服務(wù)器虛擬化技術(shù)及安全研究

◆陸明燕

服務(wù)器虛擬化技術(shù)及安全研究

◆陸明燕

（三江學(xué)院現(xiàn)代教育技術(shù)中心 江蘇 210012）

現(xiàn)代化科技發(fā)展日新月異，計(jì)算機(jī)互聯(lián)網(wǎng)已經(jīng)成為其主流，引領(lǐng)著時(shí)代的發(fā)展，企業(yè)、機(jī)關(guān)單位以及政府使用服務(wù)器的頻率越來越高，數(shù)據(jù)量不斷增長(zhǎng)，導(dǎo)致電費(fèi)以及維修的費(fèi)用成倍增長(zhǎng)。但是這些過高的投入和支出并未顯出太大的成效，所以把虛擬化運(yùn)用到服務(wù)器當(dāng)中，才可以更有效的把硬件資源利用率提升，降低管理以及維修的費(fèi)用。本文主要解釋了服務(wù)器如何虛擬化、服務(wù)器虛擬化的安全程度。并根據(jù)這些安全程度，分析如何解決這些問題，保證服務(wù)器虛擬化的安全。

服務(wù)器虛擬化；安全程度；控制安全

0 前言

虛擬化，簡(jiǎn)單的來講就是運(yùn)用程序?qū)τ?jì)算機(jī)進(jìn)行維護(hù)、資源整合以及轉(zhuǎn)化的一種應(yīng)用方式，這種方式不需要外界客觀形式干預(yù)，從而解決計(jì)算機(jī)出現(xiàn)的各類基礎(chǔ)性問題，包括處理器虛擬化、內(nèi)存虛擬化等技術(shù)。隨著軟件與硬件技術(shù)的不斷發(fā)展進(jìn)步，其在高端服務(wù)器更是廣泛應(yīng)用以及推廣。其優(yōu)勢(shì)在于：分區(qū)、隔離封裝服務(wù)器資源整合利用，從而使資源的利用率不斷提升，降低了以前花費(fèi)外在硬件所需要的高成本，有了這些優(yōu)勢(shì)，風(fēng)險(xiǎn)和安全的問題也隨之而來。本文主要介紹了服務(wù)器虛擬化的發(fā)展歷程，分析了各類虛擬化技術(shù)以及出現(xiàn)的安全問題程度，并提出了解決問題所需要的應(yīng)對(duì)方案。

1 服務(wù)器虛擬化技術(shù)的內(nèi)容

服務(wù)器虛擬化技術(shù)應(yīng)用具有多重技術(shù)優(yōu)勢(shì)，把單一的物理服務(wù)通過虛擬化層在多個(gè)虛擬服務(wù)器上運(yùn)行。由于虛擬化層對(duì)應(yīng)問題的方式不同，所以主要分為兩種類型，寄居虛擬化和裸機(jī)虛擬化。寄居虛擬化由于單純的在一個(gè)宿主操作系統(tǒng)上運(yùn)行，所以對(duì)于資料整合資源轉(zhuǎn)化管理方面實(shí)現(xiàn)的很容易，不過性能較低。裸機(jī)虛擬化在各方面能力高于寄居虛擬化，是由于虛擬化層直接作用在物理硬件，直接為虛擬機(jī)操作指令集，內(nèi)存和設(shè)備接口，不過方式比較復(fù)雜。

世界上現(xiàn)在最受歡迎的X86架構(gòu)，使虛擬機(jī)當(dāng)中比較復(fù)雜敏感的指令不能夠完全虛擬化，所以如何解決X86的敏感操作問題成為了服務(wù)器虛擬化的又一大難題。對(duì)于這項(xiàng)難題目前已經(jīng)出現(xiàn)了三種解決方案。即全虛擬化、半虛擬化、以及硬件輔助虛擬化。下文則是對(duì)這三種虛擬化方案進(jìn)行分析。

1.1全虛擬化

全虛擬化技術(shù)主要是BDT和直接執(zhí)行這兩樣技術(shù)合成的，當(dāng)BDT在虛擬機(jī)上工作的過程中，將敏感指令在沒有陷入其他指令之前，通過執(zhí)行命令插入到VMM中，VMM會(huì)對(duì)這些敏感指令進(jìn)行有效的轉(zhuǎn)化，使功能相同，這些指令隨之按照相應(yīng)的順序進(jìn)入去直接訪問計(jì)算機(jī)虛擬硬件系統(tǒng)。通過這些也可以看出，全虛擬化技術(shù)和其他技術(shù)的不同在于：不需要硬件或者操作系統(tǒng)協(xié)助完成這些敏感指令的虛擬化技術(shù)。

1.2半虛擬化

半虛擬化則是要將客戶操作系統(tǒng)內(nèi)核進(jìn)行修改，把不能虛擬化的指令替換掉，通過虛擬化平臺(tái)把敏感指令進(jìn)行特別調(diào)用來完成，主物理機(jī)的操作則是需要客戶系統(tǒng)虛擬化平臺(tái)兩項(xiàng)兼容，否則無法操作。

1.3硬件輔助虛擬化

隨著虛擬化技術(shù)日益發(fā)展，虛擬化技術(shù)在應(yīng)用上增加了一種全新的模式ROOT。這種模式可以使VMM在ROOT的模式下運(yùn)行，敏感指令不需要半虛擬化或者BT技術(shù)就可以在Hypervisor上執(zhí)行。計(jì)算機(jī)用戶也是大大節(jié)約了系統(tǒng)運(yùn)行時(shí)間，只需要將系統(tǒng)操作保存在虛擬機(jī)控制結(jié)構(gòu)中或者虛擬化模塊中即可。

2 服務(wù)器虛擬化所出現(xiàn)的安全問題

相對(duì)于傳統(tǒng)服務(wù)器對(duì)比來講，服務(wù)器虛擬化是虛擬化層引進(jìn)在物理硬件資源與虛擬化服務(wù)器之間，所以虛擬化層也被稱之為—虛擬監(jiān)控器。由于虛擬機(jī)操作在VMM平臺(tái)上，所以虛擬機(jī)的安全問題也成了VMM平臺(tái)的安全隱患。

（1）VMM需要和虛擬機(jī)安全共享，也需要為虛擬機(jī)提供統(tǒng)一的資源抽象，而VMM理論模式并未完善，VMM本身一旦被潛在的漏洞攻擊，那么虛擬機(jī)則容易出現(xiàn)溢出，稱為虛擬機(jī)逃逸。攻擊者則可以在此時(shí)進(jìn)入到主機(jī)系統(tǒng)進(jìn)行操作其他虛擬機(jī)，虛擬機(jī)最大的安全隱患也就是在這。

（2）虛擬化使傳統(tǒng)的網(wǎng)絡(luò)邊界消失不見，服務(wù)器和安全網(wǎng)絡(luò)也出現(xiàn)了部分的融合重疊。傳統(tǒng)的模式當(dāng)中，每個(gè)物理機(jī)都有各自的防護(hù)系統(tǒng)，防火墻等保護(hù)產(chǎn)品，而在虛擬化這種全新的網(wǎng)絡(luò)模式當(dāng)中，幾十個(gè)甚至上百個(gè)操作系統(tǒng)都會(huì)以虛擬機(jī)的模式出現(xiàn)在同一個(gè)物理機(jī)上，他們之間資源共享，所以牽一發(fā)而動(dòng)全身，當(dāng)其中某一個(gè)虛擬機(jī)出現(xiàn)安全問題，該問題則會(huì)蔓延到其他的虛擬機(jī)。

（3）對(duì)于虛擬機(jī)的頻繁使用以及無腦的濫用，導(dǎo)致虛物理機(jī)的負(fù)荷量持續(xù)增大，網(wǎng)絡(luò)磁盤等載體逐漸遲鈍，直到以后虛擬機(jī)的癱瘓物理主機(jī)崩潰。

（4）虛擬機(jī)在進(jìn)行應(yīng)用的時(shí)候會(huì)在不同的物理主機(jī)之間相互移動(dòng)。在VMM遷入端與遷出端通過網(wǎng)絡(luò)通信，需要先將虛擬機(jī)遷入端的數(shù)據(jù)進(jìn)行復(fù)制，隨即復(fù)制到遷出端的端口，最后遷出端的虛擬機(jī)收到數(shù)據(jù)后才會(huì)停止虛擬機(jī)的工作，也就是說虛擬機(jī)互相遷移的過程中是比較容易出現(xiàn)安全隱患的機(jī)會(huì)，攻擊者一般會(huì)抓住這個(gè)機(jī)會(huì)對(duì)服務(wù)器進(jìn)行攻擊。

3 服務(wù)器虛擬化安全的控制辦法

隨著服務(wù)器虛擬化的發(fā)展，安全漏洞成了最大的問題，大多數(shù)使用者在使用中，較為關(guān)心從哪些方面防止這些隱患的侵入，保衛(wèi)自己主機(jī)的安全。本文僅提出一部分相對(duì)安全的控制方法，讓安全隱患處于控制范圍內(nèi)。

3.1針對(duì)資源共享這類技術(shù)所帶來的安全隱患問題

用戶需要提高VMM的安全，在安全等級(jí)方面盡量提高到最大的限度，再把不同的硬件進(jìn)行分區(qū)進(jìn)行防護(hù)，對(duì)虛擬機(jī)進(jìn)行有效的優(yōu)化、隔離、封裝。出現(xiàn)內(nèi)存故障時(shí)，第一時(shí)間清理修復(fù)，并對(duì)沒有授權(quán)的應(yīng)用嚴(yán)格把控。

3.2針對(duì)虛擬機(jī)在內(nèi)部刻意被人攻擊的問題

用戶需要把數(shù)據(jù)的重要性進(jìn)行分層次的分級(jí)，可以設(shè)置對(duì)應(yīng)性的安全等級(jí)以及防火墻等措施將其隔離開來。服務(wù)器的內(nèi)部防護(hù)邊界需要自行建立，防止惡意的軟件侵入系統(tǒng)主機(jī)。

3.3針對(duì)使用虛擬機(jī)，濫用的問題

對(duì)于過多的緩存應(yīng)該進(jìn)行分析，哪些是有用的，哪些是無用的，每天定時(shí)進(jìn)行清理，防止資源被占用以及病毒入侵。設(shè)置有效的數(shù)據(jù)監(jiān)控，一旦風(fēng)險(xiǎn)出現(xiàn)的時(shí)候報(bào)警系統(tǒng)應(yīng)當(dāng)自動(dòng)發(fā)出警報(bào)，方便維護(hù)的人員第一時(shí)間發(fā)現(xiàn)問題所在掌握服務(wù)器的具體情況，企業(yè)更是要加強(qiáng)對(duì)于服務(wù)器的瀏覽，對(duì)于業(yè)務(wù)的訪問也是要設(shè)置好控制方法。從而提高虛擬機(jī)網(wǎng)絡(luò)的安全和控制范圍，讓網(wǎng)絡(luò)病毒無法威脅自己的數(shù)據(jù)安全。

3.4 針對(duì)于虛擬機(jī)在不同主機(jī)相互遷移的問題

在相互遷移的過程中一旦發(fā)現(xiàn)不可控的問題，那么安全管家以及安全管理人員都會(huì)有相應(yīng)的提示和方法，并快速對(duì)所出現(xiàn)的風(fēng)險(xiǎn)情況進(jìn)行有效的控制。

4 結(jié)語

服務(wù)器虛擬化技術(shù)是當(dāng)今學(xué)術(shù)領(lǐng)域以及產(chǎn)業(yè)領(lǐng)域研究的熱門項(xiàng)目，既能夠?yàn)橛脩糇畲笙薅鹊墓?jié)省自己需要的開銷，又可以最大程度的利用資源。簡(jiǎn)單部署所需要的應(yīng)用，便于用戶省心省力的使用管理。但是近年以來，安全隱患成了網(wǎng)絡(luò)用戶最大的問題，對(duì)于網(wǎng)絡(luò)病毒等安全隱患更是畏之如虎，所以網(wǎng)絡(luò)用戶必須提高警惕，提升自己對(duì)于網(wǎng)絡(luò)的安全意識(shí)。同時(shí)，服務(wù)商需制定安全地訪問策略，把控好風(fēng)險(xiǎn)的程度，提高虛擬機(jī)的安全，保護(hù)好用戶的合法權(quán)益。

[1]郭春梅，孟慶森，畢學(xué)堯.服務(wù)器虛擬化技術(shù)及安全研究[J].信息網(wǎng)絡(luò)安全，2011.

[2]倪志敏，趙凡.基于虛擬化技術(shù)的網(wǎng)絡(luò)安全管理的研究與實(shí)現(xiàn)[J/OL].中國(guó)建材科技.

[3]李華芳.服務(wù)器虛擬化技術(shù)及安全研究[J].數(shù)字技術(shù)與應(yīng)用，2017.

[4]尹凡，李徽.服務(wù)器虛擬化技術(shù)及安全研究[J].電腦迷，2017.