鄭少波

（貴州航天計量測試技術(shù)研究所，貴陽 550000）

從本質(zhì)上看，虛擬化是屬于資源管理范疇的技術(shù)。具體的落實方案，是將網(wǎng)絡(luò)環(huán)境中的多種計算機資源進行抽象，并且以數(shù)字的形式將其映射在網(wǎng)絡(luò)環(huán)境中進行集中控制。在這個資源池中，服務(wù)器、網(wǎng)絡(luò)、內(nèi)存及存儲等都是有效資源，這從根本上打破了實體框架之下不可逾越的障礙，使用戶能夠以更優(yōu)的組態(tài)對資源加以利用。在虛擬化的技術(shù)背景下，物理資源可以打破原有的資源構(gòu)架方式、地域以及物理組態(tài)的限制，以邏輯上的資源池的形式，實現(xiàn)全網(wǎng)優(yōu)化利用。虛擬化技術(shù)實現(xiàn)了系統(tǒng)資源的有效優(yōu)化利用，但同時也帶來了更多安全問題。與傳統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險有所不同，虛擬化技術(shù)影響之下的安全呈現(xiàn)出新的特征。唯有對這些安全問題進行有效識別，才能提出對應(yīng)的改進意見，最終確保整個網(wǎng)絡(luò)環(huán)境的可靠。

1 虛擬化技術(shù)影響之下的風(fēng)險

隨著網(wǎng)絡(luò)的深入應(yīng)用，相關(guān)技術(shù)不斷發(fā)展，技術(shù)種類更是層出不窮，對應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)傳輸業(yè)務(wù)也呈現(xiàn)出更為復(fù)雜的特征，安全問題更是日漸突出。形成當(dāng)前安全困境的直接原因很多，但總體而言可以歸結(jié)為兩個方面，其一為海量數(shù)據(jù)的增加，其二則是更為多樣化的安全威脅。海量數(shù)據(jù)涌入通信環(huán)境之中，使得網(wǎng)絡(luò)安全計算能力受到了極大的挑戰(zhàn)。而從另一個方面看，人們在日常的工作和生活中對于網(wǎng)絡(luò)越來越重的依賴特征，決定了成功攻擊能夠獲得的利益也呈現(xiàn)出上升趨勢，從技術(shù)層面看，這是導(dǎo)致安全威脅增長的主要原因。

從虛擬化的進步角度看，安全威脅來源于如下幾個主要方面：

1.1 SQL 注入攻擊

SQL 注入攻擊的目標(biāo)，主要在于獲取網(wǎng)站后臺的管理權(quán)限，包括管理員用戶名以及密碼口令等，都是SQL攻擊的重點目標(biāo)。在獲取到管理權(quán)限之后，站點內(nèi)部的相關(guān)信息都會成為攻擊的獲利，包括各類普通用戶的賬號以及站點數(shù)據(jù)內(nèi)容，甚至于還包括站點上的資金貨幣等。攻擊者的攻擊的實現(xiàn)渠道相對而言比較多樣，其中包括SQL 注入漏洞、SQL 盲注漏洞以及命令注入漏洞等，具體攻擊方式包括手動和工具，但從本質(zhì)上看，無論是手動還是利用工具展開，都是將非法的SQL 語句提交到數(shù)據(jù)庫中，實現(xiàn)暴庫操作。

1.2 XSS 跨站攻擊

此種攻擊面向站點存在腳本漏洞的情況，攻擊者可以構(gòu)建特定的JS 以及HTML 腳本來實現(xiàn)對目標(biāo)站點的插入。當(dāng)有用戶展開對于該站點的訪問的時候，此類攻擊跨站腳本代碼就會自行彈出并且運行，進一步執(zhí)行存儲型的跨站腳本攻擊。

1.3 木馬攻擊

木馬攻擊在網(wǎng)絡(luò)安全環(huán)境中相對比較傳統(tǒng)，但是在虛擬化的背景之下又呈現(xiàn)出新的特征。木馬攻擊多出現(xiàn)在預(yù)留了文件上傳功能的站點之上，對于此類站點而言，如果未能實現(xiàn)對于上傳文件的有效監(jiān)測，則攻擊者可以利用這一漏洞來進行木馬的安插。常見木馬包括ASP 木馬、PHP 木馬以及JSP 木馬等幾種主要類型，分別具有不同的控制功能，但最終目標(biāo)都是面向服務(wù)器進行干擾和控制，或者對站點信息進行篡改。

除去上述幾種比較有特征的攻擊方式以外，其他諸如口令威脅、服務(wù)器硬件故障、協(xié)議默認(rèn)漏洞以及旁注攻擊等，同樣也是當(dāng)前虛擬化數(shù)據(jù)環(huán)境的重要安全威脅來源。有些類型的安全威脅，雖然從數(shù)量上不足以成為典范，但是其危害深度仍然不容忽視。與之對應(yīng)地，唯有構(gòu)建起完整并且立體的多層面安全防護體系，才能保證實現(xiàn)虛擬化技術(shù)框架的正常工作。

2 切實加強安全體系建設(shè)

基于虛擬化技術(shù)體系之下數(shù)據(jù)傳輸安全問題本身的特殊性與復(fù)雜性，在展開對應(yīng)安全體系建設(shè)的過程中，同樣應(yīng)當(dāng)謹(jǐn)慎對待，唯有深入分析安全威脅，才能有的放矢地提出對應(yīng)的安全保障系統(tǒng)建設(shè)。

具體而言，有如下幾個方面可以作為重點加強虛擬化技術(shù)體系之下風(fēng)險防范的著力點：

首先，WAF 防范建設(shè)不容忽視，通常以專用WAF或者入侵檢測來加強系統(tǒng)的安全體系建設(shè)。進一步考慮到成本的因素，可以引入NGINX 來對站點實現(xiàn)反向代理，并且配置WAF。此種配置方式能夠為現(xiàn)有的網(wǎng)站提供https 服務(wù)，并且便于實現(xiàn)無縫代理，并且可以有選擇的實現(xiàn)對于https 的支持。

其次，在虛擬化技術(shù)框架之下，對于服務(wù)器硬件的保護，還可以從共享存儲的角度進行著手。對于服務(wù)器的存儲保護，通常執(zhí)行Raid6 級別，這是考慮到Raid5本身不能夠?qū)τ脖P實現(xiàn)有效保護而確立的規(guī)則。在虛擬化技術(shù)的背景下，通常利用共享存儲的方式來對虛擬化集群加以實現(xiàn)，此種部署方式能夠有效避免因為硬件故障而帶來的服務(wù)終端等相關(guān)問題。目前常見的虛擬化技術(shù)都提供了數(shù)據(jù)的快速遷移，可以支持在硬件發(fā)生故障的情況下，實現(xiàn)有效的物理遷移，在數(shù)分鐘內(nèi)恢復(fù)整個系統(tǒng)的工作。這其中，Xen 以及Kem 是免費的開源方案，但是其他虛擬化方案，諸如VMWareVsphere、Windows Hypervisor 以及Citrix 等，同樣在工作中各有千秋。

最后，必要的冗余和日志的建立同樣是虛擬化體系下的重要安全保障。包括虛擬化主機快照以及數(shù)據(jù)備份等，都應(yīng)當(dāng)囊括在內(nèi)。除此以外，傳統(tǒng)的安全防范機制同樣不容忽視，仍然需要不斷加強。包括面向全網(wǎng)的病毒、木馬、蠕蟲以及其他類似的間諜軟件等加強查殺，修改默認(rèn)端口設(shè)置，避免利用默認(rèn)值的攻擊。

3 結(jié)束語

實際工作中要密切關(guān)注安全領(lǐng)域技術(shù)，尤其是安全于其他領(lǐng)域交叉環(huán)境的發(fā)展。一方面堅持傳統(tǒng)安全手段的加強，另一個方面將大數(shù)據(jù)以及數(shù)據(jù)識別等相關(guān)技術(shù)引入，是確保虛擬化框架之下系統(tǒng)安全的根基所在。