1、虛擬化環境下的信息平安風險及防護措施2400字 大慶油田信息技術公司，黑龍江 大慶 163000 /3/view-12962701.htm 摘 要 虛擬化技術是當前云計算的核心，是效勞云和私有云的關鍵因素之一，它的出現給數據中心的運行維護帶來了宏大改變。虛擬化環境中的存儲、計算和網絡平安等資源成為云計算有力的支撐體系。然而，隨著數據中心里的虛擬機越來越多，虛擬化環境下的信息平安風險開場日益顯露，因此，如何構建云時代下的虛擬化平安防護體系的問題亟待解決。關鍵詞 虛擬化；平安防護；防護措施doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2022. 05. 08

2、1中圖分類號 TP309 文獻標識碼 A 文章編號 1673 - 0194202205- 0153- 020 引 言近年來，云計算技術進入快速開展的時代，作為其最重要的支撐技術，虛擬化技術承載的業務系統規模越來越大，并逐步向核心業務開展，云計算體系下的虛擬化環境面臨的平安風險亟待關注。1 虛擬化環境中的平安風險1.1 傳統平安問題仍然存在，資源爭奪成新挑戰一是傳統的平安風險在虛擬化環境下仍需解決。物理效勞器劃分出來的每個虛擬機的業務承載及效勞與單臺效勞器根本一樣，操作系統和應用程序的破綻及攻擊、業務系統之間平安隔離、系統訪問控制、文件存儲平安、防病毒系統等方面的平安風險，照舊是虛擬化環境中的薄

3、弱點。二是虛擬機之間爭奪系統資源。多個虛擬機同時開啟傳統的平安軟件如病毒掃描、防病毒更新等操作將占用大量內存資源，造成網絡負擔過重和虛擬機性能問題，形成“防病毒風暴。1.2 虛擬化環境自身存在缺陷，造成內部攻擊虛擬化的客戶端在Hypervisor管理層上的特性導致了虛擬化平臺增加了自身平安問題。Hypervisor是介于物理效勞器與操作系統之間的軟件層，也稱為VMM，它允許多個操作系統共享一套物理硬件，是虛擬化技術的核心。作為虛擬化平臺中新出現的軟件層，Hypervisor缺乏完好性，系統破綻或管理員的平安配置不當都易導致入侵者展開攻擊。如虛擬機在物理效勞器之間遷移時不產生告警與調用審查機制、

4、虛擬機共享數據或重分配資源時有內存泄露風險、虛擬機間不可見的流量無法進展監測、過濾與隔離、未加密的VM鏡像可引起惡意篡改與破綻攻擊。此外，攻擊者利用Hypervisor層運行虛擬機內部子操作系統的形式展開超越虛擬機范圍的攻擊，攻擊進入某個子系統后可蔓延至虛擬效勞器和其他物理資源。1.3 虛擬機管理成難題虛擬機管理也帶來一定的平安問題。虛擬化環境造成管理終端數增長，防護范圍擴大。管理網絡與消費網絡未隔離，管理員維護虛擬化平臺時，對虛擬機自動設置、配置或遷移的過程難以實時跟蹤和管理，難以實現一致性平安策略。此類虛擬機運行全過程的動態數據龐大且難以計算，造成管理平安風險。此外，物理主機的平安隱患向其

5、虛擬機傳染導致的“虛擬機溢出、快速增長的虛擬機導致補丁更新負擔過重也是虛擬機管理帶來的平安問題。2 虛擬化平安防護措施對策及建議2.1 加強傳統的平安防護措施，進步風險識別和防范才能嚴格控制對業務系統的訪問權限，加強身份認證和鑒別機制，降低攻擊者從系統入口獲得登陸權限的可能性。虛擬化平臺中的數據傳輸和信息共享時進展嚴格加密，設置存取控制策略保證文件平安。定期進展病毒掃描和防病毒更新，虛擬機之間病毒掃描時間段不得重疊，以防造成網絡負擔過重。增強虛擬機的平安監測和日志審查機制，對虛擬機內可能存在平安風險的操作項進展嚴密監控。加強日志審計功能，設置hips監控，利用Syslog搜集日志審計，以做到風

6、險日志可查。2.2 保障Hypervisor自身平安Hypervisor的自身平安是虛擬化技術平安管理的核心內容。制定和執行針對VMM的嚴格訪問控制策略，鎖定管理層的網絡訪問，定期進展破綻修補、病毒掃描。通過去除非必要功能精簡內核來進步Hypervisor的可靠性，加強內核模塊和磁盤的完好性來保證完善的內容保護功能。對VMM設置日志審計功能，并制定監測預警機制。強化文件存取技術，探究國產化加密技術，保證數據在傳輸和存儲過程中不被攻擊和竊取，使用網絡分段和訪問控制列表阻止其他虛擬設備接入，保障虛擬環境的文件平安。2.3 加?流量監控，打造虛擬機環境下的平安防護體系通過在Hypervisor層集成

7、虛擬交換機vSwitch，可監控同一個效勞器內部虛擬機之間的流量交互中是否存在可攻擊破綻或信息泄露等風險，并實現一些訪問控制規那么。更深度的平安檢測防護可以利用基于虛擬機和基于重定向兩種。基于虛擬機的平安防護將虛擬機之間交換的流量先引入虛擬機平安軟件，再進入虛擬交換機。通過將虛擬機劃分為不同平安域來配置區域隔離和互訪策略，并監控流量中是否存在破綻及信息泄露等其他平安問題。基于重定向的平安防護將虛擬機交換的流量引到外部交換機，交換機在報文轉發前進展深度檢測及訪問控制策略、入侵防御規那么的配置。2.4 加強虛擬化平臺管理工作，建立標準化操作流程按需設置虛擬平臺管理員，按照標準化流程進展管理并記錄操作日志。對虛擬機實時動態管理要求高的業務系統，建立動態數據中心，記錄虛擬機配置變更、遷移日志，制定一致性平安策略，定期巡檢及匯總跟蹤數據，出現平安風險時有數據可循