服務(wù)器虛擬化的安全風(fēng)險(xiǎn)分析及對(duì)策探討

在計(jì)算機(jī)技術(shù)的發(fā)展過(guò)程中，服務(wù)器虛擬化技術(shù)可以說(shuō)是一項(xiàng)重大的技術(shù)性突破，服務(wù)器的虛擬化的出現(xiàn)將傳統(tǒng)計(jì)算機(jī)技術(shù)中很多服務(wù)器的問(wèn)題進(jìn)行了很好的解決，而且其實(shí)際的效益也是非?？捎^的，例如將服務(wù)器與計(jì)算機(jī)的硬件分享進(jìn)行整合后使得計(jì)算機(jī)的整體投資利用率得到了極大的提升，將計(jì)算機(jī)的服務(wù)器進(jìn)行虛擬化，實(shí)現(xiàn)虛擬化的環(huán)境下的運(yùn)行，有效的避免了很多計(jì)算中的底層的硬件之間出現(xiàn)的兼容性問(wèn)題；服務(wù)器的啟動(dòng)時(shí)以標(biāo)準(zhǔn)的鏡像完成的，這樣就能充分保證服務(wù)器實(shí)現(xiàn)快速的恢復(fù)。雖然虛擬化技術(shù)的出現(xiàn)為計(jì)算機(jī)的發(fā)展帶來(lái)了極大的好處，但是帶來(lái)利益的同時(shí)也意味著安全風(fēng)險(xiǎn)的出現(xiàn)，因此，要充分重視虛擬化服務(wù)器的安全問(wèn)題。

1  服務(wù)器虛擬化阿全問(wèn)題的提出

1.1  新興技術(shù)安全問(wèn)題尚未引起足夠重視

現(xiàn)代社會(huì)的計(jì)算機(jī)用戶對(duì)新興技術(shù)的安全問(wèn)題總是給的關(guān)注，有人認(rèn)為說(shuō)過(guò)多數(shù)虛擬化服務(wù)其的安全性能要遠(yuǎn)遠(yuǎn)低于與之相對(duì)應(yīng)的物理服務(wù)器。而作為一種新興的技術(shù)，虛擬化服務(wù)器的安全問(wèn)題仍然沒(méi)有被充分的重視，很多時(shí)候計(jì)算機(jī)用戶在進(jìn)行虛擬化服務(wù)器的設(shè)計(jì)以及測(cè)試的過(guò)程中對(duì)服務(wù)器虛擬化的安全性問(wèn)題沒(méi)有給予足夠的重視，或者對(duì)安全問(wèn)題的考慮也僅僅是使用了傳統(tǒng)的安全方法，但是物理服務(wù)器的領(lǐng)域的相關(guān)安全措施與虛擬化技術(shù)會(huì)存在一定的差異，因此，需要針對(duì)虛擬化技術(shù)的安全風(fēng)險(xiǎn)進(jìn)行充分的考慮。

1.2  新技術(shù)引進(jìn)的同事沒(méi)有對(duì)其安全問(wèn)題進(jìn)行考慮 

服務(wù)器虛擬化的推進(jìn)速度完全沒(méi)有跟上虛擬化技術(shù)的應(yīng)用實(shí)際，如果虛擬化的設(shè)計(jì)過(guò)程中沒(méi)有與相關(guān)的專家進(jìn)行充分的結(jié)合，就會(huì)導(dǎo)致在虛擬機(jī)上運(yùn)行大型應(yīng)用出現(xiàn)較大的安全風(fēng)險(xiǎn)，這主要是因?yàn)樵谶M(jìn)行新技術(shù)的核心要素吸收過(guò)程占據(jù)了開(kāi)發(fā)者的大量精力，沒(méi)有精力來(lái)對(duì)虛擬化的安全問(wèn)題進(jìn)行考慮。

1.3  任何技術(shù)都會(huì)存在潛在的安全問(wèn)題

對(duì)于計(jì)算機(jī)的數(shù)據(jù)中心來(lái)說(shuō)，虛擬化是一種革命性的變革，但是，任何的新技術(shù)都會(huì)存在一定的缺陷，而網(wǎng)絡(luò)上的很多惡意軟件或者病毒會(huì)對(duì)虛擬化環(huán)境井各種攻擊，從而來(lái)竊取用戶的一些重要的數(shù)據(jù)，甚至有的惡意軟件會(huì)劫持服務(wù)器的工作負(fù)荷，而現(xiàn)有服務(wù)器的安全環(huán)境本來(lái)就比較復(fù)雜，加之服務(wù)器虛擬化的影響，勢(shì)必會(huì)給服務(wù)器的安全環(huán)境帶來(lái)更大的困擾，而很多用戶為了實(shí)現(xiàn)計(jì)算機(jī)的運(yùn)行流暢效果而匆忙的配置了這項(xiàng)技術(shù)，使得安全問(wèn)題被忽略，由此可見(jiàn)，服務(wù)器虛擬化的安全問(wèn)題探討是一項(xiàng)非常重要的課題。

2  服務(wù)器虛擬化可能引起的安全風(fēng)險(xiǎn)

2.1  造成網(wǎng)絡(luò)構(gòu)架改變，引起服務(wù)器使用的安全風(fēng)險(xiǎn)

服務(wù)器在進(jìn)行虛擬化的過(guò)程中能夠會(huì)對(duì)網(wǎng)絡(luò)構(gòu)架進(jìn)行較大的改變，而網(wǎng)絡(luò)構(gòu)架發(fā)生改變必然會(huì)引起一些比較特殊的安全風(fēng)險(xiǎn)。例如，在傳統(tǒng)的物理服務(wù)器的基礎(chǔ)上，用戶可以通過(guò)在防火墻上建立多個(gè)不同的隔離區(qū)的形式來(lái)對(duì)服務(wù)器進(jìn)行差異化規(guī)則的管理，這樣在服務(wù)器遭受攻擊的時(shí)候，其產(chǎn)生的危害也僅僅局限在某一個(gè)隔離區(qū)內(nèi)，實(shí)際造成的影響有限，但是服務(wù)器實(shí)現(xiàn)虛擬化后，系統(tǒng)內(nèi)多個(gè)虛擬機(jī)需要經(jīng)過(guò)一臺(tái)固定的虛擬交換機(jī)來(lái)完成與外界網(wǎng)絡(luò)的通訊過(guò)程，這樣原本的防火墻防御措施就失效，如果系統(tǒng)內(nèi)一臺(tái)虛擬機(jī)遭受攻擊，其產(chǎn)生的安全為很快就會(huì)經(jīng)由網(wǎng)絡(luò)擴(kuò)散到整個(gè)系統(tǒng)虛擬機(jī)中。

2.2  負(fù)載過(guò)重或者系統(tǒng)服務(wù)器崩潰 

服務(wù)器的虛擬化使得使得原本的服務(wù)器需要同時(shí)來(lái)負(fù)擔(dān)多個(gè)應(yīng)用程序的運(yùn)行，而這些應(yīng)用程序在運(yùn)行過(guò)程中會(huì)出現(xiàn)爭(zhēng)奪物理服務(wù)器寬帶、內(nèi)存、處理器以及存儲(chǔ)資源的現(xiàn)象，從而導(dǎo)致正在運(yùn)行的關(guān)鍵應(yīng)用程序出現(xiàn)性能下降或者突出得到網(wǎng)絡(luò)問(wèn)題，甚至?xí)?dǎo)致服務(wù)器的過(guò)載的現(xiàn)象。

而在服務(wù)器虛擬化后，物理服務(wù)器如果出現(xiàn)崩潰現(xiàn)象是一種非常嚴(yán)重的安全問(wèn)題。例如，如果用戶的計(jì)算機(jī)中同時(shí)存在多個(gè)虛擬化的服務(wù)器，如果在系統(tǒng)的運(yùn)行過(guò)程中出現(xiàn)了硬件的斷電、某些部件的過(guò)熱導(dǎo)致系統(tǒng)升溫、系統(tǒng)硬盤出現(xiàn)問(wèn)題等現(xiàn)象就會(huì)導(dǎo)致系統(tǒng)的服務(wù)器出現(xiàn)崩潰的現(xiàn)象，在這種情況下，用戶計(jì)算機(jī)中所有運(yùn)行的應(yīng)用都會(huì)出現(xiàn)中斷的現(xiàn)象，這種服務(wù)器的崩潰產(chǎn)生的后果比通常情況下服務(wù)器出現(xiàn)崩潰現(xiàn)象產(chǎn)生的后果要嚴(yán)重的多。

2.3  虛擬機(jī)一處將導(dǎo)致虛擬機(jī)失去安全系統(tǒng)的保護(hù)

在進(jìn)行計(jì)算機(jī)管理程序的設(shè)計(jì)過(guò)程中如果留下了安全隱患，那么這種安全隱患將會(huì)在同一臺(tái)計(jì)算機(jī)物理主機(jī)上的虛擬機(jī)中傳染，這種安全隱患傳染的現(xiàn)象通常被稱作“虛擬機(jī)溢出”。一旦虛擬機(jī)脫離了整個(gè)虛擬機(jī)的安全管理程序環(huán)境，黑客就能輕易的進(jìn)入該虛擬機(jī)的管理程序中，從而避開(kāi)了整個(gè)虛擬機(jī)的安全保護(hù)系統(tǒng)，這對(duì)虛擬機(jī)的危害是非常大的。

3  服務(wù)器虛擬化安全風(fēng)險(xiǎn)的相關(guān)對(duì)策

3.1  網(wǎng)絡(luò)構(gòu)架該變化可能引起的安全問(wèn)題的對(duì)策

針對(duì)網(wǎng)絡(luò)構(gòu)架變化引起的安全問(wèn)題進(jìn)行解決的時(shí)候，首先要充分保證系統(tǒng)內(nèi)的殺毒軟件以及相關(guān)的應(yīng)用程序的兼容性，然后針對(duì)不同的虛擬服務(wù)器安裝殺毒軟件即可。

3.2  針對(duì)服務(wù)器過(guò)載、崩潰等引起的應(yīng)用中斷問(wèn)題的對(duì)策

在系統(tǒng)的運(yùn)行過(guò)程中對(duì)服務(wù)器的硬件利用率進(jìn)行全過(guò)程的容量分析可以很好的解決服務(wù)器的過(guò)載問(wèn)題，然后結(jié)合服務(wù)器在實(shí)際的使用過(guò)程中處在應(yīng)用高峰期的運(yùn)行時(shí)間以及在運(yùn)行高峰期需要的實(shí)際的資源需求來(lái)合理的設(shè)計(jì)系統(tǒng)的工作負(fù)荷。而且在實(shí)際的系統(tǒng)運(yùn)行需要的情況下可以使用容錯(cuò)服務(wù)器，但是容錯(cuò)服務(wù)器的相關(guān)硬件配置成本比較高，因此，可以合理的在系統(tǒng)中使用容錯(cuò)軟件，容錯(cuò)服務(wù)器的主要作用就是將容錯(cuò)服務(wù)器的處理過(guò)程通過(guò)軟件的形式來(lái)得以實(shí)現(xiàn)。例如everRun FT軟件，將該軟件同時(shí)安裝在不同位置的服務(wù)器上后，讓其在不同的兩個(gè)x86服務(wù)器上進(jìn)行運(yùn)行，這時(shí)候就可以創(chuàng)建一個(gè)虛擬的Windos環(huán)境，在這種情況下，如果兩個(gè)服務(wù)器中的一個(gè)發(fā)生了宕機(jī)，不會(huì)對(duì)其與其相對(duì)應(yīng)的運(yùn)行程序產(chǎn)生影響。

3.3  阻止虛擬機(jī)溢出儀器的安全問(wèn)題對(duì)策

針對(duì)這一現(xiàn)象，可以在計(jì)算機(jī)的數(shù)據(jù)庫(kù)跟應(yīng)用程序之間建立一道防火墻，然后充分利用隔離虛擬機(jī)就能實(shí)現(xiàn)虛擬環(huán)境的脫機(jī)保存，該方法是一種非常好的解決因?yàn)樽柚固摂M機(jī)溢出而造成的系統(tǒng)安全風(fēng)險(xiǎn)。

3.4  預(yù)防虛擬機(jī)遷移及虛擬機(jī)之間通信帶來(lái)的安全風(fēng)險(xiǎn)的對(duì)策

針對(duì)虛擬器遷移以及虛擬機(jī)之間通信而引起的安全問(wèn)題目前市場(chǎng)中一些用來(lái)進(jìn)行虛擬環(huán)境信息安全改善的信心產(chǎn)品就能很好的規(guī)避這種風(fēng)險(xiǎn)，例如，一些廠商提供的安全API可以針對(duì)系統(tǒng)的虛擬環(huán)境中所有執(zhí)行的活動(dòng)進(jìn)行監(jiān)測(cè)并能及時(shí)的執(zhí)行相應(yīng)的安全策略，而且一些安全信息產(chǎn)品通過(guò)在虛擬環(huán)境下創(chuàng)建一個(gè)邏輯隔離，很好的解決了系統(tǒng)主機(jī)與虛擬機(jī)之間存在的物理隔離的相關(guān)問(wèn)題，而且在該產(chǎn)品中設(shè)置了管理層，該管理層能夠?qū)μ摂M機(jī)的遷移形成很好的限制作用，有效的避免了在系統(tǒng)運(yùn)行過(guò)程中出現(xiàn)與系統(tǒng)遵行性不符合的虛擬設(shè)定或者物理設(shè)定。

3.5  預(yù)防虛擬機(jī)補(bǔ)丁未能更新引發(fā)的安全風(fēng)險(xiǎn)

虛擬機(jī)補(bǔ)丁對(duì)虛擬機(jī)來(lái)說(shuō)具有非常重要的作用。因此，在系統(tǒng)的運(yùn)行過(guò)程中可以指定一個(gè)比較合理的時(shí)間點(diǎn)來(lái)專門執(zhí)行補(bǔ)丁更新的操作，微軟等廠商針對(duì)其及出的產(chǎn)品都指定出了相應(yīng)的時(shí)間來(lái)進(jìn)行補(bǔ)丁的管理，用戶可以通過(guò)訂閱微軟的更新郵件，如果廠商發(fā)布了新的更新補(bǔ)丁時(shí)，用戶端就能在第一時(shí)間完成補(bǔ)丁的更新，而如果用戶的系統(tǒng)中虛擬機(jī)鏡像庫(kù)的數(shù)量非常龐大，那么可以通過(guò)虛擬機(jī)廠家提供的管理產(chǎn)品來(lái)實(shí)現(xiàn)很多補(bǔ)丁更新操作的自動(dòng)化，這樣就能有效的減輕系統(tǒng)維護(hù)的工作量，而針對(duì)一些建立時(shí)間較長(zhǎng)且建立的目的就是為了退出新的虛擬機(jī)的虛擬機(jī)，可以通過(guò)在固定的周期內(nèi)完成虛擬機(jī)補(bǔ)丁以及病毒庫(kù)等的更新，然后在執(zhí)行鏡像存放就可以。

4  結(jié)語(yǔ)

虛擬機(jī)的出現(xiàn)讓計(jì)算機(jī)用戶在維持成本基本不變的情況下，極大的提升了系統(tǒng)的性能，計(jì)算機(jī)服務(wù)也變得更加快捷，但是由此帶來(lái)的安全風(fēng)險(xiǎn)也是不容忽視的重要的問(wèn)題，而要想實(shí)現(xiàn)虛擬機(jī)的安全運(yùn)行就需要實(shí)現(xiàn)防火墻的虛擬化，或者針對(duì)系統(tǒng)中的各種虛擬設(shè)備采取必要的安全措施，在條件允許的情況下可以使用容錯(cuò)服務(wù)器或者相關(guān)的容錯(cuò)軟件，同時(shí)要將物理以及虛擬環(huán)境置于同一個(gè)管理平臺(tái)下運(yùn)行，這樣不管是虛擬還是物理的組件就具備了相同的特性，可見(jiàn)系統(tǒng)的虛擬化技術(shù)在應(yīng)用前一定要對(duì)其保持謹(jǐn)慎的態(tài)度，要想在現(xiàn)有的流程實(shí)現(xiàn)虛擬化，一定要從技術(shù)人員以及技術(shù)力量等實(shí)現(xiàn)全方位的安全保障，這樣才能實(shí)現(xiàn)虛擬化技術(shù)的安全應(yīng)用。

本文來(lái)源：《企業(yè)科技與發(fā)展》：http://k2057.cn/w/qk/21223.html