數(shù)據(jù)中心虛擬化安全性研究

高遵富，張居庫(kù)，程 輝

（中國(guó)石油遼河油田公司，遼寧 盤錦 124010）

隨著虛擬化技術(shù)不斷向前發(fā)展，許多企業(yè)數(shù)據(jù)中心面臨著實(shí)施虛擬化的需要。虛擬化所具有的優(yōu)勢(shì)，如服務(wù)器的整合、更快的硬件、使用上的簡(jiǎn)單、靈活的快照技術(shù)等，都使得虛擬化［1］更加引人注目。整合、節(jié)省成本、動(dòng)態(tài)配置和動(dòng)態(tài)遷移等因素正在推動(dòng)虛擬系統(tǒng)在數(shù)據(jù)中心的應(yīng)用。在這里，技術(shù)再次走在了最佳的安全方法的前面。隨著機(jī)構(gòu)對(duì)災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性的重視，從2009年開始，企業(yè)所在公司陸續(xù)開展了VMware和Hyper－V的虛擬化應(yīng)用，現(xiàn)在已廣泛運(yùn)用在油田的業(yè)務(wù)和生產(chǎn)中。通過近幾年的應(yīng)用，我們更加關(guān)注這種繁榮背后的隱憂，探討服務(wù)器虛擬化的安全問題極有必要。

1 服務(wù)器虛擬化安全問題的提出

（1）如果主機(jī)受到破壞，那么主要的主機(jī)所管理的客戶端服務(wù)器有可能被攻克。

（2）如何保障客戶端共享和主機(jī)共享的安全？因?yàn)檫@些共享有可能被不法之徒利用其漏洞。

（3）主機(jī)利用率多大為最好，能承載多少虛擬機(jī)？

（4）虛擬機(jī)之間通話是否安全？

（5）虛擬機(jī)補(bǔ)丁如何更新？還需要在所有的虛擬機(jī)上都安裝防護(hù)系統(tǒng)嗎？

2 服務(wù)器虛擬化可能引起的安全風(fēng)險(xiǎn)分析

2.1 虛擬化技術(shù)給數(shù)據(jù)中心架構(gòu)帶來新的安全風(fēng)險(xiǎn)［2］

虛擬化技術(shù)改變了數(shù)字中心的網(wǎng)絡(luò)架構(gòu)，產(chǎn)生了新的安全問題。采用虛擬化技術(shù)以前，數(shù)據(jù)中心是由網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)三大層次組成，但各服務(wù)器和存儲(chǔ)都是獨(dú)立存在，被網(wǎng)絡(luò)分割在不同的隔離區(qū)內(nèi)，被各自的安全規(guī)則和防火墻所控制，出現(xiàn)問題時(shí)造成的危害被限制在一個(gè)狹小的隔離區(qū)內(nèi)，影響不大。但采用虛擬化后，所有的虛擬機(jī)都處于防火墻內(nèi)，虛擬機(jī)之間處于安全空白地帶，如果有一臺(tái)虛擬機(jī)發(fā)生問題，危害就會(huì)擴(kuò)展到整個(gè)虛擬化系統(tǒng)。

2.2 虛擬化服務(wù)器出現(xiàn)負(fù)載過重或崩潰

服務(wù)器虛擬化就是將多個(gè)現(xiàn)獨(dú)立的虛擬操作系統(tǒng)在單一的物理計(jì)算機(jī)上運(yùn)行，這可以最大化地利用服務(wù)器。但是，無論什么服務(wù)器都有各自的性能極限，不同的虛擬機(jī)在爭(zhēng)奪有限的資源時(shí)，可能會(huì)出現(xiàn)網(wǎng)絡(luò)和性能瓶頸，從而引起服務(wù)器過載或崩潰［3］，造成部分或全部業(yè)務(wù)的中斷或崩潰，它比常規(guī)環(huán)境中一臺(tái)服務(wù)器崩潰引起一個(gè)應(yīng)用中斷帶來的問題要嚴(yán)重得多。

2.3 虛擬化補(bǔ)丁引起的安全問題

由虛擬機(jī)補(bǔ)丁引起的安全問題有兩種情況：一是虛擬機(jī)眾多，不能及時(shí)對(duì)各虛擬機(jī)進(jìn)行補(bǔ)丁更新；二是鏡像經(jīng)常處于沉默狀態(tài)，不能及時(shí)得到最新的補(bǔ)丁和病毒特征。

3 服務(wù)器虛擬化安全風(fēng)險(xiǎn)相關(guān)對(duì)策

管理虛擬安全問題：首先，也是最重要的，企業(yè)應(yīng)該分析自己使用的虛擬平臺(tái)的具體風(fēng)險(xiǎn)。要知道這個(gè)架構(gòu)的變化如何影響到現(xiàn)有的安全管理系統(tǒng)。企業(yè)IT部門在向虛擬機(jī)遷移或者應(yīng)用虛擬機(jī)之前還應(yīng)該制訂戰(zhàn)術(shù)層面和戰(zhàn)略層面安全計(jì)劃。這些安全計(jì)劃是通過對(duì)現(xiàn)有的虛擬安全進(jìn)行綜合分析實(shí)現(xiàn)的。同時(shí)還要計(jì)劃應(yīng)付虛擬平臺(tái)未來的安全威脅?？偟膩碚f，作為整個(gè)虛擬化安全架構(gòu)的一部分，數(shù)據(jù)中心應(yīng)該把重點(diǎn)放在以下幾個(gè)方面：

3.1 數(shù)據(jù)中心架構(gòu)安全保障

傳統(tǒng)的DMZ設(shè)置現(xiàn)在已經(jīng)不能滿足虛擬化對(duì)網(wǎng)絡(luò)架構(gòu)的安全需要。虛擬化之后，所有的虛擬機(jī)器很可能就集中連接到同一臺(tái)虛擬交換器（如 VMwareESX/ESXi，微軟的 Hyper－V），或者由虛擬—實(shí)體網(wǎng)卡之間的橋接（如VMwareServer/Workstation，微軟的VirtualServer/PC），與外部網(wǎng)絡(luò)進(jìn)行通訊。在這種架構(gòu)之下，原本可以通過防火墻采取阻隔的防護(hù)就會(huì)消失不見，屆時(shí)只要一臺(tái)虛擬機(jī)器發(fā)生問題，安全威脅就可以通過網(wǎng)絡(luò)散布到其他的虛擬機(jī)器。虛擬化平臺(tái)的廠商VMware已推出VMsafe的API技術(shù)，VMsafe的運(yùn)作架構(gòu)相當(dāng)簡(jiǎn)單，相當(dāng)于我們?cè)诿恳慌_(tái)虛擬機(jī)器前面放置一臺(tái)安全檢查設(shè)備，去過濾進(jìn)出這些虛擬機(jī)器的所有流量，于是虛擬機(jī)器不需要安裝任何軟件便能得到保護(hù)，而實(shí)際上，殺毒軟件僅是安裝在VMware ESX/ESXi平臺(tái)之上的一臺(tái)虛擬機(jī)器而已，目前各主流安全軟件廠商都已經(jīng)推出了基于虛擬化的安全防護(hù)產(chǎn)品。

3.2 制定合理的部署策略預(yù)防過載

3.2.1 控制虛擬機(jī)的數(shù)量

每臺(tái)服務(wù)器的硬件性能都有其極限值，而每個(gè)應(yīng)用程序的運(yùn)行都有其消耗資源的最低需求，所以虛擬機(jī)的數(shù)量并不是可以無限創(chuàng)建的。要實(shí)時(shí)監(jiān)控設(shè)備的運(yùn)行情況，根據(jù)實(shí)踐情況控制虛擬機(jī)的數(shù)量。創(chuàng)建虛擬機(jī)只要短短幾分鐘，但虛擬機(jī)數(shù)量越多，面臨的安全風(fēng)險(xiǎn)也越大。

3.2.2 嚴(yán)格控制創(chuàng)建流程

創(chuàng)建虛擬服務(wù)器和對(duì)其進(jìn)行維護(hù)要像物理服務(wù)器一樣嚴(yán)格。無論是物理服務(wù)器還是虛擬服務(wù)器，都要通過同樣的流程才能獲得批準(zhǔn)。

3.2.3 控制虛擬機(jī)的部署系統(tǒng)

3.2.3.1 按照位置分開虛擬機(jī)

虛擬安全領(lǐng)域經(jīng)常討論的問題之一是在隔離區(qū)使用虛擬平臺(tái)。經(jīng)?？吹揭粋€(gè)物理虛擬機(jī)主機(jī)在隔離區(qū)運(yùn)行公共的和專有的虛擬機(jī)，這兩個(gè)安全領(lǐng)域的區(qū)分是在軟交換機(jī)上實(shí)施的。在實(shí)踐上，這種架構(gòu)沒有物理環(huán)境的架構(gòu)那樣安全，因?yàn)檫@種架構(gòu)的虛擬機(jī)和物理機(jī)器共享運(yùn)行環(huán)境。消除共享的隔離區(qū)資源的安全威脅的解決方案是在物理上把公共的虛擬機(jī)與專用的虛擬機(jī)分開，在不同的主機(jī)上運(yùn)行和管理這些虛擬機(jī)。

3.2.3.2 按照服務(wù)類型分開虛擬機(jī)

一旦根據(jù)位置分開虛擬資源之后，下一步就是根據(jù)任務(wù)或者服務(wù)分開虛擬機(jī)。換句話說，就是讓全部的網(wǎng)絡(luò)服務(wù)器虛擬機(jī)在一個(gè)資源池和集群中，讓所有的應(yīng)用虛擬機(jī)在另一個(gè)資源池或者集群中。同在隔離區(qū)內(nèi)分開位置一樣，這個(gè)架構(gòu)旨在限制那些與攻破虛擬平臺(tái)有關(guān)的風(fēng)險(xiǎn)。如果一個(gè)攻擊者能夠攻破一個(gè)客戶虛擬機(jī)，在同一個(gè)物理主機(jī)上運(yùn)行的其他客戶機(jī)預(yù)計(jì)也會(huì)被攻破，因?yàn)樗鼈児蚕硗瑯拥倪\(yùn)行環(huán)境。如果在一個(gè)主機(jī)上運(yùn)行的所有的虛擬機(jī)都是相同的并且都執(zhí)行同樣的任務(wù)，而且整個(gè)系統(tǒng)沒有完全暴露，攻擊者不必利用10個(gè)虛擬機(jī)安全漏洞，能夠利用一個(gè)虛擬機(jī)的漏洞就夠了。

3.3 虛擬化補(bǔ)丁安全管理

虛擬機(jī)和平臺(tái)的主要好處之一是能夠方便地創(chuàng)建、移動(dòng)和撤銷虛擬機(jī)，虛擬機(jī)的創(chuàng)建、移動(dòng)和銷毀過程構(gòu)成了虛擬機(jī)的生命周期。

虛擬機(jī)在生命周期的每一步都容易受到安全威脅。當(dāng)從頭開始創(chuàng)建新的虛擬機(jī)的時(shí)候，重要的是要保證虛擬機(jī)使用最新的安全補(bǔ)丁，保證補(bǔ)丁更新的及時(shí)性、嚴(yán)密性、持續(xù)性、兼容性。當(dāng)克隆虛擬機(jī)鏡像和移動(dòng)虛擬機(jī)的時(shí)候，重要的是保持每一個(gè)虛擬機(jī)的“穩(wěn)定狀態(tài)”。同時(shí)，隨著時(shí)間的推移，很容易重復(fù)地克隆一個(gè)使用了補(bǔ)丁的“黃金”鏡像，最終使各種虛擬機(jī)保持各種補(bǔ)丁水平，因此需要在使用的間歇時(shí)間里離線更新最新補(bǔ)丁。通常情況下，在局域網(wǎng)內(nèi)部一般采取如下策略：

（1）制定系統(tǒng)補(bǔ)丁管理制度或辦法；

（2）部署局域網(wǎng)補(bǔ)丁服務(wù)器；

（3）測(cè)試補(bǔ)丁和虛擬化系統(tǒng)的兼容性；

（4）制定補(bǔ)丁分發(fā)策略，定時(shí)、分時(shí)強(qiáng)制補(bǔ)丁更新和升級(jí)病毒庫(kù)；

（5）定期虛擬化系統(tǒng)巡檢，檢查更新狀況。

4 結(jié)論

雖然虛擬平臺(tái)帶來了額外的管理和安全風(fēng)險(xiǎn)，但是虛擬化帶來的各種風(fēng)險(xiǎn)是可以管控的。如果在部署虛擬化系統(tǒng)之前或者在進(jìn)行虛擬化移植之前、期間或者之后能夠充分地考慮到虛擬化技術(shù)因素以及可能帶來的風(fēng)險(xiǎn)，就有可能成功地實(shí)施虛擬基礎(chǔ)設(shè)施遷移。提前進(jìn)行虛擬化系統(tǒng)規(guī)劃，從第一天開始就考慮虛擬化的安全管理問題，企業(yè)就能夠成功地實(shí)現(xiàn)虛擬化的部署，并做到虛擬化環(huán)境比物理環(huán)境更安全。

［1］ 韓寓.服務(wù)器虛擬技術(shù)研究與分析［J］.電腦知識(shí)和技術(shù)，2011，7（7）：1654－1655.

［2］ 余明輝.虛擬化技術(shù)應(yīng)用的風(fēng)險(xiǎn)分析及對(duì)策研究［J］.信息安全與技術(shù)，2010（8）.

［3］ 東緣.實(shí)施虛擬化如何避免服務(wù)器過載.［EB/OL］.［2009－10－19/2009－12－14］.http：//server.ctocio.com.cn/server＿vm/169 /9237669.shtml.