服務(wù)器虛擬化情況下的安全防護(hù)研究

◎楊曉剛

自虛擬化技術(shù)誕生以來(lái)，應(yīng)用此技術(shù)建設(shè)基礎(chǔ)設(shè)施資源池的數(shù)據(jù)中心逐步增多，并將此技術(shù)作為應(yīng)用系統(tǒng)的安全與穩(wěn)定運(yùn)行的重要支撐。虛擬化資源池的建立有利于根據(jù)需求進(jìn)行資源的合理分配，可實(shí)現(xiàn)動(dòng)態(tài)化的資源調(diào)度，使硬件資源的利用率得以大幅提升，可節(jié)約硬件采購(gòu)成本，也可使系統(tǒng)的運(yùn)行能耗得以有效降低，對(duì)數(shù)據(jù)中心的運(yùn)營(yíng)極為有利。然而面對(duì)虛擬化情況下潛在的安全隱患問(wèn)題，有必要采取有效措施進(jìn)行安全防護(hù)，以此避免安全風(fēng)險(xiǎn)的發(fā)生。

一、虛擬化情況下存在的安全問(wèn)題

1.傳統(tǒng)設(shè)備的安全邊界逐步消失。

傳統(tǒng)安全防護(hù)模式下，主要是基于邊界而進(jìn)行安全隔離，并實(shí)現(xiàn)對(duì)訪問(wèn)的控制，主要是對(duì)各個(gè)區(qū)域進(jìn)行清晰的范圍界定，根據(jù)各個(gè)區(qū)域的具體情況制定不同的安全防護(hù)措施。然而在云計(jì)算環(huán)境背景下，實(shí)現(xiàn)了基礎(chǔ)網(wǎng)絡(luò)架構(gòu)的統(tǒng)一，并對(duì)存儲(chǔ)與計(jì)算資源進(jìn)行了有效融合，因此，過(guò)去安全設(shè)備所設(shè)置的安全邊界已不復(fù)存在，因此，必須探尋新的模式進(jìn)行有效的安全防護(hù)。

2.虛擬化服務(wù)方面的安全問(wèn)題。

在對(duì)計(jì)算機(jī)科學(xué)中的問(wèn)題進(jìn)行解決時(shí)，通常會(huì)采用增加層映射的方式，基于這一思路，可利用計(jì)算機(jī)系統(tǒng)的虛擬化實(shí)現(xiàn)多個(gè)問(wèn)題的有效解決。在云計(jì)算平臺(tái)當(dāng)中，虛擬化屬于極為重要的技術(shù)之一，其可實(shí)現(xiàn)存儲(chǔ)資源與服務(wù)器資源的有效整合，并且具有極高的擴(kuò)展性，可實(shí)現(xiàn)對(duì)基礎(chǔ)設(shè)施的有效拓展，也可為軟件平臺(tái)提供有效的虛擬化服務(wù)。在這種情況下，如何應(yīng)對(duì)虛擬化平臺(tái)基礎(chǔ)網(wǎng)絡(luò)架構(gòu)、數(shù)據(jù)存儲(chǔ)和應(yīng)用服務(wù)的虛擬化交付，對(duì)安全設(shè)備的設(shè)計(jì)構(gòu)建和安裝部署提出了更高的技術(shù)要求，也成為云計(jì)算環(huán)境下信息安全建設(shè)所關(guān)注的重點(diǎn)。

3.數(shù)據(jù)集中后存在的安全隱患。

傳統(tǒng)網(wǎng)絡(luò)服務(wù)可對(duì)標(biāo)準(zhǔn)流量及突發(fā)流量進(jìn)行監(jiān)控，可設(shè)計(jì)時(shí)規(guī)范化與便利化的流量模型，同時(shí)對(duì)安全設(shè)備的處理能力要求也并不高。然而在虛擬下情況下，安全設(shè)備的存儲(chǔ)規(guī)模不斷擴(kuò)大，服務(wù)器規(guī)模也呈持續(xù)上升趨勢(shì)，且是以萬(wàn)單位迅速拓展，此種模式下難以實(shí)現(xiàn)分別防護(hù)，必須基于統(tǒng)一的基礎(chǔ)網(wǎng)絡(luò)而進(jìn)行防護(hù)。因此，虛擬化環(huán)境下對(duì)安全設(shè)備的性能要求比傳統(tǒng)網(wǎng)絡(luò)環(huán)境下更高。同時(shí)，虛擬化系統(tǒng)不僅與數(shù)據(jù)存儲(chǔ)與處理有直接的關(guān)聯(lián)，也決定著網(wǎng)絡(luò)傳輸狀況。服務(wù)器虛擬情況下必須對(duì)用戶使用網(wǎng)絡(luò)過(guò)程中的安全風(fēng)險(xiǎn)問(wèn)題進(jìn)行有效防范，也應(yīng)加強(qiáng)對(duì)虛擬化服務(wù)進(jìn)行身份鑒別，且要根據(jù)用戶的需求對(duì)用戶進(jìn)行認(rèn)證管理，并嚴(yán)格進(jìn)行訪問(wèn)控制，以此保障審計(jì)的安全性，進(jìn)而有效化解服務(wù)器虛擬化情況下遇到的各類安全問(wèn)題。

4.虛擬化服務(wù)的穩(wěn)定性與可靠性問(wèn)題。

虛擬化環(huán)境下，是在資源池所提供的虛擬化服務(wù)支持下而實(shí)現(xiàn)數(shù)據(jù)信息的應(yīng)用，因此，虛擬化服務(wù)所應(yīng)具備的穩(wěn)定性及安全性應(yīng)該更高，且應(yīng)具有更強(qiáng)的容災(zāi)恢復(fù)能力，并可具備理想的事件處理審計(jì)功能。同時(shí)，目前網(wǎng)絡(luò)平臺(tái)上的信息資源及用戶更加集中，因此與傳統(tǒng)網(wǎng)絡(luò)平臺(tái)相比，虛擬化平臺(tái)更易遭到黑客的攻擊，面臨著更為嚴(yán)重的黑客程序破壞與病毒侵害風(fēng)險(xiǎn)。

二、服務(wù)器虛擬化情況下的有效安全防護(hù)措施

1.采取有效的病毒防護(hù)措施。

面對(duì)病毒感染問(wèn)題，服務(wù)器虛擬化情況下有以下兩種解決方法。

（1）安裝Agent代理程序。

在服務(wù)器虛擬化背景下，也可采用傳統(tǒng)安全設(shè)備的安全防護(hù)策略，在虛擬主機(jī)操作系統(tǒng)中安裝Agent代理程序進(jìn)行病毒的有效防護(hù)。然而實(shí)現(xiàn)服務(wù)器的虛擬化主要是為了對(duì)資源進(jìn)行有效整合，進(jìn)而對(duì)服務(wù)器資源的利用效率進(jìn)行有效提升，如果將程序分別安裝于各個(gè)虛擬主機(jī)當(dāng)中，重新制定掃描任務(wù)后將會(huì)使虛擬主機(jī)的計(jì)算資源產(chǎn)生更大的損耗，因此此種方法難以實(shí)現(xiàn)對(duì)計(jì)算資源有效節(jié)約的目的，在更新病毒庫(kù)時(shí)還需要消耗更多的網(wǎng)絡(luò)資源。

（2）利用API接口中防護(hù)病毒。

服務(wù)器虛擬化環(huán)境下的病毒防護(hù)也可采用虛擬化層具有關(guān)聯(lián)的API接口進(jìn)行，對(duì)虛擬系統(tǒng)的底層無(wú)代理病毒進(jìn)行防護(hù)。利用API接口對(duì)虛擬系統(tǒng)及虛擬主機(jī)所起到的安全防護(hù)效果更加全面，并且不必將Agent代理程序安裝于虛擬主機(jī)之上，這可有效節(jié)約計(jì)算機(jī)及網(wǎng)絡(luò)資源的消耗，可實(shí)現(xiàn)計(jì)算資源利用率的有效提升，并可實(shí)現(xiàn)更加全面與及時(shí)的病毒防護(hù)。

2.加強(qiáng)訪問(wèn)控制。

傳統(tǒng)技術(shù)的防火墻技術(shù)常常以硬件形式存在，用于實(shí)現(xiàn)訪問(wèn)控制和安全區(qū)域的劃分。計(jì)算資源虛擬化后導(dǎo)致邊界模糊，很多的信息交換在虛擬系統(tǒng)內(nèi)部就可實(shí)現(xiàn)，而傳統(tǒng)防火墻在物理網(wǎng)絡(luò)層提供訪問(wèn)控制，如何在虛擬系統(tǒng)內(nèi)部實(shí)現(xiàn)訪問(wèn)控制和病毒傳播抑制是虛擬系統(tǒng)面臨的最基本安全問(wèn)題。虛擬化安全網(wǎng)關(guān)系統(tǒng)，增強(qiáng)了虛擬環(huán)境內(nèi)部虛擬機(jī)流量的可視性和可控性，可以隨時(shí)隨地為用戶提供虛擬環(huán)境內(nèi)部的全方位網(wǎng)絡(luò)安全防護(hù)，基于狀態(tài)檢測(cè)細(xì)粒度的訪問(wèn)控制功能，實(shí)現(xiàn)針對(duì)虛擬交換機(jī)基于網(wǎng)口的訪問(wèn)控制和虛擬系統(tǒng)之間的區(qū)域邏輯隔離。

3.科學(xué)進(jìn)行入侵檢測(cè)與防護(hù)。

在主機(jī)和網(wǎng)絡(luò)層面進(jìn)行入侵監(jiān)測(cè)和預(yù)防，是當(dāng)今信息安全基礎(chǔ)設(shè)施建設(shè)的主要內(nèi)容。然而，傳統(tǒng)的入侵監(jiān)測(cè)工具可能無(wú)法融入或運(yùn)行在虛擬化的網(wǎng)絡(luò)或系統(tǒng)中。由于虛擬交換機(jī)不支持建立SPAN或鏡像端口，禁止將數(shù)據(jù)流拷貝至IDS傳感器，網(wǎng)絡(luò)入侵監(jiān)測(cè)可能會(huì)變得更加困難。面對(duì)虛擬網(wǎng)絡(luò)內(nèi)部流量的時(shí)候，內(nèi)聯(lián)在傳統(tǒng)物理網(wǎng)區(qū)域中的IPS系統(tǒng)也沒(méi)辦法輕易地集成到虛擬環(huán)境中。虛擬化入侵防御系統(tǒng)將其引擎以虛擬機(jī)的形式部署于物理服務(wù)器中，提供IPS、DDOS等安全防護(hù)功能，以實(shí)現(xiàn)對(duì)虛擬機(jī)內(nèi)部業(yè)務(wù)系統(tǒng)的安全防護(hù)。

結(jié)語(yǔ)：虛擬化技術(shù)為企業(yè)節(jié)省成本、提供便利的同時(shí)，也為傳統(tǒng)信息安全提出了新的挑戰(zhàn)。做好虛擬化環(huán)境下的信息安全防護(hù)工作，是業(yè)務(wù)應(yīng)用系統(tǒng)由傳統(tǒng)架構(gòu)向云計(jì)算架構(gòu)過(guò)渡的前提。為有效做好安全防護(hù)，需要通過(guò)技術(shù)、管理等多個(gè)途徑，對(duì)存在的信息安全風(fēng)險(xiǎn)加強(qiáng)防范，同時(shí)要完善虛擬資源的管理制度與監(jiān)控手段，將信息安全風(fēng)險(xiǎn)控制在有限的范圍內(nèi)。