服务器虚拟化情况下的安全防护研究

◎杨晓刚

自虚拟化技术诞生以来，应用此技术建设基础设施资源池的数据中心逐步增多，并将此技术作为应用系统的安全与稳定运行的重要支撑。虚拟化资源池的建立有利于根据需求进行资源的合理分配，可实现动态化的资源调度，使硬件资源的利用率得以大幅提升，可节约硬件采购成本，也可使系统的运行能耗得以有效降低，对数据中心的运营极为有利。然而面对虚拟化情况下潜在的安全隐患问题，有必要采取有效措施进行安全防护，以此避免安全风险的发生。

一、虚拟化情况下存在的安全问题

1.传统设备的安全边界逐步消失。

传统安全防护模式下，主要是基于边界而进行安全隔离，并实现对访问的控制，主要是对各个区域进行清晰的范围界定，根据各个区域的具体情况制定不同的安全防护措施。然而在云计算环境背景下，实现了基础网络架构的统一，并对存储与计算资源进行了有效融合，因此，过去安全设备所设置的安全边界已不复存在，因此，必须探寻新的模式进行有效的安全防护。

2.虚拟化服务方面的安全问题。

在对计算机科学中的问题进行解决时，通常会采用增加层映射的方式，基于这一思路，可利用计算机系统的虚拟化实现多个问题的有效解决。在云计算平台当中，虚拟化属于极为重要的技术之一，其可实现存储资源与服务器资源的有效整合，并且具有极高的扩展性，可实现对基础设施的有效拓展，也可为软件平台提供有效的虚拟化服务。在这种情况下，如何应对虚拟化平台基础网络架构、数据存储和应用服务的虚拟化交付，对安全设备的设计构建和安装部署提出了更高的技术要求，也成为云计算环境下信息安全建设所关注的重点。

3.数据集中后存在的安全隐患。

传统网络服务可对标准流量及突发流量进行监控，可设计时规范化与便利化的流量模型，同时对安全设备的处理能力要求也并不高。然而在虚拟下情况下，安全设备的存储规模不断扩大，服务器规模也呈持续上升趋势，且是以万单位迅速拓展，此种模式下难以实现分别防护，必须基于统一的基础网络而进行防护。因此，虚拟化环境下对安全设备的性能要求比传统网络环境下更高。同时，虚拟化系统不仅与数据存储与处理有直接的关联，也决定着网络传输状况。服务器虚拟情况下必须对用户使用网络过程中的安全风险问题进行有效防范，也应加强对虚拟化服务进行身份鉴别，且要根据用户的需求对用户进行认证管理，并严格进行访问控制，以此保障审计的安全性，进而有效化解服务器虚拟化情况下遇到的各类安全问题。

4.虚拟化服务的稳定性与可靠性问题。

虚拟化环境下，是在资源池所提供的虚拟化服务支持下而实现数据信息的应用，因此，虚拟化服务所应具备的稳定性及安全性应该更高，且应具有更强的容灾恢复能力，并可具备理想的事件处理审计功能。同时，目前网络平台上的信息资源及用户更加集中，因此与传统网络平台相比，虚拟化平台更易遭到黑客的攻击，面临着更为严重的黑客程序破坏与病毒侵害风险。

二、服务器虚拟化情况下的有效安全防护措施

1.采取有效的病毒防护措施。

面对病毒感染问题，服务器虚拟化情况下有以下两种解决方法。

（1）安装Agent代理程序。

在服务器虚拟化背景下，也可采用传统安全设备的安全防护策略，在虚拟主机操作系统中安装Agent代理程序进行病毒的有效防护。然而实现服务器的虚拟化主要是为了对资源进行有效整合，进而对服务器资源的利用效率进行有效提升，如果将程序分别安装于各个虚拟主机当中，重新制定扫描任务后将会使虚拟主机的计算资源产生更大的损耗，因此此种方法难以实现对计算资源有效节约的目的，在更新病毒库时还需要消耗更多的网络资源。

（2）利用API接口中防护病毒。

服务器虚拟化环境下的病毒防护也可采用虚拟化层具有关联的API接口进行，对虚拟系统的底层无代理病毒进行防护。利用API接口对虚拟系统及虚拟主机所起到的安全防护效果更加全面，并且不必将Agent代理程序安装于虚拟主机之上，这可有效节约计算机及网络资源的消耗，可实现计算资源利用率的有效提升，并可实现更加全面与及时的病毒防护。

2.加强访问控制。

传统技术的防火墙技术常常以硬件形式存在，用于实现访问控制和安全区域的划分。计算资源虚拟化后导致边界模糊，很多的信息交换在虚拟系统内部就可实现，而传统防火墙在物理网络层提供访问控制，如何在虚拟系统内部实现访问控制和病毒传播抑制是虚拟系统面临的最基本安全问题。虚拟化安全网关系统，增强了虚拟环境内部虚拟机流量的可视性和可控性，可以随时随地为用户提供虚拟环境内部的全方位网络安全防护，基于状态检测细粒度的访问控制功能，实现针对虚拟交换机基于网口的访问控制和虚拟系统之间的区域逻辑隔离。

3.科学进行入侵检测与防护。

在主机和网络层面进行入侵监测和预防，是当今信息安全基础设施建设的主要内容。然而，传统的入侵监测工具可能无法融入或运行在虚拟化的网络或系统中。由于虚拟交换机不支持建立SPAN或镜像端口，禁止将数据流拷贝至IDS传感器，网络入侵监测可能会变得更加困难。面对虚拟网络内部流量的时候，内联在传统物理网区域中的IPS系统也没办法轻易地集成到虚拟环境中。虚拟化入侵防御系统将其引擎以虚拟机的形式部署于物理服务器中，提供IPS、DDOS等安全防护功能，以实现对虚拟机内部业务系统的安全防护。

结语：虚拟化技术为企业节省成本、提供便利的同时，也为传统信息安全提出了新的挑战。做好虚拟化环境下的信息安全防护工作，是业务应用系统由传统架构向云计算架构过渡的前提。为有效做好安全防护，需要通过技术、管理等多个途径，对存在的信息安全风险加强防范，同时要完善虚拟资源的管理制度与监控手段，将信息安全风险控制在有限的范围内。