服务器虚拟化技术与安全

中国民用航空西南地区空中交通管理局 聂雨霏

随着当前信息技术的不断发展，计算机水平也在不断地提高，服务器虚拟化技术也被广泛地使用到网络建设中，虚拟化技术可以有效地整合各类资源并且对其进行合理的运用，但是在实际的应用过程中也伴随着很多风险。本文从服务器的虚拟化技术出发，围绕着安全性进行简单阐述。

虚拟化技术是依托于计算机技术的，虚拟化指的是用抽象的方法来表示计算机资源，可以使用访问那些抽象之前的资源的访问方法来对抽象之后的资源进行访问，这种对资源抽象的方法不会被现实的物理配置以及地理条件干扰。而服务器的虚拟化技术从本质上来说是把物理层面上的一个服务器在网络环境中虚拟成众多服务器。在工作人员使用服务武器虚拟化技术之前三种不相同的应用要分别运行在三种不同的物理服务器中，在虚拟化之后应用运行在三个虚拟服务器上，而在网络环境中进行虚拟化的服务器可以被物理层面的一个服务器所承载。

1 服务器虚拟化技术

服务器的虚拟化技术指的是在现实物理层面上的单独服务器上来运用多种虚拟的服务器的技术。根据该项技术的虚拟化层面的实现方法不同可以把服务器虚拟化分为两种类型，一是寄居虚拟化，二是裸机虚拟化。寄居虚拟化的虚拟层面的虚拟机监控器在用户的操作系统上运行的，虚拟机是在用户的操作系统中完成对硬件资源的使用的，所以其寄居虚拟化实现起来是比较容易的，虽然它的性能不是很理想。裸机虚拟化这种虚拟化技术的虚拟化层面是直接在物理硬件上实现虚拟化的，并没有给虚拟机提供指令集以及实际的设备接口，裸机虚拟化想在工作中实现的话比较复杂，具有一定的难度，但是胜在性能强，资源分配上比较合理，稳定性也比较高，各个方面和寄居模式相比较都有一定的优势。总的来说，服务器虚拟化技术是使用相应的应用程序把服务器内部的资源进行合理的整合和分配转化，这样可以有效地提升各种资源的利用率，是一种对服务器的运行方式，可以解决一些基本的问题。服务器虚拟化技术是把内存分为两个空间，用户空间和内核空间，其中系统自身的操作程序是在内核空间中实现运行的，而其中的用户自行下载的应用程序是在用户空间中运行的。服务器虚拟化技术的主要内容分为全虚拟化技术、半虚拟化技术、硬件辅助虚拟化技术。

1.1 完全虚拟化技术

完全虚拟化技术的实现是依托于DBT的执行技术和X86的操作系统两者互相结合实现的。在网络环境中的虚拟机执行DTT几乎的时候，在比较敏感的指令前插入其他指令，然后再把执行的在VMM中嵌入，然后就经过动态转换就可以把指令转化成可以完成其他功能的指令队列，从而做到对虚拟硬件的访问。综上所述，在完全虚拟化技术之中，Hypervisor可以做到对系统中所有的指令进行翻译，而且翻译之后的指令还可以在CPU中直接运行，用户使用的操作系统是使用虚拟化技术直接把物理层面的硬件抽出来，所以用户并不能感受到已经发生了虚拟化，所以用户的操作系统不需要改动。完全虚拟化技术是当前唯一一种摆脱硬件束缚，不需要操作系统的协助就可以直接的把敏感指令虚拟化的技术。完全虚拟化技术有着拟机隔离的特点，这种特点保证了虚拟机的安全性，还给用户的移植操作和操作系统的迁移操作带来了便捷，但是这种完全虚拟化技术其中的DBT技术给相关的企业或者是个人增加了些许性能上的开销。该项技术在商业应用市场之中由于其可靠性和高效性占据了很大部分的市场份额。

1.2 不完全虚拟化技术

不完全虚拟化技术指的是要稍微对用户的操作系统进行少许的修改，用来替换掉其中不能进行虚拟化的指令，然后使用虚拟化平台来对其进行超级调用，从而实现虚拟机对这些敏感指令的执行。在不完全虚拟化技术之中，用户使用的操作系统和当前的虚拟化平台有很强的兼容性，如果兼容性不高的话会导致虚拟化之后的虚拟机不能完全的对用户的物理机实现完美操控。不完全虚拟化技术中非常有代表性的是Xen，它是在X86系统的架构之上进行的开源操作，其中VMM有着极高的效率和性能，所以在当前各个领域中比较受欢迎。Xen是直接运行于硬件之上的，把关键的硬件比如CPU、内存在网络环境中进行虚拟化。DomainO是Linux经过修改之后的系统，是在VMM的架构中运行的系统。大多数的虚拟机设备是在该系统之下的驱动程序帮助下锁运行的。一般情况下，虚拟化平台中只能支持两种虚拟机，一是不完全虚拟化的虚拟机，二是硬件虚拟机。半虚拟化虚拟机是需要修改用户的操作系统内核来实现对VMM的虚拟化的，半虚拟化机中包括着前端的驱动，在Dmain0中则是包含着后端的驱动。硬件虚拟机是可以支持不修改用户的操作系统内核，也叫HVM。

1.3 硬件辅助虚拟化

随着虚拟化技术的广泛使用，很多公司对虚拟化的重视度不断地提高，其中英特尔在2006年的时候在CPU上推出了虚拟化支持的方案。初代的硬件辅助虚拟方面的技术有英特尔的VTX和超威公司的AMD-V，它们给CPU增加了新的执行模式ROOT，VMM可以直接在该种执行模式中使用，在使用的过程中出现的敏感指令的执行都是在Hypervisor之下运行的，并不需要DBT或者是不完全虚拟化技术来进行虚拟化，应用这种技术后，用户的操作系统不会有其他的改动，会直接保存在虚拟机的系统架构之中。

2 服务器虚拟化技术的安全风险

服务器的虚拟化虽然通过在硬件设施和服务器之间加入虚拟层的技术来提高资源的利用率，但是这也带来了很多的风险。(1)因为虚拟化之后的环境具备着开放性的特点，传统的安全防护设备很难掌控虚拟状态之下的通信情况，这就给服务器的虚拟化的运行安全制造了很大的威胁，这就导致了传统的防护手段和系统没有发挥出自身应当发挥的保护作用。(2)虚拟化的工具也存在着一定的问题，非常容易遭受到外来的攻击，而且自身还没有完善的自我保护手段，这就导致了服务器在运行当中可能会受到损害。(3)当前的情况就是人们如果过度的使用虚拟机，滥用虚拟机的话一定会让服务器的压力过大，从而让虚拟机的主机渐渐瘫痪，还有在使用虚拟机迁移的功能时，也非常容易会受到外来的攻击，这也会造成极大的安全隐患。(4)当前服务器中的VMM模式并没有完善，所以虚拟机在运行的过程中很可能会出现漏洞，这就是目前虚拟机安全方面最大的危险之处[1]。

3 服务器虚拟化技术的安全防范措施

3.1 加强该项技术中的分类部署

在服务器虚拟化技术的运行过程中，加强该项技术的分类部署，可以让服务器在逻辑层的运行得到优化，这就对服务器的安全性有一定的提升作用。在具体的实践当中，工作人员可以着重的对其网络进行设置，其中值得注意的是要把公共的虚拟机和自身专用的虚拟机分开进行设置，依据使用虚拟化技术的类型进行分类，让其在自己应当处在的网络位置上运行，最大程度上减少数据泄露到其他机器中的可能性，从而保证服务器虚拟机的安全运行。所以，工作人员要对虚拟化环境当中的边界进行防护，切实的落实到每一台虚拟机当中，超保证防护设备可以对其中每个虚拟机进行识别，所以工作人员要对虚拟机环境中的边间访问进行严格的控制，这就必须要在虚拟层的基础上才能实现，所以边界防护的重点是对其中的虚拟层进行防护。在防护的同时，要分层次地把重要的数据进行加密，把虚拟机以重要性为标准进行分类和等级划分，对于其中等级比较高，重要性比较强的虚拟机使用相对应的隔离方法，必要的时候还可以建设防火墙来对外来的风险进行抵御，从而防止信息被泄露，极大程度上来提高虚拟化服务器的安全性[2]。

3.2 强化该项技术的设施保护

该项技术中的安全管理措施中最为重要的就是对服务器虚拟化相关设施的保护。因为虚拟化设施是虚拟化服务器运行的前提，是整体的服务器运行当中不可或缺的一部分，这对于虚拟化服务器的生产和运行有着极其重要的作用，所以提高对服务器虚拟化设施的保护是相当重要的。比如说在VMware虚拟化的环境当中，就是通过虚拟化的管理工作来实现对管理人员的控制，以这种方式来弥补虚拟化工具没有自我保护能力的缺点，减少缺乏保护带来的风险。在这个过程中，本地管理员是拥有最大权限的，这就可以通过使用分权制约的方法来实现日常的维护工作，对工作人员的职责进行分化，明确自身应当承担的责任，然后进行桌面资源的授权工作。在工作当中还可以对数据中心的相关资料进行审计，从而实现对服务器虚拟化技术的最大程度保护。随着当前网站业务的越来越多，所以虚拟机的滥用情况比较严重，那么针对于这种情况为了防止虚拟机被滥用，要对服务器内部的容量进行加强分析和监控，从而做到全面地掌握服务器的基础情况。除了基础的监控之外，也可以定期地召开对应的会议进行组织和回报，也可以在服务器虚拟化中设置自动警报器，如果发现有外来入侵的情况出现，就可以自动地发出警报，从而使得工作人员可以第一时间发现外来入侵，进行解决。对服务器中被使用的资源定时的进行报告和计算，并对一些比较特殊的情形进行警告，对其访问进行严格的控制，并加强服务器管理工作人员对于服务器相关设施的保护意识，对虚拟化服务器做好相应的安全防范措施，按照规章制度严格进行操作，设立相应的保护制度来保护服务器虚拟化的工具来提升虚拟机在运行过程中的安全性[3]。

3.3 完善该项技术的加固系统

在对虚拟化服务器进行安全方面的管理的时候，要对服务器中的加固系统提高重视度，要做到不仅能够抵御带来的风险，还能保障服务器的安全运行。在实践的过程当中要对服务器的加固系统合理地进行配置，在部署的工作环节中，要对服务器真实的用处进行确定，还要注意服务器的实际工作情况，在保障服务器运行的过程中要对服务器设置的数量合理化，比如对物理层面和虚拟层面的服务器的资源占比情况进行评估，对物理层面服务器的硬件设置和电源的使用情况进行评估，然后依据资源占比情况和物理层面的实际情况来进行具有可控制性的配置，从而以这种方式来实现对虚拟化服务器的安全管理。另一方面，除了对物理层面的服务器进行评估之外，还要对处在虚拟环境中的服务器开展全面的检查工作和加固工作，同时要注意增强虚拟化服务器的身份认证技术，防止不确定身份的账号对服务器进行访问。除此之外，还要加强对虚拟机运行的优化，在出现故障的时候，要及时地对其进行修复和处理，在虚拟环境中建设完善的安全防御系统和机制，对于未经允许的访问要严格的进行控制。在虚拟化服务器进行转移的时候，要注意进行加密，从而做到全方位的多角度的对迁移过程中的虚拟化服务器进行保护。所以，为了对虚拟化服务器的安全性进行保证，相关的工作人员要制定可行性比较强的安全战略，并且管理人员要进行相对应的管理制度，首要需要提升的就是现场工作人员的安全意识，只有工作人员的安全意识提高了才能形成完善的虚拟化服务器的加固系统，从而保障其安全[4]。

4 结论

综上所述，服务器的虚拟化技术已经受到了广泛的关注，是学术界和各行各业关注的重点。服务器虚拟化技术中的安全防范工作具有非常重要的意义，可以让虚拟化技术更安全的应用到各大高端的服务器当中，所以要加强该项技术的分类部署，对相关设施强化保护，完善加固系统来发挥服务器虚拟化技术的作用，从而推动网络建设向前发展。