服務器虛擬化的安全風險分析及對策探討

在計算機技術(shù)的發(fā)展過程中，服務器虛擬化技術(shù)可以說是一項重大的技術(shù)性突破，服務器的虛擬化的出現(xiàn)將傳統(tǒng)計算機技術(shù)中很多服務器的問題進行了很好的解決，而且其實際的效益也是非?？捎^的，例如將服務器與計算機的硬件分享進行整合后使得計算機的整體投資利用率得到了極大的提升，將計算機的服務器進行虛擬化，實現(xiàn)虛擬化的環(huán)境下的運行，有效的避免了很多計算中的底層的硬件之間出現(xiàn)的兼容性問題；服務器的啟動時以標準的鏡像完成的，這樣就能充分保證服務器實現(xiàn)快速的恢復。雖然虛擬化技術(shù)的出現(xiàn)為計算機的發(fā)展帶來了極大的好處，但是帶來利益的同時也意味著安全風險的出現(xiàn)，因此，要充分重視虛擬化服務器的安全問題。

1  服務器虛擬化阿全問題的提出

1.1  新興技術(shù)安全問題尚未引起足夠重視

現(xiàn)代社會的計算機用戶對新興技術(shù)的安全問題總是給的關(guān)注，有人認為說過多數(shù)虛擬化服務其的安全性能要遠遠低于與之相對應的物理服務器。而作為一種新興的技術(shù)，虛擬化服務器的安全問題仍然沒有被充分的重視，很多時候計算機用戶在進行虛擬化服務器的設(shè)計以及測試的過程中對服務器虛擬化的安全性問題沒有給予足夠的重視，或者對安全問題的考慮也僅僅是使用了傳統(tǒng)的安全方法，但是物理服務器的領(lǐng)域的相關(guān)安全措施與虛擬化技術(shù)會存在一定的差異，因此，需要針對虛擬化技術(shù)的安全風險進行充分的考慮。

1.2  新技術(shù)引進的同事沒有對其安全問題進行考慮 

服務器虛擬化的推進速度完全沒有跟上虛擬化技術(shù)的應用實際，如果虛擬化的設(shè)計過程中沒有與相關(guān)的專家進行充分的結(jié)合，就會導致在虛擬機上運行大型應用出現(xiàn)較大的安全風險，這主要是因為在進行新技術(shù)的核心要素吸收過程占據(jù)了開發(fā)者的大量精力，沒有精力來對虛擬化的安全問題進行考慮。

1.3  任何技術(shù)都會存在潛在的安全問題

對于計算機的數(shù)據(jù)中心來說，虛擬化是一種革命性的變革，但是，任何的新技術(shù)都會存在一定的缺陷，而網(wǎng)絡(luò)上的很多惡意軟件或者病毒會對虛擬化環(huán)境井各種攻擊，從而來竊取用戶的一些重要的數(shù)據(jù)，甚至有的惡意軟件會劫持服務器的工作負荷，而現(xiàn)有服務器的安全環(huán)境本來就比較復雜，加之服務器虛擬化的影響，勢必會給服務器的安全環(huán)境帶來更大的困擾，而很多用戶為了實現(xiàn)計算機的運行流暢效果而匆忙的配置了這項技術(shù)，使得安全問題被忽略，由此可見，服務器虛擬化的安全問題探討是一項非常重要的課題。

2  服務器虛擬化可能引起的安全風險

2.1  造成網(wǎng)絡(luò)構(gòu)架改變，引起服務器使用的安全風險

服務器在進行虛擬化的過程中能夠會對網(wǎng)絡(luò)構(gòu)架進行較大的改變，而網(wǎng)絡(luò)構(gòu)架發(fā)生改變必然會引起一些比較特殊的安全風險。例如，在傳統(tǒng)的物理服務器的基礎(chǔ)上，用戶可以通過在防火墻上建立多個不同的隔離區(qū)的形式來對服務器進行差異化規(guī)則的管理，這樣在服務器遭受攻擊的時候，其產(chǎn)生的危害也僅僅局限在某一個隔離區(qū)內(nèi)，實際造成的影響有限，但是服務器實現(xiàn)虛擬化后，系統(tǒng)內(nèi)多個虛擬機需要經(jīng)過一臺固定的虛擬交換機來完成與外界網(wǎng)絡(luò)的通訊過程，這樣原本的防火墻防御措施就失效，如果系統(tǒng)內(nèi)一臺虛擬機遭受攻擊，其產(chǎn)生的安全為很快就會經(jīng)由網(wǎng)絡(luò)擴散到整個系統(tǒng)虛擬機中。

2.2  負載過重或者系統(tǒng)服務器崩潰 

服務器的虛擬化使得使得原本的服務器需要同時來負擔多個應用程序的運行，而這些應用程序在運行過程中會出現(xiàn)爭奪物理服務器寬帶、內(nèi)存、處理器以及存儲資源的現(xiàn)象，從而導致正在運行的關(guān)鍵應用程序出現(xiàn)性能下降或者突出得到網(wǎng)絡(luò)問題，甚至會導致服務器的過載的現(xiàn)象。

而在服務器虛擬化后，物理服務器如果出現(xiàn)崩潰現(xiàn)象是一種非常嚴重的安全問題。例如，如果用戶的計算機中同時存在多個虛擬化的服務器，如果在系統(tǒng)的運行過程中出現(xiàn)了硬件的斷電、某些部件的過熱導致系統(tǒng)升溫、系統(tǒng)硬盤出現(xiàn)問題等現(xiàn)象就會導致系統(tǒng)的服務器出現(xiàn)崩潰的現(xiàn)象，在這種情況下，用戶計算機中所有運行的應用都會出現(xiàn)中斷的現(xiàn)象，這種服務器的崩潰產(chǎn)生的后果比通常情況下服務器出現(xiàn)崩潰現(xiàn)象產(chǎn)生的后果要嚴重的多。

2.3  虛擬機一處將導致虛擬機失去安全系統(tǒng)的保護

在進行計算機管理程序的設(shè)計過程中如果留下了安全隱患，那么這種安全隱患將會在同一臺計算機物理主機上的虛擬機中傳染，這種安全隱患傳染的現(xiàn)象通常被稱作“虛擬機溢出”。一旦虛擬機脫離了整個虛擬機的安全管理程序環(huán)境，黑客就能輕易的進入該虛擬機的管理程序中，從而避開了整個虛擬機的安全保護系統(tǒng)，這對虛擬機的危害是非常大的。

3  服務器虛擬化安全風險的相關(guān)對策

3.1  網(wǎng)絡(luò)構(gòu)架該變化可能引起的安全問題的對策

針對網(wǎng)絡(luò)構(gòu)架變化引起的安全問題進行解決的時候，首先要充分保證系統(tǒng)內(nèi)的殺毒軟件以及相關(guān)的應用程序的兼容性，然后針對不同的虛擬服務器安裝殺毒軟件即可。

3.2  針對服務器過載、崩潰等引起的應用中斷問題的對策

在系統(tǒng)的運行過程中對服務器的硬件利用率進行全過程的容量分析可以很好的解決服務器的過載問題，然后結(jié)合服務器在實際的使用過程中處在應用高峰期的運行時間以及在運行高峰期需要的實際的資源需求來合理的設(shè)計系統(tǒng)的工作負荷。而且在實際的系統(tǒng)運行需要的情況下可以使用容錯服務器，但是容錯服務器的相關(guān)硬件配置成本比較高，因此，可以合理的在系統(tǒng)中使用容錯軟件，容錯服務器的主要作用就是將容錯服務器的處理過程通過軟件的形式來得以實現(xiàn)。例如everRun FT軟件，將該軟件同時安裝在不同位置的服務器上后，讓其在不同的兩個x86服務器上進行運行，這時候就可以創(chuàng)建一個虛擬的Windos環(huán)境，在這種情況下，如果兩個服務器中的一個發(fā)生了宕機，不會對其與其相對應的運行程序產(chǎn)生影響。

3.3  阻止虛擬機溢出儀器的安全問題對策

針對這一現(xiàn)象，可以在計算機的數(shù)據(jù)庫跟應用程序之間建立一道防火墻，然后充分利用隔離虛擬機就能實現(xiàn)虛擬環(huán)境的脫機保存，該方法是一種非常好的解決因為阻止虛擬機溢出而造成的系統(tǒng)安全風險。

3.4  預防虛擬機遷移及虛擬機之間通信帶來的安全風險的對策

針對虛擬器遷移以及虛擬機之間通信而引起的安全問題目前市場中一些用來進行虛擬環(huán)境信息安全改善的信心產(chǎn)品就能很好的規(guī)避這種風險，例如，一些廠商提供的安全API可以針對系統(tǒng)的虛擬環(huán)境中所有執(zhí)行的活動進行監(jiān)測并能及時的執(zhí)行相應的安全策略，而且一些安全信息產(chǎn)品通過在虛擬環(huán)境下創(chuàng)建一個邏輯隔離，很好的解決了系統(tǒng)主機與虛擬機之間存在的物理隔離的相關(guān)問題，而且在該產(chǎn)品中設(shè)置了管理層，該管理層能夠?qū)μ摂M機的遷移形成很好的限制作用，有效的避免了在系統(tǒng)運行過程中出現(xiàn)與系統(tǒng)遵行性不符合的虛擬設(shè)定或者物理設(shè)定。

3.5  預防虛擬機補丁未能更新引發(fā)的安全風險

虛擬機補丁對虛擬機來說具有非常重要的作用。因此，在系統(tǒng)的運行過程中可以指定一個比較合理的時間點來專門執(zhí)行補丁更新的操作，微軟等廠商針對其及出的產(chǎn)品都指定出了相應的時間來進行補丁的管理，用戶可以通過訂閱微軟的更新郵件，如果廠商發(fā)布了新的更新補丁時，用戶端就能在第一時間完成補丁的更新，而如果用戶的系統(tǒng)中虛擬機鏡像庫的數(shù)量非常龐大，那么可以通過虛擬機廠家提供的管理產(chǎn)品來實現(xiàn)很多補丁更新操作的自動化，這樣就能有效的減輕系統(tǒng)維護的工作量，而針對一些建立時間較長且建立的目的就是為了退出新的虛擬機的虛擬機，可以通過在固定的周期內(nèi)完成虛擬機補丁以及病毒庫等的更新，然后在執(zhí)行鏡像存放就可以。

4  結(jié)語

虛擬機的出現(xiàn)讓計算機用戶在維持成本基本不變的情況下，極大的提升了系統(tǒng)的性能，計算機服務也變得更加快捷，但是由此帶來的安全風險也是不容忽視的重要的問題，而要想實現(xiàn)虛擬機的安全運行就需要實現(xiàn)防火墻的虛擬化，或者針對系統(tǒng)中的各種虛擬設(shè)備采取必要的安全措施，在條件允許的情況下可以使用容錯服務器或者相關(guān)的容錯軟件，同時要將物理以及虛擬環(huán)境置于同一個管理平臺下運行，這樣不管是虛擬還是物理的組件就具備了相同的特性，可見系統(tǒng)的虛擬化技術(shù)在應用前一定要對其保持謹慎的態(tài)度，要想在現(xiàn)有的流程實現(xiàn)虛擬化，一定要從技術(shù)人員以及技術(shù)力量等實現(xiàn)全方位的安全保障，這樣才能實現(xiàn)虛擬化技術(shù)的安全應用。

本文來源：《企業(yè)科技與發(fā)展》：http://12-baidu.cn/w/qk/21223.html