苏雪飞
摘 要:随着计算机技术水平的不断提升和互联网的不断普及,服务器虚拟化技术应用范围随之扩大,对其服务器虚拟化技术应用过程中的风险防范工作受到重视。本文从高资源利用率带来的风险问题、虚拟化网络环境存在的风险问题以及虚拟化管理工具保护方面存下的风险三个方面入手,对服务器虚拟化运行期间存在的安全风险问题展开分析。在此基础上,对其运行安全风险防范策略提出具体建议。
关键词:服务器 虚拟化技术 全虚拟化 安全风险
中图分类号:TP393 文献标识码:A 文章编号:1674-098X(2019)03(c)-0135-02
在计算机技术不断创新发展的背景下,虚拟化技术自身的应用优势逐渐凸显出来,并且在诸多商业高端服务器中也得到了较为广泛的应用。但是从另一方面来看,服务器虚拟化技术的应用虽然有利于实现对资源的高效整合与控制管理成本,但是服务器在运行过程中的安全风险也随之有所提升。为了保证服务器虚拟化技术运行安全,对其进行合理化控制具有重要的现实意义。
1 服务器虚拟化技术基本内容
1.1 全虚拟化内容
在分析研究服务器虚拟化技术基本内容这一问题时,对于全虚拟化内容的理解,主要在于直接执行技术和DBT同时应用的情况,这样有利于实现操作系统虚拟化的根本目标。在虚拟机中的DBT在保持稳定运行状态时,想要在VMM中嵌入相关指令,需要在敏感指令执行前插入相应的陷入指令,在此基础上,当指令通过VMM便会转化为能够访问虚拟硬件的功能指令[1]。除此之外,虽然虚拟化中的所有指令均为 Hypervisor翻译操作系统拥有,但是其中CPU仍旧具有执行用户级指令的权限,借助虚拟化层使物理硬件中的客户操作系统抽取出来,同时不需要通过系统内核中的任何变动支持,体现了应用优势。
1.2 半虚拟化内容
服务器虚拟化技术应用过程中,半虚拟化技术往往需要对计算机用户的操作系统内核进行相应的修改,或者通过对无法虚拟化的指令进行替换,最终通过Hypervisor實现某些敏感指令的调用。综合分析半虚拟化技术应用的实际情况,可以发现在半虚拟化技术中,计算机操作系统应该具备与虚拟化平台两者兼容的功能,以此来确保半虚拟化中使物理机可以对虚拟机进行有效操作,否则会对其应用效果产生较大的应用,使虚拟机无法正常操作宿主的计算机。现阶段应用较为广泛的半虚拟化技术有Xen,其控制主体方面主要涉及VMM与Domain0,其中在硬件中运行的主要为VMM,能够对内存、主要设备和相关处理器实施虚拟化,而Domain0为虚拟机中大部分设备的操作起到一定的辅助作用。
1.3 硬件辅助虚拟化内容
服务器虚拟化技术应用范围的不断扩大,在很大程度上使得物理服务器应用数量不断减少。与传统物理服务器应用情况相比,虚拟化技术的应用为服务器的运行增加了全新的模式,这一模式为Root[2]。在Root运行模式下,服务器虚拟化技术可以在Root模式下实现稳定运行,并且Root模式的构建往往在RingO下,敏感指令可以直接在Hypervisor执行,不需要借助BT或者半虚拟技术。期间,计算机用户只需要通过将操作系统状态保存在虚拟机控制结构中或者虚拟机控制模块中的方式实现相关诉求。
2 服务器虚拟化运行期间存在的安全风险问题
2.1 高资源利用率带来的风险问题
早在2011年,囯网德州供电公司所全面实施的服务器虚拟化应用整合项目,通过将VMware虚拟服务器管理技术灵活应用在服务器中这一方式,实现了对虚拟化服务器的统筹管理。与此同时,通过对虚拟服务器关键业务实施的科学整合,实现而来11台物理服务器逐步迁移到2个刀片服务器的虚拟化环境中,从而大大提升了服务器的利用率。综合分析来看,服务器虚拟化技术的广泛应用,促进了高资源利用率的提升,但是随之带来的安全风险问题,对于服务器虚拟化运行产生了直接的影响。
2.2 虚拟化网络环境存在的风险问题
与传统的物理服务器运行模式对比分析,服务器虚拟技术在物理硬件以及虚拟服务器两者之间引入了虚拟层,也就是常说的虚拟机监控器。而虚拟技术的应用也为服务器本身的安全性带来了一定的风险。服务器虚拟化技术应用过程中,由于虚拟化网络环境所导致的安全风险问题,主要体现在以下方面:在非虚拟化环境中,可以通过防火墙、IPS等设备对不同的服务器制定差异化的安全管理方案,该环境中的安全风险问题是有界限的,同时风险危害性的扩散也相对有限[3]。而在虚拟环境中,传统的边界防护设备难以捕捉到虚拟网络通信,进而加大了服务器虚拟化运行的安全风险防范工作开展难度。另一方面,虚拟化环境中,同一台物理服务器上运行的虚拟机,彼此之间均借助虚拟网络实现通信,这一因素会在很大程度上导致传统边界防护作用无法真正发挥。
2.3 虚拟化管理工具保护方面存下的风险
虚拟化管理工具保护方面存在的风险问题,主要与虚拟化环境中管理工具缺乏完善的保护措施有着直接的联系。虚拟化管理工作可以为服务器虚拟化技术的应用创造极大的便利条件,但是受到这一因素的影响,也使得虚拟化管理工具本身容易受到攻击。如果没有采取针对性的风险应对策略,一旦恶意攻击者获得了管理工具的相关权限,会对整个服务器虚拟环境带来巨大的威胁,严重时这一威胁将会是灾难性的。同时,虚拟机迁移后者虚拟机间的网络通信,可以进一步加大服务器虚拟化技术应用的安全风险,服务器遭受外部渗透攻击的机会也会随着提升。比如:部分用作测试目的的虚拟机,可能会在运行过程中与一些重要的虚拟机之间共同存在同一虚拟局域网内,从而为外部渗透攻击提供便利条件。
3 服务器虚拟化技术安全防范措施
3.1 优化服务器虚拟化技术分类部署
优化服务器虚拟化技术分类部署,有利于增强虚拟服务器运行逻辑隔离的安全性,在实现网络隔离以及提升系统整体安全性等方面也同样发挥着积极的作用。在具体的工作中,可以从细化网络设置这一角度出发,即:将公共的虚拟机和专用的虚拟机两者进行分开设置,必要时也可以将其按照服务器虚拟化技术类型分开设置。比如,将其分成系统虚拟服务器、应用程序类虚拟服务器以及数据库虚拟服务器几种类型。通过合理分类虚拟服务器与数据库服务器,使其在各自的网络分段中运行,可以在最大程度上降低数据经由网络从一个虚拟机分区泄露至另一个虚拟机分区的安全风险。此外,虚拟化环境的边界防护需要切实细化到每个虚拟机,保证边界防护可以对每个虚拟机进行识别,从而实现对虚拟机边界访问的严密控制。这一措施,与所有虚拟化系统均是依靠虚拟层来实现这一理念相符合,为了达到高效的安全管理目的,边界防护应该做到对虚拟层提供安全服务的充分利用。
3.2 强化对虚拟化基础设施的保护
强化对虚拟化基础设施的保护,是现阶段服务器虚拟化技术应用安全管理的重要措施。虚拟化管理工具作为支持整体系统正常运行工作的基础,也是系统安全管理的中枢,所有虚拟机的生产、策略设备和后期维护,均需要依靠虚拟化管理工具来实现。以VMware虚拟化管理工具为例,在VMware虚拟化环境中,通过对管理控制台VMware本地管理人员的集中控制,可以有效化解虚拟化管理工具自身由于缺乏安全保护所带来的风险问题。期间,VMware本地管理人员具有最大的管理员权限,想要实现其管理作用的最大化,一般可以通过采取分权制约的方式,实际的分权管理设计如下:第一,自主定义虚拟化管理系统管理员、安全管理员以及安全审计员三个主要角色,这一过程中需要确保三个角色之间禁止兼任。第二,在VMware与虚拟化桌面管理其的ViewManager中创建以上三个角色,同时对其管理权限进行合理限制。其中系统管理员主要负责虚拟机的创建以及數据中心的日常维护工作;安全管理员需要负责桌面资源池的创建工作以及对于桌面资源池的授权管理;安全审计员主要负责对系统管理员和安全管理员操作情况的审计,同时拥有VCenter数据中心的系统日志审计权限。
3.3 合理配置虚拟服务器与加固系统
在服务器安全管理过程中,合理配置虚拟化服务器和加固系统,可以在保证服务器虚拟化技术应用安全性的基础上,最大程度上降低虚拟服务器运行过程中被恶意攻击的风险。在具体的工作中,合理配置虚拟服务器与加固系统可以从以下两个方面来实现:第一,在虚拟化服务器技术应用部署环节,应该明确掌握虚拟服务器的具体用途,同时结合虚拟服务器可能需要承担的实际并发访问量,保证物理服务器性能与数量设置的和合理性。比如:按照物理服务器和虚拟服务器的占比情况,评估出物理服务器的硬件配置、散热情况以及电源负荷情况。只有切实保证服务器配置的可控制性,才能实现对虚拟服务器的安全管理。第二,对虚拟化环境中的服务器系统实施全面安全加固,其中不仅包括承载虚拟机的物理主机,对于管理虚拟化环境的vCenter Server和其他所有虚拟机,均需要进行采取相应的加固措施。此外,强化对虚拟机生命周期的管理以及身份认证,可以进一步降低安全保护级别较低机器对于其他设备运行安全性的影响。
4 结语
综上所述,服务器虚拟化技术安全防范对于保证服务器虚拟化技术应用安全性等方面发挥着不可忽视的积极作用。在具体的管理工作中,可以从优化服务器虚拟化技术分类部署、强化对虚拟化基础设施的保护以及合理配置虚拟服务器与加固系统等几个方面入手,切实保证相关安全管理措施顺利落实。只有切实认识到服务器虚拟化技术安全防范工作的重要性,才能更好地实现服务器虚拟化技术应用作用的最大化。
参考文献
[1] 李友宏.面向炼化企业的服务器虚拟化技术方案设计[J].中国管理信息化,2019(5):164-167.
[2] 郭婧.关于利用虚拟化技术对服务器和应用系统进行整合的研究[J].电子测试,2019(Z1):85-87.
[3] 陈蕾.桌面虚拟化技术在办公网络中的应用研究[J].民航学报,2019,3(1):39-42.