国网山东省电力公司德州供电公司 唐 琳 李 伟 闫汝静 宋 琳

1.引言

2011年，囯网德州供电公司实施服务器虚拟化应用整合项目，通过采用VMware虚拟服务器管理技术将应用服务器进行统筹管理，对关键业务应用进行整合，实现11台物理服务器迁移至2个刀片服务器的虚拟化环境，每台服务器的利用率从5%-15%提高到60%-80%，大大提高了资源利用率，有效控制和减少了物理服务器的数量，节省了机房能耗，降低了软硬件购置和运维成本，提高了运维效率，加快了新服务器和应用的部署，大大降低了服务器重建和故障恢复时间，极大地减少了管理维护量。虚拟化技术为工作带来便利的同时，也为信息安全提出了新的问题，如何在安全的范畴内使用服务器虚拟化技术，增强虚拟机技术的安全性和构建可信的虚拟化环境，成为迫在眉睫需要解决的问题。

2.服务器虚拟化面临的安全威胁

2.1 高资源利用率带来的风险集中

通过虚拟化技术，提高了服务器的利用效率和灵活性，但虚拟化后多个应用集中在1台服务器上，一旦硬件出现断电、机器过热升温、硬盘等故障问题导致服务器崩溃，所有的应用都会中断。它比非虚拟化环境中一台服务器崩溃引起一个应用中断带来的问题要严重得多。

2.2 虚拟化网络环境风险

服务器虚拟化过程中的一个重要环节就是网络架构的变化。在非虚拟化环境中，一般通过防火墙、IPS、IDS等设备针对不同的服务器设置安全规则来进行管理。即便服务器受到攻击，其危害性的扩散也是有限的。但是在虚拟化环境下，系统之间的边界不单单是以物理设备的形式存在，同一台物理服务器上的虚拟机之间通过虚拟网络通信，这就导致传统的边界防护设备捕捉不到这些流量，也就不能进行防护。因此基于物理设备进行边界防护的手段不适用于对虚拟化环境的边界保护。

2.3 虚拟化管理工具自身缺乏保护措施带来的隐患

虚拟化管理工具为快速配置虚拟化环境提供了极大的方便，但也正是由于这个原因，导致它极易受到攻击。一旦恶意攻击者获得管理工具的权限，给整个虚拟化环境带来的危害将是巨大甚至是灾难性的。虚拟机迁移以及虚拟机间的通信将会大大增加服务器遭受渗透攻击的机会。此外，还有一些用作测试目的的虚拟机可能会与重要的虚拟机存在于同一虚拟局域网中，这也会给渗透攻击带来机会。

2.4 虚拟机补丁引起的安全问题

由虚拟机补丁引起的安全问题有两种情况：一是安装补丁的进度跟不上虚拟机系统的实际需要。服务器虚拟化后，每台物理服务器上可以放置多个虚拟机，而每一个虚拟机必须像单独的物理服务器那样安装补丁和更新系统以便及时修补潜在的安全漏洞。这样，需要管理的对象相应地增多，可能导致虚拟机系统迟滞不同级别的补丁和更新。二是有时用户会保持少量的重要镜像，需要时从这些镜像推出新虚拟机，或者将虚拟机拍一个快照写入硬盘，需要时利用离线库中存储的虚拟机进行灾难恢复。但是，这些用于灾难恢复的虚拟机可能没有更新杀毒软件病毒库和系统补丁文件，这样，虚拟机在运行时就可能引发安全问题。

3.服务器虚拟化安全防护研究

3.1 细化网络设置、合理进行分类部署

增强虚拟服务器的逻辑隔离与网络隔离，隔离虚拟网络既可以按照位置分开虚拟机，即把公共的虚拟机与专用的虚拟机分开，也可以按照服务类型分开虚拟机，如把系统管理类虚拟服务器、应用程序类虚拟服务器和数据库虚拟服务器分开。将各组虚拟机隔离在它们各自的网络分段中，即不同的VLAN中，借以最大限度地降低数据通过网络从一个虚拟机分区泄漏到另一个虚拟机分区的风险。

虚拟化环境的边界防护应该具体到每个虚拟机，边界防护设备应该能识别每个虚拟机并对虚拟机的边界访问行为进行控制。从虚拟化的实现原理来看，所有的虚拟化系统都是基于虚拟层实现的。为了达到这样的目的，边界防护需要充分利用虚拟层提供的安全服务。以VMware为例，VMware提供了介于虚拟机器与Hypervisor之间的虚拟层——Vmsafe，Vmsafe一部分位于Hypervisor内，另一部分以API的形式提供。Vmsafe能对进出虚拟机的所有流量进行检测，识别信息的端口、协议、目的地，对信息的内容进行分析以识别入侵行为或者进行病毒检查。

3.2 提高虚拟化基础设施的自身保护、分权进行访问控制

虚拟化管理工具是整个系统的管理中枢，所有虚拟机的生成、策略设置以及维护都可以通过管理工具完成。以VMware为例，VMware虚拟化环境集中管理控制台VCenter的本地管理员（超级管理员）拥有最大的管理员权限，即拥有虚拟化环境下的所有特权操作权限。为了化解虚拟化管理工具自身缺乏保护带来的安全风险，可采取分权制约的方式。具体分权方案如下：

(1)定义系统管理员、安全管理员、安全审计员三个角色，三个角色彼此之间不得兼任。

(2)在VCenter和虚拟桌面管理器View Manager中创建这三个角色，并分别进行权限设置：系统管理员可以进行日常虚拟机创建和数据中心维护工作，但不能删除虚拟机和审计VCenter系统日志；安全管理员负责桌面资源池的日常创建和桌面资源池的授权以及废止虚拟机的删除，不能审计VCenter系统日志；安全审计员拥有VCenter数据中心的系统日志审计权限，主要审计系统管理员和安全管理员的操作情况。

(3)在网络主干防火墙上设置仅这三个角色负责使用的IP地址能够远程访问虚拟机管理中心VCenter。VCenter的本地管理员密码由系统管理员和安全管理员分段掌握（每段都应该设置强密码），只有当这两位管理员同时在场并分别输入正确的密码时，才能执行本地管理员的特权操作。

这样三个角色权限彼此制约，各自独立完成日常工作，实现三个角色共同管理虚拟化环境的目标。

3.3 合理配置、加固系统、降低风险

通过合理配置虚拟服务器，系统安全加固，部署安全工具，减少虚拟服务器被攻击的机会。

(1)在部署虚拟服务器的时候，应该根据虚拟服务器的用途以及可能要承担的并发访问量，确定物理服务器的性能与数量。根据物理服务器与虚拟服务器的比例估算出物理服务器的硬件配置、电源负荷以及散热状况。所有物理机、管理程序、虚拟机的配置和数量都建在固定模板中，确保配置可控、可管，并将虚拟机管理放入安全策略。

(2)应对虚拟化环境中的所有系统进行安全加固，包括承载虚拟机的物理主机、用于管理虚拟化环境的vCenter Server以及所有虚拟机。应当像对待一台物理服务器一样地对虚拟服务器进行系统安全加固，措施包括系统补丁、应用程序补丁、允许运行的服务、开放的端口等。关闭所有可控制的物理设备，只在需要的时候才允许连接。加强对虚拟机生命周期的管理、身份认证和访问授权控制。并注意保证同一主机上的虚拟机采取相同的安全保护策略，避免较低安全保护级别的机器影响其他机器的安全。

(3)针对虚拟机网络内部攻击问题，必须部署必要的安全工具。在虚拟机上安装杀毒软件和恶意软件防护程序，及时为虚拟机进行漏洞修补和程序升级。微软和VMware都为自己的基础设施产品提供了补丁管理的时间表，订阅这些厂商的邮件更新列表，当有更新补丁时，就可以在第一时间打上补丁。对于用于灾难恢复的虚拟机，可以隔一段时间进行一次补丁及病毒库更新，再重新进行镜像存放。

(4)利用虚拟化监控工具，检测出未授权的拷贝和“克隆”虚拟机的行为，确保敏感信息在正确的管控中。针对虚拟机滥用、恶用问题，应加强服务器资源监控与容量分析功能，对所占用资源进行定期报告，对突发变化进行报警。同时严格设计基于业务逻辑的访问控制策略，进行虚拟机加密、访问授权和跟踪审计等安全控制。

3.4 制定安全管理制度、加强安全风险评估

虚拟化安全管理是一项系统性工作，仅靠一些技术手段无法保证安全运行，还要结合一些管理规定和策略，以及必要的人员培训，才能最终达到安全保证的要求。

3.4.1 管理制度

(1)制定虚拟机管理制度，明确管理责任和使用权限。

(2)制定专门的虚拟机审核、追踪流程，做好虚拟机的备案工作，避免虚拟机的盲目扩张而导致的管理受控，及时关停停止使用的虚拟服务器。

(3)应对虚拟化环境制定应急预案，确保在灾难发生时，能迅速应对。并定期开展应急演练，及时修编完善应急预案，实现动态管理。

3.4.2 风险评估

对虚拟化环境的安全管理，还应包括定期的风险评估工作。主要的评估项目包括：日志审计、漏洞扫描、渗透测试、配置核查、镜像文件一致性核查等内容。这些评估项目在非虚拟化环境中已经存在，所不同的是需要针对虚拟化环境的特殊性进行相应的调整。需要对虚拟机承载的业务系统的安全需求进行评估，将具有相同安全需求的虚拟机部署在同一台主机上，尽量不要把不同安全需求的虚拟机放在一起。

4.结语

服务器虚拟化技术在给用户节约资金、带来快捷服务的同时，也给信息系统安全带来不可忽视的问题。为了有效规避服务器虚拟化导致的安全风险，需要统筹考虑，综合采取技术、管理、运维等手段，对服务器虚拟化带来的信息安全风险进行防范，增强虚拟机技术的安全性和构建可信的虚拟化环境，对虚拟化系统中各个层次组件做严密防护，完善安全管理策略，严格执行安全措施并加强人员培训，将风险控制在可控的范围之内，才能既更好地利用服务器虚拟化技术为企业服务，又保证信息系统安全，让服务器虚拟化技术发挥出最大的价值。

[1]吴岳,尤炜.虚拟服务器部署过程中的安全隐患与防范措施[J].科技资讯,2010(20):16.

[2]卢凯.服务器虚拟化安全风险分析[J].铜仁学院学报,2012,14(4):135-136.

[3]刁宇亮.虚拟化安全建设研究[J].计算机安全,2012(1):65-69.

[4]谭文辉.基于VMware虚拟化的安全分析[J].舰船电子工程,2012,32(5):113-115.