,2014,(7):109-109,110. [2]张百盛.虚拟服务器管理技术在机房管理中的应用[J].网络安全技术与应用,2014,(11):114-115.
[3]侯程伟.虚拟服务器安全存在的问题及对策[J].电脑知识与技术,2012,(31):7444-7445.