葛科奇

摘要：從亞馬遜云、谷歌云到阿里云、騰訊云，云正以勢不可擋的態(tài)勢影響到社會工作生活等各個方面。虛擬化技術作為云計算中的一個關鍵技術，其安全問題直接影響到云計算的安全性，由于云計算中用戶高度集中，以往一個非常小的安全問題在云計算中可能會變成影響成千上萬個用戶的大問題。文章闡述了云計算虛擬化技術面臨的安全問題，并提出了若干對策。

關鍵詞：云計算；虛擬化技術；安全問題；對策研究

近年來，隨著社會經(jīng)濟的快速發(fā)展，科學技術水平較之前有了很大的進步和提高，云計算技術被廣泛地應用在社會生產(chǎn)和生活的方方面面，并在其中發(fā)揮了極大的作用，不僅方便了人們的生活，并且在很大程度上推動了社會的發(fā)展和時代的進步。同時，人們對于計算機應用安全性的要求日漸提高，以往企業(yè)IT部門為了安全性一般將關鍵系統(tǒng)部署在內(nèi)網(wǎng)，只對外開放若干服務，而虛擬化技術則將大多主機暴露在復雜的因特網(wǎng)環(huán)境中，由于用戶復雜，不可控性因素較多。

1.云計算與虛擬化技術的概述

1.1云計算的概述

所謂云計算，是指由于互聯(lián)網(wǎng)的發(fā)展所帶來的一種基于互聯(lián)網(wǎng)的信息化服務，云計算能夠通過互聯(lián)網(wǎng)技術為用戶提供一系列的數(shù)據(jù)信息服務，包括有數(shù)據(jù)的存儲、數(shù)據(jù)的處理以及復雜的計算等。云計算的服務類型眾多，如租賃服務、免費服務等，其面向的服務群體非常廣泛，在向企業(yè)提供專業(yè)化的服務同時，也可以向單一的客戶提供專門的服務。簡單來講，云計算就是由技術開發(fā)商建立起一種網(wǎng)絡服務平臺，然后向各種客戶提供以信息服務為主的服務，主要是軟件服務，同時也提供特定的硬件服務?！霸朴嬎恪弊钪饕牟糠质恰霸啤保^“云”，就是指存儲于互聯(lián)網(wǎng)服務器終端的各種資源，用戶在使用過程中只需要通過互聯(lián)網(wǎng)發(fā)送簡單的指令，就能從“云端”獲取大量的資源。通過借助網(wǎng)絡交流平臺——互聯(lián)網(wǎng)，云計算可以利用虛擬化技術與自動化技術來極大的滿足不同用戶的各種需求，具有高可靠、低成本、可伸縮性等特性，具有非常廣闊的發(fā)展前景。

1.2虛擬化技術的概述

虛擬化作為一種有效管理資源的重要技術，是將計算機的各種實體資源，如服務器、內(nèi)存、存儲、網(wǎng)絡等進行抽象和轉(zhuǎn)化，由此可以將實體結(jié)構(gòu)之間的障礙有效地打破，方便廣大用戶以一種更好、更靈活的方式實現(xiàn)對各種資源的有效應用，除了能夠?qū)⒏鞣N虛擬和物理資源進行統(tǒng)一管理以外，還可以將這些資源共同利用起來，進而大大增加了系統(tǒng)架構(gòu)的靈活性與彈性。另外，這些類似于資料存儲和計算機能力等形式的資源，其中虛擬的部分在一定程度上是不會受到現(xiàn)有資源限制影響的，如資源組態(tài)的架設方式、物理組態(tài)以及地域組態(tài)等。

2.云計算中虛擬化技術帶來的安全問題

2.1軟硬件及管理集中帶來的安全問題

虛擬化導致軟件、硬件高度集中，也帶來了管理的高度集中。集中帶來了效率的提高，另一方面也增加了安全危險程度。在云計算環(huán)境中部署硬件或者軟件，都要異常小心，因為一個微小錯誤就將影響成千上萬虛擬機。比如阿里云升級云盾安騎士觸發(fā)bug，造成眾多用戶出現(xiàn)使用故障。也有云計算平臺因為數(shù)據(jù)中心光纖被挖斷，造成整個機房無法使用。

2.2資源共享帶來的安全問題

虛擬化技術眾多，有vmware，kvm，xen，hyper-v，openvz等等，不同的技術對虛擬機資源的管理各有不同。但不管何種虛擬化技術，本身都是一種資源共享的技術。CPU、內(nèi)存、存儲、網(wǎng)絡等這些資源在共享處理機制上造成了諸多安全隱患。如虛擬交換機這一網(wǎng)絡資源共享技術，可能被利用進行虛擬機之間相互攻擊，或者當虛擬交換機出現(xiàn)漏洞會威脅用戶資料安全。又如某些虛擬主機遭受網(wǎng)絡攻擊造成其他共享網(wǎng)絡資源的虛擬機也受到?jīng)_擊。

2.3資源沖突造成的安全問題

短時間大規(guī)模數(shù)據(jù)突發(fā)操作往往引起系統(tǒng)過載。比如12306鐵路購票系統(tǒng)過去幾年都受人詬病，原因就是不能解決春節(jié)期間大規(guī)模購票行為造成系統(tǒng)突發(fā)過載，與之矛盾的是平日系統(tǒng)資源大量浪費。在常規(guī)系統(tǒng)中，有時候會碰到這樣的情況，大量主機同時開啟，單位的DNS服務有可能會宕機。同理，當虛擬系統(tǒng)中同一服務瞬時大量占用資源時，也會造成整個虛擬系統(tǒng)的不穩(wěn)定，造成資源沖突。所以盡量避免同一服務的同時運行，如升級服務可采取分時批量升級等方法。

2.4安全等級混雜造成的安全問題

虛擬環(huán)境中用戶復雜，用戶開啟的應用和服務也難以辨別好壞。這種情況下，往往會由于一臺虛擬機的問題影響到一批虛擬機甚至是物理主機。以上都是由于安全等級混雜造成的，對客戶建立一定的信譽等級或者檢測虛擬機服務的安全程度，都可以在一定程度上劃分好安全等級，并根據(jù)安全等級對虛擬機進行遷移。

2.5云計算管理權限中存在的安全問題

用戶在傳統(tǒng)的計算模式中，一般都會擁有大部分的服務器權限，這時管理員只需要負責維護機器的物理狀態(tài)和管理機房網(wǎng)絡環(huán)境等工作。然而，用戶所擁有的這些管理權限會在云計算環(huán)境中逐漸失去，相應的也就不能實現(xiàn)對物理機的有效控制。另外，管理員也會擁有一小部分權限，但是如果管理員操作不當，則極有可能終止用戶的服務，進而出現(xiàn)丟失數(shù)據(jù)的情況。

3.防護云計算中虛擬化技術安全問題的重要措施

3.1訪問控制與安全審計

訪問控制和安全審計永遠是安全的主要防線。為保證用戶只能訪問自己權限范圍內(nèi)的文件，其他文件沒有訪問權，便離不開嚴密的數(shù)據(jù)訪問控制機制，以此有助于保護一些相對比較敏感的問題。同時，需要將各種安全日志、訪問日志等進行記錄保存，方便定期或者不定期地進行審計。

3.2主機的安全防護

目前，主機系統(tǒng)的防護采取的措施都是諸如防火墻、殺毒軟件以及專門的防御系統(tǒng)等等，防護措施相對比較傳統(tǒng)，并且物理主機只能運行虛擬服務軟件，并且對運行軟件的數(shù)量化進行了嚴格的控制，通過虛擬專用網(wǎng)在很大程度上有助于連接物理主機和虛擬服務器，資源也能夠?qū)崿F(xiàn)最大限度的共享。同時，在共享資源時通過借助加密的網(wǎng)絡可以有效地防止某臺虛擬服務器被攻擊后而對主機隋況造成影響。

3.3完備的防火墻及入侵檢測系統(tǒng)

由于云服務商提供的服務是根據(jù)價格和需求分成不同類型的，這里“完備的防火墻和入侵檢測系統(tǒng)”一定程度上是一個額外的服務，需要支付額外的費用。比如某些虛擬服務器容易遭受攻擊特別是DD0s攻擊，那么服務商一般會推薦“高防”服務，這些“高防”又有相應等級，一般也可以防御的瞬時攻擊流量為標準。入侵檢測系統(tǒng)一般情況下都是防止外部網(wǎng)絡對內(nèi)部網(wǎng)絡的攻擊檢測，但在虛擬化情況下，內(nèi)部主機間并不可信任，也需要防范內(nèi)部入侵。

3.4在計算機軟件中應用一定的數(shù)據(jù)加密技術

一方面，軟件及數(shù)據(jù)的加密能在一定程度上防止數(shù)據(jù)外泄，間接保證虛擬機安全；另一方面，通過借助預警系統(tǒng)可以及時地反饋即將出現(xiàn)的網(wǎng)絡安全問題，幫助用戶事先做好防范處理的各種工作。另外，用戶自身還可以定期對計算機系統(tǒng)進行安全檢查，保證各種軟件安全，及時地處理潛在的病毒，從而有助于實現(xiàn)對信息的維護，保障信息安全。在傳輸數(shù)據(jù)的過程中，可以通過加密協(xié)議來保證數(shù)據(jù)的完整性與機密性，如協(xié)議的安全復制、安全超文本傳輸協(xié)議等。

3.5鏡像文件庫的建立

為有效地避免由于操作系統(tǒng)奔潰或者系統(tǒng)受到攻擊所造成的系統(tǒng)癱瘓，通過鏡像文件庫的建立，系統(tǒng)可以有效地將虛擬機中至關重要的鏡像文件和系統(tǒng)的重要備份文件保存下來。同時，通過對鏡像文件庫設置一定的訪問權限，便能夠有效地防止一些用戶非法盜取文件。另外，對鏡像文件庫進行定期或者不定期的病毒查殺與漏洞修復等對于保護鏡像文件的安全十分有必要。

3.6有效的安全評估，完善的應急處理

由于保密等原因，云服務商一般不會請第三方機構(gòu)對本公司的虛擬化技術進行安全評估。但公司內(nèi)部需要建立獨立的安全評估、審計部門、突發(fā)安全問題處理部門等進行安全的預防及處理。

4.結(jié)語

云計算及虛擬技術的發(fā)展，推動了社會各方面的進步。但面對當今日益復雜的網(wǎng)絡環(huán)境，云計算中的虛擬化技術在使用過程中暴露的安全問題越來越多。本文從訪問控制和安全審計、主機的安全防護、防火墻和入侵檢測系統(tǒng)、在計算機軟件中應用一定的數(shù)據(jù)加密技術、鏡像文件庫的建立等方面提出了幾點防護云計算中虛擬化技術安全問題的重要措施，保證了云計算中虛擬技術的安全。