服務(wù)器虛擬化技術(shù)與安全研究

洪亞玲

摘要：虛擬化技術(shù)作為一種全新的計算機技術(shù)，它的誕生與發(fā)展，為科技界帶來了諸多新的突破。現(xiàn)階段，服務(wù)器虛擬化技術(shù)在企事業(yè)單位、學(xué)校等各行業(yè)普及應(yīng)用，得到了社會上很多層面的關(guān)注。隨著服務(wù)器虛擬化技術(shù)大范圍的應(yīng)用及發(fā)展，伴隨而來的也有應(yīng)用安全等方面的問題。文章主要立足服務(wù)器虛擬化技術(shù)的特點、分類和主要關(guān)鍵技術(shù)，分析其在應(yīng)用過程中面臨的一些安全風(fēng)險以及防范措施，切實促進服務(wù)器虛擬化技術(shù)的發(fā)展，提升應(yīng)用效率。

關(guān)鍵詞：服務(wù)器虛擬化;虛擬化技術(shù);應(yīng)用安全

中圖分類號：TP311? ? ? ?文獻標(biāo)識碼：A

文章編號：1009-3044（2022）08-0034-02

我國科技的快速發(fā)展帶動了很多新興技術(shù)的發(fā)展，對于計算機科技領(lǐng)域而言，虛擬服務(wù)器的存在是一項突破[1]。服務(wù)器虛擬化技術(shù)不僅解決了很多傳統(tǒng)服務(wù)器遇到的問題，從基本的整合計算機資源開始，還可以提高服務(wù)可用性、加快應(yīng)用程序部署、節(jié)約運營成本、減少能源消耗、提高應(yīng)用程序兼容性、靈活調(diào)度動態(tài)資源、提高災(zāi)難恢復(fù)能力以及硬件資源的利用率和管理效率。但是，服務(wù)器虛擬化技術(shù)在發(fā)揮其優(yōu)勢的同時也具有一定的安全風(fēng)險。

1 服務(wù)器虛擬化技術(shù)的內(nèi)涵

虛擬化技術(shù)是指在虛擬而不是真實的環(huán)境中運行計算元件，它是云計算系統(tǒng)中的一種基礎(chǔ)技術(shù)。從虛擬化扮演的角色來看，可分為桌面、網(wǎng)絡(luò)、應(yīng)用、存儲以及服務(wù)器虛擬化。其中服務(wù)器虛擬化就是運用相應(yīng)的程序?qū)⒎?wù)器內(nèi)的資源進行整合轉(zhuǎn)化，提高資源的利用效率及對服務(wù)器進行維護的一種方式[2]。實現(xiàn)服務(wù)器虛擬化技術(shù)典型的有VMware ESXi Server、微軟的Hyper-V、Citrix XenServer，它們共同的特點就是通過軟件將服務(wù)器的物理資源如CPU、磁盤、內(nèi)存、I/0設(shè)備等模擬出具有完整硬件系統(tǒng)的邏輯服務(wù)器，讓一臺服務(wù)器變成若干臺相互隔離的虛擬服務(wù)器[3]，服務(wù)器虛擬化前后如圖1所示。

目前，服務(wù)器虛擬化典型的有“一虛多”“多虛一”“多虛多”三種類型[4]。“一虛多”可以實現(xiàn)多域服務(wù)，也就是說可以將一臺物理服務(wù)器虛擬化后，成為多個互不干擾的虛擬服務(wù)器，它可運行多個網(wǎng)站或服務(wù)的技術(shù)，用戶可自行管理，擁有獨立的主機功能。比較常用的代表包括虛擬主機和VPS等?！岸嗵撘弧笨梢詫崿F(xiàn)集群多臺獨立的服務(wù)器后虛擬化為一臺邏輯上的服務(wù)器，即虛擬化為一個主機系統(tǒng)為客戶端和應(yīng)用程序提供服務(wù)。由于服務(wù)器進行集群后，并行計算和備份是由多臺計算機完成的，因此可以達到非常高的計算速度，更保證了系統(tǒng)的正常運行，比較常用的代表有云服務(wù)器?！岸嗵摱唷眲t是在“多虛一”技術(shù)，再將此臺邏輯服務(wù)器劃分為多臺虛擬服務(wù)器，且性能都能根據(jù)資源池中實際資源情況進行靈活配置和調(diào)度。比較常用的代表是云虛擬主機。

服務(wù)器虛擬化是基于X86架構(gòu)服務(wù)器的虛擬化，從IT基礎(chǔ)架構(gòu)物理資源層面來分析，可以劃分為3個部分：CPU虛擬化、I/O設(shè)備虛擬化以及內(nèi)存虛擬化，要實現(xiàn)虛擬化服務(wù)器，其中CPU虛擬化的技術(shù)最為關(guān)鍵。CPU虛擬化技術(shù)是將物理CPU抽象為虛擬CPU，并且在系統(tǒng)運行期間可以同時運行一個或多個虛擬CPU指令[5]?，F(xiàn)代計算機體系結(jié)構(gòu)一般至少提供核心態(tài)和用戶態(tài)兩個特權(quán)級，服務(wù)器虛擬化技術(shù)后，操作系統(tǒng)將內(nèi)存劃分為內(nèi)核空間和用戶空間兩個部分，其中內(nèi)核空間運行操作系統(tǒng)內(nèi)核代碼，用戶空間運行應(yīng)用程序代碼。X86架構(gòu)的服務(wù)器CPU提供4個特權(quán)級，按權(quán)限由高到低分別是ring0、ring1、ring2、ring3，最高權(quán)限級別的ring0提供給操作系統(tǒng)內(nèi)核空間。它可以用于所有CPU指令，也可以直接操作CPU、內(nèi)存等硬件，如CPU運行的修改就是在ring0中完成的。最低權(quán)限級別的ring3提供給用戶空間，只能調(diào)用基本的CPU指令。ring1 和 ring2 旨在運行驅(qū)動程序。X86系統(tǒng)虛擬化運行在虛擬層，操作系統(tǒng)和硬件之間需要設(shè)置虛擬層。 通常ring0只能運行在虛擬層，一些特殊的指令不能直接運行在硬件上。服務(wù)器虛擬化技術(shù)采用主流的軟件輔助虛擬化技術(shù)和硬件輔助虛擬化技術(shù)。其中，二進制翻譯、hypercall兩種處理方式是依靠軟件來實現(xiàn)的，稱為軟件虛擬化;硬件輔助虛擬化則提供了Root根環(huán)境和Non-root非根環(huán)境2個運行環(huán)境。此種技術(shù)相比傳統(tǒng)虛擬技術(shù)解決了無論是普通指令還是特權(quán)指令都可以執(zhí)行，特別是使用高級的前插和陷入指令，可以直接作用于虛擬機進行指令翻譯，從而實現(xiàn)多系統(tǒng)操作。通過特權(quán)級機制，將系統(tǒng)軟件和應(yīng)用軟件隔開，區(qū)分了內(nèi)核和應(yīng)用程序代碼的相關(guān)權(quán)限，從而保護數(shù)據(jù)和阻止惡意行為，使操作系統(tǒng)得以正常運行。

鑒于服務(wù)器虛擬化技術(shù)的種種優(yōu)勢，國內(nèi)的虛擬化數(shù)據(jù)中心、分布式計算、服務(wù)器整合、定制化服務(wù)、私有云部署、云托管提供商、學(xué)校教學(xué)培訓(xùn)等各大領(lǐng)域都在普及應(yīng)用，并取得了較好的經(jīng)濟效益與工作效率。

2 服務(wù)器虛擬化存在的安全風(fēng)險

服務(wù)器虛擬化技術(shù)是在硬件設(shè)施和服務(wù)器之間增加了虛擬層，雖然有效提高了服務(wù)器相關(guān)資源的利用率，同時也不可避免地帶來了一定的風(fēng)險。（1）軟件平臺有風(fēng)險：以虛擬機監(jiān)視器VMM為中心使得服務(wù)器平臺實現(xiàn)的虛擬化模式本身還在不斷的發(fā)展和完善過程中，因此在運行虛擬機時可能會存在漏洞，這是虛擬機存在的最大的危險，諸如目前流行的KVM、VMware、Xen等虛擬化平臺也頻頻暴露出安全漏洞，攻擊者通過漏洞攻擊或完全控制宿主機，或者滲透到裸機型的管理系統(tǒng)，使得信息資產(chǎn)暴露。（2）硬件環(huán)境存在風(fēng)險：服務(wù)器虛擬化時，多個應(yīng)用可能會爭奪同一臺物理服務(wù)器的CPU、內(nèi)存、網(wǎng)絡(luò)帶寬、存儲空間等資源。相應(yīng)地會導(dǎo)致服務(wù)器負載過重或硬件出現(xiàn)故障。若虛擬化安全產(chǎn)品使用不當(dāng)時或者過度地利用虛擬機，也會使CPU、內(nèi)存開銷過大，導(dǎo)致該物理機無法響應(yīng)，虛擬主機逐漸癱瘓，從而性能下降。（3）網(wǎng)絡(luò)架構(gòu)方面存在風(fēng)險：服務(wù)器采用虛擬化技術(shù)后，要與外部網(wǎng)絡(luò)之間進行通信，生成的多臺虛擬機以串行方式連接到同一臺主機上，目前的網(wǎng)絡(luò)安全系統(tǒng)技術(shù)難以實現(xiàn)對連接到同一臺主機上的多臺虛擬機的監(jiān)控，導(dǎo)致虛擬網(wǎng)絡(luò)通信難以被傳統(tǒng)的防護設(shè)備把握，使得原來采取防火墻的防護措施無法真正發(fā)揮防護作用，這個BUG將成為黑客利用虛擬機入侵主機，獲得主機和虛擬機控制權(quán)的機會，輕易對數(shù)據(jù)進行篡改和刪除等操作，同時虛擬服務(wù)器的運行受到威脅，風(fēng)險還有可能擴散到多臺虛擬機。（4）運維管理存在風(fēng)險：服務(wù)器虛擬化后，服務(wù)器的管理和運維對技術(shù)管理人員的水平提出了更高的要求，如物理服務(wù)器、虛擬機操作系統(tǒng)、虛擬化應(yīng)用、虛擬機鏡像等方面的加固或更新升級以及虛擬化的數(shù)據(jù)安全管理等。若運維管理不當(dāng)，使系統(tǒng)存在兼容性問題或眾多安全漏洞，則系統(tǒng)與數(shù)據(jù)的安全性難以得到保障。E06B7A2B-274D-4DD7-8E47-98DBC0214EF3

3 服務(wù)器虛擬化安全風(fēng)險的防范措施

當(dāng)前正處于大數(shù)據(jù)時代，數(shù)據(jù)采集和數(shù)據(jù)分析以及數(shù)據(jù)處理等各方面工作都離不開計算機技術(shù)的支持，因此在虛擬服務(wù)器應(yīng)用中，應(yīng)注重做好虛擬服務(wù)器的安全防范和管理，盡可能促進服務(wù)器虛擬化的安全建設(shè)，確保有效推進服務(wù)器虛擬化技術(shù)應(yīng)用及發(fā)展。

3.1 合理選用服務(wù)器虛擬化系統(tǒng)和安全保護軟件

在局域網(wǎng)內(nèi)提供各項服務(wù)依靠服務(wù)器，通過廣域網(wǎng)對外提供各種服務(wù)也需要依靠服務(wù)器。由于它的特性和重要性，在選用服務(wù)器的虛擬化系統(tǒng)平臺前，一定要充分做好市場調(diào)研，了解軟件的市場應(yīng)用情況及客戶反饋，多關(guān)注系統(tǒng)軟件的安全風(fēng)險及防范技術(shù)，根據(jù)所需合理選用服務(wù)器虛擬化系統(tǒng)。在安全保護軟件選擇時，首先，要遵循兼容性原則，即系統(tǒng)程序與安保軟件應(yīng)該具有高度的兼容性，確保安全保護軟件能起到積極的防護作用;其次，應(yīng)符合針對性原則，即針對性地選擇安裝、程序防護軟件和殺毒軟件，確保更加合理有效的應(yīng)用軟件技術(shù)。在使用過程中，一定要及時更新版本、修補漏洞，慎重安裝虛擬機相關(guān)插件，做好軟件平臺方面的安全風(fēng)險防控。

3.2 強化服務(wù)器虛擬化硬件設(shè)施保護

服務(wù)器硬件設(shè)施是虛擬化服務(wù)器運行的基礎(chǔ)，是不可或缺的重要的部分。本地管理員使用虛擬化管理工具，合理分配CPU、內(nèi)存、存儲容量和帶寬等資源;采用分權(quán)制約、分職負責(zé)的方式，對虛擬機進行日常維護工作以及管理桌面資源授權(quán)，全方位掌握服務(wù)器使用的基本情況，加強虛擬化服務(wù)器的實時數(shù)據(jù)監(jiān)控和容量分析，及時進行動態(tài)調(diào)整，以免過度使用虛擬機;同時，要提高管理人員對服務(wù)器硬件設(shè)施保護的意識，健全硬件實施操作規(guī)范制度，要嚴(yán)格按照規(guī)定程序來操作，化解硬件環(huán)境風(fēng)險，切實提高虛擬服務(wù)器硬件性能，確保虛擬機系統(tǒng)安全穩(wěn)定運行。

3.3 重視虛擬服務(wù)器的分類部署

實際搭建網(wǎng)絡(luò)時，注意將公共虛擬機和私有虛擬機分開，讓它們按照劃分的類型在各自的網(wǎng)絡(luò)位置正常運行，盡量減少與其他虛擬機的數(shù)據(jù)泄露。此外，還需要加強對虛擬化環(huán)境邊界的保護，在每臺虛擬服務(wù)器上安裝虛擬IDS和防火墻，確保保護設(shè)備能夠識別所有虛擬服務(wù)器，并依靠虛擬層實現(xiàn)嚴(yán)格控制邊界訪問。同時，根據(jù)虛擬服務(wù)器的重要性劃分相應(yīng)的級別，對重要數(shù)據(jù)進行不同級別的加密，以加強每個虛擬服務(wù)器的入侵檢測和病毒防護。 通過對虛擬服務(wù)器進行分類部署，可以優(yōu)化服務(wù)器內(nèi)部的邏輯運行，提高虛擬服務(wù)器的安全性。

3.4 提升運維管理人員技術(shù)水平和素養(yǎng)

虛擬服務(wù)器的安全管理包含虛擬機操作系統(tǒng)和應(yīng)用程序的加固與補丁升級、更新病毒庫，虛擬化的數(shù)據(jù)安全存儲與銷毀機制、虛擬服務(wù)器的安全遷移以及虛擬機鏡像等。這就對運維管理人員提出了較高的要求。各方要不斷提升虛擬服務(wù)器運維管理人員的技術(shù)水平和素養(yǎng)，使其與時俱進，系統(tǒng)學(xué)習(xí)虛擬化知識，提升信息安全意識，以便能在實踐中巧妙應(yīng)用，同時也要增強使用服務(wù)器人員的安全意識，形成從硬件、軟件、網(wǎng)絡(luò)、人員等各方面完備的虛擬服務(wù)器加固系統(tǒng)，全方位地確保服務(wù)器虛擬化安全應(yīng)用。

4 結(jié)語

時代在變化，科技在進步，計算機技術(shù)不斷發(fā)展，虛擬化技術(shù)彰顯其重要性，服務(wù)器虛擬化技術(shù)作為其典型的分支，具備節(jié)省資金、整合服務(wù)器以及服務(wù)器資源的最大化利用率的優(yōu)勢，被廣泛應(yīng)用在各企事業(yè)單位、學(xué)校等多行業(yè)，因此，要不斷加強服務(wù)器虛擬化技術(shù)應(yīng)用安全，發(fā)揮服務(wù)器虛擬化的最大作用，提升其應(yīng)用效果。

參考文獻：

[1] 何厚華.計算機服務(wù)器虛擬化的風(fēng)險隱患及對策研究[J].衛(wèi)星電視與寬帶多媒體，2020（11）：139-140.

[2] 郭春梅，孟慶森，畢學(xué)堯.服務(wù)器虛擬化技術(shù)及安全研究[J].信息網(wǎng)絡(luò)安全，2011（9）：35-37.

[3] 馬宏偉，魏曉婷，張雅棋.服務(wù)器虛擬化在企業(yè)的應(yīng)用及優(yōu)缺點分析[J].天津科技，2019，46（9）：50-51，54.

[4] 陳世清.服務(wù)器虛擬化的風(fēng)險隱患及對策研究[J].金融科技時代，2020，28（6）：79-81.

[5] 莫偉.計算機服務(wù)器虛擬化關(guān)鍵技術(shù)探析[J].通訊世界，2019，26（8）：107-108.

【通聯(lián)編輯：梁書】E06B7A2B-274D-4DD7-8E47-98DBC0214EF3