服务器虚拟化常见的安全隐患与防范策略探讨

□扈德昱 王 静

一、引言

虚拟化是指通过虚拟化技术将一台计算机虚拟为多台逻辑计算机，它是一个广义的术语，目的是将IT基础设施简单化。虚拟化的对象可以包括服务器、Internet、桌面以及存档空间的虚拟化。VMware公司作为虚拟化基础设施解决方案的领导者曾做过一项有关服务器的研究，研究结果表明，服务器的数量已经超过了人们所需要的数量，这就导致了IT的成本增加、运营效率降低等问题。服务器虚拟化将一个服务器虚拟为多个服务器，使服务器的数量得到了很好的控制，直接加快了运营速率，所有的虚拟机都有权限读取下层服务器的数据以及地址。虚拟化厂商之间也是各有各的法宝，例如Citrix公司生产的虚拟化应用就有价格亲民的优点，然而其管理性却不十分出色，IBM公司设计的虚拟化生产具有非常庞大的生产线，能够兼容自家公司的所有应用，所以相对来说成本也会越高，更是土豪的首选，但他们的产品对比其他平台的产品兼容性来说较差。VMware公司作为虚拟化技术的先驱，发明的产品具有简单易操作、可控性强等特点，但是其并未做到信息的虚拟化，他的地位以及在虚拟化行业的发展堪忧。而微软公司的虚拟化技术已经赶超许多虚拟化生产厂商，但深究这些生产厂商的工作原理都是将服务器虚拟化多个服务器，减轻了服务器的负担。物理服务器虽然被大多数人所利用，但是却也有它的缺点。而虚拟机具备的性能可以完胜物理服务器。需要强调的是，每一台虚拟机都有自己的平衡系统，它能将资源合理化分配下去，灵活安排每一个资源来保证资源的最大化利用，由此降低了成本，增加了生产效率，使云计算的容量得到大大增加。不可忽视是，为了使服务器更加平稳运行，加快运行速度，使生产能不停歇地运行下去、错误变得可更正，虚拟化生产线衍生出了平均消耗平衡存储，事故自动处理的能力。虚拟化生产线通过形成自身检测并修护的能力使这个行业运营起来更简单，减少了成本，提高了收入，使文档的管理更加简单明朗，最终使虚拟化成为极为重要的步骤。现阶段虚拟化被应用于诸多方面，例如虚拟化服务器以及文档存储等方面，它最大的优点就是减少了软件行业的经费输出，并使所有厂商的管理更有效、更简单化。虽然服务器虚拟有很多值得称赞的地方，可它也有一些弊端，例如虚拟化的同时使结构变得更复杂，像发现错误就需要管理人员更加细心，及时改正错误也变得越来越麻烦，维修的成本也大大增加。

二、服务器虚拟化常见安全弊端解析

自从虚拟化这个概念的提出，其优点被大多数人所熟知，服务器虚拟也变得流行，在过去很长一段时间，世界有一半的服务器都被虚拟化过。它自身存在的一些问题也逐渐袒露在大家面前，例如：服务器虚拟化的过程中颠覆了原有的一些基本结构，使虚拟后的服务器的安全性问题没有办法得到保障，在此基础上访问一些软件可能会产生个人隐私流出的危害，这也将连累被共同虚拟的服务器，而其保存方式也大大增加了信息被盗的几率。由此可见，虚拟化带来的弊端亟需人们解决，根据一项系统的研究表明，大部分的虚拟服务器都比物理服务器更容易被攻击。

(一)虚拟化项目最初并未涉及信息安全。有一项权威的研究发现，在最初创建以及策划时,少于一半的科研项目是不符合安全规定的。有时团体工作时会不刻意地把安全问题忘记，可是虚拟化过程中带来的问题是不容忽视的，多个虚拟化服务器工作时带来的弊端比未被虚拟化时带来的问题更为严重。所以研究这些问题时也更为繁琐。

(二)底层虚拟化平台的隐患影响所有托管虚拟机。将服务器虚拟化就像在电脑上运行程序一样，都需要借助一个平台。而该平台或多或少会有一些bug而被人们疏忽。最近一些大型虚拟化厂商多次传出虚拟化生产线存在安全隐患，这些隐患尚未得到解决。所以一些人想要攻击时都会选择进攻底层虚拟化平台，通过控制住中枢系统，逃脱安全检测。进而将病毒带入各个服务器中，攻击其弊端，获得了阅览所有信息的权限，导致信息的泄露。

(三)虚拟机之间的虚拟网络使现有的安全策略失效。一些知名的虚拟化生产厂商使用建立虚拟机和虚拟网卡的办法使各虚拟机之间能相互关联以此来实现信息发送与接受的能力。一些主流的保护系统的保护范围都只能保护常规服务器的进出流量,却无法看到各个虚拟机之间的流量传输，无法对虚拟化的流量传输提供保障。

(四)将不同安全等级的虚拟机未进行有效隔离。一些虚拟化生产厂商正在尝试将服务器全部虚拟化，这样既减少了经费又加快了生产速度。这些服务器包括许多隐私等级较高的系统，所以就要求虚拟机足够安全。而如果未将安全指数不同的服务器分离开，它们由相同的服务器支配，高等级的虚拟机的安全性也会降低并被较低的所控制。

(五)缺乏对虚拟机管理程序的安全访问控制。虚拟机管理程序就像人脑的中枢神经系统，它支配着虚拟机的一切活动，对各个步骤下发指令，并监督更正两端的功能，因此必须设立权限防止被随意更改。如果没有这种访问权限，HK们就会通过地址连接到中枢神经上，就算他们无法轻易进入程序也可以通过创建多个服务器进而使管理程序满载，迫使管理程序崩溃进而摧毁所有的虚拟机。

三、服务器虚拟化常见安全隐患的防范

(一)虚拟化平台的安全问题较为复杂，工程初期须高度重视。虚拟化工程控制人员必须有足够的工作经验，如果不能及时发现问题将严重影响项目的质量和进度，虚拟化平台的安全更不容易得到保证，所以就需要更加注重虚拟化带来的隐患。由于虚拟化是把多个方面同时虚拟，所以其安全问题也是多角度、多方面的。工程初期应有这方面的专家从大局上思量由多个层面虚拟而来的项目即将出现的漏洞，进而根据经验提供有效的策略。尽快纠正虚拟平台bug，设立完备的权限要求。

特殊权限是虚拟化bug中一个经常受HK使用的方法，它们通过使用这种方法进攻了这些权限下的虚拟机。这就要求虚拟化生产商提供完善的制度，一旦发现bug，立即找到办法解决，防止被HK利用，造成不可估量的损失。还有一种方法就是各厂商可以将下层结构简单化，把配置参更改成无权不能阅览，就能有效地防止HK的进攻。

(二)安排局域网流量监控设施，实现虚拟机网络流量可视化。局域网流量监控设施，可以通过hfja和jdvj这两个程序收集多个虚拟机之间端到端的流量传输数据，做成表格，进而通过Siolbjm jdfsj、sfaff Screqfwrgrgr和Soasfdvgvs Nedggw efdgc qgrgf等局域网状态检测程序来阅览这些数据；通过端口镜像的办法，分析各个数据。利用局域网流量控制设施，实现服务器中虚拟机流量(相同服务器中多个虚拟机之间传输的流量)。服务器与虚拟机之间的流量，虚拟机与基本设备的流量的具体化管理，然后能够随时查看服务器的工作流程和局域网传输流量时的流量情况，可以查看非正常流量，找到有问题流量的出处，并找到方法解决。

(三)定义虚拟机安全域，将不同安全等级的虚拟机分开管理。可以通过把dfa rgg部署在虚拟化结构里，并把原先的虚拟化网络规划成inside与outside这两个方面。全部虚拟需求都分配到inside方面里，通过不一样的需求系统等级使用akjf写出所处的安全点，在egg里安排虚拟机的控制中心，egg就会把控制中心交给中枢交换机，把虚拟化团体里每一个服务器的流量交给egg，就能使安全等级不同的虚拟机分隔开。因为每个安全域的风险由大家共同分配，由此可见，必须把不同价值的文档放在不同的区域内。受众面不同的服务器也要发放在不同区内。并且多个安全区是相互独立的，即使其中一个收到破坏也不会影响其他正常工作的进行，并且损坏的区域也都有自己的分配区。

(四)使用加密联系、身份验证和基于角色的权限管理。可以利用FFTH、DDG、HHHJ或者需要密码的通信防护措施，规定唯一的地址有权限使用这个应用，为了预防假制地址破坏，多次攻击，增大进入系统时的防护力度，就像登录需要声音锁、人脸解锁，如果多次输入密码错误采取冻结的方法等。另外，构造虚拟化平台的使用人之前，要给他们相应的权利和责任。对那些想简单阅览的第三方提供限定次数的账户。等次数用完后就取消账号的注册。要想使管理变得更具备权威，就需要利用其它方法进行判定项目是否存在bug，如果存在应立即想出相应对策。

四、结语

服务器虚拟化技术是一项用处非常广泛的技术，这项技术正在迅猛腾飞。上述列出的安全弊端并不是全部，以上这些方法只是其中的一小部分，要想真正意义上做好防护工作还需要付出更多的努力，面对的问题也会很棘手。维护人员需要在思想上、认识上，努力更新自己的知识库，学习新的知识，在确保质量的前提下也要保证效率更高，同时也要注重基础知识的学习，坚持换代和更新虚拟化平台的防护基本体系；同时希望大家把过去的陈旧思想丢弃，养成积极管理、定期修改的自律性思维。最近一些主要研究电脑末端安全和主要服务器安全以及Internet安全的生产平台正在逐渐改变自身的生产形势，接连发明了特别针对虚拟化的管控商品，通过利用这些商品，全球许多公司都能让虚拟化变得越来越稳定。保证虚拟化安全是一件任重而道远的事，要循序渐进，要清楚地了解安全问题的出处，真正意义上地深入了解服务器虚拟化。