基于VMwarev Sphere的集群虛擬機(jī)安全問題研究

蔡建軒 李梅

摘要：隨著虛擬化技術(shù)的不斷發(fā)展，集群虛擬機(jī)的應(yīng)用越來越廣泛，但也帶來了更多的安全問題。該文針對(duì)高職院校數(shù)據(jù)中心中基于VMware vSphere的集群虛擬機(jī)安全問題展開研究，簡(jiǎn)要闡述了VMware vSphere技術(shù)，探討了服務(wù)器虛擬化存在的安全問題，提出了相應(yīng)的解決方案，有效提高高職院校信息化數(shù)據(jù)安全。

關(guān)鍵詞：VMware vSphere;集群;虛擬機(jī);安全問題

中圖分類號(hào)：TP393? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）16-0005-02

開放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

隨著高等院校信息化建設(shè)步伐的加快，在數(shù)據(jù)中心建設(shè)中服務(wù)器虛擬化技術(shù)的應(yīng)用日益廣泛。集群式管理可以有效提高虛擬機(jī)軟硬件資源的利用率，然而當(dāng)前網(wǎng)絡(luò)安全事件呈多發(fā)態(tài)勢(shì)，如前不久的“勒索病毒”嚴(yán)重威脅到網(wǎng)絡(luò)安全，給網(wǎng)絡(luò)用戶造成很大的損失，也引發(fā)社會(huì)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的重視，同時(shí)這些網(wǎng)絡(luò)安全事件也嚴(yán)重威脅到集群虛擬機(jī)。因此，如何有效解決基于VMware vSphere的集群虛擬機(jī)安全問題，保證集群虛擬機(jī)的安全穩(wěn)定運(yùn)行成為一個(gè)重要的研究課題。本文針對(duì)高職院校數(shù)據(jù)中心中基于VMware vSphere的集群虛擬機(jī)安全問題展開了研究。

1 VMware vSphere介紹

ESXi是Vmware虛擬架構(gòu)套件vSphere的核心部分。Vmware ESXi虛擬層可以直接部署在物理服務(wù)器上，可以對(duì)服務(wù)器資源進(jìn)行虛擬化處理，在將其合理分配給多個(gè)虛擬機(jī)，從而實(shí)現(xiàn)服務(wù)器資源的高效利用，有效節(jié)約成本，同時(shí)借助高級(jí)資源管理功能、安全功能、資源密集型應(yīng)用程序能夠有效提高服務(wù)水平。傳統(tǒng)服務(wù)器部署模式下服務(wù)器硬件資源利用率很低，通常在5-15%之間，而借助虛擬化技術(shù)可以將服務(wù)器資源的利用率提高至60%以上，還能有效降低成本，提高服務(wù)器管理靈活性。

2 基于VMware vSphere的集群虛擬機(jī)安全問題

2.1 主機(jī)間的安全問題

服務(wù)器虛擬化本質(zhì)上是使用VMware vSphere等軟件，而ESXi自身也存在一些安全漏洞，假如不及時(shí)修復(fù)就會(huì)增加宿主機(jī)面臨的安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)黑客如果抓住這些安全漏洞攻擊宿主機(jī)獲得VMware平臺(tái)管理權(quán)就能隨意訪問宿主機(jī)中的虛擬機(jī)，這會(huì)給各業(yè)務(wù)系統(tǒng)造成嚴(yán)重的安全隱患。除此以外，因?yàn)樘摂M化技術(shù)的應(yīng)用日益廣泛，僵尸虛擬機(jī)的存在可能性增大，占用物理機(jī)的硬件資源，使得物理機(jī)負(fù)荷過大，引發(fā)死機(jī)、業(yè)務(wù)中斷的問題，甚至導(dǎo)致物理機(jī)崩潰。

2.2 虛擬機(jī)與主機(jī)間的安全問題

運(yùn)用虛擬化技術(shù)可以將物理服務(wù)器的虛擬為多個(gè)虛擬機(jī)，因此，常規(guī)的網(wǎng)絡(luò)安全監(jiān)控方法已不適用。如果宿主機(jī)中某臺(tái)虛擬機(jī)受到網(wǎng)絡(luò)攻擊時(shí)，它就會(huì)搶奪物理服務(wù)器的資源，使得服務(wù)器負(fù)荷過大而宕機(jī)。同時(shí)，位于同一臺(tái)物理宿主機(jī)上的其他虛擬機(jī)也面臨同樣的安全風(fēng)險(xiǎn)，導(dǎo)致服務(wù)器宕機(jī)、數(shù)據(jù)損壞丟失等網(wǎng)絡(luò)安全事件。

2.3 主機(jī)內(nèi)虛擬機(jī)間的安全問題

現(xiàn)階段往往只關(guān)注宿主機(jī)的安全防護(hù)，不重視虛擬機(jī)的安全防范。當(dāng)前集群虛擬機(jī)之間的安全防護(hù)非常薄弱，無法有效保證虛擬機(jī)的安全。如果一臺(tái)宿主機(jī)上一臺(tái)虛擬機(jī)受到網(wǎng)絡(luò)攻擊就會(huì)影響到其他虛擬機(jī)。同時(shí)虛擬機(jī)的遷移會(huì)將安全風(fēng)險(xiǎn)擴(kuò)散到其他物理宿主機(jī)上，使得安全問題在集群虛擬機(jī)中進(jìn)行傳播，造成嚴(yán)重的安全事件。

3 集群虛擬機(jī)安全問題解決措施

3.1 構(gòu)建安全防護(hù)體系

做好集群虛擬機(jī)的隔離，在各個(gè)虛擬機(jī)的網(wǎng)絡(luò)邊界設(shè)置網(wǎng)絡(luò)防火墻等安全產(chǎn)品，設(shè)置集群內(nèi)主機(jī)、虛擬機(jī)的安全訪問策略，建立嚴(yán)格明確的訪問權(quán)限，有效控制宿主機(jī)、虛擬機(jī)的訪問協(xié)議、端口號(hào)、IP設(shè)置。依照各業(yè)務(wù)系統(tǒng)、應(yīng)用系統(tǒng)的重要等級(jí)進(jìn)行相應(yīng)的隔離、封裝，建立安全防護(hù)體系，嚴(yán)格審查各虛擬機(jī)的訪問行為，有效保證虛擬機(jī)的安全穩(wěn)定運(yùn)行。

3.2 虛擬機(jī)的網(wǎng)絡(luò)隔離

有效利用虛擬局域網(wǎng)技術(shù)對(duì)處于同個(gè)局域網(wǎng)中的虛擬機(jī)進(jìn)行網(wǎng)絡(luò)隔離。根據(jù)虛擬機(jī)服務(wù)類型、用途，將其劃分成網(wǎng)站虛擬機(jī)、管理虛擬機(jī)、數(shù)據(jù)庫(kù)虛擬機(jī)、業(yè)務(wù)虛擬機(jī)等，以有效減少虛擬機(jī)之間的安全風(fēng)險(xiǎn)，保證虛擬機(jī)的安全穩(wěn)定運(yùn)行。

3.3 做好VMware平臺(tái)更新和漏洞修復(fù)

及時(shí)更新VMware vSphere軟件安全補(bǔ)丁，修復(fù)Exsi、主機(jī)系統(tǒng)、虛擬機(jī)業(yè)務(wù)系統(tǒng)、應(yīng)用軟件、操作系統(tǒng)的安全漏洞。利用騰訊電腦管家、360殺毒等安全軟件的漏洞修復(fù)功能，不但可以及時(shí)更新操作系統(tǒng)的安全漏洞，還可以對(duì)虛擬機(jī)上運(yùn)行的服務(wù)以及相關(guān)協(xié)議、端口號(hào)進(jìn)行審核，有效防止虛擬機(jī)處于不設(shè)防狀態(tài)。

3.4 建立完善的集群虛擬機(jī)管理制度

首先，制定合理的虛擬機(jī)申請(qǐng)審查制度。在管理虛擬機(jī)的實(shí)踐中面對(duì)新虛擬機(jī)的申請(qǐng)要進(jìn)行嚴(yán)格審查，通過簽署相應(yīng)的協(xié)議，明確各方安全責(zé)任，跟蹤后續(xù)的安全管理，禁止隨意添加新的虛擬機(jī)，避免形成大量的僵尸虛擬機(jī)，浪費(fèi)物理服務(wù)器的資源，帶來安全問題。其次，加強(qiáng)監(jiān)控物理宿主機(jī)、虛擬機(jī)的數(shù)據(jù)、性能、網(wǎng)絡(luò)、資源，力求第一時(shí)間發(fā)現(xiàn)潛在的安全問題、網(wǎng)絡(luò)攻擊，以便安全管理員可以快速做出反應(yīng)，采取措施解決安全問題。再次，要定期備份虛擬機(jī)的數(shù)據(jù)。制定科學(xué)合理的數(shù)據(jù)備份方案，定期備份重要的虛擬機(jī)數(shù)據(jù)。最好是將數(shù)據(jù)備份在異地存儲(chǔ)設(shè)備中，最大限度地提升數(shù)據(jù)的安全性。最后，提高虛擬機(jī)管理員的安全意識(shí)，建立完善的虛擬機(jī)建立、訪問、跟蹤等相關(guān)安全防護(hù)措施，建立安全的虛擬機(jī)訪問策略，提高虛擬機(jī)的穩(wěn)定性、安全性。

4 結(jié)束語(yǔ)

綜上所述，在高職院校的數(shù)據(jù)中心建設(shè)中虛擬化技術(shù)的應(yīng)用非常廣泛，能夠有效減少服務(wù)器軟硬件資源的投入，最大化地利用有限的服務(wù)器軟硬件資源，簡(jiǎn)化數(shù)據(jù)中心、服務(wù)器、虛擬機(jī)的管理。但虛擬化技術(shù)的應(yīng)用也帶來一定的安全風(fēng)險(xiǎn)。為了保證校園網(wǎng)絡(luò)安全，應(yīng)該建立科學(xué)合理的虛擬機(jī)安全管理制度，做好虛擬機(jī)之間的網(wǎng)絡(luò)隔離，運(yùn)用各種網(wǎng)絡(luò)安全產(chǎn)品有效防范網(wǎng)絡(luò)攻擊，保障集群虛擬機(jī)的安全穩(wěn)定運(yùn)行。

參考文獻(xiàn)：

[1] 鄭小長(zhǎng)， 閆格. 基于VMware vSphere環(huán)境下虛擬服務(wù)器集群的構(gòu)建[J]. 閩南師范大學(xué)學(xué)報(bào)（自然科學(xué)版）， 2013， 26（1）：44-46.

[2] 茍潔.基于VMware vSphere技術(shù)的虛擬云平臺(tái)的研究與設(shè)計(jì)[D]. 成都理工大學(xué)， 2016.

[3] 張魁. 基于VMWARE VSPHERE的虛擬機(jī)管理平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)[D]. 蘇州大學(xué)， 2013.

【通聯(lián)編輯：代影】