(中国港湾工程有限责任公司,北京100027)
摘要:对服务器进行虚拟化,将导致一些安全问题的产生。本文结合这些问题,从宿主机、虚拟机通信、虚拟平台管理三个方面提出了相应的安全防护措施,为关注这一话题的人们提供参考。
关键词:服务器;虚拟化;安全防护
引言:
作为目前的热门技术之一,虚拟化技术引起了人们的广泛关注,可以将物理硬件和操作系统分离开来,使计算机资源的充分利用,从而使设备配置和系统建设投入费用得到减少。但实际采用该技术,可能引发系统一系列的安全问题,因此需要加强相应的安全防护研究,加强信息安全保障。
1服务器虚拟化技术分析
采用虚拟化处理手段,实际就是从逻辑方面实现计算机硬件资源的重新配置。不同于过去人们从物理角度进行资源配置,采用虚拟化技术需要重新进行硬件资源配置,使同一个物理机器能够同时运行多个操作系统虚拟化服务器,在加强资源整合的同时,为系统管理提供便利。在技术实现的过程中,主要可以采用两种方式。具体来讲,一种是将单个服务器划分成多个独立逻辑服务器,另一种则是将若干个服务器看成是一个。现阶段,在虚拟化方面,并未出台统一的分类方法。根据技术实现模式,可以采用全部虚拟化技术、代码植入的半虚拟化技术或硬件辅助实现技术。所谓的全虚拟化,实际就是采用一个虚拟机监视器VMM,如VMware等,能够对系统和硬件资源进行信息交换,可以对直接在原有操作系统上进行虚拟化软件安装,无需进行系统配置修改,但需要完成大量二进制转移工作量[1]。实现半虚拟化操作,需要对底层硬件进行访问。实际操作中,可以采用VMM,在虚拟系统中植入相关的代码,无需转移二进制,所以能够使系统负荷得到降低,同时使系统性能得到提高。但采用该方法,存在兼容性差的问题,需要较高维护成本。采用硬件辅助虚拟变化技术,需要加装root,将VMM运行至root模式,能够直接执行关键指令,促使服务器性能得到提高。
2服务器虚拟化情况下的安全问题
2.1服务器宿主机安全问题
在局域网环境中,采用VMWare平台,需要在私有云上将平台与Internet进行物理隔离。受这一因素的影响,难以对平台补丁库进行及时更新。同时,平台容易出现漏洞无法及时修复的问题,给平台带来较大安全风险。针对平台存在漏洞的情况,攻击者对向宿主机造成威胁。只要获得相应的VMWare权限,就可以对任意虚拟机进行访问,导致业务信息面临严重安全威胁。如果定期进行系统安全补丁的发布,采用手工方式进行虚拟服务器安全补丁的阶段性安装,将导致系统功能受到影响,甚至发生测试异常问题,造成服务器运行环境不一致。
2.2虚拟机间安全防护问题
在云计算环境中,伴随着基础网络架构的统一化,计算机资源和存储资源将得到高度整合,设备部署边界逐渐丧失。在服务器传统安全防护中,需要通过边界安全隔离和访问控制加强安全管理。但在实际虚拟化的过程中,各区域间的边界将不再清晰。在所在的安全区域并不一致的情况下,将难以采取差异化安全防护措施。针对同一台物理主机,如果进行多个虚拟机的同时运行,较难进行设备间通信的有效监控,造成设备缺乏安全防护。因此采用虚拟化技术,只要有一台设备有漏洞存在,将给网络攻击者留下攻击机会。在控制其中一台设备的情况下,可以实现对其他虚拟机进行攻击,导致整个数据中心虚拟化环境受到威胁[2]。对于虚拟服务器使用者来讲,虚拟机可以按需启停,在服务器关闭时同时保存病毒防护等各种安全状态。但再次启动时则会出现服务器安全状态滞后的问题,导致服务器与其它在线虚拟服务间脱节。
2.3虚拟化管理安全性问题
在虚拟化平台上,需要对数据和服务进行虚拟化交互,所以安全设备构建和安装部署需要达到更高技术要求。只要安装系统,相应的设备能够在vCenterServer平台上得到控制管理。针对分布在各处的设备,系统也可以通过管理实现快速部署。对自动化策略进行执行,系统能够对日常任务进行简化,从而有效降低环境管理复杂度。一旦攻击者成功入侵管理平台,将获得平台本地或远程访问权限,在破解虚拟机口令后可以对虚拟机进行任意操作,给服务器带来较大安全威胁。此外,面对一组突发服务同时访问,可能会出现拒绝服务式攻击事件。在平台为每个用户提供服务的过程中,如果有过多用户或恶意应用程序提出大量服务请求,将导致平台大量资源被占用,造成虚拟机宕机或停止服务,降低虚拟机响应速度和处理能力。
3基于服务器虚拟化情况下的安全防护
3.1服务器宿主机安全防护
针对技术运用过程中存在的安全问题,还应采取有效的安全防护措施。具体来讲,就是要保证宿主机SSH和Shell处于禁用状态,将系统有限防火墙端口数目打开。使与宿主机特定服务关联的额外防火墙端口处于开启状态,能够防止宿主机遭受外界攻击。针对运行的操作系统,需要实现相应防火墙软件的升级管理。出现安全链断裂的位置,需要通过及时修复使系统保持安全运行。
实际在宿主机运行期间,还应使其仅对不可或缺的服务进行运行,在访问阶段应当关闭所有无需使用的端口。在宿主机与客户端通信过程中,还应加强SSL保护,禁止使用弱密码,并且将Telent等不安全服务关闭。在访问控制方面,可以采用网口的状态检测方法,从逻辑状态上加强虚拟系统间的隔离,实现全方位网络安全防护[3]。
在实际工作中,还应考虑服务器虚拟化情况下可能遭受的各种攻击,以便通过合理配置虚拟服务器保证系统安全。具体来讲,就是要从虚拟服务器用途和并发访问量等方面进行考量,对性能符合要求的物理服务器进行选择。根据不同种类服务器的比例,可以采用固定配套模式,使虚拟服务器数量得到有效控制。
考虑到新型网络环境给系统带来的安全隐患,还要认识到虚拟机需要相应服务器一样独立工作,所以需要进行安全加护。具体来讲,就是对虚拟机应用程序补丁、开放端口、运行服务等进行加固。在安全加固期间,应当将除特殊情况以外的所有可控物理设备关闭。在虚拟机上,需要加强杀毒软件等安全产品的应用,使系统补丁得到及时更新,以免宿主机因安全漏洞被攻击。
3.2虚拟机间安全防护管理
针对虚拟机间物理隔离边界逐渐消失的问题,可以通过加强网络隔离增强安全防护,使虚拟机之间能够实现安全通信。具体来讲,就是将虚拟机划分为公共和专用两类,或者按照服务类型进行区分。在各自区域内,不同的虚拟机能够实现分布运行,人为进行虚拟机的安全隔离。采取该种措施,能够建立新的边界防护系统,避免安全问题扩散。通过将边界防护细化到单个虚拟机上,可以使虚拟机在实现相互通信时存在明显边界,一旦有虚拟机的访问行为存在问题将得到及时控制。
针对虚拟服务器上运行的服务和业务,还要结合进程及调用关系进行应用程序控制功能的调用,对服务上相关业务进程进行自动收集和识别,在保证进程顺利进行的情况下,阻止其他应用程序安装,以免出现恶意代码执行风险。针对管理服务器,还应制定统一防火墙规则,自动下发至终端执行,避免用户随意进行防火墙规则的修改。采用特定防火墙策略,能够使终端用户对特定资源访问得到限定,因此能够避免服务器之间出现恶意攻击问题。
在实践工作中,需要利用边界防护系统加强虚拟机所有流量检测,对信息传输目的地、端口和协议等进行识别,以便及时发现入侵行为。在入侵检测方面,考虑到虚拟交换机不支持SPAN的建立,无法在相应传感器中进行数据流复制,因此难以在虚拟环境中进行IPS系统集成应用。针对这一问题,在虚拟化入侵防御系统建立时,需要将引擎以虚拟机形式在服务器中部署,提供DDoS和IPS等安全防护功能,使系统内部的安全防护得到加强。此外,针对服务器虚拟化横向流量,也可以采用重定向技术加强安全防护,即在交换机转发引入横向流量前,利用标准化VEPA和EVB等技术将流量引入安全区域,利用区域防护设备进行安全策略配置和深度报文检查。
3.3虚拟化平台的安全管理
针对虚拟化平台,需要加强安全管理,使平台本身配置的安全特性得到正确启用,从而使平台整体安全性得到保证。在实践工作中,还应加强平台权限和用户管理安全,使平台的易管理性得到提高。具体来讲,就是要向组分配角色。针对单个用户,则不进行角色分配。加强组的特权管理,只授予被需要对象权限,使必须拥有特权用户获得权限,可以尽可能的降低平台安全隐患。在实际进行角色划分时,还要加强管理权限检查,利用文件夹进行对象分组,授权时对传播功能进行启用。
在平台特定区域,根据对象层次结构,可以对特定无权访问对象进行屏蔽。在平台运行的过程中,需要对不同虚拟化管理平台的组件访问进行控制,采用制定账户对主机管理员用户特权进行监控,使非必要的平台访问得到尽可能的减少[4]。针对主机数据库,还应减少授予用户的特权,对数据存储浏览器访问和虚拟机运行命令进行严格限制。在虚拟机加密上,针对支持加密平台可以对虚拟机加密功能进行启用,以便使虚拟机及磁盘文件得到有效保护。
此外,平台运行还应加强病毒实时防护。在虚拟机操作系统中,如果对防病毒Agent代理程序进行安装,对扫描任务进行制定将导致主机计算资源严重消耗。针对这一问题,还要利用API接口对病毒防护进行强化。在系统底层位置,需要实施无代理病毒防护管理手段,利用接口加强主机和系统间防护。采取该种措施,能够在加强病毒实时防护的同时,对计算资源进行最大化利用,也能避免网络资源过度消耗,因此能够使平台安全防护得到加强。
结论:
通过研究可以发现,实际在应用服务器虚拟化技术的过程中,需要对存在于系统各部位的安全隐患进行解决,才能在整合各种设备资源的同时,加强服务器的运行维护管理,保证系统安全运行。在实践工作中,需要采取有针对性的安全措施消除各种安全风险,使服务器运行安全和数据安全得到保证,继而使计算资源和网络资源得到充分利用。
参考文献
[1]郑毅.服务器虚拟化情况下的安全防护[J].网络安全技术与应用,2018(12):13+38.
[2]魏力鹏,王皓然.虚拟化服务器安全防护系统的设计与实现[J].网络安全技术与应用,2018(06):22-24.
[3]杜小月,马鹏,杨彦仙,等.服务器虚拟化平台下的安全防护[J].电子技术与软件工程,2018(07):207-208.
[4]刘俊琪.服务器虚拟化安全风险及防护措施研究[J].电脑知识与技术,2017,13(03):33-35.
作者简介:徐棕波(1982.05-),男,山东省威海市人,职称:工程师,学历:网络教育本科,研究方向:服务器虚拟化,网络安全。