关于云计算中服务器虚拟化环境安全问题的几点思考

[摘 要]信息技术的快速发展，在很大程度上促进了云计算的发展，在人们的生活中也越来也越被广泛的应用。其中，服务器虚拟化环境搭建是云计算项目实施中的重点，而安全问题也是云计算安全的关键所在。因此，本文主要针对服务器虚拟化环境的安全问题进行了深入分析，并探讨了解决服务器虚拟化环境安全问题的几种方法。

[关键词]云计算；服务器虚拟化；安全

doi：10.3969/j.issn.1673 - 0194.2017.08.083

[中图分类号]TP309；TP368.5 [文献标识码]A [文章编号]1673-0194（2017）08-0-03

云计算的本质是一种商业计算模式，它主要基于网格计算、Web服务、分布式计算以及虚拟化技术。云计算的出现，在很大程度上改变了人们对软件资源的认知与应用模式，能够使用户摆脱时空局限，通过网络随时随地获取到互联网资源，还能解决大规模数据及其计算的问题，对产业发展具有十分重要的影响。虚拟化与多租户技术是云计算中不可缺少的关键技术，云计算商业模式主要由这两种技术组合而成。但云计算中的虚拟化技术在安全方面还存在若干问题，为了有效运用虚拟化技术，相关人员应该准确认识这些问题并进行解决。

1 云计算与虚拟化技术

1.1 云计算

就目前来看，云计算的定义存在多样化的情况，各服务提供商对云计算的解释也不尽相同。各实施方对云计算的普遍理解，主要是将其视作为把任务分配给公共资源集的一种计算模式，而这一公共资源集的组成部分主要为大量设备，简称为“云”。供应商主要通过云计算用户的需求及其用量进行收费，而用户需要通过网络对“云”进行访问。“云”的公共资源自动管理通过专门的软件实现，可以按照用户需求提供相应的计算资源。

云计算按照服务等级，可以分为基础设施层、平台层以及软件层。软件层的云计算（SaaS）将互联网作为载体，在云端部署了一系列软件与应用程序，用户可以直接使用这些软件；平台层的云计算（PaaS）对用户提供软件开发、软件测试、软件部署以及软件运行环境；基础设施层（IaaS）对用户提供计算、存储以及网络等基础硬件硬件资源，通常也包含操作系统类的基础软件资源。

云计算的特点主要包括：多租户、自适应性、可靠性、可伸缩性以及灵活性等，云计算正因为具备这些特点而被广大用户所接受和使用。在云计算环境中，不同厂商、不同型号的硬件设备被整合起来，统一服务于用户的数据和应用；由于这些硬件之间存在一定的差异，兼容起来十分困难，因此需要借助服务器虚拟化技术进行资源的整合。

1.2 虚拟化技术

虚拟化技术的本质不是对硬件的改变，而是用软件的方法抽象出物理资源，将硬件设备的兼容性和差异性对上层应用透明。虚拟化技术打通了传统应用系统中服务器、存储、网络等硬件设备间的障碍，实现了数据中心物理资源和虚拟资源的统一管理，并可对其进行动态调配，在很大程度上提升了系统结构的弹性与灵活性。

1.3 虚拟化技术与云计算之间的关系

虚拟化技术的初期定位是进一步提升对计算机的利用效率。从应用领域与研究领域看，目前虚拟化主要有两个不同的发展方向，即单机虚拟化和多机虚拟化。其中，单机虚拟化主要是为了改变普通PC机的应用模式，允许其同时运行不同的操作系统，例如VMware WorkStation虚拟化软件。而多机虚拟化采用了分布式的计算方式，具备云计算的自适应性、可靠性、可伸缩性以及灵活性的主要特征，例如VMware vSphere虚拟化软件。云计算立足于单机虚拟化和多机虚拟化两种虚拟化技术，因此同时具备了效用计算与分布式计算的两种特征。

2 云计算中服务器虚拟化环境的安全问题

云计算中服务器虚拟化环境的体系结构如图1所示。服务器虚拟化管理软件（如VMware vSphere ESXi服务器虚拟化裸机管理软件）运行在宿主机硬件设备和虚拟机操作系统之间，它允许虚拟机的操作系统或应用程序对宿主机硬件设备进行共享。

图1 云计算中服务器虚拟化环境的体系结构示意图

2.1 宿主机硬件设备安全问题

云计算场景下，数据计算与信息资源在大量联网计算节点上进行分布式处理和交换，用户通过自身的需求对联网计算节点或存储空间进行访问，并在此基础上获取数据运算和信息交换的功能。传统数据中心的物理资源和关键数据仅供局域网内部访问，而在云计算场景下，这些资源从公共网络中也可以进行访问。从物理层面看，如果攻击者能够访问到宿主机硬件设备，并通过修改服务器虚拟化管理软件配置、执行恶意代码的方式，对服务器虚拟化管理软件的功能进行修改，便能直接对虚拟机发起攻击；从网络层面看，云计算也面临着一系列的安全威胁，如网络可达性攻击、拒绝服务攻击以及域名服务攻击等。

2.2 服务器虚拟化管理软件安全问题

服务器虚拟化管理软件能够对宿主机上的所有硬件设备进行访问，通过服务器虚拟化管理软件，能够对虚拟机的计算、存储、网络等物理资源进行分配，能够调用虚拟机的操作系统执行开机、关机等操作。服务器虚拟化软件不仅负责对物理资源的访问进行协调，也负责对虚拟机进行访问控制和隔离。

云算环境中的物理资源主要通过虚拟、租用的模式提供给用户，即物理资源的共享。在服务器虚拟化环境下，多个用户不同的虚拟资源可能会被绑定到同一台物理设备上。如果攻击者利用了服务器虚拟化管理软件的安全漏洞，那么极有可能通过已经控制的物理资源访问其他云租户的应用或数据。

服务器虚拟化环境中，由于宿主机（和宿主服务器群集）上可以同时运行大量的操作系统，而随着服务器虚拟化管理软件上管理的用户操作系统数量越来越多，其在运行过程中面临的风险也越来越大。如果攻击者获取到了服务器虚拟化管理软件的控制权限，将可以对用户的操作系统进行随意更改，还能控制共享存储空间、虚拟交换机等服务器虚拟化管理软件可管理的资源。