基于VMwarevSphere的集群虚拟机安全问题研究

李宁

摘要：随着VMware虚拟化技术在高校数据中心服务器上的广泛应用，虚拟服务器在数据中心中的地位也越来越重要，随之而来的安全问题也越来越多。该文主要探讨了高校内信息化数据中心中基于VMware服务器虚拟化技术的虚拟机所面临的安全问题，并针对这些安全威胁进行了细致的分析，提出了各个层面的虚拟机安全问题解决方案，为保证高校信息化数据安全奠定了良好的基础。

关键词：VMware vSphere；服务器虚拟化；虚拟机安全

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）26-0247-02

随着高校信息化建设的不断推进，高校高等教育信息化、管理信息化、后勤信息化等方面的快速发展，服务器虚拟化技术在数据中心建设中的应用也越来越多，而采用集群式管理这一模式来合理进行硬件资源、网络资源、存储资源的合理分配也越来越普遍。但是不断频发的网络安全事件如最近的WannaCry“勒索病毒”等都对网络用户造成了极大的损失，使得社会上各行各业对于计算机网络安全也越来越重视。同时这些网络安全事件也对虚拟化的服务器同样构成威胁。怎么样确保校园网内部的虚拟机能够安全、稳定、高效、可靠地运行成为了目前研究的重点问题。

1 服务器虚拟化集群技术

为了更好地解决数据中心中传统单一物理服务器应用方式的弊端，现在数据中心一般采用VMware等虚拟架构软件的服务器虚拟化解决方案，搭建服务器虚拟化架构集群来进行统一的资源管理。首先在多台主机上安装VMware vSphere Hypervisor （ESXi） 6.5，就可以将该台主机的硬件资源整合到一个虚拟化的资源池中；然后在这个基础上安装VMware vSphere vCenter6.5，就可以实现多台主机的资源整合；最后在vSphere Web Client （Flash）上就可以实现多主机和虚拟机的搭建和管理，并且利用vMotion实现虚拟化的主机在不同的主机之间进行迁移。服务器虚拟化集群极大地整合了硬件服务器资源，提高了服务器运行效率，大幅度地简化了服务器管理的复杂性，不仅提高了整个系统的可用性，同时明显地减少了投资成本。

2 服务器虚拟化存在的安全问题

2.1 主机间存在的安全问题

对服务器进行虚拟化，实际上是对服务器虚拟化软件如VMware vSphere vCenter系列等软件的使用，其运行在物理机上的VMware vSphere Hypervisor （ESXi）本身存在的安全漏洞，如果不及时更新同样会造成宿主机的安全风险。黑客如果利用这些漏洞对宿主机进行持续攻击，一旦获取到VMware平台管理权限，将可以任意对宿主机上的虚拟机进行访问，这些虚拟机上的各个部门的应用系统和业务系统数据的安全性就无从谈起了，给各个业务系统带来了极大的安全隐患。此外，由于虚拟化技术在高校数据中心的广泛应用，容易造成僵尸虚拟机，严重影响物理机的CPU、内存、网络等硬件资源，容易导致物理主机运行负荷过重，造成主机死机、业务中断，严重时可能会导致物理机崩溃等现象。

2.2 主机与虚拟机间的安全问题

对服务器进行虚拟化之后，一台物理服务器上通常会运行几个乃至几十个虚拟机，这样一来，我们传统的网络安全监控手段对于相同宿主机上的虚拟机之间的通信就不能进行很好的监控。宿主机上某一台虚拟机遭受病毒、黑客等网络攻击时，该台虚拟机将会夺占宿主机的带宽等硬件资源，导致物理机达到性能问题和网络瓶颈，导致物理机由于负载过重而崩溃；同样，当宿主机遭受攻击时，位于宿主机上的虚拟机也会有同样的安全风险，从而引起服务器崩溃、数据丢失等一系列严重后果。

2.3 主机内部虚拟机间的安全问题

目前服务器虚拟化的安全策略一般只是在宿主机层面进行安全防护，而忽略了虚拟机本身的安全问题，通常虚拟机间的安全防护相对物理机而言是很薄弱的，其安全性得不到保障。如果同一宿主机上任意一台存在安全隐患的虚拟机遭受网络攻击或者感染病毒时，通过虚拟机间的相互通信传染到其他虚拟机，而且由于虚拟机的自动迁移，这些存在安全问题的虚拟机迁移到其他物理服务器上，或者其他服务器上重要的虚拟机迁移到该台宿主机上，从而造成病毒在整个虚拟机集群中的传播，造成严重的后果。

3 集群虚拟机安全解决方案

数据中心网络安全防护最重要的一环就是对集群上虚拟机的安全防护，由于对服务器进行虚拟化的部署模式有别于传统服务器部署模式，因此必须要采取符合的安全防护措施，才可以保障校园内部服务器系统、网络系统、各个业务系统的安全、平稳、高可靠地运行。

3.1 部署安全产品，建立安全等级防护系统

隔离集群虚拟化服务器，并且在网络边界部署配置WAF、网络防火墙。对集群内部主机、虚拟机采取最小授权访问策略，严格细分访问权限，控制主机和虚拟机访问IP、端口号和协议。根据数据中心中各个应用系统和业务系统的重要性，对这些重要的虚拟机进行封装和隔离，对服务器加强内部的安全防护，对各个虚拟机进行的浏览和访问严格执行审计策略。从而保障虚拟机安全、稳定、可靠地运行。

3.2 网络隔离，实现虚拟机间的隔离

充分运用VLAN技术对处于同一局域网内的虚拟机进行网络隔离，实现逻辑上的隔离。我们可以按照虚拟机的用途和服务类型，划分为数据库虚拟机、业务系统虚拟机、管理系统虚拟机、网站虚拟机等。从而有效降低虚拟机之间的安全风险，保障各个虚拟机系统和数据安全。

3.3 定期更新VMware平台、操作系统漏洞

定期对VMware vSphere vCenter系列软件进行补丁更新，包括Exsi、主机系统安全漏洞、部署在虚拟机上的业务系统补丁漏洞、应用软件的补丁漏洞、微软系统漏洞、虚拟机所按照的如360杀毒、腾讯管家等安全软件的漏洞更新等。不仅针对系统层面的补丁更新，还应该对虚拟机所承载的服务、协议、开放的端口号进行考量和审核，避免虚拟机产生“全放行”状态。

3.4 完善集群虚拟机管理制度

第一，制定虚拟机申请审核制度。在日常的虚拟机管理中增加对新生虚拟机的申请审核，签署责任明确的协议并对后续的管理进行跟踪，避免盲目地增加虚拟机，产生“僵尸”虚拟机，造成资源浪费和安全隐患。

第二，加强对主机资源、虚拟机资源的数据监控、性能监控、网络监控和资源监控，及时发现安全风险或者网络攻击，便于管理人员实时掌握主机、虚拟机安全状态。

第三，定期对虚拟机数据进行备份。制定增量或差量、完整等备份计划，对重要虚拟机的配置文件、重要或敏感数据、文件等进行定期备份。建議备份到异地存储设备上，以确保数据的安全性。

第四，加强虚拟机管理人员的安全意识，做好虚拟机搭建、访问、审计和跟踪等防护措施，设置最小化授权的虚拟机管理访问策略，提高虚拟机网络层面的稳定性、安全性和高可用性。

4 结束语

综上所述，服务器虚拟化技术在高校数据中心中的应用，最大限度地降低了硬件资源的投入成本，并且对有限的硬件资源利用达到了最大化，使得整个数据中心、服务器、虚拟机的管理也变得更加简单、快捷。但同时服务器虚拟化集群式的管理也带来了极大的安全风险。为确保校园网络的安全、稳定和高效地运行，我们要从虚拟机管理规章制度、虚拟机安全隔离、部署安全产品等手段来确保集群式虚拟机的安全、稳定运行，才能更好对服务于教学、科研、管理和后勤服务。

参考文献：

[1] 刘谦.面向云计算的虚拟机系统安全研究[D].上海交通大学，2012.

[2] 赵硕，季新生等.基于安全等级的虚拟机动态迁移方法[J].通信学报，2017.

[3] 韩俊波.计算机网络安全管理中虚拟机技术的应用[J].电子世界，2017.endprint