虚拟化技术体系下的风险识别与安全

郑少波

（贵州航天计量测试技术研究所，贵阳 550000）

从本质上看，虚拟化是属于资源管理范畴的技术。具体的落实方案，是将网络环境中的多种计算机资源进行抽象，并且以数字的形式将其映射在网络环境中进行集中控制。在这个资源池中，服务器、网络、内存及存储等都是有效资源，这从根本上打破了实体框架之下不可逾越的障碍，使用户能够以更优的组态对资源加以利用。在虚拟化的技术背景下，物理资源可以打破原有的资源构架方式、地域以及物理组态的限制，以逻辑上的资源池的形式，实现全网优化利用。虚拟化技术实现了系统资源的有效优化利用，但同时也带来了更多安全问题。与传统的网络安全风险有所不同，虚拟化技术影响之下的安全呈现出新的特征。唯有对这些安全问题进行有效识别，才能提出对应的改进意见，最终确保整个网络环境的可靠。

1 虚拟化技术影响之下的风险

随着网络的深入应用，相关技术不断发展，技术种类更是层出不穷，对应的网络数据传输业务也呈现出更为复杂的特征，安全问题更是日渐突出。形成当前安全困境的直接原因很多，但总体而言可以归结为两个方面，其一为海量数据的增加，其二则是更为多样化的安全威胁。海量数据涌入通信环境之中，使得网络安全计算能力受到了极大的挑战。而从另一个方面看，人们在日常的工作和生活中对于网络越来越重的依赖特征，决定了成功攻击能够获得的利益也呈现出上升趋势，从技术层面看，这是导致安全威胁增长的主要原因。

从虚拟化的进步角度看，安全威胁来源于如下几个主要方面：

1.1 SQL 注入攻击

SQL 注入攻击的目标，主要在于获取网站后台的管理权限，包括管理员用户名以及密码口令等，都是SQL攻击的重点目标。在获取到管理权限之后，站点内部的相关信息都会成为攻击的获利，包括各类普通用户的账号以及站点数据内容，甚至于还包括站点上的资金货币等。攻击者的攻击的实现渠道相对而言比较多样，其中包括SQL 注入漏洞、SQL 盲注漏洞以及命令注入漏洞等，具体攻击方式包括手动和工具，但从本质上看，无论是手动还是利用工具展开，都是将非法的SQL 语句提交到数据库中，实现暴库操作。

1.2 XSS 跨站攻击

此种攻击面向站点存在脚本漏洞的情况，攻击者可以构建特定的JS 以及HTML 脚本来实现对目标站点的插入。当有用户展开对于该站点的访问的时候，此类攻击跨站脚本代码就会自行弹出并且运行，进一步执行存储型的跨站脚本攻击。

1.3 木马攻击

木马攻击在网络安全环境中相对比较传统，但是在虚拟化的背景之下又呈现出新的特征。木马攻击多出现在预留了文件上传功能的站点之上，对于此类站点而言，如果未能实现对于上传文件的有效监测，则攻击者可以利用这一漏洞来进行木马的安插。常见木马包括ASP 木马、PHP 木马以及JSP 木马等几种主要类型，分别具有不同的控制功能，但最终目标都是面向服务器进行干扰和控制，或者对站点信息进行篡改。

除去上述几种比较有特征的攻击方式以外，其他诸如口令威胁、服务器硬件故障、协议默认漏洞以及旁注攻击等，同样也是当前虚拟化数据环境的重要安全威胁来源。有些类型的安全威胁，虽然从数量上不足以成为典范，但是其危害深度仍然不容忽视。与之对应地，唯有构建起完整并且立体的多层面安全防护体系，才能保证实现虚拟化技术框架的正常工作。

2 切实加强安全体系建设

基于虚拟化技术体系之下数据传输安全问题本身的特殊性与复杂性，在展开对应安全体系建设的过程中，同样应当谨慎对待，唯有深入分析安全威胁，才能有的放矢地提出对应的安全保障系统建设。

具体而言，有如下几个方面可以作为重点加强虚拟化技术体系之下风险防范的着力点：

首先，WAF 防范建设不容忽视，通常以专用WAF或者入侵检测来加强系统的安全体系建设。进一步考虑到成本的因素，可以引入NGINX 来对站点实现反向代理，并且配置WAF。此种配置方式能够为现有的网站提供https 服务，并且便于实现无缝代理，并且可以有选择的实现对于https 的支持。

其次，在虚拟化技术框架之下，对于服务器硬件的保护，还可以从共享存储的角度进行着手。对于服务器的存储保护，通常执行Raid6 级别，这是考虑到Raid5本身不能够对硬盘实现有效保护而确立的规则。在虚拟化技术的背景下，通常利用共享存储的方式来对虚拟化集群加以实现，此种部署方式能够有效避免因为硬件故障而带来的服务终端等相关问题。目前常见的虚拟化技术都提供了数据的快速迁移，可以支持在硬件发生故障的情况下，实现有效的物理迁移，在数分钟内恢复整个系统的工作。这其中，Xen 以及Kem 是免费的开源方案，但是其他虚拟化方案，诸如VMWareVsphere、Windows Hypervisor 以及Citrix 等，同样在工作中各有千秋。

最后，必要的冗余和日志的建立同样是虚拟化体系下的重要安全保障。包括虚拟化主机快照以及数据备份等，都应当囊括在内。除此以外，传统的安全防范机制同样不容忽视，仍然需要不断加强。包括面向全网的病毒、木马、蠕虫以及其他类似的间谍软件等加强查杀，修改默认端口设置，避免利用默认值的攻击。

3 结束语

实际工作中要密切关注安全领域技术，尤其是安全于其他领域交叉环境的发展。一方面坚持传统安全手段的加强，另一个方面将大数据以及数据识别等相关技术引入，是确保虚拟化框架之下系统安全的根基所在。