浅谈虚拟环境下的网络安全

1分离虚拟机管理

虚拟机不同于实体计算机。在实体计算机上有各种接口、电源开关键以及连接在机箱上的外接设备。对实体计算机的控制,可以通过按下电源按钮、连接网线、识别指纹等方式来完成。但是对于虚拟机则不能通过这些方式来实现控制,只能通过网络进行远程管理。因此,对于虚拟环境下的网络安全,要考虑的第一个问题就是将虚拟机的管理同普通操作分离。为了保证不是任何人都能通过网络远程控制虚拟机,需要将虚拟机的权限设置为高低两个级别。没有任何权限的账号不能够对虚拟机进行操作;低级别的普通账号只有对虚拟机的简单控制权限,如更新虚拟机上的信息、检查虚拟机的运行状态等;高级账号拥有对虚拟机的全部控制权限,不但具有低级用户的所有权限,还能对虚拟机进行重启、账号管理等高级操作。所有的账号都要设置密码且不能使用简单密码,生日、姓名、手机号码、特殊日期等都不适合当做密码使用,因为这样的密码的破译难度远远小于由数字、字母、字符组成的复杂密码。同时,密码一定要经常更换,长时间使用同一个密码,很有可能会在无意中将密码泄露。

2数据加密

加密技术已为大多数计算机用户所接受,不管是邮箱还是个人账号,我们一般都会使用密码加密[2]。但是对于虚拟机来说,仅仅是这些加密还远远不够。目前有许多恶意软件可以捕捉、重新配置内存数据值并在此过程中将自身插入内存中,这样恶意软件就可以在不作系统察觉的情况下进行数据监视和窃取,普通的账户加密对于这种窃取行为没有有效的防御效果。应对这种情况,可以通过SSL(SecureSocketsLayer)对数据进行加密,保证在数据传递过程中,即使有人窃取,也无法获得实际的真实数据。

3关闭部分服务和功能

虚拟机一般用来完成固定的某些任务,也就是说总会有一部分不需要启动的服务可以关闭,如系统更新、屏幕保护、磁盘碎片整理、空闲检测、文件完整性检查等,这些服务对于单一操作系统的虚拟机来说,完全不需要开启。很多虚拟机支持在宿主主机和虚拟机之间的文件共享,这样有助于虚拟机和实体机之间的文件共享使用,但同时也引入了风险。通过这种共享,虚拟机有机会访问实体机,能对共享文件进行修改,进而获得部分控制权限,最终威胁其他虚拟机。因此,文件共享如非必要不要开启。除此之外,还有一些常用的但可能不被使用的服务,也可以根据具体情况关闭。

4断开不使用的设备

通常情况下,虚拟机是允许连接物理设备如光驱、软驱、扫描仪、打印机、USB接口等的。当虚拟机启动的时候,会如普通电脑一般自动对这些设备进行检测,如果有多台虚拟机同时启动,则会因为优先权问题大大降级虚拟机的启动速度。另外,如果这些外接设备中存在恶意代码,虚拟机则可能在启动的时候自动执行这些代码,从而给虚拟机带来病毒入侵。因此,如非必要应关闭所有的外接可控设备,只在必须使用的时候才开启[4]。

5开启防火墙

虽然一般在宿主机上会安装防火墙,但因虚拟机是独立运行的,所以有必要在虚拟机上单独安装防火墙,以有效地拦截网络攻击,监控网络信息,防止额外代码的攻击。除此之外,还可以通过防火墙将虚拟机上不需要的端口关闭。端口是计算机连接网络的通道,这些通道本身没有问题,但是可能被非法程序利用。通过端口,入侵者可以远程连接虚拟机,查看虚拟机上的文件、修改虚拟机的配置信息。因此,除了正在使用的端口外,应将其他暂时不用的端口全部关闭,在需要使用时再打开。

6数据备份

为了保证虚拟机上的数据安全,防止意外灾难或者破坏的发生,必须对数据进行备份。通常数据备份通过备份软件就可以自动完成,不过虚拟机对数据备份的要求比较高。第一,要能够实现跨平台的数据备份。目前网络上有各种数据平台以及不同的操作系统,这就要求备份功能不能只靠单一情况下的备份。第二,备份要能够自动恢复和灾难重建。备份数据就是为了在出现问题的时候进行恢复,所以好的数据备份应该能够在需要的时候进行自动恢复,而不应取决于管理员是否有空闲时间。第三,要具备定时备份和自动备份等多种备份功能并能够在发生异常错误时提示管理员。第四,备份的数据要具有防病毒入侵功能并能够支持群集系统和磁盘阵列。由于虚拟机便捷灵活,目前不仅各大公司在使用虚拟技术,全国各高校的网络实验室也开始逐渐使用虚拟机来完成各种复杂实验,再加上目前很热门的“云”技术也和虚拟技术密不可分,所以虚拟技术的使用范围越来越大,随之而来的新的网络安全问题也越来越严重。如果虚拟环境下的网络安全问题不能够得到妥善解决,必然会给网络带来新的更大的安全隐患。虚拟环境下的网络完全覆盖范围很广,以上安全对策还不全面,还有很多需要注意的地方。正在使用虚拟化技术的人员应仔细检查网络,找出薄弱环节和漏洞,不要给攻击者任何可乘之机。