服務器虛擬化技術及安全策略

1、效勞器虛擬化技術及平安策略摘要：隨著計算機技術水平的不斷提升和互聯網的不斷普及，效勞器虛擬化技術應用范圍隨之擴大，對其效勞器虛擬化技術應用過程中的風險防范工作受到重視。本文從高資源利用率帶來的風險問題、虛擬化網絡環(huán)境存在的風險問題以及虛擬化管理工具保護方面存下的風險三個方面入手，對效勞器虛擬化運行期間存在的平安風險問題展開分析。在此根底上，對其運行平安風險防范策略提出具體建議。關鍵詞：效勞器虛擬化技術全虛擬化平安風險中圖分類號：TP393文獻標識碼：A文章編號：1674-098X202103c-0135-02在計算機技術不斷創(chuàng)新開展的背景下，虛擬化技術自身的應用優(yōu)勢逐漸凸顯出來，并且在諸多商業(yè)

2、高端效勞器中也得到了較為廣泛的應用。但是從另一方面來看，效勞器虛擬化技術的應用雖然有利于實現對資源的高效整合與控制管理本錢，但是效勞器在運行過程中的平安風險也隨之有所提升。為了保證效勞器虛擬化技術運行平安，對其進行合理化控制具有重要的現實意義。1效勞器虛擬化技術根本內容1.1全虛擬化內容在分析研究效勞器虛擬化技術根本內容這一問題時，對于全虛擬化內容的理解，主要在于直接執(zhí)行技術和DBT同時應用的情況，這樣有利于實現操作系統虛擬化的根本目標。在虛擬機中的DBT在保持穩(wěn)定運行狀態(tài)時，想要在VMM中嵌入相關指令，需要在敏感指令執(zhí)行前插入相應的陷入指令，在此根底上，當指令通過VMM便會轉化為能夠訪問虛擬

3、硬件的功能指令【1】。除此之外，雖然虛擬化中的所有指令均為Hypervisor翻譯操作系統擁有，但是其中CPU仍舊具有執(zhí)行用戶級指令的權限，借助虛擬化層使物理硬件中的客戶操作系統抽取出來，同時不需要通過系統內核中的任何變動支持，表達了應用優(yōu)勢。1.2半虛擬化內容效勞器虛擬化技術應用過程中，半虛擬化技術往往需要對計算機用戶的操作系統內核進行相應的修改，或者通過對無法虛擬化的指令進行替換，最終通過Hypervisor實現某些敏感指令的調用。綜合分析半虛擬化技術應用的實際情況，可以發(fā)現在半虛擬化技術中，計算機操作系統應該具備與虛擬化平臺兩者兼容的功能，以此來確保半虛擬化中使物理機可以對虛擬機進行有效

4、操作，否那么會對其應用效果產生較大的應用，使虛擬機無法正常操作宿主的計算機。現階段應用較為廣泛的半虛擬化技術有Xen，其控制主體方面主要涉及VMM與Domain0，其中在硬件中運行的主要為VMM，能夠對內存、主要設備和相關處理器實施虛擬化，而Domain0為虛擬機中大局部設備的操作起到一定的輔助作用。1.3硬件輔助虛擬化內容效勞器虛擬化技術應用范圍的不斷擴大，在很大程度上使得物理效勞器應用數量不斷減少。與傳統物理效勞器應用情況相比，虛擬化技術的應用為效勞器的運行增加了全新的模式，這一模式為Root【2】。在Root運行模式下，效勞器虛擬化技術可以在Root模式下實現穩(wěn)定運行，并且Root模式的

5、構建往往在RingO下，敏感指令可以直接在Hypervisor執(zhí)行，不需要借助BT或者半虛擬技術。期間，計算機用戶只需要通過將操作系統狀態(tài)保存在虛擬機控制結構中或者虛擬機控制模塊中的方式實現相關訴求。2效勞器虛擬化運行期間存在的平安風險問題2.1高資源利用率帶來的風險問題早在2021年，囯網德州供電公司所全面實施的效勞器虛擬化應用整合工程，通過將VMware虛擬效勞器管理技術靈活應用在效勞器中這一方式，實現了對虛擬化效勞器的統籌管理。與此同時，通過對虛擬效勞器關鍵業(yè)務實施的科學整合，實現而來11臺物理效勞器逐步遷移到2個刀片效勞器的虛擬化環(huán)境中，從而大大提升了效勞器的利用率。綜合分析來看，效勞

6、器虛擬化技術的廣泛應用，促進了高資源利用率的提升，但是隨之帶來的平安風險問題，對于效勞器虛擬化運行產生了直接的影響。2.2虛擬化網絡環(huán)境存在的風險問題與傳統的物理效勞器運行模式比照分析，效勞器虛擬技術在物理硬件以及虛擬效勞器兩者之間引入了虛擬層，也就是常說的虛擬機監(jiān)控器。而虛擬技術的應用也為效勞器本身的平安性帶來了一定的風險。效勞器虛擬化技術應用過程中，由于虛擬化網絡環(huán)境所導致的平安風險問題，主要表達在以下方面：在非虛擬化環(huán)境中，可以通過防火墻、IPS等設備對不同的效勞器制定差異化的平安管理方案，該環(huán)境中的平安風險問題是有界限的，同時風險危害性的擴散也相對有限【3】。而在虛擬環(huán)境中，傳統的邊界

7、防護設備難以捕捉到虛擬網絡通信，進而加大了效勞器虛擬化運行的平安風險防范工作開展難度。另一方面，虛擬化環(huán)境中，同一臺物理效勞器上運行的虛擬機，彼此之間均借助虛擬網絡實現通信，這一因素會在很大程度上導致傳統邊界防護作用無法真正發(fā)揮。2.3虛擬化管理工具保護方面存下的風險虛擬化管理工具保護方面存在的風險問題，主要與虛擬化環(huán)境中管理工具缺乏完善的保護措施有著直接的聯系。虛擬化管理工作可以為效勞器虛擬化技術的應用創(chuàng)造極大的便利條件，但是受到這一因素的影響，也使得虛擬化管理工具本身容易受到攻擊。如果沒有采取針對性的風險應對策略，一旦惡意攻擊者獲得了管理工具的相關權限，會對整個效勞器虛擬環(huán)境帶來巨大的威脅

8、，嚴重時這一威脅將會是災難性的。同時，虛擬機遷移后者虛擬機間的網絡通信，可以進一步加大效勞器虛擬化技術應用的平安風險，效勞器遭受外部滲透攻擊的時機也會隨著提升。比方：局部用作測試目的的虛擬機，可能會在運行過程中與一些重要的虛擬機之間共同存在同一虛擬局域網內，從而為外部滲透攻擊提供便利條件。3效勞器虛擬化技術平安防范措施3.1優(yōu)化效勞器虛擬化技術分類部署優(yōu)化效勞器虛擬化技術分類部署，有利于增強虛擬效勞器運行邏輯隔離的平安性，在實現網絡隔離以及提升系統整體平安性等方面也同樣發(fā)揮著積極的作用。在具體的工作中，可以從細化網絡設置這一角度出發(fā)，即：將公共的虛擬機和專用的虛擬機兩者進行分開設置，必要時也可

9、以將其按照效勞器虛擬化技術類型分開設置。比方，將其分成系統虛擬效勞器、應用程序類虛擬效勞器以及數據庫虛擬效勞器幾種類型。通過合理分類虛擬效勞器與數據庫效勞器，使其在各自的網絡分段中運行，可以在最大程度上降低數據經由網絡從一個虛擬機分區(qū)泄露至另一個虛擬機分區(qū)的平安風險。此外，虛擬化環(huán)境的邊界防護需要切實細化到每個虛擬機，保證邊界防護可以對每個虛擬機進行識別，從而實現對虛擬機邊界訪問的嚴密控制。這一措施，與所有虛擬化系統均是依靠虛擬層來實現這一理念相符合，為了到達高效的平安管理目的，邊界防護應該做到對虛擬層提供平安效勞的充分利用。3.2強化對虛擬化根底設施的保護強化對虛擬化根底設施的保護，是現階段

10、效勞器虛擬化技術應用平安管理的重要措施。虛擬化管理工具作為支持整體系統正常運行工作的根底，也是系統平安管理的中樞，所有虛擬機的生產、策略設備和后期維護，均需要依靠虛擬化管理工具來實現。以VMware虛擬化管理工具為例，在VMware虛擬化環(huán)境中，通過對管理控制臺VMware本地管理人員的集中控制，可以有效化解虛擬化管理工具自身由于缺乏平安保護所帶來的風險問題。期間，VMware本地管理人員具有最大的管理員權限，想要實現其管理作用的最大化，一般可以通過采取分權制約的方式，實際的分權管理設計如下：第一，自主定義虛擬化管理系統管理員、平安管理員以及平安審計員三個主要角色，這一過程中需要確保三個角色之

11、間禁止兼任。第二，在VMware與虛擬化桌面管理其的ViewManager中創(chuàng)立以上三個角色，同時對其管理權限進行合理限制。其中系統管理員主要負責虛擬機的創(chuàng)立以及數據中心的日常維護工作；平安管理員需要負責桌面資源池的創(chuàng)立工作以及對于桌面資源池的授權管理；平安審計員主要負責對系統管理員和平安管理員操作情況的審計，同時擁有VCenter數據中心的系統日志審計權限。3.3合理配置虛擬效勞器與加固系統在效勞器平安管理過程中，合理配置虛擬化效勞器和加固系統，可以在保證效勞器虛擬化技術應用平安性的根底上，最大程度上降低虛擬效勞器運行過程中被惡意攻擊的風險。在具體的工作中，合理配置虛擬效勞器與加固系統可以從

12、以下兩個方面來實現：第一，在虛擬化效勞器技術應用部署環(huán)節(jié)，應該明確掌握虛擬效勞器的具體用途，同時結合虛擬效勞器可能需要承擔的實際并發(fā)訪問量，保證物理效勞器性能與數量設置的和合理性。比方：按照物理效勞器和虛擬效勞器的占比情況，評估出物理效勞器的硬件配置、散熱情況以及電源負荷情況。只有切實保證效勞器配置的可控制性，才能實現對虛擬效勞器的平安管理。第二，對虛擬化環(huán)境中的效勞器系統實施全面平安加固，其中不僅包括承載虛擬機的物理主機，對于管理虛擬化環(huán)境的vCenterServer和其他所有虛擬機，均需要進行采取相應的加固措施。此外，強化對虛擬機生命周期的管理以及身份認證，可以進一步降低平安保護級別較低機器對于其他設備運行平安性的影響。4結語綜上所述，效勞器虛擬化技術平安防范對于保證效勞器虛擬化技術應用平安性等方面發(fā)揮著不可無視的積極作用。在具體的管理工作中，可以從優(yōu)化效勞器虛擬化技術分類部署、強化對虛擬化根底設施的保護以及合理配置虛擬效勞器與加固系統等幾個方面入手，切實保證相關平安管理措施順利落實。只有切