服務(wù)器虛擬化的安全威脅及防范措施探究

王殿超

摘 要：服務(wù)器虛擬化技術(shù)給整個(gè)互聯(lián)網(wǎng)發(fā)展帶來了一定的積極作用，尤其是具有很多傳統(tǒng)服務(wù)器無法比擬的優(yōu)勢(shì)，在各大領(lǐng)域廣泛應(yīng)用。但隨之而來的安全威脅也成為人們關(guān)注的重中之重。論文簡(jiǎn)單分析了服務(wù)器虛擬化存在的安全威脅，以及有針對(duì)性的提出了行之有效的防范措施，為服務(wù)器虛擬化的順利應(yīng)用提供了巨大的保障，利于進(jìn)一步推動(dòng)網(wǎng)絡(luò)技術(shù)的發(fā)展。

關(guān)鍵詞：服務(wù)器虛擬化；安全威脅；防范措施

在科學(xué)技術(shù)日新月異的快速發(fā)展下，網(wǎng)絡(luò)技術(shù)早已深入各大領(lǐng)域，并取得極大成效。服務(wù)器作為計(jì)算機(jī)網(wǎng)絡(luò)的一個(gè)重要操作系統(tǒng)，對(duì)其安全性、穩(wěn)定性、容災(zāi)性要求更高，而將服務(wù)器虛擬化是實(shí)現(xiàn)這一要求的一個(gè)重要途徑，能有效的共享空間資源，降低運(yùn)營(yíng)成本，提高網(wǎng)絡(luò)系統(tǒng)管理的靈活性。

一、關(guān)于服務(wù)器虛擬化存在的安全威脅分析

早在20世紀(jì)60年代，就出現(xiàn)了虛擬化技術(shù)，70年代開始流行開來。在人們開始意識(shí)到傳統(tǒng)服務(wù)器資源利用率低的時(shí)候，也開始明白實(shí)現(xiàn)服務(wù)器整合的必要性，再次讓虛擬化技術(shù)成為關(guān)注焦點(diǎn)。而服務(wù)器虛擬化從邏輯角度出發(fā)對(duì)資源進(jìn)行了重新配置，與傳統(tǒng)架構(gòu)存在一定差別。

同時(shí)服務(wù)器虛擬化還有很多傳統(tǒng)服務(wù)器無法比擬的優(yōu)勢(shì)，如：確保機(jī)房環(huán)境穩(wěn)定、提供信息支撐、提高系統(tǒng)綜合性能、縮短服務(wù)器配置時(shí)間、確保業(yè)務(wù)連續(xù)性等。當(dāng)然有優(yōu)勢(shì)也必然存在一定的風(fēng)險(xiǎn)，尤其是安全威脅是服務(wù)器虛擬化必須面對(duì)的一大問題，主要表現(xiàn)在幾方面：

（一）虛擬機(jī)之間存在一定的安全威脅

眾所周知，傳統(tǒng)網(wǎng)絡(luò)要想進(jìn)行系統(tǒng)訪問，其服務(wù)器的縱向流量需經(jīng)過防火墻等外置設(shè)備的安全防護(hù)。在服務(wù)器虛擬化后，這些外置的安全防護(hù)系統(tǒng)也能實(shí)現(xiàn)縱向流量的防護(hù)與業(yè)務(wù)隔離。而虛擬化環(huán)境下，還存在多個(gè)虛擬機(jī)在一臺(tái)物理主機(jī)上產(chǎn)生交互橫向流量的情況，管理員難以對(duì)所有的流量都進(jìn)行監(jiān)控，致使虛擬機(jī)之間流量漏洞成為攻擊對(duì)象的可能性大大增加，讓主機(jī)陷入安全威脅中。

（二）虛擬機(jī)與主機(jī)間存在安全威脅

一般來說，主機(jī)就是虛擬機(jī)的一個(gè)物理基礎(chǔ)，虛擬機(jī)寄宿在主機(jī)中，二者共享硬件。同時(shí)主機(jī)運(yùn)行是確保虛擬機(jī)正常運(yùn)行的一個(gè)重要前提，因此主機(jī)的安全對(duì)于虛擬機(jī)安全與否至關(guān)重要。當(dāng)主機(jī)受到攻擊，被控制后，就能通過主機(jī)的一些性能獲取虛擬機(jī)上的系列重要信息，如：數(shù)據(jù)庫、RSA私匙等，帶來嚴(yán)重的危害。

2015年發(fā)生的虛擬化最大安全漏洞“毒液”，使數(shù)以百萬計(jì)的虛擬機(jī)都處在被網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)中，對(duì)云服務(wù)的數(shù)據(jù)安全造成嚴(yán)重威脅。而導(dǎo)致主機(jī)與虛擬機(jī)間存在安全威脅，具體如下圖所示：

（三）虛擬機(jī)控制中心的安全威脅體現(xiàn)

虛擬機(jī)控制中心是一個(gè)非常重要的核心存在，其安全也顯得尤為重要，主要是因?yàn)槠淠軐?duì)所有的虛擬機(jī)擁有訪問權(quán)限。一般而言，管理員通過虛擬機(jī)控制中心，能對(duì)不同位置的虛擬機(jī)進(jìn)行管理部署，讓一切管理工作更加的簡(jiǎn)單、快速、高效，這也是服務(wù)器虛擬化能降低成本的一大原因。然而正是因?yàn)樘摂M機(jī)控制中心的重要性，也使之成為被攻擊的重要對(duì)象，因?yàn)橐坏┣秩氩⒄瓶亓颂摂M機(jī)控制中心，就等于獲得了進(jìn)入其他所有虛擬機(jī)的“鑰匙”，讓虛擬機(jī)中的所有數(shù)據(jù)信息都面臨著極大的被泄露的威脅。

二、提高服務(wù)器虛擬化安全防范的措施探究

（一）加固虛擬機(jī)，確保安全

虛擬機(jī)的安全威脅可以同對(duì)其自身安全加固達(dá)到一定效果，包括病毒防護(hù)、漏洞補(bǔ)丁操作等，而隨著對(duì)服務(wù)器虛擬化安全的關(guān)注提高，越來越多的第三方也在積極的為虛擬化廠商提供安全防護(hù)軟件，起到了一定的防護(hù)作用。

一般虛擬機(jī)的防護(hù)軟件，是通過對(duì)虛擬機(jī)運(yùn)行的觀察，將病毒、木馬等一些惡意軟件從虛擬機(jī)上清除，并利用補(bǔ)丁方式減少虛擬機(jī)的安全威脅。

當(dāng)然除了不斷的加固虛擬機(jī)，利用各種有效的安全防護(hù)軟件外，也可以進(jìn)一步加強(qiáng)操作系統(tǒng)口令，變更應(yīng)用端口、調(diào)整服務(wù)策略、關(guān)閉無用服務(wù)程序等來進(jìn)一步加固服務(wù)器虛擬化的安全防護(hù)。例如：加強(qiáng)主機(jī)或虛擬機(jī)的系統(tǒng)操作口令管理，能讓各種訪問更加安全可靠，還能極大程度的降低暴力破解密碼，以獲取虛擬機(jī)上所有重要信息數(shù)據(jù)的可能性。

（二）通過隔離虛擬機(jī)加強(qiáng)安全防范

通過上述內(nèi)容可以知道，虛擬機(jī)之間也存在一定的安全威脅，為了最大化減小安全威脅，可以通過隔離虛擬機(jī)的手段來確保虛擬機(jī)的安全。主要包括：硬件虛擬化，對(duì)資源進(jìn)行限制，讓虛擬機(jī)無法脫離虛擬機(jī)管理器的控制管理；加強(qiáng)訪問控制達(dá)到對(duì)虛擬機(jī)的邏輯隔離；提供硬件內(nèi)存保護(hù)機(jī)制，確保虛擬機(jī)的安全穩(wěn)固[ 2 ]。同時(shí)，還可以針對(duì)不同虛擬機(jī)采取防火墻進(jìn)行來進(jìn)行隔離、防護(hù)，主機(jī)與虛擬機(jī)之間的隔離防護(hù)也不能忽略。

三、結(jié)語

服務(wù)器虛擬化已成為當(dāng)前網(wǎng)絡(luò)發(fā)展的一個(gè)大趨勢(shì)，而存在的安全威脅也極大的引起了社會(huì)的廣泛關(guān)注。只有通過各種行之有效的手段加強(qiáng)服務(wù)器虛擬化的安全防范，才能確保服務(wù)器虛擬化的正常應(yīng)用。

參考文獻(xiàn)：

[1] 王玉珍，王志強(qiáng)等.服務(wù)器虛擬化技術(shù)的應(yīng)用于研究[J].中國(guó)醫(yī)療設(shè)備，2013（9）：31-32，30.

[2] 滿亮.服務(wù)器虛擬化的安全威脅及防范分析[J].互聯(lián)網(wǎng)天地，2016（1）：9-12.