服务器虚拟化的安全实现研究

    1、服务器虚拟化概述

　　服务器虚拟化，是将服务器物理资源抽象成逻辑资源，让CPU、内存、磁盘、I/O等硬件变成可以动态管理的资源池，不再受限于物理上的界限，在一台服务器上运行几台甚至上百台相互独立的虚拟服务器。

　　每一个虚拟服务器都有一套自己的虚拟硬件，而且是一套一致的、标准化的硬件，可以在这些虚拟硬件上加载操作系统和应用程序。通过虚拟化技术，提高资源的利用率，简化管理。实现服务器整合，减少需要管理和维护的物理服务器数量，让IT对业务的变化更具适应力。当应用需求增加时，可以迅速部署虚拟机，无需增加物理服务器即可灵活地响应不断变化的应用需求。通过使用服务器虚拟化技术，IT管理员可以在物理服务器之间移动运行的虚拟机，保持服务持续可用。

　　虚拟化技术的三个重要名词：宿主(Host)、客户(Guest)和Hypervisor(也称为VMM，virtual machine monitor，虚拟机监视器)。如将一个物理机虚拟成多个，则称物理机为Host Machine，运行其上的OS为Host OS；称虚拟机为Guest Machine，运行其上的OS为Guest OS。Hypervisor是一种运行在物理机和操摧系统之间的中回软件层，可以访问、调度和管理物理机上的资源，保证多个虚拟机能够相互隔离的同时运行多个客户操作系统。Hypervisors协调着这些硬件资源的访问，也同时在各个虚拟机之问施加防护。当物理机启动并执行Hypervisor时，Hypervisor会加载所有虚拟机客户端的操作系统，同时会分配给每一台虚拟机适量的内存，CPU，网络和I/O资源，可允许多个操作系统和应用共享硬件，Hypervisor是虚拟化技术的核心。

　　2、服务器虚拟化技术原理

　　虚拟化技术有许多不同类型，但是它们有一个共同的主题就是模拟一个指令集的概念。每个虚拟机都有一个用户可以访问的指令集。虚拟机把这些虚拟指令“映射”到计算机的实际指令集。硬分区、软分区、逻辑分区、Solaris Container、VMware、Xen、KVM、Hyper-V这些虚拟化技术都是运用的这个原理，只是虚拟指令集所处的层次位置不同。所有的IT设备，不管是PC、服务器还是存储，都有一个共同点：它们被设计用来完成一组特定的指令。这些指令组成—个指令集。对于虚拟化技术而言，实际上指的是虚拟出这些指令集。

　　虚拟化技术与多任务以及超线程技术是完全不同的。多任务是在一个操作系统中多个程序同时并行运行，超线程技术只是单CPU模拟双CPU来平衡程序运行性能，这两个模拟出来的CPU是不能分离的，只能协同工作。而在虚拟化技术中，则可以同时运行多个操作系统，而且每一个操作系统中都有多个程序在运行，每一个操作系统都运行在一个虚拟主机上。

　　虚拟化是一个抽象层，通过空间上的分割、时间上的分时以及模拟，虚拟化可将一份资源抽象成多份，亦可将多份资源抽象成—份，从而提供更高的IT资源利用率和灵活性。虚拟化允许具有不同操作系统的多个虚拟机在同一物理机上独立并行运行。每个虚拟机都有自己的一套虚拟硬件(例如RAM、CPU、网卡等)，可以在这些硬件中加载操作系统和应用程序。无论实际采用了什么物理硬件组件，操作系统都将它们视为一组一致、标准化的硬件。服务器虚拟化架构如图。

图1 服务器虚拟化架构图

　　3、服务器虚拟化优点

　　服务器虚拟化提高资源的利用率，简化系统管理，实现服务器整合，可以给企业带来以下优势：

    1) 服务器合并，减少轻负载的物理服务器的数量，虚拟化技术可以支持实现物理资源和资源池的动态共享，可通过动态资源配置提高IT对业务的灵活适应力，满足不断变化的业务需求，同时也减少硬件采购成本。

　　2) IT业务快速部署和配置

　　在物理服务器上部署和配置操作系统、应用时。按照传统手动方式可能得花上数小时甚至更长的时间，通过采用服务器虚拟化技术，可以有效隐藏物理资源的部分复杂性，应用预先制作的虚拟机模板，在数分中甚至数秒钟之内就可完成部署配置，能够简化服务器的部署、管理和维护工作，达到快速配置资源的目的，节省管理员时间，提高响应速度。

　　3) 提高兼容能力，一些应用之间的版本、数据库、操作系统等之间可能产生的冲突，应用虚拟化技术可以避免类似问题。当计算机需要维护或者系统需要扩容时，传统上需要关闭计算机，在新的计算机上安装操作系统以及应用，然后把数据转移到新的计算机上，这个过程非常繁琐并且容易出错。通过服务器虚拟化技术可以简单地把整个系统(包括操作系统、应用以及数据)迁移到另一台计算机上，速度快，并且不容易出错。

　　4) 提高数据备份的可靠性，服务器虚拟化技术通常提供快速转移和复制虚拟机功能，提供简单便捷的灾难恢复方案，虚拟化技术可以实现简单共享方式无法实现的隔离和划分的功能，可实现对数据和服务进行可控和安全的访问，带来具有透明负载均衡、动态迁移、故障自动隔离、系统自动重构的高可靠服务器应用环境。

　　4、服务器虚拟化安全风险

　　服务器虚拟化技术虽然有许多优势，减少了物理服务器的数量，但是却增加了虚拟网络设备的数量，在虚拟机上，传统的安全威胁、业务连续性和灾难恢复的风险依然存在，传统的安全原则也依然适用，同时也带来了新的安全问题和挑战。

　　在服务器虚拟化部署时，需要重新设计安全架构，将“加固操作系统”、“堡垒主机”和“网络分区”等概念应用到虚拟化平台上，保护宿主机、客户机的安全，需要面对更多的安全风险和因素，如：

　　1) 操作系统安全

　　Hypervisor实际上也是—个操作系统，它管理宿主机和客户机之间的通信。因此管理员要关注物理服务器的操作系统，Hypervisor和客户机操作系统三层操作系统的安全。

　　攻击客户机后避开虚拟机已经是针对服务器虚拟化环境发起攻击的常用方法。如果虚拟机不是足够安全的话，入侵者只要花时间侵入一台虚拟机，就可以破坏一个闭合网络中的其它虚拟机，甚至最终避开Hypervisor，进入宿主机。如果侵入宿主机，那么就掌握了所有虚拟机的命运。

　　2) 虚拟交换机安全

　　虚拟交换机与硬件网络交换机不同，基于软件的网络交换机带来了硬件设备一般没有的安全问题。不同的服务器虚拟化平台，构建虚拟交换机的方法也是不同的。有的能够实现网段隔离，有的不能。虚拟化技术中的虚拟交换机，如果不具备硬件交换机的安全性和隔离性，一个虚拟机就可能捕捉到物理主机发送和接收的任何流量，此时的虚拟交换机处于混乱和封闭状态，管理员无法走近虚拟交换机，插入笔记本电脑，对一个虚拟的网络端口进行镜像，不能用传统的方法进行监控和检测，或者查看虚拟设备的统计信息，不能使用简单的工具进行有效的监控和故障排除。

　　3) 防病毒、补丁管理在每个虚拟机上都部署防病毒软件，管理员就要对每个虚机进行登录、管理、监控、维护，进行病毒库升级、软件故障处理等，这样会造成管理的复杂。补丁部署、病毒库升级会消耗大量的网络带宽。有时会阻塞对重要业务应用的访问，这会严重破坏业务应用的连续性。

　　4) 数据安全

　　数据通常是最有价值的资产，同其它资产相比，需要以更大的警惕性保护数据，这一论点证明起来非常容易。

    对数据进行加密，这样，即使入侵者能够突破安全防护措施，或者由于配置错误使得未经授权的人能够访问到该数据，数据也不会被泄露。对传送中的数据进行加密，数据通过公用基础设施进行传递，并且可能会在传递过程被监听。KnowThreat安全公司的创始人兼首席顾问L.Taylor Banks建议：用户将所有数据存储到云中之前，先在本地加密数据，密钥管理要放在本地进行。

　　5、服务器虚拟化安全方法

　　从大多数方面来看，保护虚拟系统的安全与保护独立服务器的安全没有什么不同，同样的最佳安全实践依然适用。Unisys公司系统和技术部门首席安全设计师兼Skybox Security公司客户顾问委员会顾问ChrisHoff说：“你平时怎样保护服务器安全，现在就要以同样的方法来保护虚拟机安全”。然而在虚拟系统中多了一个Hypervisor层。多了一个虚拟交换机，管理人员无法触及到这个虚拟交换机，这就有了新的安全问题。

　　在服务器虚拟化平台部署过程中可以使用下列方法：

　　1) 在DMZ区运行

　　由于服务器内部的虚拟机通信是通过虚拟交换机来传送的。因此对外部网络安全控制机制来说是看不见的，应根据应用程序类型和数据敏感程度，把虚拟机隔离到“安全区”。虚拟机应该使用DMZ主机系统的加固方案的最佳实践，只开放应用所需的必要服务。

　　美国芝加哥Cars.com公司技术操作总监Edward Christensen也采取相同的做法对架构中的虚拟机进行隔离。他说：“确保IT环境安全的通常做法就是在数据库和应用层之间建立防火墙。但是当你处在虚拟环境下，问题就复杂多了”。将虚拟的应用服务器与数据库服务器网段相互隔离，即把数据库服务器放置在另外一个对虚拟的应用服务器而言的DMZ区。

图3 虚拟机的隔离

　　2) 虚拟机访问控制机制

　　保护虚拟机之间的通信安全是基本原则。很多应用要在虚拟机之间进行的通信，不能做虚拟机之间通信是完全安全的假设。有些虚拟交换机的工作方式类似集线器，没有隔离机制，将每个虚拟网络端口镜像到所有其他端口，目前，大部分的服务器虚拟化软件产品中已经解决这个问题。

　　在非虚拟化环境下，已有一些安全模型和方法可用来确保对操作系统的安全访问，Bell-LaPadula模型(简称BLP模型)，SLCF(security labelcommon framework)框架、多级安全(multilevel security简称MLS）机密性策略，基于角色的访问控制制(role-based access control，RBAC)。虚拟化环境下的Virt-BLP模型，实现了虚拟机通信场景下的强制访问控制和多级安全，适用于多级安全的强制访问控制(mandatory accesscontrol，MAC)框架，实现更细粒度地决定虚拟机间通信的类型，实现虚拟机间的多级安全。

　　3) 虚拟机安全度量机制

　　数据安全公司Verdasys副总裁兼首席科学家Dan Geer曾说：“安全度量的目的就是进行风险管理决策。度量并不需要十全十美，如果你以后能够拥有更好的度量，那就再好不过了。”没有好的度量，数据安全方面就不会取得很大的进步。风险管理并非对过去的解释，而是对将来的预测，必须尽量做好安全度量。

　　IBM曾提出完整性度量框架(integrity measurement architecture。IMA)，也适用于虚拟化的安全度量，评估应用程序安全计划的有效性。同样也可引入COBIT(Control Objectives for Information and related Technology)，目前CoBIT已经演变成IT治理框架，可引入CoBIT的四个过程：PO-AI-DS-ME，来建立安全计划的度量指标。

    4) 控制虚拟机的数量

    创建虚拟机只要短短几分钟，但虚拟机数量越多，面临的安全风险也越大，导致管理、维护性能及配置供应的能力出现滞后。

    5) 合理使用虚拟机的快照、复制技术

    虚拟机的快照技术能够在错误出现时让损失降到最低，是虚拟机在特定时刻的状态、磁盘数据和配置等基于文件的一种保存方式，适当使用可以将虚拟机恢复到任何以前有正常快照的状态。虚拟机快照、复制技术频繁使用会占用很大的存储空间，可能导致物理机I/O资源的大量消耗，虚拟机也可能因此崩溃，影响应用的正常运行。

    6) 限制虚拟化管理平台管理员权限的发放

　　如果赋予了访问虚拟化管理平台的管理员级别权限，也就是赋予了访问所有数据的权限。应特别注意管理员权限得发放数量，以免虚拟机数量激增，扩大安全风险。

　　虚拟机被封装为单个或多个虚拟磁盘文件，虚拟机的便携性带来非常高的风险。以前偷走一台服务器是很困难的，但是现在虚拟化管理平台被入侵或不合理使用后，虚拟机可以被轻松拷贝，然后在另一个虚拟化平台进行还原，一台服务器的数据就如此轻易的被盗了。因此必须合理控制虚拟机访问权限，无论是在线的还是离线的虚拟机文件都必须获得严格的管理和控制。

　　7) 部署虚拟化专用工具

　　部署虚拟化专用产品进行虚拟化平台的防病毒部署、补丁管理、行为审计、运维管理，从物理层、逻辑层，再到业务层、流程管理，对系统进行全面监控、预警、告警和故障分析。相应的产品有BigFix、AuditPro、Stone ITSM、SteelEye等。

　　6、结束语

　　服务器虚拟化有着节省运营成本、提高服务器的利用率，便于管理维护，动态地改善IT基础架构的性能和效率，实现应用的快速部署，备份的快速恢复，应用升级前的测试以及升级失败后的快速回退，集中的性能监控和告警，保持业务的连续性，真正实现绿色计算等诸多优势，吸引了越来越多的用户。现阶段服务器虚拟化平台也存在着严重的信息安全问题。提出了安全技术的挑战。

    本文从服务器虚拟化的概念、技术原理和目前存在的安全问题出发，探讨了提高服务器虚拟化环境下信息安全应采用的一些策略和方法。虚拟化安全是必要的投资，与使用物理机器一样，也同样需要安全保障。

核心关注：拓步ERP系统平台是覆盖了众多的业务领域、行业应用，蕴涵了丰富的ERP管理思想，集成了ERP软件业务管理理念，功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理，全面涵盖了企业关注ERP管理系统的核心领域，是众多中小企业信息化建设首选的ERP管理软件信赖品牌。

转载请注明出处：拓步ERP资讯网http://www.toberp.com/

本文标题：服务器虚拟化的安全实现研究

本文网址：http://www.toberp.com/html/consultation/10839613436.html