服務器虛擬化平臺下的安全防護

杜小月 馬鵬 楊彥仙 孫超

摘要 虛擬化是目前云計算最為重要的技術支撐，需要整個虛擬化環境中的存儲、計算及網絡安全等資源的支持。基于服務器的虛擬化技術走在了前面，已開始廣泛的部署應用。服務器虛擬化具備高可用、靈活、易管理、經濟等特性，大部分企業已將關鍵業務系統遷移至虛擬化平臺。隨著“永恒之藍”勒索病毒在全球大范圍傳播，信息化安全受到了巨大的挑戰。如何保證服務器虛擬化平臺的安全性，作為本文研究的重點。本文主要通過安全管控措施、虛擬化平臺安全特性保障措施及虛擬化平臺網絡安全防護三個方面進行研究，最終保障服務器虛擬化平臺的高安全性。

【關鍵詞】服務器虛擬化 虛擬化安全 虛擬化平臺安全特性保障措施 虛擬化平臺網絡安全防護

1 前言

服務器虛擬化平臺一方面保障了業務系統高可用、資源靈活調度，但同時服務器虛擬化也帶來了新的安全威脅。新的安全威脅主要體現在如下兩個方面：

1.1 傳統的安全風險依然存在，但是安全防護對象擴大

傳統的一些安全風險并沒有因為服務器虛擬化的產生而減少或者規避，而服務器虛擬化的產生，帶來了新的網絡環境，一臺物理服務器之上構建了多臺虛擬機。新產生的網絡環境及新產生的虛擬機將不受原安全防護系統的保護。服務器虛擬化的出現，進一步擴大了安全防護的范圍。

1.2 虛擬機之間產生了新的安全訪問風險

同一臺物理服務器上運行的虛擬機之間的訪問，將不通過外界安全防護設備，以至于運行于同一臺物理服務器上的虛擬機安全無法進行傳統的安全防護。運行于不同物理服務器上且處于同- VLAN的虛擬機進行安全訪問時，傳統的安全防護系統無法進行安全防護。

2 服務器虛擬化平臺下的安全防護研究

保證服務器虛擬化平臺安全性是一個系統性工程，只有通過管理和技術雙管齊下才能充分的保證服務器虛擬化平臺安全。

2.1 提升安全管控措施

當前企業面臨的安全事件不僅來自外部的攻擊，不少安全事件的產生是由于內部造成的，并對企業造成巨大的損失。

（1）加強內部員工網絡安全培訓，包括法律、公司安全規則制度、網絡安全基本知識、技能等，進一步提高員工網絡安全的警惕性和自覺性。

（2）加強信息機房安全管理，嚴格執行公司信息安全防護制度。

（3）定期開展虛擬化平臺之上的系統安全加固，保證系統的安全性。

（4）定期開展虛擬化平臺網絡安全應急演練，加強運維人員網絡安全應急能力。

2.2 虛擬化平臺安全特性保障措施

虛擬化平臺自身配置了大量的安全特性，只有正確的啟用這些安全特性，才能保證虛擬化平臺的整體安全性。經過總結，虛擬化平臺安全特性主要包括：虛擬化平臺權限和用戶管理安全特性、Hypervisor主機安全特性、虛擬化管理平臺安全特性、虛擬機安全特性、虛擬機加密。

2.2.1 虛擬化平臺權限和用戶管理安全

使用角色和權限的最佳做法可充分提高虛擬化管理平臺環境的安全性和易管理性，具體措施如下：

（1）向組分配角色，而不要向單個用戶分配角色，以便向該組授予特權。

（2）僅授予對被需要對象的權限，僅向必須擁有特權的用戶或組分配特權。

（3）如果要為組分配限制性角色，檢查該組是否不包括管理員用戶或其他具有管理特權的用戶。

（4）使用文件夾對對象進行分組。

（5）在大多數情況下，向對象分配權限時啟用傳播功能。

（6）使用“無權訪問”角色可屏蔽特定用戶或組無權訪問的對象層次結構中的特定區域。

2.2.2 確保虛擬化主機安全

確保虛擬化主機安全的措施如下：

（1）確保虛擬化主機Shell和SSH處于禁用狀態。

（2）打開有限的防火墻端口數目，明確打開與特定服務關聯的額外防火墻端口。

（3）虛擬化主機僅運行管理其功能所不可或缺的服務。

（4）對主機進行管理訪問時無需使用的所有端口均處于關閉狀態。需要其他服務時，再打開端口。

（5）禁用弱密碼，來自客戶端的通信通過SSL進行保護。

（6）關閉FTP和Telnet之類的不安全服務。

2.2.3 確保虛擬化管理平臺安全性

確保虛擬化管理平臺安全主要措施如下：

（1）嚴格控制對不同虛擬化管理平臺組件的訪問，以增強系統的安全性。

（2）使用指定帳戶。

（3）監控虛擬化管理主機管理員用戶的特權。

（4）最大程度地減少訪問。

（5）為虛擬化管理主機數據庫用戶授予最小的特權。

（6）限制數據存儲瀏覽器訪問。

（7）限制用戶在虛擬機中運行命令。

（8）設置密碼策略。

2.2.4 虛擬機安全

按照基線模板以及安全漏洞掃描模板定期對虛擬機進行掃描，并完成安全加固。同時通過以下措施進一步保證虛擬機安全。主要包括：虛擬機常規保護、使用模板來部署虛擬機、盡量少用虛擬機控制臺、防止虛擬機取代資源。

2.2.5 虛擬機加密

對于支持虛擬機加密的平臺，啟用虛擬機加密功能，加密不僅能保護虛擬機，而且還能保護虛擬機磁盤和其他文件。

2.3 服務器虛擬化平臺網絡安全防護措施

將服務器虛擬化平臺業務流量劃分為縱向流量和橫向流量，通過從縱向流量、橫向流量兩個方面進行服務器虛擬化安全防護。

2.3.1 服務器虛擬化縱向流量的安全防護

服務器虛擬化縱向流量包括兩種流量，第一客戶端到服務器訪問的流量，第二不同虛擬機之間三層互訪的流量。服務器虛擬化縱向流量的特點是流量訪問過程必然經過服務器虛擬化平臺之外的硬件安全防護層。針對此類型流量，采用傳統的安全區域防護設備（防火墻、IPS設備）進行安全防護。

2.3.2 服務器虛擬化橫向流量安全防護

服務器虛擬化平臺橫向流量包括服務器虛擬化平臺運行于同一物理服務器之上，同一VLAN兩臺虛擬機之間的互訪流量，以及不同物理服務器之上，同- VLAN兩臺虛擬機之間的互訪流量。服務器虛擬化平臺橫向流量無法通過傳統硬件安全防護設備進行安全防護，要做到橫向更深度的安全檢測，目前主要有兩種技術方式：基于VM的安全服務模型，以及利用EVB技術實現流量重定向的安全檢測模型。

（1）基于VM的安全防護：利用軟件定義安全的思想，通過服務器虛擬化平臺開放的API接口，實現虛擬化層面虛擬安全防火墻、虛擬IPS，可實現橫向流量的安全防護。

（2）基于重定向技術的防護模型：利用進行標準化的EVB、VEPA等技術將服務器虛擬化橫向流量引入到外部的交換機，在交換機對引入的橫向流量進行轉發之前，通過鏡像或者重定向等技術，將流量先引入到安全區域防護設備進行深度報文檢查、安全策略配置。

3 總結

服務器虛擬化平臺為業務系統帶來高可用、方便、靈活、節能、經濟等特性的同時，也帶來了新的信息安全威脅。只有認真地分析虛擬化平臺帶來的安全威脅，針對新的安全威脅進行安全防護，才能保證我們整個虛擬化環境的安全。本文認清了服務器虛擬化平臺帶來的安全威脅，通過管理和技術手段結合，科學的解決了服務器虛擬化平臺帶來的安全隱患，保障了整個虛擬化平臺的安全性，有效地發揮出服務器虛擬化平臺的價值。

參考文獻

[1]侯茜，對虛擬化安全防護關鍵技術的探討[J].數字通信世界，2017 （07）.

[2]武國良，王琪，陳凱華.服務器虛擬化環境下的安全防護[J].網絡安全技術與應用，2016 （10）.

[3]鄧高峰，高四良，李玉龍.服務器虛擬化安全問題分析及防護措施[J]，計算機安全，2014 （08）.

[4]劉瀟清.服務器虛擬化在電廠信息化建設中的應用研究[D].華北電力大學，2015.