虛擬服務(wù)器安全存在的問題及策略

劉艷麗

摘要：虛擬化是利用程序?qū)τ嬎銠C進行相應(yīng)的邏輯表示表達，讓其能夠不會受到運行環(huán)境的影響，并且能夠使用通用的方式進行訪問、資源維護和查看。結(jié)合虛擬服務(wù)器的現(xiàn)狀，分析虛擬服務(wù)器所帶來的一些安全問題，并且需找相應(yīng)的解決方案，其中包括機房的管理、防火墻的配置和抵御系統(tǒng)，通過分析服務(wù)的安全措施使用新的技術(shù)手段，尋得更好的解決虛擬服務(wù)器安全的安全對策。

關(guān)鍵詞：虛擬服務(wù)器 安全問題 解決方案 VEPA

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1007-9416（2016）05-0000-00

伴隨著科學(xué)水平的不斷提高，信息技術(shù)不斷的發(fā)展，服務(wù)器的形態(tài)也發(fā)生了很大的改變，從最初的塔式服務(wù)器演變成機架式服務(wù)器再到的刀片式服務(wù)器，相應(yīng)的服務(wù)系統(tǒng)和應(yīng)用模式也不斷變化，尤其是近幾年發(fā)展的虛擬服務(wù)器。虛擬服務(wù)器是一種新型的應(yīng)用模式，它能夠讓很多臺物理服務(wù)器聯(lián)合使用，只要安裝虛擬服務(wù)器軟件就可以讓他成為一個能夠符合許多操作系統(tǒng)的平臺。虛擬服務(wù)器的不光是在物理服務(wù)器上和一個操作系統(tǒng)上的應(yīng)用，一組虛擬服務(wù)器可以承載多個操作系統(tǒng)，每個操作系統(tǒng)的需求都能被科學(xué)的方法進行分配系統(tǒng)資源，而且每個虛擬系統(tǒng)之間存在獨立的邏輯關(guān)系。

1虛擬服務(wù)器的安全分析

1.1虛擬服務(wù)器的安全隱患

虛擬服務(wù)器具備相比傳統(tǒng)服務(wù)器的強大優(yōu)勢，它可以將依據(jù)信息的應(yīng)用來分配系統(tǒng)資源，而且至只占用一組刀片服務(wù)器，虛擬完成后可以負(fù)載一百多個常規(guī)的應(yīng)用信息，還可以將大量的系統(tǒng)資源分配給需要大量訪問的服務(wù)器。但是并不代表這樣的虛擬服務(wù)器就是沒有缺點的，虛擬服務(wù)器也是具有一定的安全隱患的。服務(wù)器在安全方面分為數(shù)據(jù)安全和系統(tǒng)安全，一般受到的攻擊是來自內(nèi)網(wǎng)和外網(wǎng)的，像數(shù)據(jù)盜取、系統(tǒng)攻擊這類的攻擊是來自網(wǎng)絡(luò)。一般服務(wù)器的網(wǎng)絡(luò)口都是配備防御措施的，用來抵擋來自外網(wǎng)的攻擊，但是沒有辦法抵御來自局域網(wǎng)內(nèi)的攻擊。對于局域網(wǎng)內(nèi)的攻擊，通常在內(nèi)部交換機上設(shè)置訪問的控制標(biāo)來進行解決。虛擬服務(wù)器有可能處于一片刀機中，通過虛擬化平臺上的虛擬交換機進行數(shù)據(jù)交換而不經(jīng)過物理交換機。虛擬交換機僅僅可以提供二層數(shù)據(jù)的交換，并不支持安全訪問控制，造成了在數(shù)據(jù)交換的過程中不安全性。另一方面系統(tǒng)中的防火墻等安全防御軟件會占用很多資源，產(chǎn)生系統(tǒng)資源的浪費，這會使虛擬服務(wù)器的高效率大打折扣。是我們在當(dāng)前階段急需解決的問題。

1.2虛擬服務(wù)器的安全分析

虛擬機的抽象資源是由虛擬機監(jiān)控器提供的，而這種資源共享技術(shù)會導(dǎo)致新的安全風(fēng)險發(fā)生。虛擬機監(jiān)控器由于自生理論模式不完善存在漏洞而被攻擊時，很容易使虛擬機發(fā)生逃逸，使攻擊者可以隨意出入主機系統(tǒng)和運行其他虛擬機的權(quán)利，這是對虛擬機最為嚴(yán)重的安全隱患。網(wǎng)絡(luò)構(gòu)架最大的變化就是網(wǎng)絡(luò)邊界的消失，服務(wù)器安全與網(wǎng)絡(luò)安全之間的融合。在傳統(tǒng)的模式中，每一個物理機上都有各自的安全產(chǎn)品進行防御保護，并且在外圍又設(shè)置防火墻和網(wǎng)關(guān)，安全性能十分高。而虛擬服務(wù)器使用了新型的網(wǎng)絡(luò)模型，多個操作系統(tǒng)和應(yīng)用程序都是憑借虛擬機的形態(tài)部署在物理服務(wù)器上，這些虛擬機都能使用物理服務(wù)器的資源，虛擬機的網(wǎng)絡(luò)流量能夠不被外網(wǎng)所感知，但是如果一臺虛擬機發(fā)生了安全問題，其他的虛擬機也會有安全隱患。而虛擬機的泛濫使用，也會嚴(yán)重的影響主機的內(nèi)存、資源和處理器，造成因服務(wù)器的負(fù)荷運作而導(dǎo)致的物理主機崩潰和虛擬機應(yīng)用中斷。虛擬機的在線遷移會導(dǎo)致虛擬機在不中斷應(yīng)用的情況下在不同的物理主機之間的遷移，增加了服務(wù)器的安全隱患。

2解決虛擬服務(wù)器的方案

2.1構(gòu)建合適的機房管理制度

俗話說沒有規(guī)矩不成方圓，想要一個組織進行良好的運作必須要有相對科學(xué)的制度管理，定制的機房管理制度要規(guī)范使用機器的制度、監(jiān)督上機操作的規(guī)范性，要求專人專機并且有專門的負(fù)責(zé)人員對其進行監(jiān)管，培養(yǎng)良好科學(xué)的使用習(xí)慣。使用合適的管理制度能夠讓信息設(shè)備的安全獲得保障，在出現(xiàn)問題師可以利用排查和解決，還能避免閑雜人員對服務(wù)器的錯誤操作造成的損失。在進入機房后任何上機的操作都必須記錄下來，方便日后出現(xiàn)問題時有效的解決。

2.2建立數(shù)據(jù)中心

安全備份是服務(wù)器應(yīng)用系統(tǒng)存儲和運算得出的數(shù)據(jù)不能缺少的，而服務(wù)器應(yīng)該在計算處理和對需求的快速反饋方面體現(xiàn)出它的性能，不是浪費在信息存儲方面。單臺的物理服務(wù)器的存儲空間是有限的，在使用磁盤陣列以后，可以在一定程度上提供數(shù)據(jù)的備份，但是會造成存儲的空間大幅縮小的問題。在很多網(wǎng)絡(luò)應(yīng)用所產(chǎn)生的數(shù)據(jù)的存儲過程中，繼續(xù)配置數(shù)據(jù)中心。所謂數(shù)據(jù)中心是一種集中存儲的方式，由專用的存儲服務(wù)器所組成，既能集中部署，還能分布式部署，在通過高速網(wǎng)絡(luò)和各個服務(wù)器進行連接，具有十分可觀的存儲空間并且具有擴充性，可以承載上百塊的高速硬盤的運作，還能滿足整個機房服務(wù)器的所有需求。分布式的存儲模式是屬于虛擬存儲，它讓所保存的數(shù)據(jù)具有了災(zāi)備能力。當(dāng)前主流的實施策略是根據(jù)每個機房的不同情況，使用適合機房特點的虛擬存儲用以配合虛擬服務(wù)器的制備和運作。服務(wù)器端只保留必要的系統(tǒng)文件，是高效可行的。

2.3配置防御系統(tǒng)

配置防御系統(tǒng)是指配置防火墻和入侵防御系統(tǒng)。傳統(tǒng)的服務(wù)器容易遭到外網(wǎng)的病毒侵害，虛擬服務(wù)器也存在這一安全隱患。為了防止受到外網(wǎng)的侵害的而設(shè)置防御系統(tǒng)和防火墻。當(dāng)受到來自外部網(wǎng)絡(luò)的攻擊是，性能優(yōu)良的防火墻可以保證自己平安無事并且可以截斷非法的數(shù)據(jù)包。一部包過濾式的路由器或者一臺雙網(wǎng)關(guān)的主機就能組成防火系統(tǒng)，屏蔽子網(wǎng)防火墻是現(xiàn)在比較成熟和安全性較高的防火墻，它的安全策略在應(yīng)用層和網(wǎng)絡(luò)層中工作。屏蔽子網(wǎng)防火墻是由被屏蔽子網(wǎng)和兩部包過濾式的路由器所構(gòu)成的，被屏蔽子網(wǎng)內(nèi)有具有安全設(shè)置的堡壘主機和簡單的應(yīng)用服務(wù)器，兩部包過濾式路游器的功效是分別截斷來自外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的直接訪問，達到只允許內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)與非軍事區(qū)的主機之間的通訊。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之中所有的數(shù)據(jù)都通過非軍事區(qū)的堡壘主機中進行中轉(zhuǎn)，保證了服務(wù)器的安全。入侵防御系統(tǒng)是由檢測系統(tǒng)和防火墻融合的的產(chǎn)物，入侵防御系統(tǒng)可以對通訊所產(chǎn)生的數(shù)據(jù)進收集和分析，在檢測出違背安全策略的攻擊行為后對其進行阻斷。入侵檢測系統(tǒng)在一定程度上彌補了防火墻不能識別通信數(shù)據(jù)的缺點。入侵防御系統(tǒng)的檢測手段又分為轉(zhuǎn)換分析、神經(jīng)網(wǎng)絡(luò)法、概率統(tǒng)計法和模型推理法，而常見的是專家系統(tǒng)。

2.4服務(wù)器的安全策略

服務(wù)器的自身安全包括軟件維護和操作系統(tǒng)，它們需要使用正版的應(yīng)用軟件進行定期的升級維護。使用一種合適的殺毒系統(tǒng)能夠有效的抵御來自網(wǎng)絡(luò)的木馬病毒植入，還可以預(yù)防因為操作不恰當(dāng)導(dǎo)致的病毒感染。服務(wù)器所提供的信息應(yīng)用的數(shù)目越多，受到病毒攻擊的可能性就越大，所以將不必要的系統(tǒng)服務(wù)關(guān)閉，在一定程度上可以使安全系數(shù)得到提高。而來自局域網(wǎng)尤其的是服務(wù)器機房內(nèi)部的攻擊，只能在網(wǎng)絡(luò)交換機上設(shè)定安全策略來使受到攻擊的可能降低。交換機安全策略是指虛擬局域網(wǎng)和訪問控制列表。訪問控制列表是普遍使用的安全措施，它能夠通過對數(shù)據(jù)幀中的源地址、端口號、協(xié)議類型的對比，來判斷是否符合規(guī)則，作出丟棄數(shù)據(jù)幀或者放行數(shù)據(jù)幀的動作，達到對一些訪問和數(shù)據(jù)傳輸控制的目的。虛擬局域網(wǎng)可以增強局域網(wǎng)內(nèi)的安全性，不同的虛擬局域網(wǎng)的數(shù)據(jù)幀在傳輸?shù)倪^程中是相互獨立的，就是說一個虛擬局域網(wǎng)中的用戶不可以跟其他的虛擬局域網(wǎng)中的用戶進行直接通訊的，將一些安全需求高的服務(wù)器設(shè)置在獨立的虛擬局域網(wǎng)中，可以大大降低受到攻擊的幾率。

2.5解決共享技術(shù)帶來的問題

想要良好的解決共享技術(shù)所帶來的問題，除了加強虛擬機監(jiān)控器的安全策略，并且設(shè)計能夠支持不同級別的安全性和不同硬件分區(qū)的防御策略以外，還應(yīng)該將虛擬機的隔離和封裝機制進行優(yōu)化處理，達到增加內(nèi)存的保護和在出現(xiàn)故障后及時隔離的機制。與此同時在運行的過程中，對未經(jīng)授權(quán)的訪問操作進行嚴(yán)格的監(jiān)控，使虛擬機的安全系數(shù)得到提高。

2.6解決虛擬機濫用和在線遷移問題

加強服務(wù)器資源的監(jiān)控和容量的分析功能能夠很好的防止虛擬機的濫用情況發(fā)生，因為會定期將占用的資源進行報告，在出現(xiàn)突發(fā)變化時會發(fā)出警報。同時還要規(guī)范內(nèi)部人員的行為，使他們的安全意識得到提高，并且對虛擬機加密和訪問授權(quán)等安全措施。而解決虛擬機的在線遷移問題，需要增強對遷移數(shù)據(jù)的加密工作，制定良好的安全遷移策略，加強對虛擬機生命周期的管理，達到使虛擬機的安全隱患消除的目的。

3結(jié)語

虛擬服務(wù)器是學(xué)術(shù)界的研究熱點，它與傳統(tǒng)服務(wù)器相比具有優(yōu)良的使用價值和優(yōu)勢，可以節(jié)約客戶的資源等。當(dāng)然虛擬服務(wù)器的安全問題也是我們不能忽視的問題，所以我們要努力避免這些問題的發(fā)生，提高虛擬服務(wù)器的信息安全性，保證用戶的信息安全。

參考文獻

[1]顧勤豐.虛擬服務(wù)器安全存在的問題及應(yīng)對策略[J].信息通信，2014，（7）：109-109，110. [2]張百盛.虛擬服務(wù)器管理技術(shù)在機房管理中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014，（11）：114-115.

[3]侯程偉.虛擬服務(wù)器安全存在的問題及對策[J].電腦知識與技術(shù)，2012，（31）：7444-7445.