服務(wù)器虛擬化技術(shù)與安全研究

洪亞玲

摘要：虛擬化技術(shù)作為一種全新的計(jì)算機(jī)技術(shù)，它的誕生與發(fā)展，為科技界帶來了諸多新的突破。現(xiàn)階段，服務(wù)器虛擬化技術(shù)在企事業(yè)單位、學(xué)校等各行業(yè)普及應(yīng)用，得到了社會(huì)上很多層面的關(guān)注。隨著服務(wù)器虛擬化技術(shù)大范圍的應(yīng)用及發(fā)展，伴隨而來的也有應(yīng)用安全等方面的問題。文章主要立足服務(wù)器虛擬化技術(shù)的特點(diǎn)、分類和主要關(guān)鍵技術(shù)，分析其在應(yīng)用過程中面臨的一些安全風(fēng)險(xiǎn)以及防范措施，切實(shí)促進(jìn)服務(wù)器虛擬化技術(shù)的發(fā)展，提升應(yīng)用效率。

關(guān)鍵詞：服務(wù)器虛擬化;虛擬化技術(shù);應(yīng)用安全

中圖分類號(hào)：TP311? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2022）08-0034-02

我國科技的快速發(fā)展帶動(dòng)了很多新興技術(shù)的發(fā)展，對于計(jì)算機(jī)科技領(lǐng)域而言，虛擬服務(wù)器的存在是一項(xiàng)突破[1]。服務(wù)器虛擬化技術(shù)不僅解決了很多傳統(tǒng)服務(wù)器遇到的問題，從基本的整合計(jì)算機(jī)資源開始，還可以提高服務(wù)可用性、加快應(yīng)用程序部署、節(jié)約運(yùn)營成本、減少能源消耗、提高應(yīng)用程序兼容性、靈活調(diào)度動(dòng)態(tài)資源、提高災(zāi)難恢復(fù)能力以及硬件資源的利用率和管理效率。但是，服務(wù)器虛擬化技術(shù)在發(fā)揮其優(yōu)勢的同時(shí)也具有一定的安全風(fēng)險(xiǎn)。

1 服務(wù)器虛擬化技術(shù)的內(nèi)涵

虛擬化技術(shù)是指在虛擬而不是真實(shí)的環(huán)境中運(yùn)行計(jì)算元件，它是云計(jì)算系統(tǒng)中的一種基礎(chǔ)技術(shù)。從虛擬化扮演的角色來看，可分為桌面、網(wǎng)絡(luò)、應(yīng)用、存儲(chǔ)以及服務(wù)器虛擬化。其中服務(wù)器虛擬化就是運(yùn)用相應(yīng)的程序?qū)⒎?wù)器內(nèi)的資源進(jìn)行整合轉(zhuǎn)化，提高資源的利用效率及對服務(wù)器進(jìn)行維護(hù)的一種方式[2]。實(shí)現(xiàn)服務(wù)器虛擬化技術(shù)典型的有VMware ESXi Server、微軟的Hyper-V、Citrix XenServer，它們共同的特點(diǎn)就是通過軟件將服務(wù)器的物理資源如CPU、磁盤、內(nèi)存、I/0設(shè)備等模擬出具有完整硬件系統(tǒng)的邏輯服務(wù)器，讓一臺(tái)服務(wù)器變成若干臺(tái)相互隔離的虛擬服務(wù)器[3]，服務(wù)器虛擬化前后如圖1所示。

目前，服務(wù)器虛擬化典型的有“一虛多”“多虛一”“多虛多”三種類型[4]。“一虛多”可以實(shí)現(xiàn)多域服務(wù)，也就是說可以將一臺(tái)物理服務(wù)器虛擬化后，成為多個(gè)互不干擾的虛擬服務(wù)器，它可運(yùn)行多個(gè)網(wǎng)站或服務(wù)的技術(shù)，用戶可自行管理，擁有獨(dú)立的主機(jī)功能。比較常用的代表包括虛擬主機(jī)和VPS等。“多虛一”可以實(shí)現(xiàn)集群多臺(tái)獨(dú)立的服務(wù)器后虛擬化為一臺(tái)邏輯上的服務(wù)器，即虛擬化為一個(gè)主機(jī)系統(tǒng)為客戶端和應(yīng)用程序提供服務(wù)。由于服務(wù)器進(jìn)行集群后，并行計(jì)算和備份是由多臺(tái)計(jì)算機(jī)完成的，因此可以達(dá)到非常高的計(jì)算速度，更保證了系統(tǒng)的正常運(yùn)行，比較常用的代表有云服務(wù)器。“多虛多”則是在“多虛一”技術(shù)，再將此臺(tái)邏輯服務(wù)器劃分為多臺(tái)虛擬服務(wù)器，且性能都能根據(jù)資源池中實(shí)際資源情況進(jìn)行靈活配置和調(diào)度。比較常用的代表是云虛擬主機(jī)。

服務(wù)器虛擬化是基于X86架構(gòu)服務(wù)器的虛擬化，從IT基礎(chǔ)架構(gòu)物理資源層面來分析，可以劃分為3個(gè)部分：CPU虛擬化、I/O設(shè)備虛擬化以及內(nèi)存虛擬化，要實(shí)現(xiàn)虛擬化服務(wù)器，其中CPU虛擬化的技術(shù)最為關(guān)鍵。CPU虛擬化技術(shù)是將物理CPU抽象為虛擬CPU，并且在系統(tǒng)運(yùn)行期間可以同時(shí)運(yùn)行一個(gè)或多個(gè)虛擬CPU指令[5]。現(xiàn)代計(jì)算機(jī)體系結(jié)構(gòu)一般至少提供核心態(tài)和用戶態(tài)兩個(gè)特權(quán)級(jí)，服務(wù)器虛擬化技術(shù)后，操作系統(tǒng)將內(nèi)存劃分為內(nèi)核空間和用戶空間兩個(gè)部分，其中內(nèi)核空間運(yùn)行操作系統(tǒng)內(nèi)核代碼，用戶空間運(yùn)行應(yīng)用程序代碼。X86架構(gòu)的服務(wù)器CPU提供4個(gè)特權(quán)級(jí)，按權(quán)限由高到低分別是ring0、ring1、ring2、ring3，最高權(quán)限級(jí)別的ring0提供給操作系統(tǒng)內(nèi)核空間。它可以用于所有CPU指令，也可以直接操作CPU、內(nèi)存等硬件，如CPU運(yùn)行的修改就是在ring0中完成的。最低權(quán)限級(jí)別的ring3提供給用戶空間，只能調(diào)用基本的CPU指令。ring1 和 ring2 旨在運(yùn)行驅(qū)動(dòng)程序。X86系統(tǒng)虛擬化運(yùn)行在虛擬層，操作系統(tǒng)和硬件之間需要設(shè)置虛擬層。 通常ring0只能運(yùn)行在虛擬層，一些特殊的指令不能直接運(yùn)行在硬件上。服務(wù)器虛擬化技術(shù)采用主流的軟件輔助虛擬化技術(shù)和硬件輔助虛擬化技術(shù)。其中，二進(jìn)制翻譯、hypercall兩種處理方式是依靠軟件來實(shí)現(xiàn)的，稱為軟件虛擬化;硬件輔助虛擬化則提供了Root根環(huán)境和Non-root非根環(huán)境2個(gè)運(yùn)行環(huán)境。此種技術(shù)相比傳統(tǒng)虛擬技術(shù)解決了無論是普通指令還是特權(quán)指令都可以執(zhí)行，特別是使用高級(jí)的前插和陷入指令，可以直接作用于虛擬機(jī)進(jìn)行指令翻譯，從而實(shí)現(xiàn)多系統(tǒng)操作。通過特權(quán)級(jí)機(jī)制，將系統(tǒng)軟件和應(yīng)用軟件隔開，區(qū)分了內(nèi)核和應(yīng)用程序代碼的相關(guān)權(quán)限，從而保護(hù)數(shù)據(jù)和阻止惡意行為，使操作系統(tǒng)得以正常運(yùn)行。

鑒于服務(wù)器虛擬化技術(shù)的種種優(yōu)勢，國內(nèi)的虛擬化數(shù)據(jù)中心、分布式計(jì)算、服務(wù)器整合、定制化服務(wù)、私有云部署、云托管提供商、學(xué)校教學(xué)培訓(xùn)等各大領(lǐng)域都在普及應(yīng)用，并取得了較好的經(jīng)濟(jì)效益與工作效率。

2 服務(wù)器虛擬化存在的安全風(fēng)險(xiǎn)

服務(wù)器虛擬化技術(shù)是在硬件設(shè)施和服務(wù)器之間增加了虛擬層，雖然有效提高了服務(wù)器相關(guān)資源的利用率，同時(shí)也不可避免地帶來了一定的風(fēng)險(xiǎn)。（1）軟件平臺(tái)有風(fēng)險(xiǎn)：以虛擬機(jī)監(jiān)視器VMM為中心使得服務(wù)器平臺(tái)實(shí)現(xiàn)的虛擬化模式本身還在不斷的發(fā)展和完善過程中，因此在運(yùn)行虛擬機(jī)時(shí)可能會(huì)存在漏洞，這是虛擬機(jī)存在的最大的危險(xiǎn)，諸如目前流行的KVM、VMware、Xen等虛擬化平臺(tái)也頻頻暴露出安全漏洞，攻擊者通過漏洞攻擊或完全控制宿主機(jī)，或者滲透到裸機(jī)型的管理系統(tǒng)，使得信息資產(chǎn)暴露。（2）硬件環(huán)境存在風(fēng)險(xiǎn)：服務(wù)器虛擬化時(shí)，多個(gè)應(yīng)用可能會(huì)爭奪同一臺(tái)物理服務(wù)器的CPU、內(nèi)存、網(wǎng)絡(luò)帶寬、存儲(chǔ)空間等資源。相應(yīng)地會(huì)導(dǎo)致服務(wù)器負(fù)載過重或硬件出現(xiàn)故障。若虛擬化安全產(chǎn)品使用不當(dāng)時(shí)或者過度地利用虛擬機(jī)，也會(huì)使CPU、內(nèi)存開銷過大，導(dǎo)致該物理機(jī)無法響應(yīng)，虛擬主機(jī)逐漸癱瘓，從而性能下降。（3）網(wǎng)絡(luò)架構(gòu)方面存在風(fēng)險(xiǎn)：服務(wù)器采用虛擬化技術(shù)后，要與外部網(wǎng)絡(luò)之間進(jìn)行通信，生成的多臺(tái)虛擬機(jī)以串行方式連接到同一臺(tái)主機(jī)上，目前的網(wǎng)絡(luò)安全系統(tǒng)技術(shù)難以實(shí)現(xiàn)對連接到同一臺(tái)主機(jī)上的多臺(tái)虛擬機(jī)的監(jiān)控，導(dǎo)致虛擬網(wǎng)絡(luò)通信難以被傳統(tǒng)的防護(hù)設(shè)備把握，使得原來采取防火墻的防護(hù)措施無法真正發(fā)揮防護(hù)作用，這個(gè)BUG將成為黑客利用虛擬機(jī)入侵主機(jī)，獲得主機(jī)和虛擬機(jī)控制權(quán)的機(jī)會(huì)，輕易對數(shù)據(jù)進(jìn)行篡改和刪除等操作，同時(shí)虛擬服務(wù)器的運(yùn)行受到威脅，風(fēng)險(xiǎn)還有可能擴(kuò)散到多臺(tái)虛擬機(jī)。（4）運(yùn)維管理存在風(fēng)險(xiǎn)：服務(wù)器虛擬化后，服務(wù)器的管理和運(yùn)維對技術(shù)管理人員的水平提出了更高的要求，如物理服務(wù)器、虛擬機(jī)操作系統(tǒng)、虛擬化應(yīng)用、虛擬機(jī)鏡像等方面的加固或更新升級(jí)以及虛擬化的數(shù)據(jù)安全管理等。若運(yùn)維管理不當(dāng)，使系統(tǒng)存在兼容性問題或眾多安全漏洞，則系統(tǒng)與數(shù)據(jù)的安全性難以得到保障。E06B7A2B-274D-4DD7-8E47-98DBC0214EF3

3 服務(wù)器虛擬化安全風(fēng)險(xiǎn)的防范措施

當(dāng)前正處于大數(shù)據(jù)時(shí)代，數(shù)據(jù)采集和數(shù)據(jù)分析以及數(shù)據(jù)處理等各方面工作都離不開計(jì)算機(jī)技術(shù)的支持，因此在虛擬服務(wù)器應(yīng)用中，應(yīng)注重做好虛擬服務(wù)器的安全防范和管理，盡可能促進(jìn)服務(wù)器虛擬化的安全建設(shè)，確保有效推進(jìn)服務(wù)器虛擬化技術(shù)應(yīng)用及發(fā)展。

3.1 合理選用服務(wù)器虛擬化系統(tǒng)和安全保護(hù)軟件

在局域網(wǎng)內(nèi)提供各項(xiàng)服務(wù)依靠服務(wù)器，通過廣域網(wǎng)對外提供各種服務(wù)也需要依靠服務(wù)器。由于它的特性和重要性，在選用服務(wù)器的虛擬化系統(tǒng)平臺(tái)前，一定要充分做好市場調(diào)研，了解軟件的市場應(yīng)用情況及客戶反饋，多關(guān)注系統(tǒng)軟件的安全風(fēng)險(xiǎn)及防范技術(shù)，根據(jù)所需合理選用服務(wù)器虛擬化系統(tǒng)。在安全保護(hù)軟件選擇時(shí)，首先，要遵循兼容性原則，即系統(tǒng)程序與安保軟件應(yīng)該具有高度的兼容性，確保安全保護(hù)軟件能起到積極的防護(hù)作用;其次，應(yīng)符合針對性原則，即針對性地選擇安裝、程序防護(hù)軟件和殺毒軟件，確保更加合理有效的應(yīng)用軟件技術(shù)。在使用過程中，一定要及時(shí)更新版本、修補(bǔ)漏洞，慎重安裝虛擬機(jī)相關(guān)插件，做好軟件平臺(tái)方面的安全風(fēng)險(xiǎn)防控。

3.2 強(qiáng)化服務(wù)器虛擬化硬件設(shè)施保護(hù)

服務(wù)器硬件設(shè)施是虛擬化服務(wù)器運(yùn)行的基礎(chǔ)，是不可或缺的重要的部分。本地管理員使用虛擬化管理工具，合理分配CPU、內(nèi)存、存儲(chǔ)容量和帶寬等資源;采用分權(quán)制約、分職負(fù)責(zé)的方式，對虛擬機(jī)進(jìn)行日常維護(hù)工作以及管理桌面資源授權(quán)，全方位掌握服務(wù)器使用的基本情況，加強(qiáng)虛擬化服務(wù)器的實(shí)時(shí)數(shù)據(jù)監(jiān)控和容量分析，及時(shí)進(jìn)行動(dòng)態(tài)調(diào)整，以免過度使用虛擬機(jī);同時(shí)，要提高管理人員對服務(wù)器硬件設(shè)施保護(hù)的意識(shí)，健全硬件實(shí)施操作規(guī)范制度，要嚴(yán)格按照規(guī)定程序來操作，化解硬件環(huán)境風(fēng)險(xiǎn)，切實(shí)提高虛擬服務(wù)器硬件性能，確保虛擬機(jī)系統(tǒng)安全穩(wěn)定運(yùn)行。

3.3 重視虛擬服務(wù)器的分類部署

實(shí)際搭建網(wǎng)絡(luò)時(shí)，注意將公共虛擬機(jī)和私有虛擬機(jī)分開，讓它們按照劃分的類型在各自的網(wǎng)絡(luò)位置正常運(yùn)行，盡量減少與其他虛擬機(jī)的數(shù)據(jù)泄露。此外，還需要加強(qiáng)對虛擬化環(huán)境邊界的保護(hù)，在每臺(tái)虛擬服務(wù)器上安裝虛擬IDS和防火墻，確保保護(hù)設(shè)備能夠識(shí)別所有虛擬服務(wù)器，并依靠虛擬層實(shí)現(xiàn)嚴(yán)格控制邊界訪問。同時(shí)，根據(jù)虛擬服務(wù)器的重要性劃分相應(yīng)的級(jí)別，對重要數(shù)據(jù)進(jìn)行不同級(jí)別的加密，以加強(qiáng)每個(gè)虛擬服務(wù)器的入侵檢測和病毒防護(hù)。 通過對虛擬服務(wù)器進(jìn)行分類部署，可以優(yōu)化服務(wù)器內(nèi)部的邏輯運(yùn)行，提高虛擬服務(wù)器的安全性。

3.4 提升運(yùn)維管理人員技術(shù)水平和素養(yǎng)

虛擬服務(wù)器的安全管理包含虛擬機(jī)操作系統(tǒng)和應(yīng)用程序的加固與補(bǔ)丁升級(jí)、更新病毒庫，虛擬化的數(shù)據(jù)安全存儲(chǔ)與銷毀機(jī)制、虛擬服務(wù)器的安全遷移以及虛擬機(jī)鏡像等。這就對運(yùn)維管理人員提出了較高的要求。各方要不斷提升虛擬服務(wù)器運(yùn)維管理人員的技術(shù)水平和素養(yǎng)，使其與時(shí)俱進(jìn)，系統(tǒng)學(xué)習(xí)虛擬化知識(shí)，提升信息安全意識(shí)，以便能在實(shí)踐中巧妙應(yīng)用，同時(shí)也要增強(qiáng)使用服務(wù)器人員的安全意識(shí)，形成從硬件、軟件、網(wǎng)絡(luò)、人員等各方面完備的虛擬服務(wù)器加固系統(tǒng)，全方位地確保服務(wù)器虛擬化安全應(yīng)用。

4 結(jié)語

時(shí)代在變化，科技在進(jìn)步，計(jì)算機(jī)技術(shù)不斷發(fā)展，虛擬化技術(shù)彰顯其重要性，服務(wù)器虛擬化技術(shù)作為其典型的分支，具備節(jié)省資金、整合服務(wù)器以及服務(wù)器資源的最大化利用率的優(yōu)勢，被廣泛應(yīng)用在各企事業(yè)單位、學(xué)校等多行業(yè)，因此，要不斷加強(qiáng)服務(wù)器虛擬化技術(shù)應(yīng)用安全，發(fā)揮服務(wù)器虛擬化的最大作用，提升其應(yīng)用效果。

參考文獻(xiàn)：

[1] 何厚華.計(jì)算機(jī)服務(wù)器虛擬化的風(fēng)險(xiǎn)隱患及對策研究[J].衛(wèi)星電視與寬帶多媒體，2020（11）：139-140.

[2] 郭春梅，孟慶森，畢學(xué)堯.服務(wù)器虛擬化技術(shù)及安全研究[J].信息網(wǎng)絡(luò)安全，2011（9）：35-37.

[3] 馬宏偉，魏曉婷，張雅棋.服務(wù)器虛擬化在企業(yè)的應(yīng)用及優(yōu)缺點(diǎn)分析[J].天津科技，2019，46（9）：50-51，54.

[4] 陳世清.服務(wù)器虛擬化的風(fēng)險(xiǎn)隱患及對策研究[J].金融科技時(shí)代，2020，28（6）：79-81.

[5] 莫偉.計(jì)算機(jī)服務(wù)器虛擬化關(guān)鍵技術(shù)探析[J].通訊世界，2019，26（8）：107-108.

【通聯(lián)編輯：梁書】E06B7A2B-274D-4DD7-8E47-98DBC0214EF3