虚拟服务器安全存在问题及对策.docVIP

虚拟服务器安全存在问题及对策 　　摘要：该文结合虚拟服务器的现状，得出虚拟服务器安全方面存在的问题。通过分析传统服务器安全措施并结合新技术标准，最终得出虚拟服务器安全问题的解决方案。 　　关键词：虚拟服务器；安全问题；VEPA 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2012）31-7444-02 　　随着信息技术的发展，服务器形态经历着从塔式、机架式到刀片式的转变，服务器系统和应用模式也随之更新换代，其中最热门的属近几年快速发展并推广的虚拟服务器。虚拟服务器是一种全新的应用模式，它可将多台物理服务器联合起来并行使用，安装专业虚拟服务器软件（以VMWare为代表）使之成为一个承载若干操作系统并提供信息服务的虚拟化统一平台。虚拟服务器的应用模式不拘泥于单台物理服务器，也不受制于单一的操作系统，一组虚拟服务器可同时运行若干WINDOWS、UNIX、LINUX、OS/2等操作系统，各操作系统根据需求被科学的分配CPU、内存、存储空间等系统资源，各虚拟系统之间相互逻辑独立。 　　1　虚拟服务器带来的安全问题 　　虚拟服务器拥有传统服务器不可比拟的优点，它可根据信息应用情况按需划分系统资源，只占用一个机柜的一组刀片服务器，在虚拟化后可承载多达一百个常规需求的信息应用，也可将大部分系统资源划分给某个需要大量并发访问和数据处理的虚拟服务器。但新事物总会带来新问题，带来优点和便利的虚拟服务器同样带来新的安全问题。 　　服务器的安全需求包系统安全和数据安全，诸如系统侵入、数据窃取和篡改等攻击行为一般来自于网络，而网络攻击分为来自外网的攻击和内网之间的攻击两种。在服务器机房的网络出口配置防火墙、入侵防御等安全设备可抵御绝大部分来自外部的网络攻击，而对于局域网内部之间的攻击却无法控制。针对内网之间的网络攻击，传统的解决方法是在局域网内部交换机上设置访问控制列表，结合服务器端必要的安全软件和配置，以此降低来自局域网内部网络侵害。 　　一组虚拟服务器可能处于一台物理机或一组刀片机之中，它们之间的数据交换都由虚拟化平台上的虚拟交换机完成，不经过物理交换机??虚拟交换机只提供数据二层交换，不支持基于包过滤的安全访问控制，所以虚拟服务器之间的数据交换不在数据安全策略的控制之下。而在每个虚拟服务器上安装杀毒软件和软件防火墙会占用较大的系统资源，造成不必要的浪费（如一组20台虚拟服务器就需要安装20套安全软件），这势必降低虚拟服务器的高效优势。来自虚拟服务器内部之间的攻击侵害就是有待迫切解决的新安全问题。 　　2　虚拟服务器安全对策 　　虚拟服务器的安全保障需要结合以下安全措施： 　　1）科学的服务器机房管理制度 　　没有制度不成方圆，制定科学的管理制度是每个组织良好运转的前提。机房管理制度应当确立良好用机制度、保障上机操作合法性、养成专机专用和专人监管的科学使用习惯、杜绝服务器物理环境的安全隐患等。科学的机房管理制度有利于保障信息设备的物理安全；有利于对信息安全事故的排查和解决；可杜绝非相关人员对服务器误操作带来的信息危害。进入机房所做的上机操作都应记录到管理日志中，以便日后查验。对出现的各种问题也可参照管理日志进行反向操作。 　　2）配置数据中心 　　服务器应用系统存储和运算出的数据离不开安全备份，但服务器的性能应体现在对数据快速计算处理和对需求快速相应，而不应耗费在对大量数据的存取。单台物理服务器的硬盘存储空间有限，开启磁盘阵列（RAID）后，虽然可提供数据冗余备份，但有限的存储空间将大幅缩小。一组高度集成的虚拟服务器在大量硬盘存储扩充方面将有所欠缺。 　　当众多网络应用产生大量数据的读取和写入时，迫切需要配置数据中心。数据中心是集中存储的一种方式，由一台或多台处理大量数据存取的专用存储服务器组成，可集中或分布式部署，通过高速网络与各服务器相连，拥有庞大的存储空间和高度可扩充性，能够容纳上百块高速硬盘，并发数据读取性能可满足整个服务器机房的所有应用需求。分布存储模式的数据中心属虚拟存储，其优势在于数据存储的灾备能力。根据机房情况不同，选取合适的虚拟存储配合虚拟服务器的建设和使用，是目前流行的实施方案。以平均划分空间开启并发读写互备机制为例，在提供的数据100%备份保护的同时，还可提高约70%的读写性能（大部分数据的读取需求多）。将所有服务器应用所涉及的数据存取都配置或指向到数据中心，服务器端只保留必要的系统文件和应用程序，是高效安全可行的。 　　3）配置防火墙和入侵防御系统 　　传统服务器容易遭受来自外部网络的侵害，虚拟服务器也不例外。抵御外部网络侵害需依赖防火墙和入侵防御系统。在受到外网攻击时，优秀的防火墙能确保自己安然无恙且阻断非法数据包通过。一台包过滤路由器或一台双网关主机即可组成