服務(wù)器虛擬化情況下的安全防護研究

◎楊曉剛

自虛擬化技術(shù)誕生以來，應(yīng)用此技術(shù)建設(shè)基礎(chǔ)設(shè)施資源池的數(shù)據(jù)中心逐步增多，并將此技術(shù)作為應(yīng)用系統(tǒng)的安全與穩(wěn)定運行的重要支撐。虛擬化資源池的建立有利于根據(jù)需求進行資源的合理分配，可實現(xiàn)動態(tài)化的資源調(diào)度，使硬件資源的利用率得以大幅提升，可節(jié)約硬件采購成本，也可使系統(tǒng)的運行能耗得以有效降低，對數(shù)據(jù)中心的運營極為有利。然而面對虛擬化情況下潛在的安全隱患問題，有必要采取有效措施進行安全防護，以此避免安全風(fēng)險的發(fā)生。

一、虛擬化情況下存在的安全問題

1.傳統(tǒng)設(shè)備的安全邊界逐步消失。

傳統(tǒng)安全防護模式下，主要是基于邊界而進行安全隔離，并實現(xiàn)對訪問的控制，主要是對各個區(qū)域進行清晰的范圍界定，根據(jù)各個區(qū)域的具體情況制定不同的安全防護措施。然而在云計算環(huán)境背景下，實現(xiàn)了基礎(chǔ)網(wǎng)絡(luò)架構(gòu)的統(tǒng)一，并對存儲與計算資源進行了有效融合，因此，過去安全設(shè)備所設(shè)置的安全邊界已不復(fù)存在，因此，必須探尋新的模式進行有效的安全防護。

2.虛擬化服務(wù)方面的安全問題。

在對計算機科學(xué)中的問題進行解決時，通常會采用增加層映射的方式，基于這一思路，可利用計算機系統(tǒng)的虛擬化實現(xiàn)多個問題的有效解決。在云計算平臺當中，虛擬化屬于極為重要的技術(shù)之一，其可實現(xiàn)存儲資源與服務(wù)器資源的有效整合，并且具有極高的擴展性，可實現(xiàn)對基礎(chǔ)設(shè)施的有效拓展，也可為軟件平臺提供有效的虛擬化服務(wù)。在這種情況下，如何應(yīng)對虛擬化平臺基礎(chǔ)網(wǎng)絡(luò)架構(gòu)、數(shù)據(jù)存儲和應(yīng)用服務(wù)的虛擬化交付，對安全設(shè)備的設(shè)計構(gòu)建和安裝部署提出了更高的技術(shù)要求，也成為云計算環(huán)境下信息安全建設(shè)所關(guān)注的重點。

3.數(shù)據(jù)集中后存在的安全隱患。

傳統(tǒng)網(wǎng)絡(luò)服務(wù)可對標準流量及突發(fā)流量進行監(jiān)控，可設(shè)計時規(guī)范化與便利化的流量模型，同時對安全設(shè)備的處理能力要求也并不高。然而在虛擬下情況下，安全設(shè)備的存儲規(guī)模不斷擴大，服務(wù)器規(guī)模也呈持續(xù)上升趨勢，且是以萬單位迅速拓展，此種模式下難以實現(xiàn)分別防護，必須基于統(tǒng)一的基礎(chǔ)網(wǎng)絡(luò)而進行防護。因此，虛擬化環(huán)境下對安全設(shè)備的性能要求比傳統(tǒng)網(wǎng)絡(luò)環(huán)境下更高。同時，虛擬化系統(tǒng)不僅與數(shù)據(jù)存儲與處理有直接的關(guān)聯(lián)，也決定著網(wǎng)絡(luò)傳輸狀況。服務(wù)器虛擬情況下必須對用戶使用網(wǎng)絡(luò)過程中的安全風(fēng)險問題進行有效防范，也應(yīng)加強對虛擬化服務(wù)進行身份鑒別，且要根據(jù)用戶的需求對用戶進行認證管理，并嚴格進行訪問控制，以此保障審計的安全性，進而有效化解服務(wù)器虛擬化情況下遇到的各類安全問題。

4.虛擬化服務(wù)的穩(wěn)定性與可靠性問題。

虛擬化環(huán)境下，是在資源池所提供的虛擬化服務(wù)支持下而實現(xiàn)數(shù)據(jù)信息的應(yīng)用，因此，虛擬化服務(wù)所應(yīng)具備的穩(wěn)定性及安全性應(yīng)該更高，且應(yīng)具有更強的容災(zāi)恢復(fù)能力，并可具備理想的事件處理審計功能。同時，目前網(wǎng)絡(luò)平臺上的信息資源及用戶更加集中，因此與傳統(tǒng)網(wǎng)絡(luò)平臺相比，虛擬化平臺更易遭到黑客的攻擊，面臨著更為嚴重的黑客程序破壞與病毒侵害風(fēng)險。

二、服務(wù)器虛擬化情況下的有效安全防護措施

1.采取有效的病毒防護措施。

面對病毒感染問題，服務(wù)器虛擬化情況下有以下兩種解決方法。

（1）安裝Agent代理程序。

在服務(wù)器虛擬化背景下，也可采用傳統(tǒng)安全設(shè)備的安全防護策略，在虛擬主機操作系統(tǒng)中安裝Agent代理程序進行病毒的有效防護。然而實現(xiàn)服務(wù)器的虛擬化主要是為了對資源進行有效整合，進而對服務(wù)器資源的利用效率進行有效提升，如果將程序分別安裝于各個虛擬主機當中，重新制定掃描任務(wù)后將會使虛擬主機的計算資源產(chǎn)生更大的損耗，因此此種方法難以實現(xiàn)對計算資源有效節(jié)約的目的，在更新病毒庫時還需要消耗更多的網(wǎng)絡(luò)資源。

（2）利用API接口中防護病毒。

服務(wù)器虛擬化環(huán)境下的病毒防護也可采用虛擬化層具有關(guān)聯(lián)的API接口進行，對虛擬系統(tǒng)的底層無代理病毒進行防護。利用API接口對虛擬系統(tǒng)及虛擬主機所起到的安全防護效果更加全面，并且不必將Agent代理程序安裝于虛擬主機之上，這可有效節(jié)約計算機及網(wǎng)絡(luò)資源的消耗，可實現(xiàn)計算資源利用率的有效提升，并可實現(xiàn)更加全面與及時的病毒防護。

2.加強訪問控制。

傳統(tǒng)技術(shù)的防火墻技術(shù)常常以硬件形式存在，用于實現(xiàn)訪問控制和安全區(qū)域的劃分。計算資源虛擬化后導(dǎo)致邊界模糊，很多的信息交換在虛擬系統(tǒng)內(nèi)部就可實現(xiàn)，而傳統(tǒng)防火墻在物理網(wǎng)絡(luò)層提供訪問控制，如何在虛擬系統(tǒng)內(nèi)部實現(xiàn)訪問控制和病毒傳播抑制是虛擬系統(tǒng)面臨的最基本安全問題。虛擬化安全網(wǎng)關(guān)系統(tǒng)，增強了虛擬環(huán)境內(nèi)部虛擬機流量的可視性和可控性，可以隨時隨地為用戶提供虛擬環(huán)境內(nèi)部的全方位網(wǎng)絡(luò)安全防護，基于狀態(tài)檢測細粒度的訪問控制功能，實現(xiàn)針對虛擬交換機基于網(wǎng)口的訪問控制和虛擬系統(tǒng)之間的區(qū)域邏輯隔離。

3.科學(xué)進行入侵檢測與防護。

在主機和網(wǎng)絡(luò)層面進行入侵監(jiān)測和預(yù)防，是當今信息安全基礎(chǔ)設(shè)施建設(shè)的主要內(nèi)容。然而，傳統(tǒng)的入侵監(jiān)測工具可能無法融入或運行在虛擬化的網(wǎng)絡(luò)或系統(tǒng)中。由于虛擬交換機不支持建立SPAN或鏡像端口，禁止將數(shù)據(jù)流拷貝至IDS傳感器，網(wǎng)絡(luò)入侵監(jiān)測可能會變得更加困難。面對虛擬網(wǎng)絡(luò)內(nèi)部流量的時候，內(nèi)聯(lián)在傳統(tǒng)物理網(wǎng)區(qū)域中的IPS系統(tǒng)也沒辦法輕易地集成到虛擬環(huán)境中。虛擬化入侵防御系統(tǒng)將其引擎以虛擬機的形式部署于物理服務(wù)器中，提供IPS、DDOS等安全防護功能，以實現(xiàn)對虛擬機內(nèi)部業(yè)務(wù)系統(tǒng)的安全防護。

結(jié)語：虛擬化技術(shù)為企業(yè)節(jié)省成本、提供便利的同時，也為傳統(tǒng)信息安全提出了新的挑戰(zhàn)。做好虛擬化環(huán)境下的信息安全防護工作，是業(yè)務(wù)應(yīng)用系統(tǒng)由傳統(tǒng)架構(gòu)向云計算架構(gòu)過渡的前提。為有效做好安全防護，需要通過技術(shù)、管理等多個途徑，對存在的信息安全風(fēng)險加強防范，同時要完善虛擬資源的管理制度與監(jiān)控手段，將信息安全風(fēng)險控制在有限的范圍內(nèi)。