1、虛擬化環(huán)境下的信息平安風(fēng)險(xiǎn)及防護(hù)措施2400字 大慶油田信息技術(shù)公司，黑龍江 大慶 163000 /3/view-12962701.htm 摘 要 虛擬化技術(shù)是當(dāng)前云計(jì)算的核心，是效勞云和私有云的關(guān)鍵因素之一，它的出現(xiàn)給數(shù)據(jù)中心的運(yùn)行維護(hù)帶來了宏大改變。虛擬化環(huán)境中的存儲(chǔ)、計(jì)算和網(wǎng)絡(luò)平安等資源成為云計(jì)算有力的支撐體系。然而，隨著數(shù)據(jù)中心里的虛擬機(jī)越來越多，虛擬化環(huán)境下的信息平安風(fēng)險(xiǎn)開場(chǎng)日益顯露，因此，如何構(gòu)建云時(shí)代下的虛擬化平安防護(hù)體系的問題亟待解決。關(guān)鍵詞 虛擬化；平安防護(hù)；防護(hù)措施doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2022. 05. 08

2、1中圖分類號(hào) TP309 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1673 - 0194202205- 0153- 020 引 言近年來，云計(jì)算技術(shù)進(jìn)入快速開展的時(shí)代，作為其最重要的支撐技術(shù)，虛擬化技術(shù)承載的業(yè)務(wù)系統(tǒng)規(guī)模越來越大，并逐步向核心業(yè)務(wù)開展，云計(jì)算體系下的虛擬化環(huán)境面臨的平安風(fēng)險(xiǎn)亟待關(guān)注。1 虛擬化環(huán)境中的平安風(fēng)險(xiǎn)1.1 傳統(tǒng)平安問題仍然存在，資源爭(zhēng)奪成新挑戰(zhàn)一是傳統(tǒng)的平安風(fēng)險(xiǎn)在虛擬化環(huán)境下仍需解決。物理效勞器劃分出來的每個(gè)虛擬機(jī)的業(yè)務(wù)承載及效勞與單臺(tái)效勞器根本一樣，操作系統(tǒng)和應(yīng)用程序的破綻及攻擊、業(yè)務(wù)系統(tǒng)之間平安隔離、系統(tǒng)訪問控制、文件存儲(chǔ)平安、防病毒系統(tǒng)等方面的平安風(fēng)險(xiǎn)，照舊是虛擬化環(huán)境中的薄

3、弱點(diǎn)。二是虛擬機(jī)之間爭(zhēng)奪系統(tǒng)資源。多個(gè)虛擬機(jī)同時(shí)開啟傳統(tǒng)的平安軟件如病毒掃描、防病毒更新等操作將占用大量內(nèi)存資源，造成網(wǎng)絡(luò)負(fù)擔(dān)過重和虛擬機(jī)性能問題，形成“防病毒風(fēng)暴。1.2 虛擬化環(huán)境自身存在缺陷，造成內(nèi)部攻擊虛擬化的客戶端在Hypervisor管理層上的特性導(dǎo)致了虛擬化平臺(tái)增加了自身平安問題。Hypervisor是介于物理效勞器與操作系統(tǒng)之間的軟件層，也稱為VMM，它允許多個(gè)操作系統(tǒng)共享一套物理硬件，是虛擬化技術(shù)的核心。作為虛擬化平臺(tái)中新出現(xiàn)的軟件層，Hypervisor缺乏完好性，系統(tǒng)破綻或管理員的平安配置不當(dāng)都易導(dǎo)致入侵者展開攻擊。如虛擬機(jī)在物理效勞器之間遷移時(shí)不產(chǎn)生告警與調(diào)用審查機(jī)制、

4、虛擬機(jī)共享數(shù)據(jù)或重分配資源時(shí)有內(nèi)存泄露風(fēng)險(xiǎn)、虛擬機(jī)間不可見的流量無法進(jìn)展監(jiān)測(cè)、過濾與隔離、未加密的VM鏡像可引起惡意篡改與破綻攻擊。此外，攻擊者利用Hypervisor層運(yùn)行虛擬機(jī)內(nèi)部子操作系統(tǒng)的形式展開超越虛擬機(jī)范圍的攻擊，攻擊進(jìn)入某個(gè)子系統(tǒng)后可蔓延至虛擬效勞器和其他物理資源。1.3 虛擬機(jī)管理成難題虛擬機(jī)管理也帶來一定的平安問題。虛擬化環(huán)境造成管理終端數(shù)增長，防護(hù)范圍擴(kuò)大。管理網(wǎng)絡(luò)與消費(fèi)網(wǎng)絡(luò)未隔離，管理員維護(hù)虛擬化平臺(tái)時(shí)，對(duì)虛擬機(jī)自動(dòng)設(shè)置、配置或遷移的過程難以實(shí)時(shí)跟蹤和管理，難以實(shí)現(xiàn)一致性平安策略。此類虛擬機(jī)運(yùn)行全過程的動(dòng)態(tài)數(shù)據(jù)龐大且難以計(jì)算，造成管理平安風(fēng)險(xiǎn)。此外，物理主機(jī)的平安隱患向其

5、虛擬機(jī)傳染導(dǎo)致的“虛擬機(jī)溢出、快速增長的虛擬機(jī)導(dǎo)致補(bǔ)丁更新負(fù)擔(dān)過重也是虛擬機(jī)管理帶來的平安問題。2 虛擬化平安防護(hù)措施對(duì)策及建議2.1 加強(qiáng)傳統(tǒng)的平安防護(hù)措施，進(jìn)步風(fēng)險(xiǎn)識(shí)別和防范才能嚴(yán)格控制對(duì)業(yè)務(wù)系統(tǒng)的訪問權(quán)限，加強(qiáng)身份認(rèn)證和鑒別機(jī)制，降低攻擊者從系統(tǒng)入口獲得登陸權(quán)限的可能性。虛擬化平臺(tái)中的數(shù)據(jù)傳輸和信息共享時(shí)進(jìn)展嚴(yán)格加密，設(shè)置存取控制策略保證文件平安。定期進(jìn)展病毒掃描和防病毒更新，虛擬機(jī)之間病毒掃描時(shí)間段不得重疊，以防造成網(wǎng)絡(luò)負(fù)擔(dān)過重。增強(qiáng)虛擬機(jī)的平安監(jiān)測(cè)和日志審查機(jī)制，對(duì)虛擬機(jī)內(nèi)可能存在平安風(fēng)險(xiǎn)的操作項(xiàng)進(jìn)展嚴(yán)密監(jiān)控。加強(qiáng)日志審計(jì)功能，設(shè)置hips監(jiān)控，利用Syslog搜集日志審計(jì)，以做到風(fēng)

6、險(xiǎn)日志可查。2.2 保障Hypervisor自身平安Hypervisor的自身平安是虛擬化技術(shù)平安管理的核心內(nèi)容。制定和執(zhí)行針對(duì)VMM的嚴(yán)格訪問控制策略，鎖定管理層的網(wǎng)絡(luò)訪問，定期進(jìn)展破綻修補(bǔ)、病毒掃描。通過去除非必要功能精簡內(nèi)核來進(jìn)步Hypervisor的可靠性，加強(qiáng)內(nèi)核模塊和磁盤的完好性來保證完善的內(nèi)容保護(hù)功能。對(duì)VMM設(shè)置日志審計(jì)功能，并制定監(jiān)測(cè)預(yù)警機(jī)制。強(qiáng)化文件存取技術(shù)，探究國產(chǎn)化加密技術(shù)，保證數(shù)據(jù)在傳輸和存儲(chǔ)過程中不被攻擊和竊取，使用網(wǎng)絡(luò)分段和訪問控制列表阻止其他虛擬設(shè)備接入，保障虛擬環(huán)境的文件平安。2.3 加?流量監(jiān)控，打造虛擬機(jī)環(huán)境下的平安防護(hù)體系通過在Hypervisor層集成

7、虛擬交換機(jī)vSwitch，可監(jiān)控同一個(gè)效勞器內(nèi)部虛擬機(jī)之間的流量交互中是否存在可攻擊破綻或信息泄露等風(fēng)險(xiǎn)，并實(shí)現(xiàn)一些訪問控制規(guī)那么。更深度的平安檢測(cè)防護(hù)可以利用基于虛擬機(jī)和基于重定向兩種?；谔摂M機(jī)的平安防護(hù)將虛擬機(jī)之間交換的流量先引入虛擬機(jī)平安軟件，再進(jìn)入虛擬交換機(jī)。通過將虛擬機(jī)劃分為不同平安域來配置區(qū)域隔離和互訪策略，并監(jiān)控流量中是否存在破綻及信息泄露等其他平安問題。基于重定向的平安防護(hù)將虛擬機(jī)交換的流量引到外部交換機(jī)，交換機(jī)在報(bào)文轉(zhuǎn)發(fā)前進(jìn)展深度檢測(cè)及訪問控制策略、入侵防御規(guī)那么的配置。2.4 加強(qiáng)虛擬化平臺(tái)管理工作，建立標(biāo)準(zhǔn)化操作流程按需設(shè)置虛擬平臺(tái)管理員，按照標(biāo)準(zhǔn)化流程進(jìn)展管理并記錄操作日志。對(duì)虛擬機(jī)實(shí)時(shí)動(dòng)態(tài)管理要求高的業(yè)務(wù)系統(tǒng)，建立動(dòng)態(tài)數(shù)據(jù)中心，記錄虛擬機(jī)配置變更、遷移日志，制定一致性平安策略，定期巡檢及匯總跟蹤數(shù)據(jù)，出現(xiàn)平安風(fēng)險(xiǎn)時(shí)有數(shù)據(jù)可循