試析云計(jì)算虛擬化安全技術(shù)

張 野

（遼寧行政學(xué)院，遼寧沈陽(yáng)，110161）

試析云計(jì)算虛擬化安全技術(shù)

張 野

（遼寧行政學(xué)院，遼寧沈陽(yáng)，110161）

通過(guò)云計(jì)算虛擬化安全技術(shù)，可以有效提升數(shù)據(jù)中心基礎(chǔ)資源的使用效率，避免由于黑客的入侵而影響到用戶個(gè)人信息的安全性與穩(wěn)定性，將云計(jì)算服務(wù)推升至全新的高度和深度。本文主要針對(duì)云計(jì)算虛擬化安全技術(shù)展開(kāi)深入的研究，重點(diǎn)闡述云計(jì)算虛擬化安全技術(shù)架構(gòu)，以供相關(guān)人士的借鑒。

云計(jì)算；虛擬化安全技術(shù)；架構(gòu)

0 引言

目前，在計(jì)算機(jī)互聯(lián)網(wǎng)技術(shù)的強(qiáng)大推動(dòng)下，云計(jì)算虛擬化安全技術(shù)的應(yīng)用越來(lái)越廣泛，使云計(jì)算服務(wù)發(fā)生了前所未有的改變，可以保證用戶個(gè)人信息的安全性與穩(wěn)定性。根據(jù)虛擬化安全問(wèn)題可以看出，云計(jì)算對(duì)現(xiàn)代社會(huì)生活產(chǎn)生了極其深遠(yuǎn)的影響，也改變了以往傳統(tǒng)的商業(yè)模式。加強(qiáng)云計(jì)算虛擬化安全技術(shù)的應(yīng)用，可以避免信息安全隱患的發(fā)生，維護(hù)云服務(wù)商和廣大用戶的合法權(quán)益。

1 云計(jì)算虛擬化安全技術(shù)的相關(guān)概述分析

虛擬化技術(shù)是云計(jì)算技術(shù)的關(guān)鍵所在，通過(guò)對(duì)軟硬件分時(shí)服務(wù)、模擬以及仿真執(zhí)行等技術(shù)的使用，可以保證通過(guò)單個(gè)計(jì)算機(jī)物理設(shè)備進(jìn)行多個(gè)相互隔離硬件執(zhí)行環(huán)境的模擬，進(jìn)而被稱為虛擬機(jī)，為用戶運(yùn)行多個(gè)操作系統(tǒng)個(gè)應(yīng)用程序提供了極大的便利條件，虛擬機(jī)結(jié)構(gòu)圖如圖1所示。

圖1 虛擬機(jī)結(jié)構(gòu)圖

通過(guò)對(duì)圖1的理解，虛擬機(jī)監(jiān)控器的附加層位于虛擬機(jī)中運(yùn)行的操作系統(tǒng)和底層硬件資源之間，主要負(fù)責(zé)管理底層的硬件資源，將其分配到上層運(yùn)行的虛擬機(jī)。VMM 具有著較高的控制權(quán)利，可以有效控制上層虛擬機(jī)和其中操作系統(tǒng)的運(yùn)行狀況。

同時(shí)，操作系統(tǒng)和底層硬件資源之間的交互需要借助虛擬機(jī)監(jiān)控器。對(duì)于虛擬化而言，可以對(duì)一個(gè)、多個(gè)相互隔離的執(zhí)行環(huán)境進(jìn)行虛擬，保證虛擬環(huán)境操作系統(tǒng)、應(yīng)用運(yùn)行情況以及真實(shí)物理設(shè)備運(yùn)行情況的一致性與統(tǒng)一性。

2 云計(jì)算虛擬化安全威脅分析

2.1 虛擬機(jī)之間流量不可視

在虛擬化環(huán)境中，每臺(tái)物理機(jī)上具有著較多臺(tái)的虛擬機(jī)，借助虛擬化平臺(tái)，可以為虛擬機(jī)之間提供虛擬交換機(jī)通信。對(duì)于來(lái)自同一個(gè)虛擬交換機(jī)上的虛擬機(jī)，可以實(shí)現(xiàn)相互通信。在虛擬機(jī)出自不同用戶時(shí)，極容易引發(fā)數(shù)據(jù)泄露現(xiàn)象。而且以往傳統(tǒng)的防護(hù)手段處于物理主機(jī)的邊界，如果一臺(tái)物理機(jī)中的多臺(tái)虛擬機(jī)發(fā)生通信，一些流量嚴(yán)重超出了外部安全設(shè)備的監(jiān)控和保護(hù)范圍。

2.2 虛擬機(jī)之間存在著資源共享沖突

在虛擬化環(huán)境的影響下，因?yàn)槎嗯_(tái)虛擬機(jī)共同享用同一種物理機(jī)資源，資源競(jìng)爭(zhēng)現(xiàn)象屢禁不止。如果很難通過(guò)正確配置限制單一虛擬機(jī)的可用資源[1]，一些個(gè)別虛擬機(jī)的資源占用現(xiàn)象經(jīng)常發(fā)生，也造成了其他虛擬機(jī)拒絕服務(wù)。同時(shí)，如果利用同一物理機(jī)上的虛擬機(jī)進(jìn)行病毒掃描，在物理機(jī)資源消耗殆盡時(shí)，便會(huì)出現(xiàn)宕機(jī)，進(jìn)而出現(xiàn)虛擬機(jī)業(yè)務(wù)中斷。

2.3 云數(shù)據(jù)安全風(fēng)險(xiǎn)的出現(xiàn)

其一，海量用戶數(shù)據(jù)集中進(jìn)行存儲(chǔ)，為黑客的入侵和攻擊提供了“機(jī)會(huì)”；其二，大多數(shù)租戶共享存儲(chǔ)資源，用戶數(shù)據(jù)和系統(tǒng)數(shù)據(jù)均共同保存起來(lái)，數(shù)據(jù)混淆在一起，不利于對(duì)重要數(shù)據(jù)進(jìn)行可針對(duì)性的處理，一旦在對(duì)不同用戶的存儲(chǔ)數(shù)據(jù)隔離出現(xiàn)問(wèn)題，將會(huì)造成數(shù)據(jù)泄露風(fēng)險(xiǎn)；最后，虛擬機(jī)數(shù)據(jù)往往以明文方式存儲(chǔ)起來(lái)，如果遭受到了突如其來(lái)的入侵，由于虛擬機(jī)之間一些流量很難直接看出來(lái)，再加上流量行為審計(jì)的嚴(yán)重缺失，黑客會(huì)將數(shù)據(jù)轉(zhuǎn)移到其他虛擬機(jī)或外部服務(wù)器，用戶在短時(shí)間內(nèi)很難察覺(jué)到數(shù)據(jù)已經(jīng)被盜用。

3 云計(jì)算虛擬化安全技術(shù)架構(gòu)分析

3.1 基于KVM的虛擬化安全技術(shù)框架

要想解決KVM虛擬化安全問(wèn)題的蔓延，要提高對(duì)虛擬化層和虛擬化機(jī)安全問(wèn)題的重視 程度。現(xiàn)階段，KVM已經(jīng)被RHEL、CENTOS等作為內(nèi)核集成到Linux操作系統(tǒng)之中。通過(guò)KVM虛擬化功能可以看出，需要Linux中的QEMU、KVM模塊來(lái)共同完成。CPU、內(nèi)存以及存儲(chǔ)等是KVM模塊的重要組成部分，主要負(fù)責(zé)調(diào)用宿主機(jī)硬件資源，為虛擬機(jī)資源的合理分配提供一定的便利性。

（1）QEMU模塊安全

在虛擬化模塊中，QEMU扮演著極其重要的角色，如果黑客入侵或攻擊，所有虛擬機(jī)實(shí)例將會(huì)被控制起來(lái)，由此造成用戶數(shù)據(jù)的泄漏現(xiàn)象，這些虛擬機(jī)已經(jīng)成為了黑客的攻擊工具之一，嚴(yán)重影響著CSP。因此，QEMU模塊的安全補(bǔ)丁要及時(shí)進(jìn)行更新與維護(hù)。

（2）KVM模塊安全

如果發(fā)現(xiàn)KVM模塊存有薄弱點(diǎn)和空白點(diǎn)，黑客就會(huì)直接調(diào)用CPU、內(nèi)存以及網(wǎng)絡(luò)等主機(jī)上的物理資源，限制著整個(gè)云服務(wù)的正常運(yùn)轉(zhuǎn)。因此，要在KVM模塊中構(gòu)建相應(yīng)的安全機(jī)制。

3.2 構(gòu)建虛擬化集中管理和控制平臺(tái)

基于虛擬機(jī)個(gè)體視角來(lái)分析，不能僅僅局限于對(duì)云計(jì)算虛擬化安全問(wèn)題的考慮。一旦云平臺(tái)出現(xiàn)問(wèn)題，將會(huì)造成大面積虛擬機(jī)故障，不鱸魚(yú)云的正常運(yùn)行。而且對(duì)于每一臺(tái)虛擬機(jī)或云服務(wù)器來(lái)說(shuō)，必須要部署一定的安全組件，切忌過(guò)多地依賴運(yùn)行維護(hù)人員的手動(dòng)配置，以免造成安全措施部署和更新的滯后現(xiàn)象，CSP的運(yùn)維成本也會(huì)由此上漲。因此，CSP需要借助虛擬化集中管控平臺(tái)，來(lái)對(duì)所有虛擬機(jī)和安全組件進(jìn)行集中管理，具體涵蓋的功能圖如圖2所示。

（1）云平臺(tái)完整性監(jiān)視

一旦云平臺(tái)組件被惡意修改，極容易影響云平臺(tái)的安全性與穩(wěn)定性，造成數(shù)據(jù)的泄漏，由此可以看出，維護(hù)云平臺(tái)的完整性[2]，對(duì)CSP產(chǎn)生了極其深遠(yuǎn)的影響。要加大云平臺(tái)信息和狀態(tài)的監(jiān)督與控制力度，切實(shí)維護(hù)好云平臺(tái)的完整性。并且要在第一時(shí)間內(nèi)向管理人員告知系統(tǒng)平臺(tái)和組件的變化情況，確保云平臺(tái)的高效運(yùn)行。

圖2 虛擬化集中管控平臺(tái)框架圖

（2）虛擬機(jī)數(shù)據(jù)行為審計(jì)與警示

通過(guò)虛擬化防火墻，可以有效提升單臺(tái)虛擬機(jī)流量的安全性與可靠性。然而很難直接判斷虛擬機(jī)的數(shù)據(jù)出現(xiàn)的異?，F(xiàn)象。因此，要積極構(gòu)建虛擬化集中管控平臺(tái)，利用虛擬化防火墻上傳的流量日志來(lái)進(jìn)行審計(jì)，及時(shí)發(fā)現(xiàn)流量異常行為，向運(yùn)維人員發(fā)出一定的提示，以免其他沒(méi)有授權(quán)的虛擬機(jī)或外部服務(wù)器來(lái)盜用用戶的個(gè)人信息。

4 結(jié)束語(yǔ)

應(yīng)用云計(jì)算虛擬化安全技術(shù)勢(shì)在必行，具有著實(shí)質(zhì)性的指導(dǎo)意義，提升云計(jì)算服務(wù)的能力和水平。深入分析云計(jì)算虛擬化環(huán)境中的安全問(wèn)題，及時(shí)采取相應(yīng)的解決對(duì)策，正確理解和運(yùn)用云計(jì)算虛擬化安全技術(shù)架構(gòu)，維護(hù)用戶個(gè)人信息的完整性，獲取用戶高度的滿意度，創(chuàng)建良好的云氛圍。

[1]金明日,馬春艷,梁霞.網(wǎng)絡(luò)安全技術(shù)在云計(jì)算背景下的實(shí)現(xiàn)路徑[J].信息與電腦(理論版),2016,(14):69-70.[2017-10-12].

[2]黃昊.智能電網(wǎng)中虛擬化云計(jì)算的應(yīng)用和安全技術(shù)分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014,(03):111-112.[2017-10-12].

Virtual security technology of cloud computing

Zhang Ye
（Liaoning Academy of Governance，Shenyang Liaoning,110161）

This paper focuses on cloud computing virtualization security technology to carry out in-depth research, focusing on cloud computing virtualization security technology architecture, for the reference of the relevant people.

cloud computing;virtualization security technology;architecture