基于VMwarev Sphere的集群虛擬機安全問題研究

蔡建軒 李梅

摘要：隨著虛擬化技術的不斷發展，集群虛擬機的應用越來越廣泛，但也帶來了更多的安全問題。該文針對高職院校數據中心中基于VMware vSphere的集群虛擬機安全問題展開研究，簡要闡述了VMware vSphere技術，探討了服務器虛擬化存在的安全問題，提出了相應的解決方案，有效提高高職院校信息化數據安全。

關鍵詞：VMware vSphere;集群;虛擬機;安全問題

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2019）16-0005-02

開放科學（資源服務）標識碼（OSID）：

隨著高等院校信息化建設步伐的加快，在數據中心建設中服務器虛擬化技術的應用日益廣泛。集群式管理可以有效提高虛擬機軟硬件資源的利用率，然而當前網絡安全事件呈多發態勢，如前不久的“勒索病毒”嚴重威脅到網絡安全，給網絡用戶造成很大的損失，也引發社會對計算機網絡安全的重視，同時這些網絡安全事件也嚴重威脅到集群虛擬機。因此，如何有效解決基于VMware vSphere的集群虛擬機安全問題，保證集群虛擬機的安全穩定運行成為一個重要的研究課題。本文針對高職院校數據中心中基于VMware vSphere的集群虛擬機安全問題展開了研究。

1 VMware vSphere介紹

ESXi是Vmware虛擬架構套件vSphere的核心部分。Vmware ESXi虛擬層可以直接部署在物理服務器上，可以對服務器資源進行虛擬化處理，在將其合理分配給多個虛擬機，從而實現服務器資源的高效利用，有效節約成本，同時借助高級資源管理功能、安全功能、資源密集型應用程序能夠有效提高服務水平。傳統服務器部署模式下服務器硬件資源利用率很低，通常在5-15%之間，而借助虛擬化技術可以將服務器資源的利用率提高至60%以上，還能有效降低成本，提高服務器管理靈活性。

2 基于VMware vSphere的集群虛擬機安全問題

2.1 主機間的安全問題

服務器虛擬化本質上是使用VMware vSphere等軟件，而ESXi自身也存在一些安全漏洞，假如不及時修復就會增加宿主機面臨的安全風險。網絡黑客如果抓住這些安全漏洞攻擊宿主機獲得VMware平臺管理權就能隨意訪問宿主機中的虛擬機，這會給各業務系統造成嚴重的安全隱患。除此以外，因為虛擬化技術的應用日益廣泛，僵尸虛擬機的存在可能性增大，占用物理機的硬件資源，使得物理機負荷過大，引發死機、業務中斷的問題，甚至導致物理機崩潰。

2.2 虛擬機與主機間的安全問題

運用虛擬化技術可以將物理服務器的虛擬為多個虛擬機，因此，常規的網絡安全監控方法已不適用。如果宿主機中某臺虛擬機受到網絡攻擊時，它就會搶奪物理服務器的資源，使得服務器負荷過大而宕機。同時，位于同一臺物理宿主機上的其他虛擬機也面臨同樣的安全風險，導致服務器宕機、數據損壞丟失等網絡安全事件。

2.3 主機內虛擬機間的安全問題

現階段往往只關注宿主機的安全防護，不重視虛擬機的安全防范。當前集群虛擬機之間的安全防護非常薄弱，無法有效保證虛擬機的安全。如果一臺宿主機上一臺虛擬機受到網絡攻擊就會影響到其他虛擬機。同時虛擬機的遷移會將安全風險擴散到其他物理宿主機上，使得安全問題在集群虛擬機中進行傳播，造成嚴重的安全事件。

3 集群虛擬機安全問題解決措施

3.1 構建安全防護體系

做好集群虛擬機的隔離，在各個虛擬機的網絡邊界設置網絡防火墻等安全產品，設置集群內主機、虛擬機的安全訪問策略，建立嚴格明確的訪問權限，有效控制宿主機、虛擬機的訪問協議、端口號、IP設置。依照各業務系統、應用系統的重要等級進行相應的隔離、封裝，建立安全防護體系，嚴格審查各虛擬機的訪問行為，有效保證虛擬機的安全穩定運行。

3.2 虛擬機的網絡隔離

有效利用虛擬局域網技術對處于同個局域網中的虛擬機進行網絡隔離。根據虛擬機服務類型、用途，將其劃分成網站虛擬機、管理虛擬機、數據庫虛擬機、業務虛擬機等，以有效減少虛擬機之間的安全風險，保證虛擬機的安全穩定運行。

3.3 做好VMware平臺更新和漏洞修復

及時更新VMware vSphere軟件安全補丁，修復Exsi、主機系統、虛擬機業務系統、應用軟件、操作系統的安全漏洞。利用騰訊電腦管家、360殺毒等安全軟件的漏洞修復功能，不但可以及時更新操作系統的安全漏洞，還可以對虛擬機上運行的服務以及相關協議、端口號進行審核，有效防止虛擬機處于不設防狀態。

3.4 建立完善的集群虛擬機管理制度

首先，制定合理的虛擬機申請審查制度。在管理虛擬機的實踐中面對新虛擬機的申請要進行嚴格審查，通過簽署相應的協議，明確各方安全責任，跟蹤后續的安全管理，禁止隨意添加新的虛擬機，避免形成大量的僵尸虛擬機，浪費物理服務器的資源，帶來安全問題。其次，加強監控物理宿主機、虛擬機的數據、性能、網絡、資源，力求第一時間發現潛在的安全問題、網絡攻擊，以便安全管理員可以快速做出反應，采取措施解決安全問題。再次，要定期備份虛擬機的數據。制定科學合理的數據備份方案，定期備份重要的虛擬機數據。最好是將數據備份在異地存儲設備中，最大限度地提升數據的安全性。最后，提高虛擬機管理員的安全意識，建立完善的虛擬機建立、訪問、跟蹤等相關安全防護措施，建立安全的虛擬機訪問策略，提高虛擬機的穩定性、安全性。

4 結束語

綜上所述，在高職院校的數據中心建設中虛擬化技術的應用非常廣泛，能夠有效減少服務器軟硬件資源的投入，最大化地利用有限的服務器軟硬件資源，簡化數據中心、服務器、虛擬機的管理。但虛擬化技術的應用也帶來一定的安全風險。為了保證校園網絡安全，應該建立科學合理的虛擬機安全管理制度，做好虛擬機之間的網絡隔離，運用各種網絡安全產品有效防范網絡攻擊，保障集群虛擬機的安全穩定運行。

參考文獻：

[1] 鄭小長， 閆格. 基于VMware vSphere環境下虛擬服務器集群的構建[J]. 閩南師范大學學報（自然科學版）， 2013， 26（1）：44-46.

[2] 茍潔.基于VMware vSphere技術的虛擬云平臺的研究與設計[D]. 成都理工大學， 2016.

[3] 張魁. 基于VMWARE VSPHERE的虛擬機管理平臺設計與實現[D]. 蘇州大學， 2013.

【通聯編輯：代影】