近年來，云計(jì)算是目前非常熱門的一個(gè)研究領(lǐng)域，其實(shí)它并不是一種全新的技術(shù)，而是許多技術(shù)的融合體，包括分布式計(jì)算、動(dòng)態(tài)和拓展等各種各樣的技術(shù)算法，而虛擬化技術(shù)是云計(jì)算里最重要的一個(gè)技術(shù)。

　　云安全問題是云計(jì)算技術(shù)進(jìn)一步發(fā)展并得到廣泛應(yīng)用的一個(gè)核心且富有挑戰(zhàn)的重要問題，通過網(wǎng)狀的大量客戶端對網(wǎng)絡(luò)中軟件行為的異常監(jiān)測來獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，推送到云服務(wù)器端進(jìn)行自動(dòng)分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個(gè)客戶端。它采用的是云計(jì)算處理機(jī)制，能夠計(jì)算出Internet上的網(wǎng)絡(luò)威脅位置，在網(wǎng)絡(luò)威脅到達(dá)網(wǎng)絡(luò)前進(jìn)行阻擋，進(jìn)行實(shí)時(shí)探測和及時(shí)保護(hù)。

　　虛擬化技術(shù)是在軟、硬件之間引入虛擬層，為應(yīng)用提供獨(dú)立的運(yùn)行環(huán)境,屏蔽硬件平臺的動(dòng)態(tài)性、分布性、差異性等，支持硬件資源的共享與復(fù)用,并為每個(gè)用戶提供相互獨(dú)立、隔離的計(jì)算機(jī)環(huán)境,同時(shí)方便整個(gè)系統(tǒng)的軟、硬件資源的高效、動(dòng)態(tài)管理與維護(hù)。

　　而將虛擬化技術(shù)運(yùn)用到云安全之中，這種方法在一定程度上降低了“云安全”企業(yè)的硬件成本和管理成本，從某種程度上提高了“云安全”技術(shù)的安全性。

　　目前，一些運(yùn)營商、有實(shí)力的企業(yè)單位以及大型政府信息中心，經(jīng)過幾年的建設(shè)已經(jīng)初步建成了基礎(chǔ)設(shè)施即服務(wù)(IaaS)云，很多單位已經(jīng)逐步將非核心的業(yè)務(wù)移植到云平臺上，而核心業(yè)務(wù)的轉(zhuǎn)移因擔(dān)心數(shù)據(jù)中心和云平臺遭到數(shù)據(jù)泄漏或?qū)е聵I(yè)務(wù)中斷而開展緩慢。這其中由于虛擬化技術(shù)的引入，打破了傳統(tǒng)的網(wǎng)絡(luò)邊界的劃分方式，使得傳統(tǒng)的安全技術(shù)手段無法做到有效的安全防護(hù)。再之，如若虛擬機(jī)管理程序被劫持，安全漏洞會(huì)導(dǎo)致平臺受到威脅，更嚴(yán)重的是，安裝在基于主機(jī)操作系統(tǒng)分區(qū)上或者虛擬機(jī)管理程序上的傳統(tǒng)安全工具未能及時(shí)識別威脅，如果威脅發(fā)生在那些大規(guī)模的虛擬化平臺上，危險(xiǎn)所產(chǎn)生的后果是可想而知的。而云或基于基礎(chǔ)設(shè)施的服務(wù)，或基于軟件的服務(wù)等等，大多都是虛擬化來實(shí)現(xiàn)的，很多時(shí)候是通過虛擬化來形成云。

　　Gartner評估分析數(shù)據(jù)也顯示，在數(shù)據(jù)中心虛擬化項(xiàng)目中最常見的安全風(fēng)險(xiǎn)有：

　　1、 未在虛擬化項(xiàng)目的初期引入信息安全措施;

　　2、 虛擬化的風(fēng)險(xiǎn)會(huì)導(dǎo)致其所有上層系統(tǒng)的風(fēng)險(xiǎn);

　　3、 虛擬化層的數(shù)據(jù)泄漏可以導(dǎo)致所有托管應(yīng)用的數(shù)據(jù)泄漏;

　　4、 對管理程序/VMM以及管理工具的管理性訪問缺乏充分的控制;

　　5、 網(wǎng)絡(luò)和安全控制的職責(zé)分享可能會(huì)存在潛在的損失。

　　因此對于采用基于虛擬化的云平臺架構(gòu)搭建IT環(huán)境的政府及企業(yè)用戶來說，遠(yuǎn)端數(shù)據(jù)的安全性和保密性、訪問權(quán)限的風(fēng)險(xiǎn)性、隱私和可靠性方面的安全隱患都是用戶使用云計(jì)算所存在的考量問題，用戶需要一套完整的安全方案可以為虛擬和物理環(huán)境都提供持續(xù)的保護(hù)，并滿足其合規(guī)性檢查的需要。且隨著云計(jì)算市場的不斷壯大，更多的軟硬件廠商投入了更大的研究力度，一個(gè)健康、綠色的云計(jì)算體系日臻成熟。

　　基于虛擬化技術(shù)的“云安全”的策略和方法：

　　1、虛擬化技術(shù)系統(tǒng)架構(gòu)的實(shí)現(xiàn)

　　藍(lán)盾的BDCSS(CloudSec-Station)云計(jì)算安全平臺的網(wǎng)絡(luò)連接建立在分布式虛擬交換機(jī)技術(shù)上，支持開源技術(shù)Openvswitch。在Xen虛擬化平臺中，傳統(tǒng)上其內(nèi)部網(wǎng)絡(luò)主要由虛擬網(wǎng)卡與虛擬橋接器組成，提供虛擬機(jī)橋接實(shí)體網(wǎng)絡(luò)及虛擬機(jī)之間彼此通信的機(jī)制，而虛擬交換機(jī)技術(shù)的引入可以帶給Hypervisor更多彈性化的功能來管控整體的虛擬網(wǎng)絡(luò)結(jié)構(gòu)。

　　2、系統(tǒng)性的安全解決方案

　　通過BDCSS為基于虛擬化的云數(shù)據(jù)中心提供系統(tǒng)性的安全解決方案，包括防火墻、入侵檢測、審計(jì)，以及漏洞掃描、安管平臺等，以確保物理、虛擬和云環(huán)境中服務(wù)器的應(yīng)用程序和數(shù)據(jù)的安全。BDCSS具有先進(jìn)的特性，基于藍(lán)盾智慧安全框架“動(dòng)立方”，可以為云和虛擬化環(huán)境提供主動(dòng)防御、自動(dòng)安全保護(hù)，以及多層聯(lián)動(dòng)響應(yīng)，用低成本、高回報(bào)的方式，將傳統(tǒng)數(shù)據(jù)中心的安全策略擴(kuò)展到云計(jì)算平臺上。

　　3.對服務(wù)器采取虛擬化的辦法，提高資源利用率

　　服務(wù)器整合即將原來獨(dú)立的服務(wù)器應(yīng)用通過VMM(virtual machine manager)合并到同一個(gè)物理服務(wù)器上。服務(wù)器采取虛擬化技術(shù)后，服務(wù)進(jìn)程能在多個(gè)物理機(jī)之間透明實(shí)時(shí)遷移，能更加充分地利用服務(wù)器中的閑置資源，通過動(dòng)態(tài)資源配置提升業(yè)務(wù)的靈活適應(yīng)能力，提高服務(wù)器的資源利用率，提升服務(wù)器的計(jì)算能力;能夠通過散熱、降低空間以及電力消耗等途徑壓縮成本降低服務(wù)器的管理費(fèi)用，簡化服務(wù)器的操作和維護(hù)工作;能夠?qū)ο到y(tǒng)及時(shí)更新并且不中斷用戶工作，以及保護(hù)業(yè)務(wù)質(zhì)量和安全。

　　4.虛擬機(jī)的鏡像管理和VS漏洞掃描器解除一定的安全隱患

　　由于虛擬化軟件本身具有簡單的備份還原功能，能在系統(tǒng)非正常使用的情況下，通過簡單的操作迅速把系統(tǒng)恢復(fù)到任意以前正常的狀態(tài)。但由于以前備份的狀態(tài)有可能存在著安全漏洞，在下一次還原時(shí)，管理員可能由于疏忽而忘記重新打補(bǔ)丁或系統(tǒng)升級，從而受到惡意軟件的威脅。

　　如果我們在部署虛擬化或者進(jìn)行虛擬化移植之前、期間或者之后充分考慮到這些虛擬化技術(shù)因素，利用漏洞掃描虛擬器件對主機(jī)內(nèi)部外部的客戶VM漏洞掃描、Web漏洞掃描、弱密碼掃描等脆弱性檢測，就有可能成功地實(shí)施虛擬基礎(chǔ)設(shè)施遷移，提前進(jìn)行安全管理規(guī)劃，從而確保虛擬化管理的安全性。

　　5.重新規(guī)范管理員的權(quán)限，防止虛擬化文件被竊取

　　存放在遠(yuǎn)程云中心中的數(shù)據(jù)，用戶不能通過物理控制、邏輯控制等方式對數(shù)據(jù)的訪問進(jìn)行控制，這就可能存在這樣的風(fēng)險(xiǎn)，云計(jì)算平臺提供商的超級用戶權(quán)限用戶有可能對企業(yè)的數(shù)據(jù)進(jìn)行查看與修改。而且當(dāng)很多虛擬機(jī)運(yùn)行在物理服務(wù)器上時(shí)，這些虛擬服務(wù)器管理員往往也接手了虛擬化網(wǎng)絡(luò)環(huán)境的管理工作，這就意味著管理員的權(quán)限增加了，需要對管理員的權(quán)限重新規(guī)劃并明確其職責(zé)范圍。除明確管理員的職責(zé)外，利用VM服務(wù)控制臺和虛擬管理控制臺對用戶身份進(jìn)行雙因子認(rèn)證，實(shí)現(xiàn)用戶訪問權(quán)限及訪問記錄管理等安全功能，可大幅降低非法身份的用戶訪問虛擬化文件。

　　6、數(shù)據(jù)加密、通信加密、防火墻技術(shù)，形成虛擬化平臺的縱深保護(hù)

　　如果攻擊者能夠攻破一個(gè)客戶虛擬機(jī)，在同一個(gè)物理主機(jī)上運(yùn)行的其它客戶機(jī)也可能會(huì)被攻破，因?yàn)樗鼈児蚕淼氖峭瑯拥倪\(yùn)行環(huán)境。因此需要通過動(dòng)態(tài)加密的方式來確保云系統(tǒng)中數(shù)據(jù)的安全，即對數(shù)據(jù)本身進(jìn)行加密存放。同時(shí)，通過云平臺系統(tǒng)通信傳輸加密，建立安全的VPN傳輸通道，并且結(jié)合傳統(tǒng)防火墻技術(shù)對外安全隔離，避免黑客攻擊，實(shí)現(xiàn)數(shù)據(jù)加密、保證傳輸安全私密等，強(qiáng)化了物理服務(wù)器和虛擬主機(jī)的安全。萬一其中一個(gè)虛擬化層面或者網(wǎng)絡(luò)層面出現(xiàn)問題，由于數(shù)據(jù)是加密存放的，就能夠給數(shù)據(jù)安全提供更多保障。

 　　總之，云計(jì)算產(chǎn)業(yè)具有巨大的市場前景，云安全的發(fā)展給網(wǎng)絡(luò)時(shí)代互聯(lián)網(wǎng)的安全提供了更大的可能性，它將是未來市場發(fā)展的趨勢，我們需要能發(fā)揮它的優(yōu)勢而規(guī)避其劣勢，將虛擬化技術(shù)與云安全技術(shù)有機(jī)結(jié)合，實(shí)現(xiàn)完全意義上的云安全，只有安全得到保障，才能打破用戶顧慮，使云計(jì)算得到更快、更深入的發(fā)展，讓每個(gè)用戶在享受云計(jì)算帶來的便利時(shí)也成為識別安全威脅的貢獻(xiàn)者.

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：淺談虛擬化技術(shù)下的云安全

本文網(wǎng)址：http://www.guhuozai8.cn/html/consultation/10839513806.html