云计算中虚拟化技术的安全问题及对策研究
2017-06-21葛科奇
葛科奇
摘要:从亚马逊云、谷歌云到阿里云、腾讯云,云正以势不可挡的态势影响到社会工作生活等各个方面。虚拟化技术作为云计算中的一个关键技术,其安全问题直接影响到云计算的安全性,由于云计算中用户高度集中,以往一个非常小的安全问题在云计算中可能会变成影响成千上万个用户的大问题。文章阐述了云计算虚拟化技术面临的安全问题,并提出了若干对策。
关键词:云计算;虚拟化技术;安全问题;对策研究
近年来,随着社会经济的快速发展,科学技术水平较之前有了很大的进步和提高,云计算技术被广泛地应用在社会生产和生活的方方面面,并在其中发挥了极大的作用,不仅方便了人们的生活,并且在很大程度上推动了社会的发展和时代的进步。同时,人们对于计算机应用安全性的要求日渐提高,以往企业IT部门为了安全性一般将关键系统部署在内网,只对外开放若干服务,而虚拟化技术则将大多主机暴露在复杂的因特网环境中,由于用户复杂,不可控性因素较多。
1.云计算与虚拟化技术的概述
1.1云计算的概述
所谓云计算,是指由于互联网的发展所带来的一种基于互联网的信息化服务,云计算能够通过互联网技术为用户提供一系列的数据信息服务,包括有数据的存储、数据的处理以及复杂的计算等。云计算的服务类型众多,如租赁服务、免费服务等,其面向的服务群体非常广泛,在向企业提供专业化的服务同时,也可以向单一的客户提供专门的服务。简单来讲,云计算就是由技术开发商建立起一种网络服务平台,然后向各种客户提供以信息服务为主的服务,主要是软件服務,同时也提供特定的硬件服务。“云计算”最主要的部分是“云”,所谓“云”,就是指存储于互联网服务器终端的各种资源,用户在使用过程中只需要通过互联网发送简单的指令,就能从“云端”获取大量的资源。通过借助网络交流平台——互联网,云计算可以利用虚拟化技术与自动化技术来极大的满足不同用户的各种需求,具有高可靠、低成本、可伸缩性等特性,具有非常广阔的发展前景。
1.2虚拟化技术的概述
虚拟化作为一种有效管理资源的重要技术,是将计算机的各种实体资源,如服务器、内存、存储、网络等进行抽象和转化,由此可以将实体结构之间的障碍有效地打破,方便广大用户以一种更好、更灵活的方式实现对各种资源的有效应用,除了能够将各种虚拟和物理资源进行统一管理以外,还可以将这些资源共同利用起来,进而大大增加了系统架构的灵活性与弹性。另外,这些类似于资料存储和计算机能力等形式的资源,其中虚拟的部分在一定程度上是不会受到现有资源限制影响的,如资源组态的架设方式、物理组态以及地域组态等。
2.云计算中虚拟化技术带来的安全问题
2.1软硬件及管理集中带来的安全问题
虚拟化导致软件、硬件高度集中,也带来了管理的高度集中。集中带来了效率的提高,另一方面也增加了安全危险程度。在云计算环境中部署硬件或者软件,都要异常小心,因为一个微小错误就将影响成千上万虚拟机。比如阿里云升级云盾安骑士触发bug,造成众多用户出现使用故障。也有云计算平台因为数据中心光纤被挖断,造成整个机房无法使用。
2.2资源共享带来的安全问题
虚拟化技术众多,有vmware,kvm,xen,hyper-v,openvz等等,不同的技术对虚拟机资源的管理各有不同。但不管何种虚拟化技术,本身都是一种资源共享的技术。CPU、内存、存储、网络等这些资源在共享处理机制上造成了诸多安全隐患。如虚拟交换机这一网络资源共享技术,可能被利用进行虚拟机之间相互攻击,或者当虚拟交换机出现漏洞会威胁用户资料安全。又如某些虚拟主机遭受网络攻击造成其他共享网络资源的虚拟机也受到冲击。
2.3资源冲突造成的安全问题
短时间大规模数据突发操作往往引起系统过载。比如12306铁路购票系统过去几年都受人诟病,原因就是不能解决春节期间大规模购票行为造成系统突发过载,与之矛盾的是平日系统资源大量浪费。在常规系统中,有时候会碰到这样的情况,大量主机同时开启,单位的DNS服务有可能会宕机。同理,当虚拟系统中同一服务瞬时大量占用资源时,也会造成整个虚拟系统的不稳定,造成资源冲突。所以尽量避免同一服务的同时运行,如升级服务可采取分时批量升级等方法。
2.4安全等级混杂造成的安全问题
虚拟环境中用户复杂,用户开启的应用和服务也难以辨别好坏。这种情况下,往往会由于一台虚拟机的问题影响到一批虚拟机甚至是物理主机。以上都是由于安全等级混杂造成的,对客户建立一定的信誉等级或者检测虚拟机服务的安全程度,都可以在一定程度上划分好安全等级,并根据安全等级对虚拟机进行迁移。
2.5云计算管理权限中存在的安全问题
用户在传统的计算模式中,一般都会拥有大部分的服务器权限,这时管理员只需要负责维护机器的物理状态和管理机房网络环境等工作。然而,用户所拥有的这些管理权限会在云计算环境中逐渐失去,相应的也就不能实现对物理机的有效控制。另外,管理员也会拥有一小部分权限,但是如果管理员操作不当,则极有可能终止用户的服务,进而出现丢失数据的情况。
3.防护云计算中虚拟化技术安全问题的重要措施
3.1访问控制与安全审计
访问控制和安全审计永远是安全的主要防线。为保证用户只能访问自己权限范围内的文件,其他文件没有访问权,便离不开严密的数据访问控制机制,以此有助于保护一些相对比较敏感的问题。同时,需要将各种安全日志、访问日志等进行记录保存,方便定期或者不定期地进行审计。
3.2主机的安全防护
目前,主机系统的防护采取的措施都是诸如防火墙、杀毒软件以及专门的防御系统等等,防护措施相对比较传统,并且物理主机只能运行虚拟服务软件,并且对运行软件的数量化进行了严格的控制,通过虚拟专用网在很大程度上有助于连接物理主机和虚拟服务器,资源也能够实现最大限度的共享。同时,在共享资源时通过借助加密的网络可以有效地防止某台虚拟服务器被攻击后而对主机隋况造成影响。
3.3完备的防火墙及入侵检测系统
由于云服务商提供的服务是根据价格和需求分成不同类型的,这里“完备的防火墙和入侵检测系统”一定程度上是一个额外的服务,需要支付额外的费用。比如某些虚拟服务器容易遭受攻击特别是DD0s攻击,那么服务商一般会推荐“高防”服务,这些“高防”又有相应等级,一般也可以防御的瞬时攻击流量为标准。入侵检测系统一般情况下都是防止外部网络对内部网络的攻击检测,但在虚拟化情况下,内部主机间并不可信任,也需要防范内部入侵。
3.4在计算机软件中应用一定的数据加密技术
一方面,软件及数据的加密能在一定程度上防止数据外泄,间接保证虚拟机安全;另一方面,通过借助预警系统可以及时地反馈即将出现的网络安全问题,帮助用户事先做好防范处理的各种工作。另外,用户自身还可以定期对计算机系统进行安全检查,保证各种软件安全,及时地处理潜在的病毒,从而有助于实现对信息的维护,保障信息安全。在传输数据的过程中,可以通过加密协议来保证数据的完整性与机密性,如协议的安全复制、安全超文本传输协议等。
3.5镜像文件库的建立
为有效地避免由于操作系统奔溃或者系统受到攻击所造成的系统瘫痪,通过镜像文件库的建立,系统可以有效地将虚拟机中至关重要的镜像文件和系统的重要备份文件保存下来。同时,通过对镜像文件库设置一定的访问权限,便能够有效地防止一些用户非法盗取文件。另外,对镜像文件库进行定期或者不定期的病毒查杀与漏洞修复等对于保护镜像文件的安全十分有必要。
3.6有效的安全评估,完善的应急处理
由于保密等原因,云服务商一般不会请第三方机构对本公司的虚拟化技术进行安全评估。但公司内部需要建立独立的安全评估、审计部门、突发安全问题处理部门等进行安全的预防及处理。
4.结语
云计算及虚拟技术的发展,推动了社会各方面的进步。但面对当今日益复杂的网络环境,云计算中的虚拟化技术在使用过程中暴露的安全问题越来越多。本文从访问控制和安全审计、主机的安全防护、防火墙和入侵检测系统、在计算机软件中应用一定的数据加密技术、镜像文件库的建立等方面提出了几点防护云计算中虚拟化技术安全问题的重要措施,保证了云计算中虚拟技术的安全。