服務(wù)器虛擬化技術(shù)及安全策略

1、效勞器虛擬化技術(shù)及平安策略摘要：隨著計(jì)算機(jī)技術(shù)水平的不斷提升和互聯(lián)網(wǎng)的不斷普及，效勞器虛擬化技術(shù)應(yīng)用范圍隨之?dāng)U大，對(duì)其效勞器虛擬化技術(shù)應(yīng)用過(guò)程中的風(fēng)險(xiǎn)防范工作受到重視。本文從高資源利用率帶來(lái)的風(fēng)險(xiǎn)問(wèn)題、虛擬化網(wǎng)絡(luò)環(huán)境存在的風(fēng)險(xiǎn)問(wèn)題以及虛擬化管理工具保護(hù)方面存下的風(fēng)險(xiǎn)三個(gè)方面入手，對(duì)效勞器虛擬化運(yùn)行期間存在的平安風(fēng)險(xiǎn)問(wèn)題展開(kāi)分析。在此根底上，對(duì)其運(yùn)行平安風(fēng)險(xiǎn)防范策略提出具體建議。關(guān)鍵詞：效勞器虛擬化技術(shù)全虛擬化平安風(fēng)險(xiǎn)中圖分類(lèi)號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1674-098X202103c-0135-02在計(jì)算機(jī)技術(shù)不斷創(chuàng)新開(kāi)展的背景下，虛擬化技術(shù)自身的應(yīng)用優(yōu)勢(shì)逐漸凸顯出來(lái)，并且在諸多商業(yè)

2、高端效勞器中也得到了較為廣泛的應(yīng)用。但是從另一方面來(lái)看，效勞器虛擬化技術(shù)的應(yīng)用雖然有利于實(shí)現(xiàn)對(duì)資源的高效整合與控制管理本錢(qián)，但是效勞器在運(yùn)行過(guò)程中的平安風(fēng)險(xiǎn)也隨之有所提升。為了保證效勞器虛擬化技術(shù)運(yùn)行平安，對(duì)其進(jìn)行合理化控制具有重要的現(xiàn)實(shí)意義。1效勞器虛擬化技術(shù)根本內(nèi)容1.1全虛擬化內(nèi)容在分析研究效勞器虛擬化技術(shù)根本內(nèi)容這一問(wèn)題時(shí)，對(duì)于全虛擬化內(nèi)容的理解，主要在于直接執(zhí)行技術(shù)和DBT同時(shí)應(yīng)用的情況，這樣有利于實(shí)現(xiàn)操作系統(tǒng)虛擬化的根本目標(biāo)。在虛擬機(jī)中的DBT在保持穩(wěn)定運(yùn)行狀態(tài)時(shí)，想要在VMM中嵌入相關(guān)指令，需要在敏感指令執(zhí)行前插入相應(yīng)的陷入指令，在此根底上，當(dāng)指令通過(guò)VMM便會(huì)轉(zhuǎn)化為能夠訪問(wèn)虛擬

3、硬件的功能指令【1】。除此之外，雖然虛擬化中的所有指令均為Hypervisor翻譯操作系統(tǒng)擁有，但是其中CPU仍舊具有執(zhí)行用戶級(jí)指令的權(quán)限，借助虛擬化層使物理硬件中的客戶操作系統(tǒng)抽取出來(lái)，同時(shí)不需要通過(guò)系統(tǒng)內(nèi)核中的任何變動(dòng)支持，表達(dá)了應(yīng)用優(yōu)勢(shì)。1.2半虛擬化內(nèi)容效勞器虛擬化技術(shù)應(yīng)用過(guò)程中，半虛擬化技術(shù)往往需要對(duì)計(jì)算機(jī)用戶的操作系統(tǒng)內(nèi)核進(jìn)行相應(yīng)的修改，或者通過(guò)對(duì)無(wú)法虛擬化的指令進(jìn)行替換，最終通過(guò)Hypervisor實(shí)現(xiàn)某些敏感指令的調(diào)用。綜合分析半虛擬化技術(shù)應(yīng)用的實(shí)際情況，可以發(fā)現(xiàn)在半虛擬化技術(shù)中，計(jì)算機(jī)操作系統(tǒng)應(yīng)該具備與虛擬化平臺(tái)兩者兼容的功能，以此來(lái)確保半虛擬化中使物理機(jī)可以對(duì)虛擬機(jī)進(jìn)行有效

4、操作，否那么會(huì)對(duì)其應(yīng)用效果產(chǎn)生較大的應(yīng)用，使虛擬機(jī)無(wú)法正常操作宿主的計(jì)算機(jī)?，F(xiàn)階段應(yīng)用較為廣泛的半虛擬化技術(shù)有Xen，其控制主體方面主要涉及VMM與Domain0，其中在硬件中運(yùn)行的主要為VMM，能夠?qū)?nèi)存、主要設(shè)備和相關(guān)處理器實(shí)施虛擬化，而Domain0為虛擬機(jī)中大局部設(shè)備的操作起到一定的輔助作用。1.3硬件輔助虛擬化內(nèi)容效勞器虛擬化技術(shù)應(yīng)用范圍的不斷擴(kuò)大，在很大程度上使得物理效勞器應(yīng)用數(shù)量不斷減少。與傳統(tǒng)物理效勞器應(yīng)用情況相比，虛擬化技術(shù)的應(yīng)用為效勞器的運(yùn)行增加了全新的模式，這一模式為Root【2】。在Root運(yùn)行模式下，效勞器虛擬化技術(shù)可以在Root模式下實(shí)現(xiàn)穩(wěn)定運(yùn)行，并且Root模式的

5、構(gòu)建往往在RingO下，敏感指令可以直接在Hypervisor執(zhí)行，不需要借助BT或者半虛擬技術(shù)。期間，計(jì)算機(jī)用戶只需要通過(guò)將操作系統(tǒng)狀態(tài)保存在虛擬機(jī)控制結(jié)構(gòu)中或者虛擬機(jī)控制模塊中的方式實(shí)現(xiàn)相關(guān)訴求。2效勞器虛擬化運(yùn)行期間存在的平安風(fēng)險(xiǎn)問(wèn)題2.1高資源利用率帶來(lái)的風(fēng)險(xiǎn)問(wèn)題早在2021年，囯網(wǎng)德州供電公司所全面實(shí)施的效勞器虛擬化應(yīng)用整合工程，通過(guò)將VMware虛擬效勞器管理技術(shù)靈活應(yīng)用在效勞器中這一方式，實(shí)現(xiàn)了對(duì)虛擬化效勞器的統(tǒng)籌管理。與此同時(shí)，通過(guò)對(duì)虛擬效勞器關(guān)鍵業(yè)務(wù)實(shí)施的科學(xué)整合，實(shí)現(xiàn)而來(lái)11臺(tái)物理效勞器逐步遷移到2個(gè)刀片效勞器的虛擬化環(huán)境中，從而大大提升了效勞器的利用率。綜合分析來(lái)看，效勞

6、器虛擬化技術(shù)的廣泛應(yīng)用，促進(jìn)了高資源利用率的提升，但是隨之帶來(lái)的平安風(fēng)險(xiǎn)問(wèn)題，對(duì)于效勞器虛擬化運(yùn)行產(chǎn)生了直接的影響。2.2虛擬化網(wǎng)絡(luò)環(huán)境存在的風(fēng)險(xiǎn)問(wèn)題與傳統(tǒng)的物理效勞器運(yùn)行模式比照分析，效勞器虛擬技術(shù)在物理硬件以及虛擬效勞器兩者之間引入了虛擬層，也就是常說(shuō)的虛擬機(jī)監(jiān)控器。而虛擬技術(shù)的應(yīng)用也為效勞器本身的平安性帶來(lái)了一定的風(fēng)險(xiǎn)。效勞器虛擬化技術(shù)應(yīng)用過(guò)程中，由于虛擬化網(wǎng)絡(luò)環(huán)境所導(dǎo)致的平安風(fēng)險(xiǎn)問(wèn)題，主要表達(dá)在以下方面：在非虛擬化環(huán)境中，可以通過(guò)防火墻、IPS等設(shè)備對(duì)不同的效勞器制定差異化的平安管理方案，該環(huán)境中的平安風(fēng)險(xiǎn)問(wèn)題是有界限的，同時(shí)風(fēng)險(xiǎn)危害性的擴(kuò)散也相對(duì)有限【3】。而在虛擬環(huán)境中，傳統(tǒng)的邊界

7、防護(hù)設(shè)備難以捕捉到虛擬網(wǎng)絡(luò)通信，進(jìn)而加大了效勞器虛擬化運(yùn)行的平安風(fēng)險(xiǎn)防范工作開(kāi)展難度。另一方面，虛擬化環(huán)境中，同一臺(tái)物理效勞器上運(yùn)行的虛擬機(jī)，彼此之間均借助虛擬網(wǎng)絡(luò)實(shí)現(xiàn)通信，這一因素會(huì)在很大程度上導(dǎo)致傳統(tǒng)邊界防護(hù)作用無(wú)法真正發(fā)揮。2.3虛擬化管理工具保護(hù)方面存下的風(fēng)險(xiǎn)虛擬化管理工具保護(hù)方面存在的風(fēng)險(xiǎn)問(wèn)題，主要與虛擬化環(huán)境中管理工具缺乏完善的保護(hù)措施有著直接的聯(lián)系。虛擬化管理工作可以為效勞器虛擬化技術(shù)的應(yīng)用創(chuàng)造極大的便利條件，但是受到這一因素的影響，也使得虛擬化管理工具本身容易受到攻擊。如果沒(méi)有采取針對(duì)性的風(fēng)險(xiǎn)應(yīng)對(duì)策略，一旦惡意攻擊者獲得了管理工具的相關(guān)權(quán)限，會(huì)對(duì)整個(gè)效勞器虛擬環(huán)境帶來(lái)巨大的威脅

8、，嚴(yán)重時(shí)這一威脅將會(huì)是災(zāi)難性的。同時(shí)，虛擬機(jī)遷移后者虛擬機(jī)間的網(wǎng)絡(luò)通信，可以進(jìn)一步加大效勞器虛擬化技術(shù)應(yīng)用的平安風(fēng)險(xiǎn)，效勞器遭受外部滲透攻擊的時(shí)機(jī)也會(huì)隨著提升。比方：局部用作測(cè)試目的的虛擬機(jī)，可能會(huì)在運(yùn)行過(guò)程中與一些重要的虛擬機(jī)之間共同存在同一虛擬局域網(wǎng)內(nèi)，從而為外部滲透攻擊提供便利條件。3效勞器虛擬化技術(shù)平安防范措施3.1優(yōu)化效勞器虛擬化技術(shù)分類(lèi)部署優(yōu)化效勞器虛擬化技術(shù)分類(lèi)部署，有利于增強(qiáng)虛擬效勞器運(yùn)行邏輯隔離的平安性，在實(shí)現(xiàn)網(wǎng)絡(luò)隔離以及提升系統(tǒng)整體平安性等方面也同樣發(fā)揮著積極的作用。在具體的工作中，可以從細(xì)化網(wǎng)絡(luò)設(shè)置這一角度出發(fā)，即：將公共的虛擬機(jī)和專(zhuān)用的虛擬機(jī)兩者進(jìn)行分開(kāi)設(shè)置，必要時(shí)也可

9、以將其按照效勞器虛擬化技術(shù)類(lèi)型分開(kāi)設(shè)置。比方，將其分成系統(tǒng)虛擬效勞器、應(yīng)用程序類(lèi)虛擬效勞器以及數(shù)據(jù)庫(kù)虛擬效勞器幾種類(lèi)型。通過(guò)合理分類(lèi)虛擬效勞器與數(shù)據(jù)庫(kù)效勞器，使其在各自的網(wǎng)絡(luò)分段中運(yùn)行，可以在最大程度上降低數(shù)據(jù)經(jīng)由網(wǎng)絡(luò)從一個(gè)虛擬機(jī)分區(qū)泄露至另一個(gè)虛擬機(jī)分區(qū)的平安風(fēng)險(xiǎn)。此外，虛擬化環(huán)境的邊界防護(hù)需要切實(shí)細(xì)化到每個(gè)虛擬機(jī)，保證邊界防護(hù)可以對(duì)每個(gè)虛擬機(jī)進(jìn)行識(shí)別，從而實(shí)現(xiàn)對(duì)虛擬機(jī)邊界訪問(wèn)的嚴(yán)密控制。這一措施，與所有虛擬化系統(tǒng)均是依靠虛擬層來(lái)實(shí)現(xiàn)這一理念相符合，為了到達(dá)高效的平安管理目的，邊界防護(hù)應(yīng)該做到對(duì)虛擬層提供平安效勞的充分利用。3.2強(qiáng)化對(duì)虛擬化根底設(shè)施的保護(hù)強(qiáng)化對(duì)虛擬化根底設(shè)施的保護(hù)，是現(xiàn)階段

10、效勞器虛擬化技術(shù)應(yīng)用平安管理的重要措施。虛擬化管理工具作為支持整體系統(tǒng)正常運(yùn)行工作的根底，也是系統(tǒng)平安管理的中樞，所有虛擬機(jī)的生產(chǎn)、策略設(shè)備和后期維護(hù)，均需要依靠虛擬化管理工具來(lái)實(shí)現(xiàn)。以VMware虛擬化管理工具為例，在VMware虛擬化環(huán)境中，通過(guò)對(duì)管理控制臺(tái)VMware本地管理人員的集中控制，可以有效化解虛擬化管理工具自身由于缺乏平安保護(hù)所帶來(lái)的風(fēng)險(xiǎn)問(wèn)題。期間，VMware本地管理人員具有最大的管理員權(quán)限，想要實(shí)現(xiàn)其管理作用的最大化，一般可以通過(guò)采取分權(quán)制約的方式，實(shí)際的分權(quán)管理設(shè)計(jì)如下：第一，自主定義虛擬化管理系統(tǒng)管理員、平安管理員以及平安審計(jì)員三個(gè)主要角色，這一過(guò)程中需要確保三個(gè)角色之

11、間禁止兼任。第二，在VMware與虛擬化桌面管理其的ViewManager中創(chuàng)立以上三個(gè)角色，同時(shí)對(duì)其管理權(quán)限進(jìn)行合理限制。其中系統(tǒng)管理員主要負(fù)責(zé)虛擬機(jī)的創(chuàng)立以及數(shù)據(jù)中心的日常維護(hù)工作；平安管理員需要負(fù)責(zé)桌面資源池的創(chuàng)立工作以及對(duì)于桌面資源池的授權(quán)管理；平安審計(jì)員主要負(fù)責(zé)對(duì)系統(tǒng)管理員和平安管理員操作情況的審計(jì)，同時(shí)擁有VCenter數(shù)據(jù)中心的系統(tǒng)日志審計(jì)權(quán)限。3.3合理配置虛擬效勞器與加固系統(tǒng)在效勞器平安管理過(guò)程中，合理配置虛擬化效勞器和加固系統(tǒng)，可以在保證效勞器虛擬化技術(shù)應(yīng)用平安性的根底上，最大程度上降低虛擬效勞器運(yùn)行過(guò)程中被惡意攻擊的風(fēng)險(xiǎn)。在具體的工作中，合理配置虛擬效勞器與加固系統(tǒng)可以從

12、以下兩個(gè)方面來(lái)實(shí)現(xiàn)：第一，在虛擬化效勞器技術(shù)應(yīng)用部署環(huán)節(jié)，應(yīng)該明確掌握虛擬效勞器的具體用途，同時(shí)結(jié)合虛擬效勞器可能需要承擔(dān)的實(shí)際并發(fā)訪問(wèn)量，保證物理效勞器性能與數(shù)量設(shè)置的和合理性。比方：按照物理效勞器和虛擬效勞器的占比情況，評(píng)估出物理效勞器的硬件配置、散熱情況以及電源負(fù)荷情況。只有切實(shí)保證效勞器配置的可控制性，才能實(shí)現(xiàn)對(duì)虛擬效勞器的平安管理。第二，對(duì)虛擬化環(huán)境中的效勞器系統(tǒng)實(shí)施全面平安加固，其中不僅包括承載虛擬機(jī)的物理主機(jī)，對(duì)于管理虛擬化環(huán)境的vCenterServer和其他所有虛擬機(jī)，均需要進(jìn)行采取相應(yīng)的加固措施。此外，強(qiáng)化對(duì)虛擬機(jī)生命周期的管理以及身份認(rèn)證，可以進(jìn)一步降低平安保護(hù)級(jí)別較低機(jī)器對(duì)于其他設(shè)備運(yùn)行平安性的影響。4結(jié)語(yǔ)綜上所述，效勞器虛擬化技術(shù)平安防范對(duì)于保證效勞器虛擬化技術(shù)應(yīng)用平安性等方面發(fā)揮著不可無(wú)視的積極作用。在具體的管理工作中，可以從優(yōu)化效勞器虛擬化技術(shù)分類(lèi)部署、強(qiáng)化對(duì)虛擬化根底設(shè)施的保護(hù)以及合理配置虛擬效勞器與加固系統(tǒng)等幾個(gè)方面入手，切實(shí)保證相關(guān)平安管理措施順利落實(shí)。只有切