虛擬化技術(shù)體系下的風(fēng)險(xiǎn)識(shí)別與安全

鄭少波

（貴州航天計(jì)量測試技術(shù)研究所，貴陽 550000）

從本質(zhì)上看，虛擬化是屬于資源管理范疇的技術(shù)。具體的落實(shí)方案，是將網(wǎng)絡(luò)環(huán)境中的多種計(jì)算機(jī)資源進(jìn)行抽象，并且以數(shù)字的形式將其映射在網(wǎng)絡(luò)環(huán)境中進(jìn)行集中控制。在這個(gè)資源池中，服務(wù)器、網(wǎng)絡(luò)、內(nèi)存及存儲(chǔ)等都是有效資源，這從根本上打破了實(shí)體框架之下不可逾越的障礙，使用戶能夠以更優(yōu)的組態(tài)對(duì)資源加以利用。在虛擬化的技術(shù)背景下，物理資源可以打破原有的資源構(gòu)架方式、地域以及物理組態(tài)的限制，以邏輯上的資源池的形式，實(shí)現(xiàn)全網(wǎng)優(yōu)化利用。虛擬化技術(shù)實(shí)現(xiàn)了系統(tǒng)資源的有效優(yōu)化利用，但同時(shí)也帶來了更多安全問題。與傳統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)有所不同，虛擬化技術(shù)影響之下的安全呈現(xiàn)出新的特征。唯有對(duì)這些安全問題進(jìn)行有效識(shí)別，才能提出對(duì)應(yīng)的改進(jìn)意見，最終確保整個(gè)網(wǎng)絡(luò)環(huán)境的可靠。

1 虛擬化技術(shù)影響之下的風(fēng)險(xiǎn)

隨著網(wǎng)絡(luò)的深入應(yīng)用，相關(guān)技術(shù)不斷發(fā)展，技術(shù)種類更是層出不窮，對(duì)應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)傳輸業(yè)務(wù)也呈現(xiàn)出更為復(fù)雜的特征，安全問題更是日漸突出。形成當(dāng)前安全困境的直接原因很多，但總體而言可以歸結(jié)為兩個(gè)方面，其一為海量數(shù)據(jù)的增加，其二則是更為多樣化的安全威脅。海量數(shù)據(jù)涌入通信環(huán)境之中，使得網(wǎng)絡(luò)安全計(jì)算能力受到了極大的挑戰(zhàn)。而從另一個(gè)方面看，人們?cè)谌粘５墓ぷ骱蜕钪袑?duì)于網(wǎng)絡(luò)越來越重的依賴特征，決定了成功攻擊能夠獲得的利益也呈現(xiàn)出上升趨勢，從技術(shù)層面看，這是導(dǎo)致安全威脅增長的主要原因。

從虛擬化的進(jìn)步角度看，安全威脅來源于如下幾個(gè)主要方面：

1.1 SQL 注入攻擊

SQL 注入攻擊的目標(biāo)，主要在于獲取網(wǎng)站后臺(tái)的管理權(quán)限，包括管理員用戶名以及密碼口令等，都是SQL攻擊的重點(diǎn)目標(biāo)。在獲取到管理權(quán)限之后，站點(diǎn)內(nèi)部的相關(guān)信息都會(huì)成為攻擊的獲利，包括各類普通用戶的賬號(hào)以及站點(diǎn)數(shù)據(jù)內(nèi)容，甚至于還包括站點(diǎn)上的資金貨幣等。攻擊者的攻擊的實(shí)現(xiàn)渠道相對(duì)而言比較多樣，其中包括SQL 注入漏洞、SQL 盲注漏洞以及命令注入漏洞等，具體攻擊方式包括手動(dòng)和工具，但從本質(zhì)上看，無論是手動(dòng)還是利用工具展開，都是將非法的SQL 語句提交到數(shù)據(jù)庫中，實(shí)現(xiàn)暴庫操作。

1.2 XSS 跨站攻擊

此種攻擊面向站點(diǎn)存在腳本漏洞的情況，攻擊者可以構(gòu)建特定的JS 以及HTML 腳本來實(shí)現(xiàn)對(duì)目標(biāo)站點(diǎn)的插入。當(dāng)有用戶展開對(duì)于該站點(diǎn)的訪問的時(shí)候，此類攻擊跨站腳本代碼就會(huì)自行彈出并且運(yùn)行，進(jìn)一步執(zhí)行存儲(chǔ)型的跨站腳本攻擊。

1.3 木馬攻擊

木馬攻擊在網(wǎng)絡(luò)安全環(huán)境中相對(duì)比較傳統(tǒng)，但是在虛擬化的背景之下又呈現(xiàn)出新的特征。木馬攻擊多出現(xiàn)在預(yù)留了文件上傳功能的站點(diǎn)之上，對(duì)于此類站點(diǎn)而言，如果未能實(shí)現(xiàn)對(duì)于上傳文件的有效監(jiān)測，則攻擊者可以利用這一漏洞來進(jìn)行木馬的安插。常見木馬包括ASP 木馬、PHP 木馬以及JSP 木馬等幾種主要類型，分別具有不同的控制功能，但最終目標(biāo)都是面向服務(wù)器進(jìn)行干擾和控制，或者對(duì)站點(diǎn)信息進(jìn)行篡改。

除去上述幾種比較有特征的攻擊方式以外，其他諸如口令威脅、服務(wù)器硬件故障、協(xié)議默認(rèn)漏洞以及旁注攻擊等，同樣也是當(dāng)前虛擬化數(shù)據(jù)環(huán)境的重要安全威脅來源。有些類型的安全威脅，雖然從數(shù)量上不足以成為典范，但是其危害深度仍然不容忽視。與之對(duì)應(yīng)地，唯有構(gòu)建起完整并且立體的多層面安全防護(hù)體系，才能保證實(shí)現(xiàn)虛擬化技術(shù)框架的正常工作。

2 切實(shí)加強(qiáng)安全體系建設(shè)

基于虛擬化技術(shù)體系之下數(shù)據(jù)傳輸安全問題本身的特殊性與復(fù)雜性，在展開對(duì)應(yīng)安全體系建設(shè)的過程中，同樣應(yīng)當(dāng)謹(jǐn)慎對(duì)待，唯有深入分析安全威脅，才能有的放矢地提出對(duì)應(yīng)的安全保障系統(tǒng)建設(shè)。

具體而言，有如下幾個(gè)方面可以作為重點(diǎn)加強(qiáng)虛擬化技術(shù)體系之下風(fēng)險(xiǎn)防范的著力點(diǎn)：

首先，WAF 防范建設(shè)不容忽視，通常以專用WAF或者入侵檢測來加強(qiáng)系統(tǒng)的安全體系建設(shè)。進(jìn)一步考慮到成本的因素，可以引入NGINX 來對(duì)站點(diǎn)實(shí)現(xiàn)反向代理，并且配置WAF。此種配置方式能夠?yàn)楝F(xiàn)有的網(wǎng)站提供https 服務(wù)，并且便于實(shí)現(xiàn)無縫代理，并且可以有選擇的實(shí)現(xiàn)對(duì)于https 的支持。

其次，在虛擬化技術(shù)框架之下，對(duì)于服務(wù)器硬件的保護(hù)，還可以從共享存儲(chǔ)的角度進(jìn)行著手。對(duì)于服務(wù)器的存儲(chǔ)保護(hù)，通常執(zhí)行Raid6 級(jí)別，這是考慮到Raid5本身不能夠?qū)τ脖P實(shí)現(xiàn)有效保護(hù)而確立的規(guī)則。在虛擬化技術(shù)的背景下，通常利用共享存儲(chǔ)的方式來對(duì)虛擬化集群加以實(shí)現(xiàn)，此種部署方式能夠有效避免因?yàn)橛布收隙鴰淼姆?wù)終端等相關(guān)問題。目前常見的虛擬化技術(shù)都提供了數(shù)據(jù)的快速遷移，可以支持在硬件發(fā)生故障的情況下，實(shí)現(xiàn)有效的物理遷移，在數(shù)分鐘內(nèi)恢復(fù)整個(gè)系統(tǒng)的工作。這其中，Xen 以及Kem 是免費(fèi)的開源方案，但是其他虛擬化方案，諸如VMWareVsphere、Windows Hypervisor 以及Citrix 等，同樣在工作中各有千秋。

最后，必要的冗余和日志的建立同樣是虛擬化體系下的重要安全保障。包括虛擬化主機(jī)快照以及數(shù)據(jù)備份等，都應(yīng)當(dāng)囊括在內(nèi)。除此以外，傳統(tǒng)的安全防范機(jī)制同樣不容忽視，仍然需要不斷加強(qiáng)。包括面向全網(wǎng)的病毒、木馬、蠕蟲以及其他類似的間諜軟件等加強(qiáng)查殺，修改默認(rèn)端口設(shè)置，避免利用默認(rèn)值的攻擊。

3 結(jié)束語

實(shí)際工作中要密切關(guān)注安全領(lǐng)域技術(shù)，尤其是安全于其他領(lǐng)域交叉環(huán)境的發(fā)展。一方面堅(jiān)持傳統(tǒng)安全手段的加強(qiáng)，另一個(gè)方面將大數(shù)據(jù)以及數(shù)據(jù)識(shí)別等相關(guān)技術(shù)引入，是確保虛擬化框架之下系統(tǒng)安全的根基所在。