1、服務器虛擬化概述

　　服務器虛擬化，是將服務器物理資源抽象成邏輯資源，讓CPU、內存、磁盤、I/O等硬件變成可以動態管理的資源池，不再受限于物理上的界限，在一臺服務器上運行幾臺甚至上百臺相互獨立的虛擬服務器。

　　每一個虛擬服務器都有一套自己的虛擬硬件，而且是一套一致的、標準化的硬件，可以在這些虛擬硬件上加載操作系統和應用程序。通過虛擬化技術，提高資源的利用率，簡化管理。實現服務器整合，減少需要管理和維護的物理服務器數量，讓IT對業務的變化更具適應力。當應用需求增加時，可以迅速部署虛擬機，無需增加物理服務器即可靈活地響應不斷變化的應用需求。通過使用服務器虛擬化技術，IT管理員可以在物理服務器之間移動運行的虛擬機，保持服務持續可用。

　　虛擬化技術的三個重要名詞：宿主(Host)、客戶(Guest)和Hypervisor(也稱為VMM，virtual machine monitor，虛擬機監視器)。如將一個物理機虛擬成多個，則稱物理機為Host Machine，運行其上的OS為Host OS；稱虛擬機為Guest Machine，運行其上的OS為Guest OS。Hypervisor是一種運行在物理機和操摧系統之間的中回軟件層，可以訪問、調度和管理物理機上的資源，保證多個虛擬機能夠相互隔離的同時運行多個客戶操作系統。Hypervisors協調著這些硬件資源的訪問，也同時在各個虛擬機之問施加防護。當物理機啟動并執行Hypervisor時，Hypervisor會加載所有虛擬機客戶端的操作系統，同時會分配給每一臺虛擬機適量的內存，CPU，網絡和I/O資源，可允許多個操作系統和應用共享硬件，Hypervisor是虛擬化技術的核心。

　　2、服務器虛擬化技術原理

　　虛擬化技術有許多不同類型，但是它們有一個共同的主題就是模擬一個指令集的概念。每個虛擬機都有一個用戶可以訪問的指令集。虛擬機把這些虛擬指令“映射”到計算機的實際指令集。硬分區、軟分區、邏輯分區、Solaris Container、VMware、Xen、KVM、Hyper-V這些虛擬化技術都是運用的這個原理，只是虛擬指令集所處的層次位置不同。所有的IT設備，不管是PC、服務器還是存儲，都有一個共同點：它們被設計用來完成一組特定的指令。這些指令組成—個指令集。對于虛擬化技術而言，實際上指的是虛擬出這些指令集。

　　虛擬化技術與多任務以及超線程技術是完全不同的。多任務是在一個操作系統中多個程序同時并行運行，超線程技術只是單CPU模擬雙CPU來平衡程序運行性能，這兩個模擬出來的CPU是不能分離的，只能協同工作。而在虛擬化技術中，則可以同時運行多個操作系統，而且每一個操作系統中都有多個程序在運行，每一個操作系統都運行在一個虛擬主機上。

　　虛擬化是一個抽象層，通過空間上的分割、時間上的分時以及模擬，虛擬化可將一份資源抽象成多份，亦可將多份資源抽象成—份，從而提供更高的IT資源利用率和靈活性。虛擬化允許具有不同操作系統的多個虛擬機在同一物理機上獨立并行運行。每個虛擬機都有自己的一套虛擬硬件(例如RAM、CPU、網卡等)，可以在這些硬件中加載操作系統和應用程序。無論實際采用了什么物理硬件組件，操作系統都將它們視為一組一致、標準化的硬件。服務器虛擬化架構如圖。

圖1 服務器虛擬化架構圖

　　3、服務器虛擬化優點

　　服務器虛擬化提高資源的利用率，簡化系統管理，實現服務器整合，可以給企業帶來以下優勢：

    1) 服務器合并，減少輕負載的物理服務器的數量，虛擬化技術可以支持實現物理資源和資源池的動態共享，可通過動態資源配置提高IT對業務的靈活適應力，滿足不斷變化的業務需求，同時也減少硬件采購成本。

　　2) IT業務快速部署和配置

　　在物理服務器上部署和配置操作系統、應用時。按照傳統手動方式可能得花上數小時甚至更長的時間，通過采用服務器虛擬化技術，可以有效隱藏物理資源的部分復雜性，應用預先制作的虛擬機模板，在數分中甚至數秒鐘之內就可完成部署配置，能夠簡化服務器的部署、管理和維護工作，達到快速配置資源的目的，節省管理員時間，提高響應速度。

　　3) 提高兼容能力，一些應用之間的版本、數據庫、操作系統等之間可能產生的沖突，應用虛擬化技術可以避免類似問題。當計算機需要維護或者系統需要擴容時，傳統上需要關閉計算機，在新的計算機上安裝操作系統以及應用，然后把數據轉移到新的計算機上，這個過程非常繁瑣并且容易出錯。通過服務器虛擬化技術可以簡單地把整個系統(包括操作系統、應用以及數據)遷移到另一臺計算機上，速度快，并且不容易出錯。

　　4) 提高數據備份的可靠性，服務器虛擬化技術通常提供快速轉移和復制虛擬機功能，提供簡單便捷的災難恢復方案，虛擬化技術可以實現簡單共享方式無法實現的隔離和劃分的功能，可實現對數據和服務進行可控和安全的訪問，帶來具有透明負載均衡、動態遷移、故障自動隔離、系統自動重構的高可靠服務器應用環境。

　　4、服務器虛擬化安全風險

　　服務器虛擬化技術雖然有許多優勢，減少了物理服務器的數量，但是卻增加了虛擬網絡設備的數量，在虛擬機上，傳統的安全威脅、業務連續性和災難恢復的風險依然存在，傳統的安全原則也依然適用，同時也帶來了新的安全問題和挑戰。

　　在服務器虛擬化部署時，需要重新設計安全架構，將“加固操作系統”、“堡壘主機”和“網絡分區”等概念應用到虛擬化平臺上，保護宿主機、客戶機的安全，需要面對更多的安全風險和因素，如：

　　1) 操作系統安全

　　Hypervisor實際上也是—個操作系統，它管理宿主機和客戶機之間的通信。因此管理員要關注物理服務器的操作系統，Hypervisor和客戶機操作系統三層操作系統的安全。

　　攻擊客戶機后避開虛擬機已經是針對服務器虛擬化環境發起攻擊的常用方法。如果虛擬機不是足夠安全的話，入侵者只要花時間侵入一臺虛擬機，就可以破壞一個閉合網絡中的其它虛擬機，甚至最終避開Hypervisor，進入宿主機。如果侵入宿主機，那么就掌握了所有虛擬機的命運。

　　2) 虛擬交換機安全

　　虛擬交換機與硬件網絡交換機不同，基于軟件的網絡交換機帶來了硬件設備一般沒有的安全問題。不同的服務器虛擬化平臺，構建虛擬交換機的方法也是不同的。有的能夠實現網段隔離，有的不能。虛擬化技術中的虛擬交換機，如果不具備硬件交換機的安全性和隔離性，一個虛擬機就可能捕捉到物理主機發送和接收的任何流量，此時的虛擬交換機處于混亂和封閉狀態，管理員無法走近虛擬交換機，插入筆記本電腦，對一個虛擬的網絡端口進行鏡像，不能用傳統的方法進行監控和檢測，或者查看虛擬設備的統計信息，不能使用簡單的工具進行有效的監控和故障排除。

　　3) 防病毒、補丁管理在每個虛擬機上都部署防病毒軟件，管理員就要對每個虛機進行登錄、管理、監控、維護，進行病毒庫升級、軟件故障處理等，這樣會造成管理的復雜。補丁部署、病毒庫升級會消耗大量的網絡帶寬。有時會阻塞對重要業務應用的訪問，這會嚴重破壞業務應用的連續性。

　　4) 數據安全

　　數據通常是最有價值的資產，同其它資產相比，需要以更大的警惕性保護數據，這一論點證明起來非常容易。

    對數據進行加密，這樣，即使入侵者能夠突破安全防護措施，或者由于配置錯誤使得未經授權的人能夠訪問到該數據，數據也不會被泄露。對傳送中的數據進行加密，數據通過公用基礎設施進行傳遞，并且可能會在傳遞過程被監聽。KnowThreat安全公司的創始人兼首席顧問L.Taylor Banks建議：用戶將所有數據存儲到云中之前，先在本地加密數據，密鑰管理要放在本地進行。

　　5、服務器虛擬化安全方法

　　從大多數方面來看，保護虛擬系統的安全與保護獨立服務器的安全沒有什么不同，同樣的最佳安全實踐依然適用。Unisys公司系統和技術部門首席安全設計師兼Skybox Security公司客戶顧問委員會顧問ChrisHoff說：“你平時怎樣保護服務器安全，現在就要以同樣的方法來保護虛擬機安全”。然而在虛擬系統中多了一個Hypervisor層。多了一個虛擬交換機，管理人員無法觸及到這個虛擬交換機，這就有了新的安全問題。

　　在服務器虛擬化平臺部署過程中可以使用下列方法：

　　1) 在DMZ區運行

　　由于服務器內部的虛擬機通信是通過虛擬交換機來傳送的。因此對外部網絡安全控制機制來說是看不見的，應根據應用程序類型和數據敏感程度，把虛擬機隔離到“安全區”。虛擬機應該使用DMZ主機系統的加固方案的最佳實踐，只開放應用所需的必要服務。

　　美國芝加哥Cars.com公司技術操作總監Edward Christensen也采取相同的做法對架構中的虛擬機進行隔離。他說：“確保IT環境安全的通常做法就是在數據庫和應用層之間建立防火墻。但是當你處在虛擬環境下，問題就復雜多了”。將虛擬的應用服務器與數據庫服務器網段相互隔離，即把數據庫服務器放置在另外一個對虛擬的應用服務器而言的DMZ區。

圖3 虛擬機的隔離

　　2) 虛擬機訪問控制機制

　　保護虛擬機之間的通信安全是基本原則。很多應用要在虛擬機之間進行的通信，不能做虛擬機之間通信是完全安全的假設。有些虛擬交換機的工作方式類似集線器，沒有隔離機制，將每個虛擬網絡端口鏡像到所有其他端口，目前，大部分的服務器虛擬化軟件產品中已經解決這個問題。

　　在非虛擬化環境下，已有一些安全模型和方法可用來確保對操作系統的安全訪問，Bell-LaPadula模型(簡稱BLP模型)，SLCF(security labelcommon framework)框架、多級安全(multilevel security簡稱MLS）機密性策略，基于角色的訪問控制制(role-based access control，RBAC)。虛擬化環境下的Virt-BLP模型，實現了虛擬機通信場景下的強制訪問控制和多級安全，適用于多級安全的強制訪問控制(mandatory accesscontrol，MAC)框架，實現更細粒度地決定虛擬機間通信的類型，實現虛擬機間的多級安全。

　　3) 虛擬機安全度量機制

　　數據安全公司Verdasys副總裁兼首席科學家Dan Geer曾說：“安全度量的目的就是進行風險管理決策。度量并不需要十全十美，如果你以后能夠擁有更好的度量，那就再好不過了。”沒有好的度量，數據安全方面就不會取得很大的進步。風險管理并非對過去的解釋，而是對將來的預測，必須盡量做好安全度量。

　　IBM曾提出完整性度量框架(integrity measurement architecture。IMA)，也適用于虛擬化的安全度量，評估應用程序安全計劃的有效性。同樣也可引入COBIT(Control Objectives for Information and related Technology)，目前CoBIT已經演變成IT治理框架，可引入CoBIT的四個過程：PO-AI-DS-ME，來建立安全計劃的度量指標。

    4) 控制虛擬機的數量

    創建虛擬機只要短短幾分鐘，但虛擬機數量越多，面臨的安全風險也越大，導致管理、維護性能及配置供應的能力出現滯后。

    5) 合理使用虛擬機的快照、復制技術

    虛擬機的快照技術能夠在錯誤出現時讓損失降到最低，是虛擬機在特定時刻的狀態、磁盤數據和配置等基于文件的一種保存方式，適當使用可以將虛擬機恢復到任何以前有正常快照的狀態。虛擬機快照、復制技術頻繁使用會占用很大的存儲空間，可能導致物理機I/O資源的大量消耗，虛擬機也可能因此崩潰，影響應用的正常運行。

    6) 限制虛擬化管理平臺管理員權限的發放

　　如果賦予了訪問虛擬化管理平臺的管理員級別權限，也就是賦予了訪問所有數據的權限。應特別注意管理員權限得發放數量，以免虛擬機數量激增，擴大安全風險。

　　虛擬機被封裝為單個或多個虛擬磁盤文件，虛擬機的便攜性帶來非常高的風險。以前偷走一臺服務器是很困難的，但是現在虛擬化管理平臺被入侵或不合理使用后，虛擬機可以被輕松拷貝，然后在另一個虛擬化平臺進行還原，一臺服務器的數據就如此輕易的被盜了。因此必須合理控制虛擬機訪問權限，無論是在線的還是離線的虛擬機文件都必須獲得嚴格的管理和控制。

　　7) 部署虛擬化專用工具

　　部署虛擬化專用產品進行虛擬化平臺的防病毒部署、補丁管理、行為審計、運維管理，從物理層、邏輯層，再到業務層、流程管理，對系統進行全面監控、預警、告警和故障分析。相應的產品有BigFix、AuditPro、Stone ITSM、SteelEye等。

　　6、結束語

　　服務器虛擬化有著節省運營成本、提高服務器的利用率，便于管理維護，動態地改善IT基礎架構的性能和效率，實現應用的快速部署，備份的快速恢復，應用升級前的測試以及升級失敗后的快速回退，集中的性能監控和告警，保持業務的連續性，真正實現綠色計算等諸多優勢，吸引了越來越多的用戶。現階段服務器虛擬化平臺也存在著嚴重的信息安全問題。提出了安全技術的挑戰。

    本文從服務器虛擬化的概念、技術原理和目前存在的安全問題出發，探討了提高服務器虛擬化環境下信息安全應采用的一些策略和方法。虛擬化安全是必要的投資，與使用物理機器一樣，也同樣需要安全保障。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：服務器虛擬化的安全實現研究

本文網址：http://www.guhuozai8.cn/html/consultation/10839613436.html