◆陸明燕

服務器虛擬化技術及安全研究

◆陸明燕

（三江學院現(xiàn)代教育技術中心 江蘇 210012）

現(xiàn)代化科技發(fā)展日新月異，計算機互聯(lián)網(wǎng)已經(jīng)成為其主流，引領著時代的發(fā)展，企業(yè)、機關單位以及政府使用服務器的頻率越來越高，數(shù)據(jù)量不斷增長，導致電費以及維修的費用成倍增長。但是這些過高的投入和支出并未顯出太大的成效，所以把虛擬化運用到服務器當中，才可以更有效的把硬件資源利用率提升，降低管理以及維修的費用。本文主要解釋了服務器如何虛擬化、服務器虛擬化的安全程度。并根據(jù)這些安全程度，分析如何解決這些問題，保證服務器虛擬化的安全。

服務器虛擬化；安全程度；控制安全

0 前言

虛擬化，簡單的來講就是運用程序對計算機進行維護、資源整合以及轉化的一種應用方式，這種方式不需要外界客觀形式干預，從而解決計算機出現(xiàn)的各類基礎性問題，包括處理器虛擬化、內存虛擬化等技術。隨著軟件與硬件技術的不斷發(fā)展進步，其在高端服務器更是廣泛應用以及推廣。其優(yōu)勢在于：分區(qū)、隔離封裝服務器資源整合利用，從而使資源的利用率不斷提升，降低了以前花費外在硬件所需要的高成本，有了這些優(yōu)勢，風險和安全的問題也隨之而來。本文主要介紹了服務器虛擬化的發(fā)展歷程，分析了各類虛擬化技術以及出現(xiàn)的安全問題程度，并提出了解決問題所需要的應對方案。

1 服務器虛擬化技術的內容

服務器虛擬化技術應用具有多重技術優(yōu)勢，把單一的物理服務通過虛擬化層在多個虛擬服務器上運行。由于虛擬化層對應問題的方式不同，所以主要分為兩種類型，寄居虛擬化和裸機虛擬化。寄居虛擬化由于單純的在一個宿主操作系統(tǒng)上運行，所以對于資料整合資源轉化管理方面實現(xiàn)的很容易，不過性能較低。裸機虛擬化在各方面能力高于寄居虛擬化，是由于虛擬化層直接作用在物理硬件，直接為虛擬機操作指令集，內存和設備接口，不過方式比較復雜。

世界上現(xiàn)在最受歡迎的X86架構，使虛擬機當中比較復雜敏感的指令不能夠完全虛擬化，所以如何解決X86的敏感操作問題成為了服務器虛擬化的又一大難題。對于這項難題目前已經(jīng)出現(xiàn)了三種解決方案。即全虛擬化、半虛擬化、以及硬件輔助虛擬化。下文則是對這三種虛擬化方案進行分析。

1.1全虛擬化

全虛擬化技術主要是BDT和直接執(zhí)行這兩樣技術合成的，當BDT在虛擬機上工作的過程中，將敏感指令在沒有陷入其他指令之前，通過執(zhí)行命令插入到VMM中，VMM會對這些敏感指令進行有效的轉化，使功能相同，這些指令隨之按照相應的順序進入去直接訪問計算機虛擬硬件系統(tǒng)。通過這些也可以看出，全虛擬化技術和其他技術的不同在于：不需要硬件或者操作系統(tǒng)協(xié)助完成這些敏感指令的虛擬化技術。

1.2半虛擬化

半虛擬化則是要將客戶操作系統(tǒng)內核進行修改，把不能虛擬化的指令替換掉，通過虛擬化平臺把敏感指令進行特別調用來完成，主物理機的操作則是需要客戶系統(tǒng)虛擬化平臺兩項兼容，否則無法操作。

1.3硬件輔助虛擬化

隨著虛擬化技術日益發(fā)展，虛擬化技術在應用上增加了一種全新的模式ROOT。這種模式可以使VMM在ROOT的模式下運行，敏感指令不需要半虛擬化或者BT技術就可以在Hypervisor上執(zhí)行。計算機用戶也是大大節(jié)約了系統(tǒng)運行時間，只需要將系統(tǒng)操作保存在虛擬機控制結構中或者虛擬化模塊中即可。

2 服務器虛擬化所出現(xiàn)的安全問題

相對于傳統(tǒng)服務器對比來講，服務器虛擬化是虛擬化層引進在物理硬件資源與虛擬化服務器之間，所以虛擬化層也被稱之為—虛擬監(jiān)控器。由于虛擬機操作在VMM平臺上，所以虛擬機的安全問題也成了VMM平臺的安全隱患。

（1）VMM需要和虛擬機安全共享，也需要為虛擬機提供統(tǒng)一的資源抽象，而VMM理論模式并未完善，VMM本身一旦被潛在的漏洞攻擊，那么虛擬機則容易出現(xiàn)溢出，稱為虛擬機逃逸。攻擊者則可以在此時進入到主機系統(tǒng)進行操作其他虛擬機，虛擬機最大的安全隱患也就是在這。

（2）虛擬化使傳統(tǒng)的網(wǎng)絡邊界消失不見，服務器和安全網(wǎng)絡也出現(xiàn)了部分的融合重疊。傳統(tǒng)的模式當中，每個物理機都有各自的防護系統(tǒng)，防火墻等保護產品，而在虛擬化這種全新的網(wǎng)絡模式當中，幾十個甚至上百個操作系統(tǒng)都會以虛擬機的模式出現(xiàn)在同一個物理機上，他們之間資源共享，所以牽一發(fā)而動全身，當其中某一個虛擬機出現(xiàn)安全問題，該問題則會蔓延到其他的虛擬機。

（3）對于虛擬機的頻繁使用以及無腦的濫用，導致虛物理機的負荷量持續(xù)增大，網(wǎng)絡磁盤等載體逐漸遲鈍，直到以后虛擬機的癱瘓物理主機崩潰。

（4）虛擬機在進行應用的時候會在不同的物理主機之間相互移動。在VMM遷入端與遷出端通過網(wǎng)絡通信，需要先將虛擬機遷入端的數(shù)據(jù)進行復制，隨即復制到遷出端的端口，最后遷出端的虛擬機收到數(shù)據(jù)后才會停止虛擬機的工作，也就是說虛擬機互相遷移的過程中是比較容易出現(xiàn)安全隱患的機會，攻擊者一般會抓住這個機會對服務器進行攻擊。

3 服務器虛擬化安全的控制辦法

隨著服務器虛擬化的發(fā)展，安全漏洞成了最大的問題，大多數(shù)使用者在使用中，較為關心從哪些方面防止這些隱患的侵入，保衛(wèi)自己主機的安全。本文僅提出一部分相對安全的控制方法，讓安全隱患處于控制范圍內。

3.1針對資源共享這類技術所帶來的安全隱患問題

用戶需要提高VMM的安全，在安全等級方面盡量提高到最大的限度，再把不同的硬件進行分區(qū)進行防護，對虛擬機進行有效的優(yōu)化、隔離、封裝。出現(xiàn)內存故障時，第一時間清理修復，并對沒有授權的應用嚴格把控。

3.2針對虛擬機在內部刻意被人攻擊的問題

用戶需要把數(shù)據(jù)的重要性進行分層次的分級，可以設置對應性的安全等級以及防火墻等措施將其隔離開來。服務器的內部防護邊界需要自行建立，防止惡意的軟件侵入系統(tǒng)主機。

3.3針對使用虛擬機，濫用的問題

對于過多的緩存應該進行分析，哪些是有用的，哪些是無用的，每天定時進行清理，防止資源被占用以及病毒入侵。設置有效的數(shù)據(jù)監(jiān)控，一旦風險出現(xiàn)的時候報警系統(tǒng)應當自動發(fā)出警報，方便維護的人員第一時間發(fā)現(xiàn)問題所在掌握服務器的具體情況，企業(yè)更是要加強對于服務器的瀏覽，對于業(yè)務的訪問也是要設置好控制方法。從而提高虛擬機網(wǎng)絡的安全和控制范圍，讓網(wǎng)絡病毒無法威脅自己的數(shù)據(jù)安全。

3.4 針對于虛擬機在不同主機相互遷移的問題

在相互遷移的過程中一旦發(fā)現(xiàn)不可控的問題，那么安全管家以及安全管理人員都會有相應的提示和方法，并快速對所出現(xiàn)的風險情況進行有效的控制。

4 結語

服務器虛擬化技術是當今學術領域以及產業(yè)領域研究的熱門項目，既能夠為用戶最大限度的節(jié)省自己需要的開銷，又可以最大程度的利用資源。簡單部署所需要的應用，便于用戶省心省力的使用管理。但是近年以來，安全隱患成了網(wǎng)絡用戶最大的問題，對于網(wǎng)絡病毒等安全隱患更是畏之如虎，所以網(wǎng)絡用戶必須提高警惕，提升自己對于網(wǎng)絡的安全意識。同時，服務商需制定安全地訪問策略，把控好風險的程度，提高虛擬機的安全，保護好用戶的合法權益。

[1]郭春梅，孟慶森，畢學堯.服務器虛擬化技術及安全研究[J].信息網(wǎng)絡安全，2011.

[2]倪志敏，趙凡.基于虛擬化技術的網(wǎng)絡安全管理的研究與實現(xiàn)[J/OL].中國建材科技.

[3]李華芳.服務器虛擬化技術及安全研究[J].數(shù)字技術與應用，2017.

[4]尹凡，李徽.服務器虛擬化技術及安全研究[J].電腦迷，2017.