F5白皮书
–
ALAN MURPHY - F5 Networks
虚拟化数据中心的安全问题
序言 应用和操作系统虚拟化所包含的概念并非新概念,它们在服务器设备和桌面PC得到广 泛普及的很长一段时间之前就已经出现.然而在过去几年内,虚拟化普及的速度(尤 其是软件操作系统虚拟化) 迅速提高. 据EMC公司CEO Joe Tucci称, 大部分VMware 2. 客户已经计划在未来三年内实现其50%的IT基础设施的虚拟化 虚拟机最终盛行起来, 并且正迅速进入企业数据中心,成为各个地方的IT部门内所有人员和小组的通用工具. 那么, 到底什么是虚拟机呢 VMware对虚拟化的定义是 将物理硬件与操作系统分离 " 的一个抽象层..." 3 当前, 我们通常会认为虚拟机属于运行多个软件操作系统的一个硬 件平台的范畴.最常见的是,这个概念通过一个硬件设备(主机平台)上一个操作系 统而实现,即在虚拟机平台(客户端)上按顺序运行多个独立操作系统.平台虚拟化 一般依赖于全面的硬件分区:允许每个客户端平台接入物理主机硬件的特定部分,而 不会与主机平台产生冲突,或者对主机平台造成影响.例如,即使客户端操作系统与 主机系统需要一样的CPU和RAM存取,客户端将使用与主机不同的硬件位置和地址. 这允许主机和客户端依次运行,而不会互相冲突.
" 数据不会在虚拟机之间泄露,而 且应用只能通过配置的网络连接进 行通信." - vmware.com1
平台虚拟化主要有两种类型:透明和主机感知(通常称为半虚拟化).对于透明虚拟化的实施,客户端不知道它在虚拟化状态下运 行.客户端消耗资源,就如同在本地运行于硬件平台上,有一点非常明确,即它由额外的一个组件进行管理,叫做VMM(虚拟机监 视器),也叫Hypervisor.当前,更多标准形式的虚拟化(例如VMware的系统)实施透明的Hypervisor系统.这些系统可以被认为是 代理:Hypervisor将透明地代理客户端和主机硬件之间的所有通信,向客户端隐藏其存在,这样,客户端就会认为它是唯一运行于该硬 件上的系统. 主机感知的实施有所不同,即客户端的内核中嵌入了某种类型的虚拟化知识;这些可以被视为" 虚拟自我感知" 环境.客户端操作 系统内核的某些部分知道Hypervisor的存在, 并与其直接通信. 客户端操作系统并非透明地代理所有通信, 而是直接调用Hypervisor, 并管理对硬件的通信.Xen(发音是'zen')作为针对Linux的常用虚拟化实施系统,它采用主机感知架构,要求特殊的Hypervisor命令 代码主动地运行在主机以及所有正在运行的虚拟化客户端中.每种虚拟化类型各有优缺点,但同样有效.透明系统对客户端来说最 便携,但牺牲了速度,而且一般围绕更重的Hypervisor而设计;主机感知系统速度更快,重量更轻,但需要对客户端进行修改,而且 可能引入透明系统所没有的安全性问题. 推动虚拟化普及的一个因素是硬件对VMM硬件平台支持的开放性特点,它运行并管理主要的主机操作系统,而且VMM不是专业的设 备或装置.虚拟主机平台可以是当前所用的任何类型的硬件:单CPU台式机,笔记本电脑,x86服务器,SPARC服务器,机架安装式 设备等.在笔记本电脑上运行Microsoft Windows XP Professional 的普通用户可以运行其它通信的多个虚拟化事例—例如Linux, BSD或Windows Vista— 可以使用任意数量的免费VMM软件.这种灵活性(虚拟化软件向常用硬件的转移)使每个人都能以经济的 方式直接接入, 以运行虚拟化环境. 尽管这种接入方式最初是提供给专业技术人员, 例如需要将Windows作为基础操作系统运行的Unix 用户,但很快成为了IT经理谈论的话题.平台虚拟化为充分扩展服务器组和数据中心提供了一种经济的机制.虚拟化允许一个公司采 购一台高端硬件设备运行20个虚拟操作系统,而不必采购20台商用的低端设备,分别运行每个操作平台. 虚拟化的威胁 虚拟化的好处显而易见:为您的人员提供更大的能力.但凡事各有利弊,虚拟化也不例外.有利的方面是主要的,为多个项目和环境 提供更快的速度和灵活性.但不利的方面不很明显.用一台服务器的价钱运行20台服务器有什么不好 尽管目前尚未被视为重大的威 胁,但虚拟机和环境的安全一般并未被考虑,并不是因为这些实施项目的安全性有技术难度,而是因为安全问题是实施大范围虚拟化 的小组所未知的领域.换句话说,实施虚拟化时一般没有考虑它所带来的新安全风险.从表面上讲,虚拟化的BSD客户端与真正的单个 设备具有同样的安全威胁和问题,这一点毋庸置疑.然而,主要的区别还在于额外的管理层:Hypervisor.

下一页