1、服務(wù)器虛擬化概述

　　服務(wù)器虛擬化，是將服務(wù)器物理資源抽象成邏輯資源，讓CPU、內(nèi)存、磁盤、I/O等硬件變成可以動態(tài)管理的資源池，不再受限于物理上的界限，在一臺服務(wù)器上運行幾臺甚至上百臺相互獨立的虛擬服務(wù)器。

　　每一個虛擬服務(wù)器都有一套自己的虛擬硬件，而且是一套一致的、標(biāo)準(zhǔn)化的硬件，可以在這些虛擬硬件上加載操作系統(tǒng)和應(yīng)用程序。通過虛擬化技術(shù)，提高資源的利用率，簡化管理。實現(xiàn)服務(wù)器整合，減少需要管理和維護(hù)的物理服務(wù)器數(shù)量，讓IT對業(yè)務(wù)的變化更具適應(yīng)力。當(dāng)應(yīng)用需求增加時，可以迅速部署虛擬機(jī)，無需增加物理服務(wù)器即可靈活地響應(yīng)不斷變化的應(yīng)用需求。通過使用服務(wù)器虛擬化技術(shù)，IT管理員可以在物理服務(wù)器之間移動運行的虛擬機(jī)，保持服務(wù)持續(xù)可用。

　　虛擬化技術(shù)的三個重要名詞：宿主(Host)、客戶(Guest)和Hypervisor(也稱為VMM，virtual machine monitor，虛擬機(jī)監(jiān)視器)。如將一個物理機(jī)虛擬成多個，則稱物理機(jī)為Host Machine，運行其上的OS為Host OS；稱虛擬機(jī)為Guest Machine，運行其上的OS為Guest OS。Hypervisor是一種運行在物理機(jī)和操摧系統(tǒng)之間的中回軟件層，可以訪問、調(diào)度和管理物理機(jī)上的資源，保證多個虛擬機(jī)能夠相互隔離的同時運行多個客戶操作系統(tǒng)。Hypervisors協(xié)調(diào)著這些硬件資源的訪問，也同時在各個虛擬機(jī)之問施加防護(hù)。當(dāng)物理機(jī)啟動并執(zhí)行Hypervisor時，Hypervisor會加載所有虛擬機(jī)客戶端的操作系統(tǒng)，同時會分配給每一臺虛擬機(jī)適量的內(nèi)存，CPU，網(wǎng)絡(luò)和I/O資源，可允許多個操作系統(tǒng)和應(yīng)用共享硬件，Hypervisor是虛擬化技術(shù)的核心。

　　2、服務(wù)器虛擬化技術(shù)原理

　　虛擬化技術(shù)有許多不同類型，但是它們有一個共同的主題就是模擬一個指令集的概念。每個虛擬機(jī)都有一個用戶可以訪問的指令集。虛擬機(jī)把這些虛擬指令“映射”到計算機(jī)的實際指令集。硬分區(qū)、軟分區(qū)、邏輯分區(qū)、Solaris Container、VMware、Xen、KVM、Hyper-V這些虛擬化技術(shù)都是運用的這個原理，只是虛擬指令集所處的層次位置不同。所有的IT設(shè)備，不管是PC、服務(wù)器還是存儲，都有一個共同點：它們被設(shè)計用來完成一組特定的指令。這些指令組成—個指令集。對于虛擬化技術(shù)而言，實際上指的是虛擬出這些指令集。

　　虛擬化技術(shù)與多任務(wù)以及超線程技術(shù)是完全不同的。多任務(wù)是在一個操作系統(tǒng)中多個程序同時并行運行，超線程技術(shù)只是單CPU模擬雙CPU來平衡程序運行性能，這兩個模擬出來的CPU是不能分離的，只能協(xié)同工作。而在虛擬化技術(shù)中，則可以同時運行多個操作系統(tǒng)，而且每一個操作系統(tǒng)中都有多個程序在運行，每一個操作系統(tǒng)都運行在一個虛擬主機(jī)上。

　　虛擬化是一個抽象層，通過空間上的分割、時間上的分時以及模擬，虛擬化可將一份資源抽象成多份，亦可將多份資源抽象成—份，從而提供更高的IT資源利用率和靈活性。虛擬化允許具有不同操作系統(tǒng)的多個虛擬機(jī)在同一物理機(jī)上獨立并行運行。每個虛擬機(jī)都有自己的一套虛擬硬件(例如RAM、CPU、網(wǎng)卡等)，可以在這些硬件中加載操作系統(tǒng)和應(yīng)用程序。無論實際采用了什么物理硬件組件，操作系統(tǒng)都將它們視為一組一致、標(biāo)準(zhǔn)化的硬件。服務(wù)器虛擬化架構(gòu)如圖。

圖1 服務(wù)器虛擬化架構(gòu)圖

　　3、服務(wù)器虛擬化優(yōu)點

　　服務(wù)器虛擬化提高資源的利用率，簡化系統(tǒng)管理，實現(xiàn)服務(wù)器整合，可以給企業(yè)帶來以下優(yōu)勢：

    1) 服務(wù)器合并，減少輕負(fù)載的物理服務(wù)器的數(shù)量，虛擬化技術(shù)可以支持實現(xiàn)物理資源和資源池的動態(tài)共享，可通過動態(tài)資源配置提高IT對業(yè)務(wù)的靈活適應(yīng)力，滿足不斷變化的業(yè)務(wù)需求，同時也減少硬件采購成本。

　　2) IT業(yè)務(wù)快速部署和配置

　　在物理服務(wù)器上部署和配置操作系統(tǒng)、應(yīng)用時。按照傳統(tǒng)手動方式可能得花上數(shù)小時甚至更長的時間，通過采用服務(wù)器虛擬化技術(shù)，可以有效隱藏物理資源的部分復(fù)雜性，應(yīng)用預(yù)先制作的虛擬機(jī)模板，在數(shù)分中甚至數(shù)秒鐘之內(nèi)就可完成部署配置，能夠簡化服務(wù)器的部署、管理和維護(hù)工作，達(dá)到快速配置資源的目的，節(jié)省管理員時間，提高響應(yīng)速度。

　　3) 提高兼容能力，一些應(yīng)用之間的版本、數(shù)據(jù)庫、操作系統(tǒng)等之間可能產(chǎn)生的沖突，應(yīng)用虛擬化技術(shù)可以避免類似問題。當(dāng)計算機(jī)需要維護(hù)或者系統(tǒng)需要擴(kuò)容時，傳統(tǒng)上需要關(guān)閉計算機(jī)，在新的計算機(jī)上安裝操作系統(tǒng)以及應(yīng)用，然后把數(shù)據(jù)轉(zhuǎn)移到新的計算機(jī)上，這個過程非常繁瑣并且容易出錯。通過服務(wù)器虛擬化技術(shù)可以簡單地把整個系統(tǒng)(包括操作系統(tǒng)、應(yīng)用以及數(shù)據(jù))遷移到另一臺計算機(jī)上，速度快，并且不容易出錯。

　　4) 提高數(shù)據(jù)備份的可靠性，服務(wù)器虛擬化技術(shù)通常提供快速轉(zhuǎn)移和復(fù)制虛擬機(jī)功能，提供簡單便捷的災(zāi)難恢復(fù)方案，虛擬化技術(shù)可以實現(xiàn)簡單共享方式無法實現(xiàn)的隔離和劃分的功能，可實現(xiàn)對數(shù)據(jù)和服務(wù)進(jìn)行可控和安全的訪問，帶來具有透明負(fù)載均衡、動態(tài)遷移、故障自動隔離、系統(tǒng)自動重構(gòu)的高可靠服務(wù)器應(yīng)用環(huán)境。

　　4、服務(wù)器虛擬化安全風(fēng)險

　　服務(wù)器虛擬化技術(shù)雖然有許多優(yōu)勢，減少了物理服務(wù)器的數(shù)量，但是卻增加了虛擬網(wǎng)絡(luò)設(shè)備的數(shù)量，在虛擬機(jī)上，傳統(tǒng)的安全威脅、業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)的風(fēng)險依然存在，傳統(tǒng)的安全原則也依然適用，同時也帶來了新的安全問題和挑戰(zhàn)。

　　在服務(wù)器虛擬化部署時，需要重新設(shè)計安全架構(gòu)，將“加固操作系統(tǒng)”、“堡壘主機(jī)”和“網(wǎng)絡(luò)分區(qū)”等概念應(yīng)用到虛擬化平臺上，保護(hù)宿主機(jī)、客戶機(jī)的安全，需要面對更多的安全風(fēng)險和因素，如：

　　1) 操作系統(tǒng)安全

　　Hypervisor實際上也是—個操作系統(tǒng)，它管理宿主機(jī)和客戶機(jī)之間的通信。因此管理員要關(guān)注物理服務(wù)器的操作系統(tǒng)，Hypervisor和客戶機(jī)操作系統(tǒng)三層操作系統(tǒng)的安全。

　　攻擊客戶機(jī)后避開虛擬機(jī)已經(jīng)是針對服務(wù)器虛擬化環(huán)境發(fā)起攻擊的常用方法。如果虛擬機(jī)不是足夠安全的話，入侵者只要花時間侵入一臺虛擬機(jī)，就可以破壞一個閉合網(wǎng)絡(luò)中的其它虛擬機(jī)，甚至最終避開Hypervisor，進(jìn)入宿主機(jī)。如果侵入宿主機(jī)，那么就掌握了所有虛擬機(jī)的命運。

　　2) 虛擬交換機(jī)安全

　　虛擬交換機(jī)與硬件網(wǎng)絡(luò)交換機(jī)不同，基于軟件的網(wǎng)絡(luò)交換機(jī)帶來了硬件設(shè)備一般沒有的安全問題。不同的服務(wù)器虛擬化平臺，構(gòu)建虛擬交換機(jī)的方法也是不同的。有的能夠?qū)崿F(xiàn)網(wǎng)段隔離，有的不能。虛擬化技術(shù)中的虛擬交換機(jī)，如果不具備硬件交換機(jī)的安全性和隔離性，一個虛擬機(jī)就可能捕捉到物理主機(jī)發(fā)送和接收的任何流量，此時的虛擬交換機(jī)處于混亂和封閉狀態(tài)，管理員無法走近虛擬交換機(jī)，插入筆記本電腦，對一個虛擬的網(wǎng)絡(luò)端口進(jìn)行鏡像，不能用傳統(tǒng)的方法進(jìn)行監(jiān)控和檢測，或者查看虛擬設(shè)備的統(tǒng)計信息，不能使用簡單的工具進(jìn)行有效的監(jiān)控和故障排除。

　　3) 防病毒、補丁管理在每個虛擬機(jī)上都部署防病毒軟件，管理員就要對每個虛機(jī)進(jìn)行登錄、管理、監(jiān)控、維護(hù)，進(jìn)行病毒庫升級、軟件故障處理等，這樣會造成管理的復(fù)雜。補丁部署、病毒庫升級會消耗大量的網(wǎng)絡(luò)帶寬。有時會阻塞對重要業(yè)務(wù)應(yīng)用的訪問，這會嚴(yán)重破壞業(yè)務(wù)應(yīng)用的連續(xù)性。

　　4) 數(shù)據(jù)安全

　　數(shù)據(jù)通常是最有價值的資產(chǎn)，同其它資產(chǎn)相比，需要以更大的警惕性保護(hù)數(shù)據(jù)，這一論點證明起來非常容易。

    對數(shù)據(jù)進(jìn)行加密，這樣，即使入侵者能夠突破安全防護(hù)措施，或者由于配置錯誤使得未經(jīng)授權(quán)的人能夠訪問到該數(shù)據(jù)，數(shù)據(jù)也不會被泄露。對傳送中的數(shù)據(jù)進(jìn)行加密，數(shù)據(jù)通過公用基礎(chǔ)設(shè)施進(jìn)行傳遞，并且可能會在傳遞過程被監(jiān)聽。KnowThreat安全公司的創(chuàng)始人兼首席顧問L.Taylor Banks建議：用戶將所有數(shù)據(jù)存儲到云中之前，先在本地加密數(shù)據(jù)，密鑰管理要放在本地進(jìn)行。

　　5、服務(wù)器虛擬化安全方法

　　從大多數(shù)方面來看，保護(hù)虛擬系統(tǒng)的安全與保護(hù)獨立服務(wù)器的安全沒有什么不同，同樣的最佳安全實踐依然適用。Unisys公司系統(tǒng)和技術(shù)部門首席安全設(shè)計師兼Skybox Security公司客戶顧問委員會顧問ChrisHoff說：“你平時怎樣保護(hù)服務(wù)器安全，現(xiàn)在就要以同樣的方法來保護(hù)虛擬機(jī)安全”。然而在虛擬系統(tǒng)中多了一個Hypervisor層。多了一個虛擬交換機(jī)，管理人員無法觸及到這個虛擬交換機(jī)，這就有了新的安全問題。

　　在服務(wù)器虛擬化平臺部署過程中可以使用下列方法：

　　1) 在DMZ區(qū)運行

　　由于服務(wù)器內(nèi)部的虛擬機(jī)通信是通過虛擬交換機(jī)來傳送的。因此對外部網(wǎng)絡(luò)安全控制機(jī)制來說是看不見的，應(yīng)根據(jù)應(yīng)用程序類型和數(shù)據(jù)敏感程度，把虛擬機(jī)隔離到“安全區(qū)”。虛擬機(jī)應(yīng)該使用DMZ主機(jī)系統(tǒng)的加固方案的最佳實踐，只開放應(yīng)用所需的必要服務(wù)。

　　美國芝加哥Cars.com公司技術(shù)操作總監(jiān)Edward Christensen也采取相同的做法對架構(gòu)中的虛擬機(jī)進(jìn)行隔離。他說：“確保IT環(huán)境安全的通常做法就是在數(shù)據(jù)庫和應(yīng)用層之間建立防火墻。但是當(dāng)你處在虛擬環(huán)境下，問題就復(fù)雜多了”。將虛擬的應(yīng)用服務(wù)器與數(shù)據(jù)庫服務(wù)器網(wǎng)段相互隔離，即把數(shù)據(jù)庫服務(wù)器放置在另外一個對虛擬的應(yīng)用服務(wù)器而言的DMZ區(qū)。

圖3 虛擬機(jī)的隔離

　　2) 虛擬機(jī)訪問控制機(jī)制

　　保護(hù)虛擬機(jī)之間的通信安全是基本原則。很多應(yīng)用要在虛擬機(jī)之間進(jìn)行的通信，不能做虛擬機(jī)之間通信是完全安全的假設(shè)。有些虛擬交換機(jī)的工作方式類似集線器，沒有隔離機(jī)制，將每個虛擬網(wǎng)絡(luò)端口鏡像到所有其他端口，目前，大部分的服務(wù)器虛擬化軟件產(chǎn)品中已經(jīng)解決這個問題。

　　在非虛擬化環(huán)境下，已有一些安全模型和方法可用來確保對操作系統(tǒng)的安全訪問，Bell-LaPadula模型(簡稱BLP模型)，SLCF(security labelcommon framework)框架、多級安全(multilevel security簡稱MLS）機(jī)密性策略，基于角色的訪問控制制(role-based access control，RBAC)。虛擬化環(huán)境下的Virt-BLP模型，實現(xiàn)了虛擬機(jī)通信場景下的強制訪問控制和多級安全，適用于多級安全的強制訪問控制(mandatory accesscontrol，MAC)框架，實現(xiàn)更細(xì)粒度地決定虛擬機(jī)間通信的類型，實現(xiàn)虛擬機(jī)間的多級安全。

　　3) 虛擬機(jī)安全度量機(jī)制

　　數(shù)據(jù)安全公司Verdasys副總裁兼首席科學(xué)家Dan Geer曾說：“安全度量的目的就是進(jìn)行風(fēng)險管理決策。度量并不需要十全十美，如果你以后能夠擁有更好的度量，那就再好不過了。”沒有好的度量，數(shù)據(jù)安全方面就不會取得很大的進(jìn)步。風(fēng)險管理并非對過去的解釋，而是對將來的預(yù)測，必須盡量做好安全度量。

　　IBM曾提出完整性度量框架(integrity measurement architecture。IMA)，也適用于虛擬化的安全度量，評估應(yīng)用程序安全計劃的有效性。同樣也可引入COBIT(Control Objectives for Information and related Technology)，目前CoBIT已經(jīng)演變成IT治理框架，可引入CoBIT的四個過程：PO-AI-DS-ME，來建立安全計劃的度量指標(biāo)。

    4) 控制虛擬機(jī)的數(shù)量

    創(chuàng)建虛擬機(jī)只要短短幾分鐘，但虛擬機(jī)數(shù)量越多，面臨的安全風(fēng)險也越大，導(dǎo)致管理、維護(hù)性能及配置供應(yīng)的能力出現(xiàn)滯后。

    5) 合理使用虛擬機(jī)的快照、復(fù)制技術(shù)

    虛擬機(jī)的快照技術(shù)能夠在錯誤出現(xiàn)時讓損失降到最低，是虛擬機(jī)在特定時刻的狀態(tài)、磁盤數(shù)據(jù)和配置等基于文件的一種保存方式，適當(dāng)使用可以將虛擬機(jī)恢復(fù)到任何以前有正常快照的狀態(tài)。虛擬機(jī)快照、復(fù)制技術(shù)頻繁使用會占用很大的存儲空間，可能導(dǎo)致物理機(jī)I/O資源的大量消耗，虛擬機(jī)也可能因此崩潰，影響應(yīng)用的正常運行。

    6) 限制虛擬化管理平臺管理員權(quán)限的發(fā)放

　　如果賦予了訪問虛擬化管理平臺的管理員級別權(quán)限，也就是賦予了訪問所有數(shù)據(jù)的權(quán)限。應(yīng)特別注意管理員權(quán)限得發(fā)放數(shù)量，以免虛擬機(jī)數(shù)量激增，擴(kuò)大安全風(fēng)險。

　　虛擬機(jī)被封裝為單個或多個虛擬磁盤文件，虛擬機(jī)的便攜性帶來非常高的風(fēng)險。以前偷走一臺服務(wù)器是很困難的，但是現(xiàn)在虛擬化管理平臺被入侵或不合理使用后，虛擬機(jī)可以被輕松拷貝，然后在另一個虛擬化平臺進(jìn)行還原，一臺服務(wù)器的數(shù)據(jù)就如此輕易的被盜了。因此必須合理控制虛擬機(jī)訪問權(quán)限，無論是在線的還是離線的虛擬機(jī)文件都必須獲得嚴(yán)格的管理和控制。

　　7) 部署虛擬化專用工具

　　部署虛擬化專用產(chǎn)品進(jìn)行虛擬化平臺的防病毒部署、補丁管理、行為審計、運維管理，從物理層、邏輯層，再到業(yè)務(wù)層、流程管理，對系統(tǒng)進(jìn)行全面監(jiān)控、預(yù)警、告警和故障分析。相應(yīng)的產(chǎn)品有BigFix、AuditPro、Stone ITSM、SteelEye等。

　　6、結(jié)束語

　　服務(wù)器虛擬化有著節(jié)省運營成本、提高服務(wù)器的利用率，便于管理維護(hù)，動態(tài)地改善IT基礎(chǔ)架構(gòu)的性能和效率，實現(xiàn)應(yīng)用的快速部署，備份的快速恢復(fù)，應(yīng)用升級前的測試以及升級失敗后的快速回退，集中的性能監(jiān)控和告警，保持業(yè)務(wù)的連續(xù)性，真正實現(xiàn)綠色計算等諸多優(yōu)勢，吸引了越來越多的用戶�，F(xiàn)階段服務(wù)器虛擬化平臺也存在著嚴(yán)重的信息安全問題。提出了安全技術(shù)的挑戰(zhàn)。

    本文從服務(wù)器虛擬化的概念、技術(shù)原理和目前存在的安全問題出發(fā)，探討了提高服務(wù)器虛擬化環(huán)境下信息安全應(yīng)采用的一些策略和方法。虛擬化安全是必要的投資，與使用物理機(jī)器一樣，也同樣需要安全保障。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：服務(wù)器虛擬化的安全實現(xiàn)研究

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/10839613436.html