云計(jì)算虛擬化技術(shù)的發(fā)展與趨勢(shì)

唐明雙

(長(zhǎng)春工程學(xué)院，長(zhǎng)春 130012)

云計(jì)算虛擬化技術(shù)的發(fā)展與趨勢(shì)

唐明雙

(長(zhǎng)春工程學(xué)院，長(zhǎng)春 130012)

介紹了虛擬化技術(shù)和主流虛擬化平臺(tái)，對(duì)虛擬化平臺(tái)應(yīng)對(duì)的不同安全問(wèn)題進(jìn)行研究，對(duì)虛擬化平臺(tái)的安全現(xiàn)狀與安全威脅的發(fā)展趨勢(shì)進(jìn)行分析，探討虛擬平臺(tái)存在的不足之處，提出一些建議，供大家參考。

云計(jì)算；云安全；虛擬化技術(shù)；安全漏洞；虛擬化平臺(tái)

1 虛擬化技術(shù)

虛擬化技術(shù)是利用物理資源映射，將其作為虛擬資源，使其成為一個(gè)共享底層讓多個(gè)程度或軟件使用的物理計(jì)算資源。通過(guò)客戶的要求來(lái)進(jìn)行動(dòng)態(tài)調(diào)整的虛擬化計(jì)算資源，以減少對(duì)資源的浪費(fèi)，減少管理成本，且這個(gè)虛擬化的平臺(tái)還能使每個(gè)虛擬機(jī)享有整個(gè)物理硬件資源。

虛擬技術(shù)通常分為全虛擬化和半虛擬化兩部分，全虛擬化有著很好的兼容性，可是會(huì)給客戶增加軟件的復(fù)雜度和較大的損失。半虛擬化則需要將客戶的操作系統(tǒng)進(jìn)行改動(dòng)，修改過(guò)后，接近其物理機(jī)的性能。這兩個(gè)虛擬化技術(shù)的基本結(jié)構(gòu)如圖1所示。目前，服務(wù)器虛擬化平臺(tái)使用較好的有vSphere和KVM等。

圖1 虛擬化平臺(tái)的兩種基本結(jié)構(gòu)Fig.1 Two basic structures of virtualization platform

1.1 vSphere

vSphere是一種面向企業(yè)及應(yīng)用的服務(wù)器虛擬化平臺(tái)，其核心的組件包括VMware ESX/ESXi,該服務(wù)器虛擬化平臺(tái)支持全虛擬化和半虛擬化。但由于Server和Hypervisor占用的資源較多，而且大部分都以全虛擬化為主體，因此，它的性能較低。

1.2 KVM

KVM利用QEMU設(shè)備中的虛擬化進(jìn)行全虛擬化，而且能夠使用多個(gè)硬件平臺(tái)。近幾年來(lái)，眾多Linux的內(nèi)核開發(fā)者都加入到這一研究行列，其發(fā)展態(tài)勢(shì)近些年非常可觀。

2 虛擬化平臺(tái)構(gòu)成的安全威脅及必要防范

2.1 虛擬化平臺(tái)存在的安全威脅

從當(dāng)前虛擬化平臺(tái)的部署應(yīng)用來(lái)看，虛擬化平臺(tái)還存在許多安全性問(wèn)題，其中最突出的表現(xiàn)為以下幾點(diǎn)：第一，虛擬機(jī)的逃逸。所謂的虛擬機(jī)逃逸，是指在通常情況下，處于同一個(gè)虛擬化平臺(tái)上的客戶虛擬機(jī)之間必然會(huì)出現(xiàn)相互監(jiān)視、相互影響彼此進(jìn)程的情況，但是在一些特殊的情況下，如果虛擬化漏洞存在，或者虛擬機(jī)間行駛的隔離方式不正確，則會(huì)導(dǎo)致虛擬機(jī)獲得了Hypervisor的訪問(wèn)權(quán)限，如此，則會(huì)將其交給入侵至同一虛擬平臺(tái)上其余的虛擬機(jī)，這就稱之為虛擬機(jī)的逃逸現(xiàn)象。第二，虛擬機(jī)跳躍現(xiàn)象。簡(jiǎn)單來(lái)講，如果通過(guò)一臺(tái)虛擬機(jī)服務(wù)監(jiān)視別的虛擬機(jī)的運(yùn)行或者直接介入至宿主機(jī)上，這種現(xiàn)象就稱之為虛擬機(jī)的跳躍。比如：通過(guò)虛擬機(jī)A，然后去獲取其余虛擬機(jī)B、C的流量，甚至截取宿主機(jī)的服務(wù)控制權(quán)，這樣很可能造成其余虛擬機(jī)的服務(wù)終端或者通信出現(xiàn)問(wèn)題。第三，遠(yuǎn)程管理的缺陷。運(yùn)維工程師通常是通過(guò)遠(yuǎn)程管理平臺(tái)來(lái)對(duì)虛擬機(jī)進(jìn)行管理，這樣可以降低管理的難度，將復(fù)雜度降低，但如果一旦發(fā)生SQL注入或者是跨站式腳本攻擊，就會(huì)出現(xiàn)很大的問(wèn)題或者危害。如圖2所示的是遠(yuǎn)程管理平臺(tái)結(jié)構(gòu)示意圖。

圖2 遠(yuǎn)程管理平臺(tái)結(jié)構(gòu)示意圖Fig.2 Remote management platform structure diagram

2.2 虛擬機(jī)平臺(tái)的安全防范

當(dāng)前，虛擬化的服務(wù)器占據(jù)了總體服務(wù)的70%以上，而且還在持續(xù)增長(zhǎng)，因此，了解和掌握虛擬化平臺(tái)的安全防范是十分重要的。筆者根據(jù)自身經(jīng)驗(yàn)及文案顯示，對(duì)安全防范總結(jié)了以下幾種方法，可參看表1。

表1 虛擬化平臺(tái)的安全防范方法Tab.1 Virtualization platform security precautions

3 對(duì)虛擬化平臺(tái)的安全性剖析

虛擬化平臺(tái)發(fā)展至今，安全性問(wèn)題一直是有待解決的一項(xiàng)重要課題，它是制約虛擬化平臺(tái)發(fā)展的一個(gè)主要原因。只有實(shí)現(xiàn)云計(jì)算的安全，才能反過(guò)來(lái)促進(jìn)虛擬化安全性的發(fā)展。筆者根據(jù)文獻(xiàn)與數(shù)據(jù)分析，總結(jié)出以下幾點(diǎn)：第一，就國(guó)內(nèi)外比較而言，國(guó)外的虛擬化安全研究成果一直處于不斷增長(zhǎng)的狀態(tài)，而我國(guó)則落后于國(guó)外。第二，國(guó)外對(duì)于虛擬化安全的研究熱度一直高于國(guó)內(nèi)。第三，國(guó)外開始時(shí)會(huì)更關(guān)注虛擬化平臺(tái)安全方面的研究，然后帶動(dòng)云計(jì)算發(fā)展，而國(guó)內(nèi)則是持續(xù)研究云計(jì)算，再帶動(dòng)虛擬化安全的發(fā)展。

總體而言，虛擬化平臺(tái)安全發(fā)展一直是較為重要的問(wèn)題，因?yàn)樵摷夹g(shù)發(fā)展時(shí)間并不太長(zhǎng)，熟悉并能對(duì)該技術(shù)構(gòu)成威脅的人員并不多，此外，傳統(tǒng)的網(wǎng)絡(luò)攻擊手段并不使用于虛擬化平臺(tái)之上，但也必須居安思危，需要時(shí)刻避免虛擬機(jī)逃逸、信息泄露等問(wèn)題，時(shí)刻提防SOL發(fā)生注入以及跨腳本的攻擊，只有保持嚴(yán)謹(jǐn)?shù)膽B(tài)度，才能將威脅降到最低。

4 虛擬化安全所存在的不足與必要的改進(jìn)

4.1 安全性的不足

在傳統(tǒng)環(huán)境中，單一的漏洞僅會(huì)攻擊這個(gè)漏洞的物理機(jī)，它的攻擊面較窄，攻擊范圍也有限，但是虛擬化的實(shí)現(xiàn)，使多租戶可以共同享受計(jì)算資源，這樣會(huì)加大被攻擊的可能性。在傳統(tǒng)網(wǎng)絡(luò)環(huán)境之中，對(duì)于各個(gè)安全廠商，他們會(huì)共同一起研究某一個(gè)漏洞，然后將所研究的結(jié)果公布出來(lái)，大家一起使用。但在云計(jì)算虛擬化平臺(tái)上，這些會(huì)涉及商業(yè)機(jī)密，具有一定封閉性，這對(duì)于安全性能的提升極為不利。

4.2 改進(jìn)方法

可以進(jìn)行跨界點(diǎn)硬件與虛擬機(jī)監(jiān)視器安全性監(jiān)控。通常使用云控制中心對(duì)跨界點(diǎn)的硬件的虛擬界進(jìn)行安全性的監(jiān)控，但是這種做法耗能大，會(huì)產(chǎn)生超負(fù)荷效果，所以可以使用跨界點(diǎn)硬件，研究其虛擬機(jī)的安全監(jiān)控方法，從而提高安全性。還可以建立聯(lián)合的應(yīng)急處理機(jī)制，雖然許多技術(shù)涉及企業(yè)機(jī)密，但是可以指定統(tǒng)一的行業(yè)標(biāo)準(zhǔn)，可以進(jìn)行相互監(jiān)督、相互交流，從而促進(jìn)虛擬化平臺(tái)的發(fā)展和云計(jì)算技術(shù)的進(jìn)步，也可以將危害降到最低。

[1] 武志學(xué).云計(jì)算虛擬化技術(shù)的發(fā)展與趨勢(shì)[J].計(jì)算機(jī)應(yīng)用，2017，37(04)：915-923.

[2] 王文旭，張健，常青，等.云計(jì)算虛擬化平臺(tái)安全問(wèn)題研究[C]//中國(guó)計(jì)算機(jī)學(xué)會(huì).第31次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集，2016.

[3] 周佳昕.云計(jì)算資源管理平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)[D].長(zhǎng)春：吉林大學(xué)，2016.

[4] Korir Sammy(克瑞).云計(jì)算數(shù)據(jù)中心中節(jié)能安全的虛擬機(jī)實(shí)時(shí)遷移研究[D].長(zhǎng)沙：中南大學(xué)，2012.

Developmentandtrendofcloudcomputingvirtualizationtechnology

TANG Ming-shuang

(Changchun Institute of Technology, Changchun 130012, China)

This paper introduces the virtualization technology and the mainstream virtualization platform, studies the different security problems that the virtualization platform deals with, analyzes the security status quo of the virtualization platform and the development trend of security threats, discusses the shortcomings of the virtual platform, and puts forward some suggestions for reference.

Cloud computing; Cloud security; Virtualization technology; Security vulnerability; Virtualization platform

TP391.9

A

1674-8646(2017)21-0118-02

2017-09-22

唐明雙(1964-)，男，副教授，本科。