◆武國良 王 琪 陳凱華

（天津市氣象信息中心 天津 300074）

淺談服務器虛擬化環(huán)境下的安全防護

◆武國良 王 琪 陳凱華

（天津市氣象信息中心 天津 300074）

隨著虛擬化技術的普及應用，大量企業(yè)將核心應用系統(tǒng)遷移至服務器虛擬化資源池，虛擬化環(huán)境下的安全防護已經(jīng)成為系統(tǒng)管理員關注的焦點問題。本文針對服務器虛擬化環(huán)境面臨的安全問題，提出通過病毒防護、訪問控制、入侵檢測/入侵防護等方面實現(xiàn)虛擬主機和虛擬系統(tǒng)的安全防護。

虛擬化；安全防護

0 前言

隨著虛擬化技術的廣泛應用，越來越多的數(shù)據(jù)中心采用虛擬化技術建設基礎設施資源池，做為應用系統(tǒng)的硬件支撐平臺。虛擬化資源池實現(xiàn)了資源的按需分配、動態(tài)調(diào)度，提升了硬件資源的利用率，從而減少了硬件采購數(shù)量，降低了系統(tǒng)運行能耗，節(jié)約了數(shù)據(jù)中心整體運行成本。但虛擬化技術給數(shù)據(jù)中心帶來諸多實惠的同時，也給虛擬化環(huán)境下的主機安全防護帶來了新的挑戰(zhàn)。

1 虛擬化環(huán)境安全防護概述

虛擬化是一種資源管理技術，是將計算機的各種實體資源，如CPU、網(wǎng)絡、內(nèi)存及存儲等，予以抽象、轉(zhuǎn)換后呈現(xiàn)出來，打破實體結(jié)構間的不可切割的障礙，使用戶可以更加靈活地應用這些資源。這些虛擬資源是不受物理資源的架設方式、地域所限制的，傳統(tǒng)的物理邊界已經(jīng)消失，無法定義對應的安全域，亦無法采用傳統(tǒng)的安全防護措施，因此需要借助基于虛擬化的安全防護技術，使軟件和硬件相互分離，把軟件從主要安裝硬件中分離出來，使安全產(chǎn)品的系統(tǒng)可以直接運行在虛擬環(huán)境上，允許多個安全產(chǎn)品同時運行在一個物理硬件之上。

2 虛擬化環(huán)境面臨的安全問題

2.1 傳統(tǒng)的安全邊界消失

基于邊界的安全隔離與訪問控制是傳統(tǒng)安全防護的重要原則，很大程度上依賴于各區(qū)域之間明顯清晰的區(qū)域邊界，強調(diào)的是針對不同的安全區(qū)域設置差異化的安全防護策略；在云計算環(huán)境下，基礎網(wǎng)絡架構統(tǒng)一化，存儲和計算資源高度整合，傳統(tǒng)的安全設備部署邊界正逐步消失，云計算環(huán)境下的安全部署需尋找新的模式。

2.2 虛擬化服務的安全問題

“計算機科學中的任何問題都可以通過增加一層映射而解決”，按照這種思路，當前計算機系統(tǒng)的許多問題可以通過計算機系統(tǒng)的虛擬化而解決。虛擬化作為云計算平臺的關鍵技術，基于存儲資源和服務器資源的高度整合，其自身的可擴展性，能夠極大地拓展基礎設施和軟件平臺層面提供虛擬化服務的能力。在這種情況下，如何應對虛擬化平臺基礎網(wǎng)絡架構、數(shù)據(jù)存儲和應用服務的虛擬化交付，對安全設備的設計構建和安裝部署提出了更高的技術要求，也成為云計算環(huán)境下信息安全建設所關注的重點。

2.3 數(shù)據(jù)集中后的安全問題

傳統(tǒng)的網(wǎng)絡中各種應用服務的標準流量和突發(fā)流量有跡可循，流量模型設計相對較為規(guī)范、簡單，對安全設備的處理能力沒有太高的要求。而在虛擬化環(huán)境下，同類型存儲或者應用服務器的規(guī)模增長迅猛，動輒以萬為單位進行擴展，并且不能分而治之，必須依托統(tǒng)一架構的基礎網(wǎng)絡來承載。與傳統(tǒng)網(wǎng)絡環(huán)境相比，這就對安全設備本身的性能指標提出了更高的要求。此外，用戶的數(shù)據(jù)存儲、處理、網(wǎng)絡傳輸?shù)榷寂c虛擬化系統(tǒng)有關。如何避免多用戶共存帶來的潛在風險；如何保證虛擬化服務的身份鑒別、認證管理和訪問控制等安全機制符合用戶的需求，并能夠?qū)嵤┯行У陌踩珜徲?，這些都成為虛擬化環(huán)境所面臨的安全挑戰(zhàn)。

2.4 穩(wěn)定性和可靠性問題

虛擬化環(huán)境下，用戶的數(shù)據(jù)和業(yè)務應用流程等均依賴于資源池所提供的虛擬化服務，這必然對虛擬化服務的穩(wěn)定性、安全策略部署、容災恢復能力和事件處理審計等提出了更高更進一步的需求。此外，用戶、信息資源的高度集中，相對傳統(tǒng)的網(wǎng)絡平臺更加容易成為網(wǎng)絡攻擊的目標，因各類惡意代碼、黑客程序、病毒木馬等工具造成的破壞程度將會呈指數(shù)級上升。

3 虛擬化環(huán)境下的安全防護方法

3.1 病毒防護

傳統(tǒng)的病毒針防護解決方案都是通過安裝Agent代理程序到主機的操作系統(tǒng)中，在整合服務器虛擬化后，要實現(xiàn)針對病毒的實時防護，同樣需要在虛擬主機的操作系統(tǒng)中安裝防病毒Agent程序。服務器虛擬化的目的是整合資源，最大化的發(fā)揮服務器資源的利用率，而在每個虛擬主機中安裝程序，再制定掃描任務就需要消耗虛擬主機的計算資源，這種方式并沒有達到節(jié)約計算資源的效果，在病毒庫更新時帶來更多的網(wǎng)絡資源消耗。另一種解決方案是通過使用虛擬化層相關的API接口實現(xiàn)全面的病毒防護，針對虛擬系統(tǒng)，實現(xiàn)底層無代理病毒防護。通過接口實現(xiàn)針對虛擬系統(tǒng)和虛擬主機之間的全面防護，無需在虛擬主機的操作系統(tǒng)中安裝Agent程序，這樣無需消耗虛擬主機的計算資源和網(wǎng)絡資源，最大化利用計算資源的同時提供全面病毒的實時防護。

3.2 訪問控制

傳統(tǒng)技術的防火墻技術常常以硬件形式存在，用于實現(xiàn)訪問控制和安全區(qū)域的劃分。計算資源虛擬化后導致邊界模糊，很多的信息交換在虛擬系統(tǒng)內(nèi)部就實現(xiàn)了，而傳統(tǒng)防火墻在物理網(wǎng)絡層提供訪問控制，如何在虛擬系統(tǒng)內(nèi)部實現(xiàn)訪問控制和病毒傳播抑制是虛擬系統(tǒng)面臨的最基本安全問題。虛擬化安全網(wǎng)關系統(tǒng)，增強了虛擬環(huán)境內(nèi)部虛擬機流量的可視性和可控性，可以隨時隨地為用戶提供虛擬環(huán)境內(nèi)部的全方位網(wǎng)絡安全防護，基于狀態(tài)檢測細粒度的訪問控制功能，實現(xiàn)針對虛擬交換機基于網(wǎng)口的訪問控制和虛擬系統(tǒng)之間的區(qū)域邏輯隔離。

3.3 入侵檢測/防護

同時在主機和網(wǎng)絡層面進行入侵監(jiān)測和預防，是當今信息安全基礎設施建設的主要內(nèi)容。然而，傳統(tǒng)的入侵監(jiān)測工具可能無法融入或運行在虛擬化的網(wǎng)絡或系統(tǒng)中。由于虛擬交換機不支持建立SPAN或鏡像端口，禁止將數(shù)據(jù)流拷貝至IDS傳感器，網(wǎng)絡入侵監(jiān)測可能會變得更加困難。面對虛擬網(wǎng)絡內(nèi)部流量的時候，內(nèi)聯(lián)在傳統(tǒng)物理網(wǎng)區(qū)域中的IPS系統(tǒng)也沒辦法輕易地集成到虛擬環(huán)境中。虛擬化入侵防御系統(tǒng)將其引擎以虛擬機的形式部署于物理服務器中，提供IPS、DDoS等安全防護功能，實現(xiàn)對虛擬機內(nèi)部業(yè)務系統(tǒng)安全防護功能。

4 結(jié)語

虛擬化技術為企業(yè)節(jié)省成本、提供便利的同時，也為傳統(tǒng)信息安全提出了新的挑戰(zhàn)。做好虛擬化環(huán)境下的信息安全防護工作，是業(yè)務應用系統(tǒng)由傳統(tǒng)架構向云計算架構過渡的前提。為有效做好安全防護，需要通過技術、管理等多個途徑，對存在的信息安全風險加強防范，同時要完善虛擬資源的管理制度與監(jiān)控手段，將信息安全風險控制在有限的范圍內(nèi)。

[1]陶佳冶．云計算安全防護體系的探討[J]．貴州電力技術，2015．

[2]刁宇亮．虛擬化安全建設研究[J]．計算機安全，2012．

[3]謝曉華．企業(yè)虛擬化環(huán)境中的安全防護[J]．計算機安全，2011．