服务器虚拟化效益与风险研究

摘要：本文分析了服务器虚拟化后在硬件资源利用率、计算能力、运维成本和硬件扩容方面带来的效益，指出了在部署服务器虚拟化中出现的各类安全风险，提出了要从人、流程和技术上来避免和解决这类安全风险，为信息化建设中关于服务器虚拟化部署方面提供了参考。

关键词：服务器虚拟化 整合 迁移 风险

中图分类号：TP391.9 文献标识码：A 文章编号：1007-9416（2013）08-0187-02

服务器虚拟化的真正意义在于将物理服务器的CPU、内存、网络、包括外部存储等资源进行池化后按需分配，对服务器进行的虚拟化可以使多个不同操作系统的虚拟机在同一个物理机（宿主机）上各自独立的并行运行，每个虚拟机都有一套自己的虚拟硬件配置（比如内存、CPU、网卡等），安装各自不同的操作系统和应用程序。虚拟机的使用者并不需要关心物理硬件的设置，只需要把虚拟机当做普通的物理服务器来使用即可。

近些年来，各种虚拟化产品的应用越来越多，在虚拟化实施过程中，工程人员深刻体会到通过服务器虚拟化带来的效益是明显的，但同时也存在着一定的安全风险。下面我们以VMware虚拟化平台为例分析一下服务器虚拟化的效益和风险问题。

1 服务器虚拟化产生的具体效益

1.1 降低硬件购置成本，提高系统资源利用率率

有调查数据显示，大多数信息化建设单位部署的业务应用系统的资源利用率并不高，通常只有16%-30%，即便是一些重要业务应用系统，其大部分系统资源也都未被充分利用。加之有些重要应用为保证系统运行的连续性，甚至要运行双机热备，仅硬件一项的投入成本就会翻倍。通过采用服务器虚拟化的方式，可以实现硬件资源的共享，很大程度上提高了系统硬件资源利用率，减少了物理服务器数量，从而降低硬件的购置成本和运维成本。同时，实现服务器虚拟化使得物理服务器的数量减少，机房的占地面积减少了、电力和散热需求都有所降低。

1.2 主动的风险回避，提高系统的可用性

服务器虚拟化可以实现将虚拟机从一台物理服务器迁移到另一台物理服务器的实时操作，减少停机时间。VMware的DRS（动态资源分配）技术实现应用自动迁移，在具体应用中，通过预设规则，当集群中某台物理服务器的资源不够用时，可以动态地分配硬件资源来满足各业务应用系统的不同需求，运行在上面的虚拟机可以平滑迁移到另一台物理服务器。这项技术的使用，可以实现基于业务优先级来分配IT资源的功能，通过扩展物理服务器来实现应用的负载均衡，大大提高系统管理员的工作效率。通过设置HA（High Availability，高可用性）集群，实现当集群中任意一台物理服务器发生故障时，其上部署的所有虚拟机在另一台HA物理服务器上实时重新启用，提高了系统的可用性。

1.3 支持不同操作系统的整合，支持旧应用的持续运行

作为系统管理员，不难遇到这样的情况：由于经费和管理的原因，有些应用系统一直无法迁移，而现用的物理服务器由于使用年限过长面临硬件故障频发，但新购的服务器又无法完全兼容支持该系统。在这种情况下，使用服务器虚拟化中的业务迁移技术，能够在发挥虚拟机硬件优越性的同时，高效率低成本地满足多操作系统异构平台的应用整合，实现旧系统到新系统的平滑过渡。

1.4 提供便捷的灾备解决方案

虚拟化系统具有硬件平台无关性，固件、硬件配置、操作系统以及应用程序都作为数据文件存储在磁盘上的文件中，只要将这些文件备份，就相当于对整个系统软硬件进行了灾备。

实际情况表明，在实施服务器虚拟化之前，如果物理服务器发生硬件故障，通常要停用1-2天的时间，来进行硬件修复或更换；在实施服务器虚拟化之后，如果虚拟机发生硬件故障，只需要将备份好的虚拟机配置文件和虚拟硬盘镜像文件还原到新的虚拟机上，无需更改任何设置即可恢复虚拟机运行，并恢复最近日期的数据备份，也就是在最短时间内恢复业务系统的正常使用。

2 服务器虚拟化潜在安全风险

2.1 服务器使用效率最大化带来性能降低

将物理服务器进行虚拟化之后，虚拟机应用程序运行效率差别很大，有的虚拟机能够达到原始物理环境下运行的效率，有的则降低到终端用户所难以接受的程度。这是有原因的，因为大数据库系统或者需要占用大量的I/O和内存资源的应用，并不适合实施虚拟化技术。

可以确定，无节制的创建过多的虚拟机是不可取的。首先，集群中的一个物理服务器上的虚拟机越多，安全问题也就越突出，管理起来也越麻烦。有的管理员认为现在的CPU处理速度快、内存容量的和存储能力也发展迅速，但不能否认的是I/O瓶颈依然存在。因此，当一台物理机器上有过多的虚拟机时，I/O资源就会变得紧张，导致系统运行效率降低。

2.2 可靠性、可服务性和可用性方面的安全风险

2.2.1 虚拟机之间通信带来安全风险

相对于物理服务器来说，虚拟机的安全问题比较独特。比如说：windows的剪贴板技术允许数据在虚拟机和主机之间方便地传输，这个功能很容易被利用，有意无意的造成恶意程序在系统之间传输；有些基于操作系统内核的虚拟技术，在虚拟层提供了按键和屏幕记录，包括监控虚拟机内的加密连接；还有的虚拟机没有进行隔离，可以无障碍的进入宿主机等等。这些情况在在侧重运行的应用设计里非常常见，可以有效避免信息孤岛，这也是很多虚拟机用户的要求，但这些都存在很大的安全隐患。

2.2.2 “虚拟机逃逸”带来安全风险

虚拟机逃逸技术是在虚拟机分享主机资源的前提下，借助技术的限制和虚拟化软件自身的bug突破底层隔离，利用宿主机的一种技术。理想情况下，一个应用程序运行在某个虚拟机中，应该无法影响其他虚拟机。但是，在某种特定条件下理想状态被打破，虚拟机里运行的应用程序会绕过底层，利用宿主机，由于宿主机的特权地位，虚拟机逃逸导致的结果是整个虚拟化安全模型完全崩溃。

2.2.3 宿主机对虚拟机控制带来安全风险

在服务器虚拟化中，宿主机可以对虚拟机进行控制，对虚拟机的配置、检测、更改及通信都在宿主机上完成，宿主机可以对虚拟机进行很多操作：例如启动、停止、暂停、重启操作；监控、配置和更改虚拟机资源；监控虚拟机内运行的程序；配置和更改虚拟机的磁盘存储，等等。

由于宿主机能够监控所有虚拟机的网络数据并加以控制，所以，一旦宿主机出现管理问题或遭遇木马控制，那等于所有的虚拟机全部沦陷。

2.2.4 虚拟机对虚拟机的控制带来安全风险

在传统的物理服务器管理中，CPU可以通过强制执行管理程序来实现内存保护，内存管理相对独立。而在服务器虚拟化系统中，正确的策略应该禁止正在使用的虚拟机2看到另外一个虚拟机1，即使虚拟机1上有内存未被使用，虚拟机2也不能去使用这些闲置内存；对于网络数据传输来说，每个虚拟机的连接都应该在各自的通道中，它们之间不能嗅探对方的数据包，但是，如果虚拟系统使用了“虚拟Hub”或者“虚拟交换”来将所有虚拟机进行连接，那么虚拟机之间就可以进行相互嗅探从而出现安全漏洞产生安全风险。

2.2.5 拒绝服务带来的安全风险

在服务器虚拟化系统中，所有的资源都是被共享的，随着虚拟机数量的增加，有些虚拟机会出现强制占用资源的情况，导致其他虚拟机无法获取这部分资源而使正常的服务被停止，这就出现了“拒绝服务攻击”。为避免拒绝服务的出现，应该从服务器虚拟化系统底层配置上注意资源分配的均衡和可控。

3 有效的应对服务器虚拟化带来的安全风险

职责分离和权利最小化的策略可以限制系统管理员管理资源和执行日常任务的权限。服务器系统管理员通常负责服务器正常运维，而网络管理员则负责网络通畅，安全管理员要与前两个团队一起工作，同时还肩负自己的特定安全任务。服务器虚拟化改变了这种管理方式，这就要求上级管理机构必须明确身份和访问管理策略，允许管理员和安全专业人员正确地维护和保证虚拟环境的安全，同时不会有无关人员具有过多权限。

引进了服务器虚拟化后，不论是控制虚拟机的管理控制台还是提供技术基础的虚拟机管理程序，都是大量代码编写的软件生成，这些代码出现漏洞难以避免。同样地，由于对现有架构的服务器进行虚拟化还存在不完善的地方，因此出现了一些与虚拟化软件相关的新漏洞。此外，在软件系统开发过程中无故障编代码是做不到的，尤其是开发人员将复杂功能整合到各自的平台上时，出现故障代码的概率更大。这就要求系统工程师一定要将服务器虚拟化作为最重要的应用程序，部署的同时提供恰当的防护以便应付这些风险。

从流程和技术上来解决服务器虚拟化带来的安全风险，必须要采用一些相对成熟的安全解决方案，加强对虚拟数据中心和云计算环境的保护。这些方案可以有效地提供针对网络入侵的防范手段，同时将网络端点的防病毒和恶意软件防护性能提高一个层次，还必须提高敏感数据的可控性实施，促进整个应用系统和数据的安全。

4 结语

总之，服务器虚拟化技术的实施打破了传统服务器系统的架构，在减少系统管理员管理维护工作量的同时，也为系统安全带来了新的风险和威胁。但我们始终相信，随着IT新技术的发展，存在的这些问题都将得到解决。在未来，服务器虚拟化会为信息化建设带来更大的效益，具有更高的安全性能。

参考文献

[1]张军峰.企业服务器虚拟化应用平台搭建及应用研究.中国科技信息，2009（23）.

[2]胡嘉玺.虚拟智慧VMware vSphere运维实录[M].北京：清华大学出版社，2011.

[3]林兆骥，付雄，王汝传，韩志杰.云计算安全关键问题研究.信息化研究，2011，4.

[4]TechTarget.如何应对虚拟系统的管理挑战[J].虚拟数据中心，2010，（4）：28—36.

[5]钟良侃.基于云计算的远程教育信息系统整合研究[J].现代教育技术，2011，21（10）.