王棋

【摘 要】進(jìn)入21世紀(jì)后，我國(guó)的計(jì)算機(jī)技術(shù)水平也得到了長(zhǎng)足的進(jìn)步，在互聯(lián)網(wǎng)不斷普及應(yīng)用的情況下，服務(wù)器虛擬化技術(shù)的應(yīng)用范圍不斷擴(kuò)大，其在提高資源利用效率、解決舊設(shè)備服務(wù)器性能不好等方面的問題上發(fā)揮出巨大的作用，但是服務(wù)器虛擬化運(yùn)行期間存在的安全風(fēng)險(xiǎn)問題仍然影響著其實(shí)際的應(yīng)用效果?；诖?，本文就服務(wù)器虛擬化技術(shù)及其安全進(jìn)行了研究。

【關(guān)鍵詞】服務(wù)器虛擬化技術(shù);安全;應(yīng)用

虛擬化技術(shù)在諸多商業(yè)高端服務(wù)器中也得到了較為廣泛的應(yīng)用，作為一種主流應(yīng)用技術(shù)，越來越多的組織機(jī)構(gòu)都已經(jīng)或者正在實(shí)施服務(wù)器虛擬化，對(duì)其進(jìn)行安全的風(fēng)險(xiǎn)進(jìn)行合理化控制具有重要的現(xiàn)實(shí)意義。

一、服務(wù)器虛擬化技術(shù)的基本內(nèi)容

服務(wù)器虛擬化是指將服務(wù)器物理資源抽象成邏輯資源，讓一臺(tái)服務(wù)器變成幾臺(tái)甚至上百臺(tái)相互隔離的虛擬服務(wù)器，我們不再受限于物理上的界限，而是讓CPU、內(nèi)存、磁盤、I/O等硬件變成可以動(dòng)態(tài)管理的“資源池”，從而提高資源的利用率，簡(jiǎn)化系統(tǒng)管理，實(shí)現(xiàn)服務(wù)器整合，讓IT對(duì)業(yè)務(wù)的一些變化更具適應(yīng)力。

（一）全虛擬化內(nèi)容

全虛擬化內(nèi)容主要在于直接執(zhí)行技術(shù)和DBT同時(shí)應(yīng)用的情況，這樣有利于實(shí)現(xiàn)操作系統(tǒng)虛擬化的根本目標(biāo)。虛擬化中的CPU具有執(zhí)行用戶級(jí)指令的權(quán)限，不需要通過系統(tǒng)內(nèi)核中的任何變動(dòng)支持就可以使物理硬件中的客戶操作系統(tǒng)抽取出來，具有較高的應(yīng)用優(yōu)勢(shì)。

（二）半虛擬化內(nèi)容

在半虛擬化技術(shù)中，計(jì)算機(jī)操作系統(tǒng)具備與虛擬化平臺(tái)兩者兼容的功能，以此來確保半虛擬化中使物理機(jī)可以對(duì)虛擬機(jī)進(jìn)行有效操作，以半虛擬化技術(shù)Xen為例，其能夠?qū)?nèi)存、主要設(shè)備和相關(guān)處理器實(shí)施虛擬化，并輔助虛擬機(jī)中大部分設(shè)備的操作過程。

（三）硬件輔助虛擬化內(nèi)容

Root運(yùn)行模式是虛擬化技術(shù)的應(yīng)用為服務(wù)器的運(yùn)行所新增的一種模式，計(jì)算機(jī)用戶只需要通過將操作系統(tǒng)狀態(tài)保存在虛擬機(jī)控制結(jié)構(gòu)中或者虛擬機(jī)控制模塊中的方式實(shí)現(xiàn)相關(guān)訴求。

二、服務(wù)器虛擬化運(yùn)行中存在的安全風(fēng)險(xiǎn)

（一）高資源利用率帶來的風(fēng)險(xiǎn)

將VMware虛擬服務(wù)器管理技術(shù)靈活應(yīng)用在服務(wù)器中可以實(shí)現(xiàn)對(duì)虛擬化服務(wù)器的統(tǒng)籌管理工作，繼而能夠科學(xué)整合虛擬服務(wù)器關(guān)鍵業(yè)務(wù)實(shí)施，使得服務(wù)器的利用效率大大提升，但是高資源利用率的提升伴隨而來的安全風(fēng)險(xiǎn)問題也屢見不鮮，嚴(yán)重影響著服務(wù)器虛擬化運(yùn)行。

（二）虛擬化網(wǎng)絡(luò)環(huán)境存在的風(fēng)險(xiǎn)

服務(wù)器虛擬技術(shù)在物理硬件以及虛擬服務(wù)器兩者之間引入了虛擬機(jī)監(jiān)控器，但是也為服務(wù)器本身的安全性帶來了一定的風(fēng)險(xiǎn)，主要是因?yàn)閭鹘y(tǒng)的邊界防護(hù)設(shè)備很難捕捉虛擬環(huán)境中網(wǎng)絡(luò)通信，服務(wù)器虛擬化運(yùn)行的安全風(fēng)險(xiǎn)防范工作開展受到限制。而且在虛擬環(huán)境下主要是借助虛擬網(wǎng)絡(luò)實(shí)現(xiàn)同一臺(tái)物理服務(wù)器上運(yùn)行的虛擬機(jī)的通信，導(dǎo)致傳統(tǒng)邊界防護(hù)無法發(fā)揮出較大的作用。

（三）虛擬化管理工具保護(hù)等方面存在的風(fēng)險(xiǎn)

虛擬化管理工作在具體開展過程中可以為服務(wù)器虛擬化技術(shù)的應(yīng)用創(chuàng)造良好的條件，但是其在實(shí)際應(yīng)用中也會(huì)受到攻擊，再加上虛擬化環(huán)境中管理工具缺乏完善的保護(hù)措施，導(dǎo)致虛擬化管理工具保護(hù)等方面存在的風(fēng)險(xiǎn)嚴(yán)重影響著其實(shí)際運(yùn)行。如果不采取積極的風(fēng)險(xiǎn)應(yīng)對(duì)策略就有可能會(huì)威脅到整個(gè)服務(wù)器虛擬環(huán)境。隨著服務(wù)器虛擬化技術(shù)的深入應(yīng)用，虛擬機(jī)遷移后者虛擬機(jī)間的網(wǎng)絡(luò)通信則使得遭受外部滲透攻擊的機(jī)會(huì)越來越多，嚴(yán)重影響著服務(wù)器虛擬化技術(shù)的應(yīng)用效果。

三、服務(wù)器虛擬化技術(shù)安全防范措施

（一）優(yōu)化服務(wù)器虛擬化技術(shù)分類部署

通過隨服務(wù)器虛擬化技術(shù)分類部署后進(jìn)行優(yōu)化可以有效的增強(qiáng)虛擬服務(wù)器運(yùn)行邏輯隔離的安全性，繼而提高系統(tǒng)整體安全性。在具體的工作開展中主要就是從細(xì)化網(wǎng)絡(luò)設(shè)置出發(fā)，通過分開設(shè)置公共的虛擬機(jī)和專用的虛擬機(jī)或者是按照服務(wù)器虛擬化技術(shù)類型（系統(tǒng)虛擬服務(wù)器、應(yīng)用程序類虛擬服務(wù)器以及數(shù)據(jù)庫(kù)虛擬服務(wù)器）分開設(shè)置就能夠提高其運(yùn)行安全性[1]。

（二）強(qiáng)化對(duì)虛擬化基礎(chǔ)設(shè)備的保護(hù)

虛擬化基礎(chǔ)設(shè)備的保護(hù)工作指的是對(duì)虛擬化管理工具進(jìn)行保護(hù)，在當(dāng)前ed系統(tǒng)運(yùn)行過程中，虛擬化管理工具是整體系統(tǒng)正常運(yùn)行工作的基礎(chǔ)，其作為系統(tǒng)安全管理的中樞直接關(guān)系到所有虛擬機(jī)的生產(chǎn)、策略設(shè)備和后期維護(hù)工作，在其保護(hù)過程中，應(yīng)該根據(jù)管理工具的實(shí)際情況開展，比如在VMware虛擬化管理工具的保護(hù)工作中，可以對(duì)管理控制臺(tái)VMware本地管理人員進(jìn)行集中控制，以便杜絕虛擬化管理工具自身由于缺乏安全保護(hù)所帶來的風(fēng)險(xiǎn)問題，同時(shí)，相關(guān)工作人員可以采取分權(quán)制約的方式，一是要自主定義虛擬化管理系統(tǒng)管理員、安全管理員以及安全審計(jì)員，保證職位的獨(dú)立性，杜絕兼任職位的現(xiàn)象;二是在VMware與虛擬化桌面管理其的ViewManager中創(chuàng)建以上三個(gè)角色，并合理限制以上角色所具有的管理權(quán)限。

（三）合理配置虛擬服務(wù)器與加固系統(tǒng)

合理配置虛擬服務(wù)器與加固系統(tǒng)是服務(wù)器安全管理的重要工作環(huán)節(jié)，主要目的就是最大程度上降低虛擬服務(wù)器運(yùn)行過程中被惡意攻擊的風(fēng)險(xiǎn)。在實(shí)際工作中，一是要在虛擬化服務(wù)器技術(shù)應(yīng)用部署環(huán)節(jié)加強(qiáng)管理，比如按照物理服務(wù)器和虛擬服務(wù)器的占比情況來評(píng)估物理服務(wù)器的硬件配置、散熱情況以及電源負(fù)荷情況，這樣詳細(xì)了解虛擬服務(wù)器的具體用途，明確其在實(shí)際應(yīng)用中可能需要承擔(dān)的實(shí)際并發(fā)訪問量，能夠更好的提高物理服務(wù)器性能，并且保證數(shù)量設(shè)置的合理性，進(jìn)一步提高對(duì)虛擬服務(wù)器的安全管理工作的質(zhì)量;二是需要全面安全加固虛擬化環(huán)境中的服務(wù)器系統(tǒng)，加固內(nèi)容涵蓋承載虛擬機(jī)的物理主機(jī)、管理虛擬化環(huán)境的vCenter Server和其他所有虛擬機(jī)，而且強(qiáng)化對(duì)虛擬機(jī)生命周期的管理以及身份認(rèn)證也能夠提高安全保護(hù)級(jí)別較低設(shè)備的運(yùn)行安全[2]。

四、虛擬化服務(wù)器的應(yīng)用

（一）服務(wù)器整合

隨著先進(jìn)技術(shù)手段的進(jìn)步發(fā)展，原有的舊系統(tǒng)已經(jīng)取法滿足實(shí)際需要，服務(wù)器在更新過程中可以利用服務(wù)器虛擬化技術(shù)將多個(gè)舊系統(tǒng)裝入一個(gè)物理服務(wù)器中，具體實(shí)施辦法是：將多個(gè)不同物理服務(wù)器中的信息內(nèi)容先轉(zhuǎn)移到VPS上，然后將這些VPS運(yùn)行在一個(gè)單獨(dú)的物理服務(wù)器上。這樣就可以保證在節(jié)省空間、節(jié)約電力，節(jié)約投資的同時(shí)又滿足多系統(tǒng)并存對(duì)資源的需求。

（二）數(shù)據(jù)系統(tǒng)的災(zāi)難恢復(fù)

利用VPS構(gòu)建冗余的作業(yè)環(huán)境，可以有效加快數(shù)據(jù)的拷貝和應(yīng)用程序的恢復(fù)，對(duì)數(shù)據(jù)損毀的恢復(fù)工作具有十分重要的現(xiàn)實(shí)意義。

（三）互聯(lián)網(wǎng)主機(jī)服務(wù)商

對(duì)于互聯(lián)網(wǎng)主機(jī)服務(wù)提供商來說，原有系統(tǒng)錯(cuò)存在的資源“閑置”和“不足”等方面的問題嚴(yán)重制約著其進(jìn)一步的發(fā)展，采用Virtuozzo工具則可以將“閑置”資源充分的利用起來，靈活自由的虛擬化技術(shù)將極大地提高服務(wù)商服務(wù)資源的效率。

五、結(jié)語

綜上所述，服務(wù)器虛擬化技術(shù)在實(shí)際應(yīng)用過程中為系統(tǒng)安全帶來了新的風(fēng)險(xiǎn)和威脅，在IT新技術(shù)快速發(fā)展的現(xiàn)在，可以通過優(yōu)化服務(wù)器虛擬化技術(shù)分類部署、強(qiáng)化對(duì)虛擬化基礎(chǔ)設(shè)施的保護(hù)以及合理配置虛擬服務(wù)器與加固系統(tǒng)等幾個(gè)方面入手來做好服務(wù)器虛擬化技術(shù)安全防范工作，以便充分發(fā)揮出服務(wù)器虛擬化技術(shù)應(yīng)用價(jià)值。

【參考文獻(xiàn)】

[1]龍達(dá)鑫.淺析服務(wù)器虛擬化技術(shù)的安全性[J].信息系統(tǒng)工程，2019（06）：46.

[2]王鈺.服務(wù)器虛擬化安全風(fēng)險(xiǎn)及防范措施[J].信息技術(shù)與信息化，2019（04）：25-26.