鄭少波

（貴州航天計量測試技術研究所，貴陽 550000）

從本質上看，虛擬化是屬于資源管理范疇的技術。具體的落實方案，是將網絡環(huán)境中的多種計算機資源進行抽象，并且以數字的形式將其映射在網絡環(huán)境中進行集中控制。在這個資源池中，服務器、網絡、內存及存儲等都是有效資源，這從根本上打破了實體框架之下不可逾越的障礙，使用戶能夠以更優(yōu)的組態(tài)對資源加以利用。在虛擬化的技術背景下，物理資源可以打破原有的資源構架方式、地域以及物理組態(tài)的限制，以邏輯上的資源池的形式，實現全網優(yōu)化利用。虛擬化技術實現了系統資源的有效優(yōu)化利用，但同時也帶來了更多安全問題。與傳統的網絡安全風險有所不同，虛擬化技術影響之下的安全呈現出新的特征。唯有對這些安全問題進行有效識別，才能提出對應的改進意見，最終確保整個網絡環(huán)境的可靠。

1 虛擬化技術影響之下的風險

隨著網絡的深入應用，相關技術不斷發(fā)展，技術種類更是層出不窮，對應的網絡數據傳輸業(yè)務也呈現出更為復雜的特征，安全問題更是日漸突出。形成當前安全困境的直接原因很多，但總體而言可以歸結為兩個方面，其一為海量數據的增加，其二則是更為多樣化的安全威脅。海量數據涌入通信環(huán)境之中，使得網絡安全計算能力受到了極大的挑戰(zhàn)。而從另一個方面看，人們在日常的工作和生活中對于網絡越來越重的依賴特征，決定了成功攻擊能夠獲得的利益也呈現出上升趨勢，從技術層面看，這是導致安全威脅增長的主要原因。

從虛擬化的進步角度看，安全威脅來源于如下幾個主要方面：

1.1 SQL 注入攻擊

SQL 注入攻擊的目標，主要在于獲取網站后臺的管理權限，包括管理員用戶名以及密碼口令等，都是SQL攻擊的重點目標。在獲取到管理權限之后，站點內部的相關信息都會成為攻擊的獲利，包括各類普通用戶的賬號以及站點數據內容，甚至于還包括站點上的資金貨幣等。攻擊者的攻擊的實現渠道相對而言比較多樣，其中包括SQL 注入漏洞、SQL 盲注漏洞以及命令注入漏洞等，具體攻擊方式包括手動和工具，但從本質上看，無論是手動還是利用工具展開，都是將非法的SQL 語句提交到數據庫中，實現暴庫操作。

1.2 XSS 跨站攻擊

此種攻擊面向站點存在腳本漏洞的情況，攻擊者可以構建特定的JS 以及HTML 腳本來實現對目標站點的插入。當有用戶展開對于該站點的訪問的時候，此類攻擊跨站腳本代碼就會自行彈出并且運行，進一步執(zhí)行存儲型的跨站腳本攻擊。

1.3 木馬攻擊

木馬攻擊在網絡安全環(huán)境中相對比較傳統，但是在虛擬化的背景之下又呈現出新的特征。木馬攻擊多出現在預留了文件上傳功能的站點之上，對于此類站點而言，如果未能實現對于上傳文件的有效監(jiān)測，則攻擊者可以利用這一漏洞來進行木馬的安插。常見木馬包括ASP 木馬、PHP 木馬以及JSP 木馬等幾種主要類型，分別具有不同的控制功能，但最終目標都是面向服務器進行干擾和控制，或者對站點信息進行篡改。

除去上述幾種比較有特征的攻擊方式以外，其他諸如口令威脅、服務器硬件故障、協議默認漏洞以及旁注攻擊等，同樣也是當前虛擬化數據環(huán)境的重要安全威脅來源。有些類型的安全威脅，雖然從數量上不足以成為典范，但是其危害深度仍然不容忽視。與之對應地，唯有構建起完整并且立體的多層面安全防護體系，才能保證實現虛擬化技術框架的正常工作。

2 切實加強安全體系建設

基于虛擬化技術體系之下數據傳輸安全問題本身的特殊性與復雜性，在展開對應安全體系建設的過程中，同樣應當謹慎對待，唯有深入分析安全威脅，才能有的放矢地提出對應的安全保障系統建設。

具體而言，有如下幾個方面可以作為重點加強虛擬化技術體系之下風險防范的著力點：

首先，WAF 防范建設不容忽視，通常以專用WAF或者入侵檢測來加強系統的安全體系建設。進一步考慮到成本的因素，可以引入NGINX 來對站點實現反向代理，并且配置WAF。此種配置方式能夠為現有的網站提供https 服務，并且便于實現無縫代理，并且可以有選擇的實現對于https 的支持。

其次，在虛擬化技術框架之下，對于服務器硬件的保護，還可以從共享存儲的角度進行著手。對于服務器的存儲保護，通常執(zhí)行Raid6 級別，這是考慮到Raid5本身不能夠對硬盤實現有效保護而確立的規(guī)則。在虛擬化技術的背景下，通常利用共享存儲的方式來對虛擬化集群加以實現，此種部署方式能夠有效避免因為硬件故障而帶來的服務終端等相關問題。目前常見的虛擬化技術都提供了數據的快速遷移，可以支持在硬件發(fā)生故障的情況下，實現有效的物理遷移，在數分鐘內恢復整個系統的工作。這其中，Xen 以及Kem 是免費的開源方案，但是其他虛擬化方案，諸如VMWareVsphere、Windows Hypervisor 以及Citrix 等，同樣在工作中各有千秋。

最后，必要的冗余和日志的建立同樣是虛擬化體系下的重要安全保障。包括虛擬化主機快照以及數據備份等，都應當囊括在內。除此以外，傳統的安全防范機制同樣不容忽視，仍然需要不斷加強。包括面向全網的病毒、木馬、蠕蟲以及其他類似的間諜軟件等加強查殺，修改默認端口設置，避免利用默認值的攻擊。

3 結束語

實際工作中要密切關注安全領域技術，尤其是安全于其他領域交叉環(huán)境的發(fā)展。一方面堅持傳統安全手段的加強，另一個方面將大數據以及數據識別等相關技術引入，是確保虛擬化框架之下系統安全的根基所在。