服務(wù)器虛擬化常見(jiàn)的安全隱患與防范策略探討

□扈德昱 王 靜

一、引言

虛擬化是指通過(guò)虛擬化技術(shù)將一臺(tái)計(jì)算機(jī)虛擬為多臺(tái)邏輯計(jì)算機(jī)，它是一個(gè)廣義的術(shù)語(yǔ)，目的是將IT基礎(chǔ)設(shè)施簡(jiǎn)單化。虛擬化的對(duì)象可以包括服務(wù)器、Internet、桌面以及存檔空間的虛擬化。VMware公司作為虛擬化基礎(chǔ)設(shè)施解決方案的領(lǐng)導(dǎo)者曾做過(guò)一項(xiàng)有關(guān)服務(wù)器的研究，研究結(jié)果表明，服務(wù)器的數(shù)量已經(jīng)超過(guò)了人們所需要的數(shù)量，這就導(dǎo)致了IT的成本增加、運(yùn)營(yíng)效率降低等問(wèn)題。服務(wù)器虛擬化將一個(gè)服務(wù)器虛擬為多個(gè)服務(wù)器，使服務(wù)器的數(shù)量得到了很好的控制，直接加快了運(yùn)營(yíng)速率，所有的虛擬機(jī)都有權(quán)限讀取下層服務(wù)器的數(shù)據(jù)以及地址。虛擬化廠商之間也是各有各的法寶，例如Citrix公司生產(chǎn)的虛擬化應(yīng)用就有價(jià)格親民的優(yōu)點(diǎn)，然而其管理性卻不十分出色，IBM公司設(shè)計(jì)的虛擬化生產(chǎn)具有非常龐大的生產(chǎn)線，能夠兼容自家公司的所有應(yīng)用，所以相對(duì)來(lái)說(shuō)成本也會(huì)越高，更是土豪的首選，但他們的產(chǎn)品對(duì)比其他平臺(tái)的產(chǎn)品兼容性來(lái)說(shuō)較差。VMware公司作為虛擬化技術(shù)的先驅(qū)，發(fā)明的產(chǎn)品具有簡(jiǎn)單易操作、可控性強(qiáng)等特點(diǎn)，但是其并未做到信息的虛擬化，他的地位以及在虛擬化行業(yè)的發(fā)展堪憂。而微軟公司的虛擬化技術(shù)已經(jīng)趕超許多虛擬化生產(chǎn)廠商，但深究這些生產(chǎn)廠商的工作原理都是將服務(wù)器虛擬化多個(gè)服務(wù)器，減輕了服務(wù)器的負(fù)擔(dān)。物理服務(wù)器雖然被大多數(shù)人所利用，但是卻也有它的缺點(diǎn)。而虛擬機(jī)具備的性能可以完勝物理服務(wù)器。需要強(qiáng)調(diào)的是，每一臺(tái)虛擬機(jī)都有自己的平衡系統(tǒng)，它能將資源合理化分配下去，靈活安排每一個(gè)資源來(lái)保證資源的最大化利用，由此降低了成本，增加了生產(chǎn)效率，使云計(jì)算的容量得到大大增加。不可忽視是，為了使服務(wù)器更加平穩(wěn)運(yùn)行，加快運(yùn)行速度，使生產(chǎn)能不停歇地運(yùn)行下去、錯(cuò)誤變得可更正，虛擬化生產(chǎn)線衍生出了平均消耗平衡存儲(chǔ)，事故自動(dòng)處理的能力。虛擬化生產(chǎn)線通過(guò)形成自身檢測(cè)并修護(hù)的能力使這個(gè)行業(yè)運(yùn)營(yíng)起來(lái)更簡(jiǎn)單，減少了成本，提高了收入，使文檔的管理更加簡(jiǎn)單明朗，最終使虛擬化成為極為重要的步驟?，F(xiàn)階段虛擬化被應(yīng)用于諸多方面，例如虛擬化服務(wù)器以及文檔存儲(chǔ)等方面，它最大的優(yōu)點(diǎn)就是減少了軟件行業(yè)的經(jīng)費(fèi)輸出，并使所有廠商的管理更有效、更簡(jiǎn)單化。雖然服務(wù)器虛擬有很多值得稱贊的地方，可它也有一些弊端，例如虛擬化的同時(shí)使結(jié)構(gòu)變得更復(fù)雜，像發(fā)現(xiàn)錯(cuò)誤就需要管理人員更加細(xì)心，及時(shí)改正錯(cuò)誤也變得越來(lái)越麻煩，維修的成本也大大增加。

二、服務(wù)器虛擬化常見(jiàn)安全弊端解析

自從虛擬化這個(gè)概念的提出，其優(yōu)點(diǎn)被大多數(shù)人所熟知，服務(wù)器虛擬也變得流行，在過(guò)去很長(zhǎng)一段時(shí)間，世界有一半的服務(wù)器都被虛擬化過(guò)。它自身存在的一些問(wèn)題也逐漸袒露在大家面前，例如：服務(wù)器虛擬化的過(guò)程中顛覆了原有的一些基本結(jié)構(gòu)，使虛擬后的服務(wù)器的安全性問(wèn)題沒(méi)有辦法得到保障，在此基礎(chǔ)上訪問(wèn)一些軟件可能會(huì)產(chǎn)生個(gè)人隱私流出的危害，這也將連累被共同虛擬的服務(wù)器，而其保存方式也大大增加了信息被盜的幾率。由此可見(jiàn)，虛擬化帶來(lái)的弊端亟需人們解決，根據(jù)一項(xiàng)系統(tǒng)的研究表明，大部分的虛擬服務(wù)器都比物理服務(wù)器更容易被攻擊。

(一)虛擬化項(xiàng)目最初并未涉及信息安全。有一項(xiàng)權(quán)威的研究發(fā)現(xiàn)，在最初創(chuàng)建以及策劃時(shí),少于一半的科研項(xiàng)目是不符合安全規(guī)定的。有時(shí)團(tuán)體工作時(shí)會(huì)不刻意地把安全問(wèn)題忘記，可是虛擬化過(guò)程中帶來(lái)的問(wèn)題是不容忽視的，多個(gè)虛擬化服務(wù)器工作時(shí)帶來(lái)的弊端比未被虛擬化時(shí)帶來(lái)的問(wèn)題更為嚴(yán)重。所以研究這些問(wèn)題時(shí)也更為繁瑣。

(二)底層虛擬化平臺(tái)的隱患影響所有托管虛擬機(jī)。將服務(wù)器虛擬化就像在電腦上運(yùn)行程序一樣，都需要借助一個(gè)平臺(tái)。而該平臺(tái)或多或少會(huì)有一些bug而被人們疏忽。最近一些大型虛擬化廠商多次傳出虛擬化生產(chǎn)線存在安全隱患，這些隱患尚未得到解決。所以一些人想要攻擊時(shí)都會(huì)選擇進(jìn)攻底層虛擬化平臺(tái)，通過(guò)控制住中樞系統(tǒng)，逃脫安全檢測(cè)。進(jìn)而將病毒帶入各個(gè)服務(wù)器中，攻擊其弊端，獲得了閱覽所有信息的權(quán)限，導(dǎo)致信息的泄露。

(三)虛擬機(jī)之間的虛擬網(wǎng)絡(luò)使現(xiàn)有的安全策略失效。一些知名的虛擬化生產(chǎn)廠商使用建立虛擬機(jī)和虛擬網(wǎng)卡的辦法使各虛擬機(jī)之間能相互關(guān)聯(lián)以此來(lái)實(shí)現(xiàn)信息發(fā)送與接受的能力。一些主流的保護(hù)系統(tǒng)的保護(hù)范圍都只能保護(hù)常規(guī)服務(wù)器的進(jìn)出流量,卻無(wú)法看到各個(gè)虛擬機(jī)之間的流量傳輸，無(wú)法對(duì)虛擬化的流量傳輸提供保障。

(四)將不同安全等級(jí)的虛擬機(jī)未進(jìn)行有效隔離。一些虛擬化生產(chǎn)廠商正在嘗試將服務(wù)器全部虛擬化，這樣既減少了經(jīng)費(fèi)又加快了生產(chǎn)速度。這些服務(wù)器包括許多隱私等級(jí)較高的系統(tǒng)，所以就要求虛擬機(jī)足夠安全。而如果未將安全指數(shù)不同的服務(wù)器分離開(kāi)，它們由相同的服務(wù)器支配，高等級(jí)的虛擬機(jī)的安全性也會(huì)降低并被較低的所控制。

(五)缺乏對(duì)虛擬機(jī)管理程序的安全訪問(wèn)控制。虛擬機(jī)管理程序就像人腦的中樞神經(jīng)系統(tǒng)，它支配著虛擬機(jī)的一切活動(dòng)，對(duì)各個(gè)步驟下發(fā)指令，并監(jiān)督更正兩端的功能，因此必須設(shè)立權(quán)限防止被隨意更改。如果沒(méi)有這種訪問(wèn)權(quán)限，HK們就會(huì)通過(guò)地址連接到中樞神經(jīng)上，就算他們無(wú)法輕易進(jìn)入程序也可以通過(guò)創(chuàng)建多個(gè)服務(wù)器進(jìn)而使管理程序滿載，迫使管理程序崩潰進(jìn)而摧毀所有的虛擬機(jī)。

三、服務(wù)器虛擬化常見(jiàn)安全隱患的防范

(一)虛擬化平臺(tái)的安全問(wèn)題較為復(fù)雜，工程初期須高度重視。虛擬化工程控制人員必須有足夠的工作經(jīng)驗(yàn)，如果不能及時(shí)發(fā)現(xiàn)問(wèn)題將嚴(yán)重影響項(xiàng)目的質(zhì)量和進(jìn)度，虛擬化平臺(tái)的安全更不容易得到保證，所以就需要更加注重虛擬化帶來(lái)的隱患。由于虛擬化是把多個(gè)方面同時(shí)虛擬，所以其安全問(wèn)題也是多角度、多方面的。工程初期應(yīng)有這方面的專家從大局上思量由多個(gè)層面虛擬而來(lái)的項(xiàng)目即將出現(xiàn)的漏洞，進(jìn)而根據(jù)經(jīng)驗(yàn)提供有效的策略。盡快糾正虛擬平臺(tái)bug，設(shè)立完備的權(quán)限要求。

特殊權(quán)限是虛擬化bug中一個(gè)經(jīng)常受HK使用的方法，它們通過(guò)使用這種方法進(jìn)攻了這些權(quán)限下的虛擬機(jī)。這就要求虛擬化生產(chǎn)商提供完善的制度，一旦發(fā)現(xiàn)bug，立即找到辦法解決，防止被HK利用，造成不可估量的損失。還有一種方法就是各廠商可以將下層結(jié)構(gòu)簡(jiǎn)單化，把配置參更改成無(wú)權(quán)不能閱覽，就能有效地防止HK的進(jìn)攻。

(二)安排局域網(wǎng)流量監(jiān)控設(shè)施，實(shí)現(xiàn)虛擬機(jī)網(wǎng)絡(luò)流量可視化。局域網(wǎng)流量監(jiān)控設(shè)施，可以通過(guò)hfja和jdvj這兩個(gè)程序收集多個(gè)虛擬機(jī)之間端到端的流量傳輸數(shù)據(jù)，做成表格，進(jìn)而通過(guò)Siolbjm jdfsj、sfaff Screqfwrgrgr和Soasfdvgvs Nedggw efdgc qgrgf等局域網(wǎng)狀態(tài)檢測(cè)程序來(lái)閱覽這些數(shù)據(jù)；通過(guò)端口鏡像的辦法，分析各個(gè)數(shù)據(jù)。利用局域網(wǎng)流量控制設(shè)施，實(shí)現(xiàn)服務(wù)器中虛擬機(jī)流量(相同服務(wù)器中多個(gè)虛擬機(jī)之間傳輸?shù)牧髁?。服務(wù)器與虛擬機(jī)之間的流量，虛擬機(jī)與基本設(shè)備的流量的具體化管理，然后能夠隨時(shí)查看服務(wù)器的工作流程和局域網(wǎng)傳輸流量時(shí)的流量情況，可以查看非正常流量，找到有問(wèn)題流量的出處，并找到方法解決。

(三)定義虛擬機(jī)安全域，將不同安全等級(jí)的虛擬機(jī)分開(kāi)管理?？梢酝ㄟ^(guò)把dfa rgg部署在虛擬化結(jié)構(gòu)里，并把原先的虛擬化網(wǎng)絡(luò)規(guī)劃成inside與outside這兩個(gè)方面。全部虛擬需求都分配到inside方面里，通過(guò)不一樣的需求系統(tǒng)等級(jí)使用akjf寫(xiě)出所處的安全點(diǎn)，在egg里安排虛擬機(jī)的控制中心，egg就會(huì)把控制中心交給中樞交換機(jī)，把虛擬化團(tuán)體里每一個(gè)服務(wù)器的流量交給egg，就能使安全等級(jí)不同的虛擬機(jī)分隔開(kāi)。因?yàn)槊總€(gè)安全域的風(fēng)險(xiǎn)由大家共同分配，由此可見(jiàn)，必須把不同價(jià)值的文檔放在不同的區(qū)域內(nèi)。受眾面不同的服務(wù)器也要發(fā)放在不同區(qū)內(nèi)。并且多個(gè)安全區(qū)是相互獨(dú)立的，即使其中一個(gè)收到破壞也不會(huì)影響其他正常工作的進(jìn)行，并且損壞的區(qū)域也都有自己的分配區(qū)。

(四)使用加密聯(lián)系、身份驗(yàn)證和基于角色的權(quán)限管理。可以利用FFTH、DDG、HHHJ或者需要密碼的通信防護(hù)措施，規(guī)定唯一的地址有權(quán)限使用這個(gè)應(yīng)用，為了預(yù)防假制地址破壞，多次攻擊，增大進(jìn)入系統(tǒng)時(shí)的防護(hù)力度，就像登錄需要聲音鎖、人臉解鎖，如果多次輸入密碼錯(cuò)誤采取凍結(jié)的方法等。另外，構(gòu)造虛擬化平臺(tái)的使用人之前，要給他們相應(yīng)的權(quán)利和責(zé)任。對(duì)那些想簡(jiǎn)單閱覽的第三方提供限定次數(shù)的賬戶。等次數(shù)用完后就取消賬號(hào)的注冊(cè)。要想使管理變得更具備權(quán)威，就需要利用其它方法進(jìn)行判定項(xiàng)目是否存在bug，如果存在應(yīng)立即想出相應(yīng)對(duì)策。

四、結(jié)語(yǔ)

服務(wù)器虛擬化技術(shù)是一項(xiàng)用處非常廣泛的技術(shù)，這項(xiàng)技術(shù)正在迅猛騰飛。上述列出的安全弊端并不是全部，以上這些方法只是其中的一小部分，要想真正意義上做好防護(hù)工作還需要付出更多的努力，面對(duì)的問(wèn)題也會(huì)很棘手。維護(hù)人員需要在思想上、認(rèn)識(shí)上，努力更新自己的知識(shí)庫(kù)，學(xué)習(xí)新的知識(shí)，在確保質(zhì)量的前提下也要保證效率更高，同時(shí)也要注重基礎(chǔ)知識(shí)的學(xué)習(xí)，堅(jiān)持換代和更新虛擬化平臺(tái)的防護(hù)基本體系；同時(shí)希望大家把過(guò)去的陳舊思想丟棄，養(yǎng)成積極管理、定期修改的自律性思維。最近一些主要研究電腦末端安全和主要服務(wù)器安全以及Internet安全的生產(chǎn)平臺(tái)正在逐漸改變自身的生產(chǎn)形勢(shì)，接連發(fā)明了特別針對(duì)虛擬化的管控商品，通過(guò)利用這些商品，全球許多公司都能讓虛擬化變得越來(lái)越穩(wěn)定。保證虛擬化安全是一件任重而道遠(yuǎn)的事，要循序漸進(jìn)，要清楚地了解安全問(wèn)題的出處，真正意義上地深入了解服務(wù)器虛擬化。