◆鄭 毅

服務(wù)器虛擬化情況下的安全防護(hù)

◆鄭 毅

（中航工業(yè)哈爾濱飛機(jī)工業(yè)集團(tuán)有限責(zé)任公司 黑龍江 150000）

虛擬化技術(shù)已經(jīng)成為企業(yè)發(fā)展進(jìn)程的重要組成部分，直接關(guān)系企業(yè)的信息資源安全。對(duì)于企業(yè)來(lái)說(shuō)，服務(wù)器虛擬化既是企業(yè)尋求進(jìn)一步發(fā)展的機(jī)遇，也是維護(hù)信息安全的挑戰(zhàn)。如何在服務(wù)器虛擬化情況下做好安全防護(hù)，已經(jīng)成為每一個(gè)運(yùn)用虛擬化技術(shù)的企業(yè)必須要思考的問(wèn)題。

服務(wù)器；虛擬化；安全防護(hù)

0 前言

似乎與所有顛覆性技術(shù)一樣，服務(wù)器虛擬化技術(shù)先是悄然出現(xiàn)，然后突然迸發(fā)，最終因?yàn)楣?jié)省能源的合并計(jì)劃而得到了認(rèn)可。如今，許多企業(yè)使用虛擬化技術(shù)來(lái)提高硬件資源的利用率，進(jìn)行災(zāi)難恢復(fù)、提高辦公自動(dòng)化水平。在進(jìn)行服務(wù)器虛擬化的過(guò)程中，也同樣存在一些不可忽視的問(wèn)題。必須找出問(wèn)題所在，維護(hù)信息安全。

1 目前服務(wù)器虛擬化情況下做好安全防護(hù)要面對(duì)的問(wèn)題

1.1 服務(wù)器虛擬化帶來(lái)了更高的安全風(fēng)險(xiǎn)

服務(wù)器虛擬化極大地提高了企業(yè)資源整合的效率，但也帶來(lái)了更高的安全風(fēng)險(xiǎn)。這具體體現(xiàn)在兩個(gè)方面。一方面，虛擬化技術(shù)能夠集中眾多的數(shù)據(jù)進(jìn)行統(tǒng)一處理，提高了單個(gè)服務(wù)器的效率，使其功能性更強(qiáng)，更利于企業(yè)的管理；但是高資源利用率既集中了資源，也同時(shí)集中了風(fēng)險(xiǎn)。相較于傳統(tǒng)的分散型處理信息的方式，服務(wù)器虛擬化將安全風(fēng)險(xiǎn)全部集中到了一臺(tái)服務(wù)器上。一旦這臺(tái)服務(wù)器發(fā)生任何問(wèn)題，企業(yè)的信息安全都會(huì)受到嚴(yán)重的影響。服務(wù)器非虛擬化中的信息好比是并聯(lián)電路，彼此存在聯(lián)系又獨(dú)立存在。而服務(wù)器虛擬化中的信息就好像是串聯(lián)電路，牽一發(fā)而動(dòng)全身。一旦服務(wù)器中的某個(gè)應(yīng)用出現(xiàn)故障了，整臺(tái)服務(wù)器的所有應(yīng)用都會(huì)隨之停止。相同情況下，服務(wù)器虛擬化情況下的服務(wù)器崩潰會(huì)比非虛擬化情況下的崩潰帶來(lái)更大的損失。另一方面，在服務(wù)器虛擬化情況下，一臺(tái)物理服務(wù)器上的虛擬機(jī)之間可以直接進(jìn)行聯(lián)接，不需要通過(guò)外界進(jìn)行物理聯(lián)接。這就意味著，虛擬化情況下，安全防護(hù)的邊界消失了。這對(duì)于安全防護(hù)措施的建設(shè)來(lái)說(shuō)，是一個(gè)難以解決的難題。

1.2 傳統(tǒng)的安全防護(hù)措施不適用于新的網(wǎng)絡(luò)環(huán)境

服務(wù)器虛擬化是對(duì)傳統(tǒng)技術(shù)的一次突破，它直接改變了網(wǎng)絡(luò)架構(gòu)。這也就意味著，基于非虛擬環(huán)境下的傳統(tǒng)安全防護(hù)措施不再適用于新的網(wǎng)絡(luò)環(huán)境。傳統(tǒng)的安全防護(hù)措施是根據(jù)邊界的安全隔離和訪問(wèn)控制進(jìn)行防護(hù)的。這其中最重要的是，非虛擬環(huán)境下，各區(qū)域之間存在著明顯的邊界。分析不同區(qū)域之間的安全情況的差異，安全防護(hù)措施才能進(jìn)行工作。一般的傳統(tǒng)安全防護(hù)措施是防火墻、IPS、IDS等手段。這些手段主要是通過(guò)針對(duì)不同的服務(wù)器使用不同的安全規(guī)則進(jìn)行工作。而在服務(wù)器虛擬化的情況下，基礎(chǔ)網(wǎng)絡(luò)架構(gòu)統(tǒng)一化，存儲(chǔ)和計(jì)算資源高度整合，傳統(tǒng)的安全設(shè)備部署邊界正逐步消失。同一臺(tái)物理服務(wù)器上的虛擬機(jī)之間不存在傳統(tǒng)的所謂邊界，傳統(tǒng)的安全防護(hù)措施也就不能進(jìn)行防護(hù)。應(yīng)對(duì)新的網(wǎng)絡(luò)環(huán)境，應(yīng)該探索新的安全防護(hù)措施。

1.3 虛擬機(jī)補(bǔ)丁引起的安全問(wèn)題

由服務(wù)器虛擬化衍生出的虛擬機(jī)也有著許多安全隱患。如果處理不當(dāng)，虛擬機(jī)也會(huì)引起許多安全問(wèn)題。其中值得關(guān)注的就是由虛擬機(jī)補(bǔ)丁引起的安全問(wèn)題。如果安裝補(bǔ)丁的進(jìn)度跟不上虛擬機(jī)系統(tǒng)的實(shí)際需要，虛擬機(jī)的安全漏洞就無(wú)法被及時(shí)修補(bǔ)，一旦受到病毒攻擊，虛擬機(jī)很容易就全盤(pán)崩潰。在服務(wù)器虛擬化的情況下，服務(wù)器上放置著多個(gè)虛擬機(jī)，而虛擬機(jī)又必須能像獨(dú)立的物理服務(wù)器那樣進(jìn)行工作。虛擬機(jī)應(yīng)該要獨(dú)立地進(jìn)行補(bǔ)丁的安裝和系統(tǒng)的更新，這樣才能更好地進(jìn)行自身的安全防護(hù)。但在實(shí)際情況中，由于管理對(duì)象的眾多，虛擬機(jī)的系統(tǒng)可能會(huì)延遲補(bǔ)丁的更新，這對(duì)信息安全來(lái)說(shuō)無(wú)疑是個(gè)不容忽視的問(wèn)題。除此之外，有時(shí)用戶會(huì)保持少量的重要鏡像。這些鏡像主要應(yīng)用于推出新的虛擬機(jī)、將一個(gè)快照寫(xiě)入硬盤(pán)，或者是用于對(duì)部分虛擬機(jī)進(jìn)行災(zāi)難恢復(fù)。但是如果需要恢復(fù)的虛擬機(jī)中缺乏有安全防護(hù)能力的補(bǔ)丁，那在恢復(fù)過(guò)程中也可能會(huì)引起安全問(wèn)題。因此，企業(yè)必須關(guān)注由虛擬機(jī)補(bǔ)丁引起的安全問(wèn)題，及時(shí)地更新補(bǔ)丁。

2 關(guān)于建設(shè)服務(wù)器虛擬化情況下安全防護(hù)的相關(guān)建議

2.1 合理配置虛擬服務(wù)器，加固系統(tǒng)

降低服務(wù)器虛擬化情況下的安全風(fēng)險(xiǎn)必須從虛擬服務(wù)器入手，找出虛擬服務(wù)器可能被攻擊的安全隱患。首先，配置虛擬服務(wù)器必須要從虛擬服務(wù)器的用途和并發(fā)訪問(wèn)量等因素出發(fā)，選擇數(shù)量足夠、性能能夠滿足要求的物理服務(wù)器。在建設(shè)虛擬機(jī)的時(shí)候，也要根據(jù)物理服務(wù)器與虛擬服務(wù)器的比例進(jìn)行估算。企業(yè)要找到一套固定的模式，使得物理機(jī)和虛擬機(jī)的數(shù)量和配置保持在一個(gè)可控的范圍內(nèi)，以便更好地對(duì)服務(wù)器和虛擬機(jī)進(jìn)行安全防護(hù)。其次，針對(duì)新型網(wǎng)絡(luò)環(huán)境會(huì)帶來(lái)的更高安全風(fēng)險(xiǎn)，應(yīng)該對(duì)服務(wù)器虛擬化環(huán)境中的所有系統(tǒng)進(jìn)行安全加固。進(jìn)行安全加固的范圍除了傳統(tǒng)的物理服務(wù)器，還要關(guān)注虛擬機(jī)的安全系統(tǒng)。值得注意的是，虛擬機(jī)本身承擔(dān)著像獨(dú)立服務(wù)器一樣的工作任務(wù)，也應(yīng)該進(jìn)行像物理服務(wù)器一樣獨(dú)立的安全加固。進(jìn)行安全加固的時(shí)候，應(yīng)該對(duì)虛擬機(jī)的系統(tǒng)補(bǔ)丁、應(yīng)用程序補(bǔ)丁、允許運(yùn)行的服務(wù)、開(kāi)放的端口等進(jìn)行加固。在加固的時(shí)候，除特殊情況外要關(guān)閉所有可控的物理設(shè)備。目前，在對(duì)虛擬機(jī)進(jìn)行維護(hù)時(shí)，通常會(huì)忽視對(duì)虛擬機(jī)生命周期的管理、身份認(rèn)證和訪問(wèn)授權(quán)控制。而這恰恰是安全問(wèn)題多發(fā)的部分，需要技術(shù)人員重點(diǎn)加固。同時(shí)，同一服務(wù)器中的虛擬機(jī)要采取相同的安全防護(hù)，保證每一個(gè)虛擬機(jī)都能夠安全運(yùn)行，以便保障物理服務(wù)器的安全。虛擬機(jī)內(nèi)部可能會(huì)存在互相攻擊的問(wèn)題，必須要進(jìn)行相關(guān)的安全加固。虛擬機(jī)上必須配備殺毒軟件等一些防護(hù)應(yīng)用，要及時(shí)更新補(bǔ)丁，防止安全漏洞被攻擊。還可以設(shè)立虛擬化監(jiān)控工具，及時(shí)監(jiān)管危險(xiǎn)信息。一方面對(duì)服務(wù)器資源監(jiān)控與容量進(jìn)行分析，報(bào)告所占資源的情況。另一方面在發(fā)生突發(fā)情況時(shí)，也可以進(jìn)行及時(shí)的報(bào)警。

2.2 建立服務(wù)器虛擬化情況下新的邊界防護(hù)系統(tǒng)

由于新的網(wǎng)絡(luò)環(huán)境下傳統(tǒng)邊界逐漸消失，進(jìn)行新的安全防護(hù)時(shí)可以人工地分開(kāi)虛擬機(jī)，增強(qiáng)虛擬服務(wù)器的邏輯隔離與網(wǎng)絡(luò)隔離。也就是說(shuō)，可以把虛擬機(jī)分類(lèi)。既可以分為公共的虛擬機(jī)和專(zhuān)用的虛擬機(jī)，也可以按照服務(wù)類(lèi)型分開(kāi)虛擬機(jī)。各組類(lèi)型的虛擬機(jī)分布在各自的區(qū)域中，可以通過(guò)人為的邊界進(jìn)行隔離，這也更利于管理和防護(hù)。虛擬機(jī)之間的隔離可以防止虛擬機(jī)之間相互產(chǎn)生影響，降低安全問(wèn)題的擴(kuò)散。針對(duì)這一情況，新的邊界防護(hù)系統(tǒng)就可以建立起來(lái)。邊界防護(hù)可以細(xì)化到每一個(gè)虛擬機(jī)。當(dāng)虛擬機(jī)之間進(jìn)行訪問(wèn)時(shí)，也會(huì)存在明顯的邊界，一旦訪問(wèn)行為出現(xiàn)問(wèn)題，新的邊界防護(hù)系統(tǒng)也可以及時(shí)控制。當(dāng)然，所有的虛擬化系統(tǒng)都是基于虛擬層實(shí)現(xiàn)的。為了達(dá)到這樣的目的，邊界防護(hù)也應(yīng)該涉及到虛擬層提供的安全服務(wù)。建立服務(wù)器虛擬化情況下新的邊界防護(hù)系統(tǒng)，要能對(duì)進(jìn)出虛擬機(jī)的所有流量進(jìn)行檢測(cè)，識(shí)別信息的端口、協(xié)議、目的地，對(duì)信息的內(nèi)容進(jìn)行分析以識(shí)別入侵行為或者進(jìn)行病毒檢查。

2.3 加強(qiáng)建設(shè)虛擬化基礎(chǔ)設(shè)施、進(jìn)行分權(quán)制約

服務(wù)器虛擬化環(huán)境就像一個(gè)完整的系統(tǒng)，虛擬化管理工具是其中的核心。虛擬機(jī)的生成、策略設(shè)置以及維護(hù)都要通過(guò)虛擬化管理工具實(shí)現(xiàn)。一方面要加強(qiáng)建設(shè)虛擬化管理工具，加強(qiáng)安全性。另一方面，也可以通過(guò)分權(quán)制約的方式降低由虛擬化管理工具自身不足帶來(lái)的安全風(fēng)險(xiǎn)?？蓪⑾到y(tǒng)分權(quán)為系統(tǒng)管理員、安全管理員、安全審計(jì)員三個(gè)角色。系統(tǒng)管理員負(fù)責(zé)進(jìn)行日常虛擬機(jī)創(chuàng)建和數(shù)據(jù)中心維護(hù)工作；安全管理員負(fù)責(zé)桌面資源池的日常創(chuàng)建和授權(quán)以及廢止虛擬機(jī)刪除；安全審計(jì)員負(fù)責(zé)查看系統(tǒng)管理員和安全管理員的操作情況。三個(gè)角色分權(quán)制約，既保證了各自工作任務(wù)的完成，又能保證彼此的合作。

3 結(jié)語(yǔ)

服務(wù)器虛擬化情況下的安全防護(hù)尚且處于探索和起步階段，存在著一些新問(wèn)題，需要相關(guān)技術(shù)人員探索出一套新的網(wǎng)絡(luò)防護(hù)措施。

[1]吳濤主編.網(wǎng)站全程設(shè)計(jì)技術(shù)(修訂本)[M].北京:清華大學(xué)出版社,北京交通大學(xué)出版社，2016.

[2]張華,賈志娟主編.asp項(xiàng)目開(kāi)發(fā)實(shí)踐[M].中國(guó)鐵道出版社，2016.