虚拟化环境下安全问题的探讨.docxVIP

虚拟化环境下安全问题的探讨 1虚拟化的发展及其优势 虚拟化技术从上世纪60年代就开始发展，直到本世纪初随着硬件技术的不断发展壮大，才逐步的在商业环境中开始推广使用，随着互联网的发展，近年来虚拟化技术应用获得了爆发式的增长，以VMWARE、微软、CITRIX公司为代表的服务器虚拟化厂商的技术和产品已经成为了IT基础架构中不可或缺的组成部分（见图1）。 目前来看，虚拟化技术为IT带来了很多好处： 1.1 节约资源 整合系统服务器，将物理服务器变成虚拟服务器，可以在电力和冷却成本上获得巨大节省，从而降低运营成本。使用虚拟化技术大大节省了所占用的空间，减少了数据中心里相关硬件的数量。避免过多部署在实施服务器虚拟化之前，管理员通常需要额外部署一下服务器来满足不时之需。使用虚拟化技术大大削 减了采购服务器的数量，同时相对应的占用空间和能耗都变小了，每台服务器大约可节约原有的百分之三十到四十。 1.2提高基础架构的利用率 通过将基础架构资源池化并打破一个应用一台物理机的藩篱，虚拟化大幅提升了资源利用率。通过减少额外硬件的采购，企业可以获得大幅成本节约。 1.3 提高系统稳定性 提高可用性，带来具有透明负载均衡、动态迁移、故障自动隔离、系统自动重构的高可靠服务器应用环境。在系统迁移过程中不会出现宕机事件，有助于虚拟化服务器实现比物理服务器更长的运行时间。 1.4 提高IT部署的灵活性 通过动态资源配置提高IT对业务的灵活适应力，支持异构操作系统的整合，支持老应用的持续运行，减少迁移成本，支持快速转移和复制虚拟服务器，提供一种简单便捷的灾难恢复解决方案。 1.5 安全性的提高 通过设置孤立的系统环境，虚拟化可以为系统运行提供一个可以快速恢复而又高度独立的环境。高度集中化的管理，提高了系统管理的统一性，控制力的提升直接使信息系统外围的安全性提高。统一的数据存储管理，也减少了系统整体感染恶意代码的机会。通过虚拟化的“沙盒”技术，为系统安全测试提供了方便。通过将操作系统和应用从服务器硬件设备隔离开，病毒与其他安全威胁无法感染其他应用。 2 常见虚拟化安全问题 随着虚拟化的广泛应用，虚拟机在我们的系统内大量的增长，需要提醒我们注意的常见问题包括： 2.1 管理问题 当增加虚拟服务器的时候，除了常见的系统和硬件平台外，又增加了一层虚拟层，因此虚拟机经常被我们遗忘。尤其是在过渡期，这时系统中还有比较重要的物理服务器的存在，我们只是将一些非关键系统迁移到虚拟机中，容易忽略虚拟机的存在，造成管理缺陷，造成系统补丁更新不及时，系统快照的无序重载和制作等。 2.2 虚拟机之间的安全问题 在虚拟层，虚拟机之间是可以通过虚拟交换机自由通信的，这一点不利于我们观察和监控虚拟机之间的行为。在你的系统中没有部署虚拟防火墙或者网络管理与嗅探软件的时候，你是看不到系统平台间到底传输了什么内容的。虚拟机之间文件的共享也是一个安全隐患，当使用文件共享时，一个有问题的客体可以访问主机的文件系统，并修改用于共享的目录。当剪贴板共享和拖拽被用于主客机时，或者当应用程序编程接口被用于编程，在这些领域的稳定性漏洞可以最终影响整个基础设施。 2.3 虚拟机管理程序问题 如果管理程序被攻破，所有连接的虚拟机也将受到影响，并且默认的配置中并不总是最安全的。管理程序可以控制一切，且存在单点故障隐患。一个单一的缺口可以把整个环境处于危险之中。例如，在 Hypervisor 通常有密码设置，但这些很容易被管理员之间共享，这样你就不会真正知道谁做了什么。虚拟机管理程序可以允许虚拟机彼此之间沟通，这种沟通甚至不会加入物理网络，这是一个很难控制的安全隐患。这个流量并不能总是被看到，因为由虚拟机管理程序进行，并且你不能保证这是否安全。 3 虚拟化安全管理问题 3.1 防火墙的使用问题 使用标准的防火墙和虚拟机之间传输流量，防火墙将检查流量，并将其发送回虚拟机。传统的防火墙被设计部署在数据中心和企业之前，因此不一定适合虚拟基础设施和相关的管理系统。这可能会导致手动部署和管理错误。如果虚拟机迁移，这些标准的防火墙可能不会提供保护。 3.2 基于网络的入侵检测/入侵预防系统 当多个虚拟机驻留在主机上，这些设备可能会工作不正常。这主要是因为 IDS / IPS 系统无法监控虚拟机之间的流量。当应用程序被移动，它们也不能访问任何数据。 3.3 限制每个主机的虚拟机数量/分配给物理网卡 这种方法不仅限制了放置在主机上的虚拟机的数量，而且还分配一个物理网卡给每个虚拟机。虽然这样做可能是一个安全的方