云计算虚拟化技术的发展与趋势

唐明双

(长春工程学院，长春 130012)

云计算虚拟化技术的发展与趋势

唐明双

(长春工程学院，长春 130012)

介绍了虚拟化技术和主流虚拟化平台，对虚拟化平台应对的不同安全问题进行研究，对虚拟化平台的安全现状与安全威胁的发展趋势进行分析，探讨虚拟平台存在的不足之处，提出一些建议，供大家参考。

云计算；云安全；虚拟化技术；安全漏洞；虚拟化平台

1 虚拟化技术

虚拟化技术是利用物理资源映射，将其作为虚拟资源，使其成为一个共享底层让多个程度或软件使用的物理计算资源。通过客户的要求来进行动态调整的虚拟化计算资源，以减少对资源的浪费，减少管理成本，且这个虚拟化的平台还能使每个虚拟机享有整个物理硬件资源。

虚拟技术通常分为全虚拟化和半虚拟化两部分，全虚拟化有着很好的兼容性，可是会给客户增加软件的复杂度和较大的损失。半虚拟化则需要将客户的操作系统进行改动，修改过后，接近其物理机的性能。这两个虚拟化技术的基本结构如图1所示。目前，服务器虚拟化平台使用较好的有vSphere和KVM等。

图1 虚拟化平台的两种基本结构Fig.1 Two basic structures of virtualization platform

1.1 vSphere

vSphere是一种面向企业及应用的服务器虚拟化平台，其核心的组件包括VMware ESX/ESXi,该服务器虚拟化平台支持全虚拟化和半虚拟化。但由于Server和Hypervisor占用的资源较多，而且大部分都以全虚拟化为主体，因此，它的性能较低。

1.2 KVM

KVM利用QEMU设备中的虚拟化进行全虚拟化，而且能够使用多个硬件平台。近几年来，众多Linux的内核开发者都加入到这一研究行列，其发展态势近些年非常可观。

2 虚拟化平台构成的安全威胁及必要防范

2.1 虚拟化平台存在的安全威胁

从当前虚拟化平台的部署应用来看，虚拟化平台还存在许多安全性问题，其中最突出的表现为以下几点：第一，虚拟机的逃逸。所谓的虚拟机逃逸，是指在通常情况下，处于同一个虚拟化平台上的客户虚拟机之间必然会出现相互监视、相互影响彼此进程的情况，但是在一些特殊的情况下，如果虚拟化漏洞存在，或者虚拟机间行驶的隔离方式不正确，则会导致虚拟机获得了Hypervisor的访问权限，如此，则会将其交给入侵至同一虚拟平台上其余的虚拟机，这就称之为虚拟机的逃逸现象。第二，虚拟机跳跃现象。简单来讲，如果通过一台虚拟机服务监视别的虚拟机的运行或者直接介入至宿主机上，这种现象就称之为虚拟机的跳跃。比如：通过虚拟机A，然后去获取其余虚拟机B、C的流量，甚至截取宿主机的服务控制权，这样很可能造成其余虚拟机的服务终端或者通信出现问题。第三，远程管理的缺陷。运维工程师通常是通过远程管理平台来对虚拟机进行管理，这样可以降低管理的难度，将复杂度降低，但如果一旦发生SQL注入或者是跨站式脚本攻击，就会出现很大的问题或者危害。如图2所示的是远程管理平台结构示意图。

图2 远程管理平台结构示意图Fig.2 Remote management platform structure diagram

2.2 虚拟机平台的安全防范

当前，虚拟化的服务器占据了总体服务的70%以上，而且还在持续增长，因此，了解和掌握虚拟化平台的安全防范是十分重要的。笔者根据自身经验及文案显示，对安全防范总结了以下几种方法，可参看表1。

表1 虚拟化平台的安全防范方法Tab.1 Virtualization platform security precautions

3 对虚拟化平台的安全性剖析

虚拟化平台发展至今，安全性问题一直是有待解决的一项重要课题，它是制约虚拟化平台发展的一个主要原因。只有实现云计算的安全，才能反过来促进虚拟化安全性的发展。笔者根据文献与数据分析，总结出以下几点：第一，就国内外比较而言，国外的虚拟化安全研究成果一直处于不断增长的状态，而我国则落后于国外。第二，国外对于虚拟化安全的研究热度一直高于国内。第三，国外开始时会更关注虚拟化平台安全方面的研究，然后带动云计算发展，而国内则是持续研究云计算，再带动虚拟化安全的发展。

总体而言，虚拟化平台安全发展一直是较为重要的问题，因为该技术发展时间并不太长，熟悉并能对该技术构成威胁的人员并不多，此外，传统的网络攻击手段并不使用于虚拟化平台之上，但也必须居安思危，需要时刻避免虚拟机逃逸、信息泄露等问题，时刻提防SOL发生注入以及跨脚本的攻击，只有保持严谨的态度，才能将威胁降到最低。

4 虚拟化安全所存在的不足与必要的改进

4.1 安全性的不足

在传统环境中，单一的漏洞仅会攻击这个漏洞的物理机，它的攻击面较窄，攻击范围也有限，但是虚拟化的实现，使多租户可以共同享受计算资源，这样会加大被攻击的可能性。在传统网络环境之中，对于各个安全厂商，他们会共同一起研究某一个漏洞，然后将所研究的结果公布出来，大家一起使用。但在云计算虚拟化平台上，这些会涉及商业机密，具有一定封闭性，这对于安全性能的提升极为不利。

4.2 改进方法

可以进行跨界点硬件与虚拟机监视器安全性监控。通常使用云控制中心对跨界点的硬件的虚拟界进行安全性的监控，但是这种做法耗能大，会产生超负荷效果，所以可以使用跨界点硬件，研究其虚拟机的安全监控方法，从而提高安全性。还可以建立联合的应急处理机制，虽然许多技术涉及企业机密，但是可以指定统一的行业标准，可以进行相互监督、相互交流，从而促进虚拟化平台的发展和云计算技术的进步，也可以将危害降到最低。

[1] 武志学.云计算虚拟化技术的发展与趋势[J].计算机应用，2017，37(04)：915-923.

[2] 王文旭，张健，常青，等.云计算虚拟化平台安全问题研究[C]//中国计算机学会.第31次全国计算机安全学术交流会论文集，2016.

[3] 周佳昕.云计算资源管理平台的设计与实现[D].长春：吉林大学，2016.

[4] Korir Sammy(克瑞).云计算数据中心中节能安全的虚拟机实时迁移研究[D].长沙：中南大学，2012.

Developmentandtrendofcloudcomputingvirtualizationtechnology

TANG Ming-shuang

(Changchun Institute of Technology, Changchun 130012, China)

This paper introduces the virtualization technology and the mainstream virtualization platform, studies the different security problems that the virtualization platform deals with, analyzes the security status quo of the virtualization platform and the development trend of security threats, discusses the shortcomings of the virtual platform, and puts forward some suggestions for reference.

Cloud computing; Cloud security; Virtualization technology; Security vulnerability; Virtualization platform

TP391.9

A

1674-8646(2017)21-0118-02

2017-09-22

唐明双(1964-)，男，副教授，本科。