中國(guó)民用航空西南地區(qū)空中交通管理局 聶雨霏

隨著當(dāng)前信息技術(shù)的不斷發(fā)展，計(jì)算機(jī)水平也在不斷地提高，服務(wù)器虛擬化技術(shù)也被廣泛地使用到網(wǎng)絡(luò)建設(shè)中，虛擬化技術(shù)可以有效地整合各類資源并且對(duì)其進(jìn)行合理的運(yùn)用，但是在實(shí)際的應(yīng)用過(guò)程中也伴隨著很多風(fēng)險(xiǎn)。本文從服務(wù)器的虛擬化技術(shù)出發(fā)，圍繞著安全性進(jìn)行簡(jiǎn)單闡述。

虛擬化技術(shù)是依托于計(jì)算機(jī)技術(shù)的，虛擬化指的是用抽象的方法來(lái)表示計(jì)算機(jī)資源，可以使用訪問(wèn)那些抽象之前的資源的訪問(wèn)方法來(lái)對(duì)抽象之后的資源進(jìn)行訪問(wèn)，這種對(duì)資源抽象的方法不會(huì)被現(xiàn)實(shí)的物理配置以及地理?xiàng)l件干擾。而服務(wù)器的虛擬化技術(shù)從本質(zhì)上來(lái)說(shuō)是把物理層面上的一個(gè)服務(wù)器在網(wǎng)絡(luò)環(huán)境中虛擬成眾多服務(wù)器。在工作人員使用服務(wù)武器虛擬化技術(shù)之前三種不相同的應(yīng)用要分別運(yùn)行在三種不同的物理服務(wù)器中，在虛擬化之后應(yīng)用運(yùn)行在三個(gè)虛擬服務(wù)器上，而在網(wǎng)絡(luò)環(huán)境中進(jìn)行虛擬化的服務(wù)器可以被物理層面的一個(gè)服務(wù)器所承載。

1 服務(wù)器虛擬化技術(shù)

服務(wù)器的虛擬化技術(shù)指的是在現(xiàn)實(shí)物理層面上的單獨(dú)服務(wù)器上來(lái)運(yùn)用多種虛擬的服務(wù)器的技術(shù)。根據(jù)該項(xiàng)技術(shù)的虛擬化層面的實(shí)現(xiàn)方法不同可以把服務(wù)器虛擬化分為兩種類型，一是寄居虛擬化，二是裸機(jī)虛擬化。寄居虛擬化的虛擬層面的虛擬機(jī)監(jiān)控器在用戶的操作系統(tǒng)上運(yùn)行的，虛擬機(jī)是在用戶的操作系統(tǒng)中完成對(duì)硬件資源的使用的，所以其寄居虛擬化實(shí)現(xiàn)起來(lái)是比較容易的，雖然它的性能不是很理想。裸機(jī)虛擬化這種虛擬化技術(shù)的虛擬化層面是直接在物理硬件上實(shí)現(xiàn)虛擬化的，并沒(méi)有給虛擬機(jī)提供指令集以及實(shí)際的設(shè)備接口，裸機(jī)虛擬化想在工作中實(shí)現(xiàn)的話比較復(fù)雜，具有一定的難度，但是勝在性能強(qiáng)，資源分配上比較合理，穩(wěn)定性也比較高，各個(gè)方面和寄居模式相比較都有一定的優(yōu)勢(shì)。總的來(lái)說(shuō)，服務(wù)器虛擬化技術(shù)是使用相應(yīng)的應(yīng)用程序把服務(wù)器內(nèi)部的資源進(jìn)行合理的整合和分配轉(zhuǎn)化，這樣可以有效地提升各種資源的利用率，是一種對(duì)服務(wù)器的運(yùn)行方式，可以解決一些基本的問(wèn)題。服務(wù)器虛擬化技術(shù)是把內(nèi)存分為兩個(gè)空間，用戶空間和內(nèi)核空間，其中系統(tǒng)自身的操作程序是在內(nèi)核空間中實(shí)現(xiàn)運(yùn)行的，而其中的用戶自行下載的應(yīng)用程序是在用戶空間中運(yùn)行的。服務(wù)器虛擬化技術(shù)的主要內(nèi)容分為全虛擬化技術(shù)、半虛擬化技術(shù)、硬件輔助虛擬化技術(shù)。

1.1 完全虛擬化技術(shù)

完全虛擬化技術(shù)的實(shí)現(xiàn)是依托于DBT的執(zhí)行技術(shù)和X86的操作系統(tǒng)兩者互相結(jié)合實(shí)現(xiàn)的。在網(wǎng)絡(luò)環(huán)境中的虛擬機(jī)執(zhí)行DTT幾乎的時(shí)候，在比較敏感的指令前插入其他指令，然后再把執(zhí)行的在VMM中嵌入，然后就經(jīng)過(guò)動(dòng)態(tài)轉(zhuǎn)換就可以把指令轉(zhuǎn)化成可以完成其他功能的指令隊(duì)列，從而做到對(duì)虛擬硬件的訪問(wèn)。綜上所述，在完全虛擬化技術(shù)之中，Hypervisor可以做到對(duì)系統(tǒng)中所有的指令進(jìn)行翻譯，而且翻譯之后的指令還可以在CPU中直接運(yùn)行，用戶使用的操作系統(tǒng)是使用虛擬化技術(shù)直接把物理層面的硬件抽出來(lái)，所以用戶并不能感受到已經(jīng)發(fā)生了虛擬化，所以用戶的操作系統(tǒng)不需要改動(dòng)。完全虛擬化技術(shù)是當(dāng)前唯一一種擺脫硬件束縛，不需要操作系統(tǒng)的協(xié)助就可以直接的把敏感指令虛擬化的技術(shù)。完全虛擬化技術(shù)有著擬機(jī)隔離的特點(diǎn)，這種特點(diǎn)保證了虛擬機(jī)的安全性，還給用戶的移植操作和操作系統(tǒng)的遷移操作帶來(lái)了便捷，但是這種完全虛擬化技術(shù)其中的DBT技術(shù)給相關(guān)的企業(yè)或者是個(gè)人增加了些許性能上的開(kāi)銷。該項(xiàng)技術(shù)在商業(yè)應(yīng)用市場(chǎng)之中由于其可靠性和高效性占據(jù)了很大部分的市場(chǎng)份額。

1.2 不完全虛擬化技術(shù)

不完全虛擬化技術(shù)指的是要稍微對(duì)用戶的操作系統(tǒng)進(jìn)行少許的修改，用來(lái)替換掉其中不能進(jìn)行虛擬化的指令，然后使用虛擬化平臺(tái)來(lái)對(duì)其進(jìn)行超級(jí)調(diào)用，從而實(shí)現(xiàn)虛擬機(jī)對(duì)這些敏感指令的執(zhí)行。在不完全虛擬化技術(shù)之中，用戶使用的操作系統(tǒng)和當(dāng)前的虛擬化平臺(tái)有很強(qiáng)的兼容性，如果兼容性不高的話會(huì)導(dǎo)致虛擬化之后的虛擬機(jī)不能完全的對(duì)用戶的物理機(jī)實(shí)現(xiàn)完美操控。不完全虛擬化技術(shù)中非常有代表性的是Xen，它是在X86系統(tǒng)的架構(gòu)之上進(jìn)行的開(kāi)源操作，其中VMM有著極高的效率和性能，所以在當(dāng)前各個(gè)領(lǐng)域中比較受歡迎。Xen是直接運(yùn)行于硬件之上的，把關(guān)鍵的硬件比如CPU、內(nèi)存在網(wǎng)絡(luò)環(huán)境中進(jìn)行虛擬化。DomainO是Linux經(jīng)過(guò)修改之后的系統(tǒng)，是在VMM的架構(gòu)中運(yùn)行的系統(tǒng)。大多數(shù)的虛擬機(jī)設(shè)備是在該系統(tǒng)之下的驅(qū)動(dòng)程序幫助下鎖運(yùn)行的。一般情況下，虛擬化平臺(tái)中只能支持兩種虛擬機(jī)，一是不完全虛擬化的虛擬機(jī)，二是硬件虛擬機(jī)。半虛擬化虛擬機(jī)是需要修改用戶的操作系統(tǒng)內(nèi)核來(lái)實(shí)現(xiàn)對(duì)VMM的虛擬化的，半虛擬化機(jī)中包括著前端的驅(qū)動(dòng)，在Dmain0中則是包含著后端的驅(qū)動(dòng)。硬件虛擬機(jī)是可以支持不修改用戶的操作系統(tǒng)內(nèi)核，也叫HVM。

1.3 硬件輔助虛擬化

隨著虛擬化技術(shù)的廣泛使用，很多公司對(duì)虛擬化的重視度不斷地提高，其中英特爾在2006年的時(shí)候在CPU上推出了虛擬化支持的方案。初代的硬件輔助虛擬方面的技術(shù)有英特爾的VTX和超威公司的AMD-V，它們給CPU增加了新的執(zhí)行模式ROOT，VMM可以直接在該種執(zhí)行模式中使用，在使用的過(guò)程中出現(xiàn)的敏感指令的執(zhí)行都是在Hypervisor之下運(yùn)行的，并不需要DBT或者是不完全虛擬化技術(shù)來(lái)進(jìn)行虛擬化，應(yīng)用這種技術(shù)后，用戶的操作系統(tǒng)不會(huì)有其他的改動(dòng)，會(huì)直接保存在虛擬機(jī)的系統(tǒng)架構(gòu)之中。

2 服務(wù)器虛擬化技術(shù)的安全風(fēng)險(xiǎn)

服務(wù)器的虛擬化雖然通過(guò)在硬件設(shè)施和服務(wù)器之間加入虛擬層的技術(shù)來(lái)提高資源的利用率，但是這也帶來(lái)了很多的風(fēng)險(xiǎn)。(1)因?yàn)樘摂M化之后的環(huán)境具備著開(kāi)放性的特點(diǎn)，傳統(tǒng)的安全防護(hù)設(shè)備很難掌控虛擬狀態(tài)之下的通信情況，這就給服務(wù)器的虛擬化的運(yùn)行安全制造了很大的威脅，這就導(dǎo)致了傳統(tǒng)的防護(hù)手段和系統(tǒng)沒(méi)有發(fā)揮出自身應(yīng)當(dāng)發(fā)揮的保護(hù)作用。(2)虛擬化的工具也存在著一定的問(wèn)題，非常容易遭受到外來(lái)的攻擊，而且自身還沒(méi)有完善的自我保護(hù)手段，這就導(dǎo)致了服務(wù)器在運(yùn)行當(dāng)中可能會(huì)受到損害。(3)當(dāng)前的情況就是人們?nèi)绻^(guò)度的使用虛擬機(jī)，濫用虛擬機(jī)的話一定會(huì)讓服務(wù)器的壓力過(guò)大，從而讓虛擬機(jī)的主機(jī)漸漸癱瘓，還有在使用虛擬機(jī)遷移的功能時(shí)，也非常容易會(huì)受到外來(lái)的攻擊，這也會(huì)造成極大的安全隱患。(4)當(dāng)前服務(wù)器中的VMM模式并沒(méi)有完善，所以虛擬機(jī)在運(yùn)行的過(guò)程中很可能會(huì)出現(xiàn)漏洞，這就是目前虛擬機(jī)安全方面最大的危險(xiǎn)之處[1]。

3 服務(wù)器虛擬化技術(shù)的安全防范措施

3.1 加強(qiáng)該項(xiàng)技術(shù)中的分類部署

在服務(wù)器虛擬化技術(shù)的運(yùn)行過(guò)程中，加強(qiáng)該項(xiàng)技術(shù)的分類部署，可以讓服務(wù)器在邏輯層的運(yùn)行得到優(yōu)化，這就對(duì)服務(wù)器的安全性有一定的提升作用。在具體的實(shí)踐當(dāng)中，工作人員可以著重的對(duì)其網(wǎng)絡(luò)進(jìn)行設(shè)置，其中值得注意的是要把公共的虛擬機(jī)和自身專用的虛擬機(jī)分開(kāi)進(jìn)行設(shè)置，依據(jù)使用虛擬化技術(shù)的類型進(jìn)行分類，讓其在自己應(yīng)當(dāng)處在的網(wǎng)絡(luò)位置上運(yùn)行，最大程度上減少數(shù)據(jù)泄露到其他機(jī)器中的可能性，從而保證服務(wù)器虛擬機(jī)的安全運(yùn)行。所以，工作人員要對(duì)虛擬化環(huán)境當(dāng)中的邊界進(jìn)行防護(hù)，切實(shí)的落實(shí)到每一臺(tái)虛擬機(jī)當(dāng)中，超保證防護(hù)設(shè)備可以對(duì)其中每個(gè)虛擬機(jī)進(jìn)行識(shí)別，所以工作人員要對(duì)虛擬機(jī)環(huán)境中的邊間訪問(wèn)進(jìn)行嚴(yán)格的控制，這就必須要在虛擬層的基礎(chǔ)上才能實(shí)現(xiàn)，所以邊界防護(hù)的重點(diǎn)是對(duì)其中的虛擬層進(jìn)行防護(hù)。在防護(hù)的同時(shí)，要分層次地把重要的數(shù)據(jù)進(jìn)行加密，把虛擬機(jī)以重要性為標(biāo)準(zhǔn)進(jìn)行分類和等級(jí)劃分，對(duì)于其中等級(jí)比較高，重要性比較強(qiáng)的虛擬機(jī)使用相對(duì)應(yīng)的隔離方法，必要的時(shí)候還可以建設(shè)防火墻來(lái)對(duì)外來(lái)的風(fēng)險(xiǎn)進(jìn)行抵御，從而防止信息被泄露，極大程度上來(lái)提高虛擬化服務(wù)器的安全性[2]。

3.2 強(qiáng)化該項(xiàng)技術(shù)的設(shè)施保護(hù)

該項(xiàng)技術(shù)中的安全管理措施中最為重要的就是對(duì)服務(wù)器虛擬化相關(guān)設(shè)施的保護(hù)。因?yàn)樘摂M化設(shè)施是虛擬化服務(wù)器運(yùn)行的前提，是整體的服務(wù)器運(yùn)行當(dāng)中不可或缺的一部分，這對(duì)于虛擬化服務(wù)器的生產(chǎn)和運(yùn)行有著極其重要的作用，所以提高對(duì)服務(wù)器虛擬化設(shè)施的保護(hù)是相當(dāng)重要的。比如說(shuō)在VMware虛擬化的環(huán)境當(dāng)中，就是通過(guò)虛擬化的管理工作來(lái)實(shí)現(xiàn)對(duì)管理人員的控制，以這種方式來(lái)彌補(bǔ)虛擬化工具沒(méi)有自我保護(hù)能力的缺點(diǎn)，減少缺乏保護(hù)帶來(lái)的風(fēng)險(xiǎn)。在這個(gè)過(guò)程中，本地管理員是擁有最大權(quán)限的，這就可以通過(guò)使用分權(quán)制約的方法來(lái)實(shí)現(xiàn)日常的維護(hù)工作，對(duì)工作人員的職責(zé)進(jìn)行分化，明確自身應(yīng)當(dāng)承擔(dān)的責(zé)任，然后進(jìn)行桌面資源的授權(quán)工作。在工作當(dāng)中還可以對(duì)數(shù)據(jù)中心的相關(guān)資料進(jìn)行審計(jì)，從而實(shí)現(xiàn)對(duì)服務(wù)器虛擬化技術(shù)的最大程度保護(hù)。隨著當(dāng)前網(wǎng)站業(yè)務(wù)的越來(lái)越多，所以虛擬機(jī)的濫用情況比較嚴(yán)重，那么針對(duì)于這種情況為了防止虛擬機(jī)被濫用，要對(duì)服務(wù)器內(nèi)部的容量進(jìn)行加強(qiáng)分析和監(jiān)控，從而做到全面地掌握服務(wù)器的基礎(chǔ)情況。除了基礎(chǔ)的監(jiān)控之外，也可以定期地召開(kāi)對(duì)應(yīng)的會(huì)議進(jìn)行組織和回報(bào)，也可以在服務(wù)器虛擬化中設(shè)置自動(dòng)警報(bào)器，如果發(fā)現(xiàn)有外來(lái)入侵的情況出現(xiàn)，就可以自動(dòng)地發(fā)出警報(bào)，從而使得工作人員可以第一時(shí)間發(fā)現(xiàn)外來(lái)入侵，進(jìn)行解決。對(duì)服務(wù)器中被使用的資源定時(shí)的進(jìn)行報(bào)告和計(jì)算，并對(duì)一些比較特殊的情形進(jìn)行警告，對(duì)其訪問(wèn)進(jìn)行嚴(yán)格的控制，并加強(qiáng)服務(wù)器管理工作人員對(duì)于服務(wù)器相關(guān)設(shè)施的保護(hù)意識(shí)，對(duì)虛擬化服務(wù)器做好相應(yīng)的安全防范措施，按照規(guī)章制度嚴(yán)格進(jìn)行操作，設(shè)立相應(yīng)的保護(hù)制度來(lái)保護(hù)服務(wù)器虛擬化的工具來(lái)提升虛擬機(jī)在運(yùn)行過(guò)程中的安全性[3]。

3.3 完善該項(xiàng)技術(shù)的加固系統(tǒng)

在對(duì)虛擬化服務(wù)器進(jìn)行安全方面的管理的時(shí)候，要對(duì)服務(wù)器中的加固系統(tǒng)提高重視度，要做到不僅能夠抵御帶來(lái)的風(fēng)險(xiǎn)，還能保障服務(wù)器的安全運(yùn)行。在實(shí)踐的過(guò)程當(dāng)中要對(duì)服務(wù)器的加固系統(tǒng)合理地進(jìn)行配置，在部署的工作環(huán)節(jié)中，要對(duì)服務(wù)器真實(shí)的用處進(jìn)行確定，還要注意服務(wù)器的實(shí)際工作情況，在保障服務(wù)器運(yùn)行的過(guò)程中要對(duì)服務(wù)器設(shè)置的數(shù)量合理化，比如對(duì)物理層面和虛擬層面的服務(wù)器的資源占比情況進(jìn)行評(píng)估，對(duì)物理層面服務(wù)器的硬件設(shè)置和電源的使用情況進(jìn)行評(píng)估，然后依據(jù)資源占比情況和物理層面的實(shí)際情況來(lái)進(jìn)行具有可控制性的配置，從而以這種方式來(lái)實(shí)現(xiàn)對(duì)虛擬化服務(wù)器的安全管理。另一方面，除了對(duì)物理層面的服務(wù)器進(jìn)行評(píng)估之外，還要對(duì)處在虛擬環(huán)境中的服務(wù)器開(kāi)展全面的檢查工作和加固工作，同時(shí)要注意增強(qiáng)虛擬化服務(wù)器的身份認(rèn)證技術(shù)，防止不確定身份的賬號(hào)對(duì)服務(wù)器進(jìn)行訪問(wèn)。除此之外，還要加強(qiáng)對(duì)虛擬機(jī)運(yùn)行的優(yōu)化，在出現(xiàn)故障的時(shí)候，要及時(shí)地對(duì)其進(jìn)行修復(fù)和處理，在虛擬環(huán)境中建設(shè)完善的安全防御系統(tǒng)和機(jī)制，對(duì)于未經(jīng)允許的訪問(wèn)要嚴(yán)格的進(jìn)行控制。在虛擬化服務(wù)器進(jìn)行轉(zhuǎn)移的時(shí)候，要注意進(jìn)行加密，從而做到全方位的多角度的對(duì)遷移過(guò)程中的虛擬化服務(wù)器進(jìn)行保護(hù)。所以，為了對(duì)虛擬化服務(wù)器的安全性進(jìn)行保證，相關(guān)的工作人員要制定可行性比較強(qiáng)的安全戰(zhàn)略，并且管理人員要進(jìn)行相對(duì)應(yīng)的管理制度，首要需要提升的就是現(xiàn)場(chǎng)工作人員的安全意識(shí)，只有工作人員的安全意識(shí)提高了才能形成完善的虛擬化服務(wù)器的加固系統(tǒng)，從而保障其安全[4]。

4 結(jié)論

綜上所述，服務(wù)器的虛擬化技術(shù)已經(jīng)受到了廣泛的關(guān)注，是學(xué)術(shù)界和各行各業(yè)關(guān)注的重點(diǎn)。服務(wù)器虛擬化技術(shù)中的安全防范工作具有非常重要的意義，可以讓虛擬化技術(shù)更安全的應(yīng)用到各大高端的服務(wù)器當(dāng)中，所以要加強(qiáng)該項(xiàng)技術(shù)的分類部署，對(duì)相關(guān)設(shè)施強(qiáng)化保護(hù)，完善加固系統(tǒng)來(lái)發(fā)揮服務(wù)器虛擬化技術(shù)的作用，從而推動(dòng)網(wǎng)絡(luò)建設(shè)向前發(fā)展。