科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道虚拟化技术: 制度下的安全性

虚拟化技术: 制度下的安全性

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

现在,几乎任何一个称职的IT部门都会采用虚拟化技术来降低能耗,使服务器和操作系统的配置更具灵活性,存储和系统资源被更好地利用。在虚拟化市场,各种解决方案层出不穷,虚拟化专业技术厂商、传统IT企业纷纷粉墨登场,不同的虚拟化技术已经渗透到了各种IT应用环境中。然而,在应用持续流行的同时,如何确保安全性,如何促成标准的出台以推动整个产业的持续发展,再度成为业界关注的话题。

来源:CCW 2009年5月21日

关键字: 安全策略 虚拟化安全 虚拟化

  • 评论
  • 分享微博
  • 分享邮件

  现在,几乎任何一个称职的IT部门都会采用虚拟化技术来降低能耗,使服务器和操作系统的配置更具灵活性,存储和系统资源被更好地利用。在虚拟化市场,各种解决方案层出不穷,虚拟化专业技术厂商、传统IT企业纷纷粉墨登场,不同的虚拟化技术已经渗透到了各种IT应用环境中。然而,在应用持续流行的同时,如何确保安全性,如何促成标准的出台以推动整个产业的持续发展,再度成为业界关注的话题。

  ■ 本报特约撰稿 陈杰

  虚拟化战国时代

  在虚拟化领域有众多分支,包括虚拟机、存储虚拟化、内存虚拟化、操作系统虚拟化、网络虚拟化、数据中心虚拟化等。每种虚拟化都有其所对应的方案和技术,在企业应用的不同层面也存在着对不同虚拟化技术的需求。在众多虚拟化技术的快速发展下,涌现出了一批技术领先的虚拟化厂商,他们之间相互合作、相互竞争,引领虚拟化技术不断向前发展。

  作为PC服务器虚拟化的始作俑者和领导者,VMware积极推动着虚拟化技术的发展。1999年,VMware开发了世界上第一个IA-32 虚拟机(主机体系结构),如今,VMware已经拥有一系列的虚拟化产品线,包括服务器、台式机、工作站以及播放器等。VMware CEO Paul Maritz曾表示: “我们有完整的虚拟化产品线,目前最重要的任务是提高虚拟化的性能。为此,我们进行了CPU层面的虚拟化,未来希望把内存也进行虚拟化。除此之外,我们还可以实现分布化的虚拟化,以便更好地提高集群管理性、移动性和安全性。”

  在虚拟化领域,开源的角色非常重要。在开源界,有两个著名的开源虚拟化项目,那就是Xen和KVM。Xen是一个基于开源软件的混合模型虚拟机,最早由英国剑桥大学计算机实验室的Ian Pratt和 Keir Fraser等人领导的Xen开发小组完成。最初的Xen基于32位x86体系结构而设计开发,支持多个运行Xen操作系统虚拟机的服务器应用。今天的Xen已经可以支持32位x86架构(包括32位PAE)、64位x86架构、安腾和Power PC架构; 同时还支持SMP、虚拟机保存恢复、虚拟机动态迁移、设备驱动域等功能。

  其实,早在2006年,Gartner就发布了一份服务器技术发展研究报告,其中有一个不同寻常的预测: 到2010年,共享的操作系统虚拟化将成为主流虚拟化技术。而在此之前,虚拟化和虚拟机是同义词,操作系统虚拟化并不被认为是虚拟化。可以说,是Gartner的这份研究报告首次击破了这一论断,同时也给了SWsoft更大的市场机会,SWsoft正是操作系统虚拟化的积极倡导者。对于这个纷繁的虚拟化市场,SWsoft CEO张自力认为: “不同领域的虚拟化厂商有着不同的产品推广和技术路线,不同的技术路线可能互相配合,也可能各自为营,所以不同的虚拟化厂商都有其各自的优势,对用户而言,这些虚拟化产品是很可能同时应用的,是可以并存的,而并不是相互排斥的关系。”

  除了上述主流虚拟化厂商与项目外,作为传统IT厂商的微软、IBM、HP也纷纷涉足虚拟化市场。早在2003年,微软就通过收购虚拟服务器软件公司Connectix进军虚拟化领域; 2004年,微软宣布将Connectix Virtual PC系统免费下载,这进一步推动了虚拟机的普及,并更好地传递了虚拟化的概念。现在,微软的精力主要集中在了Virtual PC的“孪生兄弟”Virtual Server上,由于数据中心服务器的平均使用率低于30%,有效整合现有服务器成为降低成本、提高效率的关键,Virtual Server的推出就是为了解决这一问题。

  IBM一直都是虚拟化技术的倡导者,早在1970年,IBM在大型主机方面就已经开始应用虚拟化技术; 2001年,IBM将虚拟化技术引入到了小型机产品上; 2002年,增加了动态逻辑分区的功能,使得用户不必停机就可以动态调整分区中的资源; 2003年,又增加了按需应变的功能; 2004年,实现了微分区功能,IBM在当年推出的Power 5服务器就做到了0.1个CPU一个分区; 2005年,IBM又推出了虚拟化管理平台,这就简化了对分区划分功能的操作; 2008年10月,IBM将原有的System p和System i两个系列的主机整合为一个新的产品系列—IBM Power System,这意味着IBM在对小型机产品进行一次更全面的整合和升级的同时,PowerVM也成为了最新代替原有AVP(Advanced POWER Virtualisation)技术的全新虚拟化平台,其除了能够提供原有 System p和System i所支持的虚拟化技术以外,还带来很多新的虚拟化技术,如PowerVM Lx86、Live Partition Mobility和System Planning Tool等。

  Sun对于虚拟化的理解是强调计算资源可以通过一种逻辑的方式来实现,用户并不需要知道逻辑和物理的计算能力究竟是怎样对应的,但却能安全、有效地使用计算资源。Sun之前就已经推出了全套的虚拟化解决方案,企业用户可以在正确的时间和地点应用正确的技术,总体来看,可以归结为三种实现方式: 同操作系统不同应用、不同操作系统不同应用、大型机和小型机的虚拟化技术。同时,Sun的开源虚拟机VirtualBox已经成为广大开源爱好者手中的首选虚拟机软件。不过,随着Oracle收购Sun尘埃落定,Sun的虚拟化技术何去何从就有待观察了。

  HP将其虚拟化历程分为了三个阶段,目前HP正在进入第三个阶段,即IT环境的虚拟化,HP提出的下一代数据中心,就是强调数据中心整体的虚拟化解决方案,包含的内容不仅仅是服务器,还有存储、网络,甚至整个数据中心。

  此外,在虚拟化领域竞争最激烈的就是虚拟机,VMware是这个市场的先行者,占据着较大的市场份额,虽然微软与Xen等竞争者也分别推出了与VMware Server和VMware Workstation相似功能的产品,但短时间仍无法达到Virtual Center这种成熟管理工具的水平。2006年,微软将Virtual Server变成免费产品,同时在Windows Vista Enterprise的授权政策中允许一个使用者在一台计算机上安装多达四台的虚拟服务器,这些举措也为微软赢得了不少用户。Xen在某些方面像是个新进者,但其实这个软件也已经演进了快四年,其开放源代码的特性得到了业界的支持。Intel与AMD纷纷投身到Xen的研发计划中,Intel在中国专门建立了开源研究中心进行Xen项目的研发; Red Hat和Sun的OpenSolaris操作系统也表示支持Xen项目,并将其整合到了操作系统中。

  Xen的开放式特性是其亮点,微软拥有雄厚的资金支持和技术领先的研发队伍,而VMware更想凭借其领先的技术和品牌巩固自己的市场地位。虚拟化市场激烈竞争的同时,也为用户提供了更优的技术、更多的选择空间。

  虚拟化安全吗?

  虚拟化应用已经成为一种趋势,专业的虚拟化解决方案提供商、传统的IT厂商都有了全面且成熟的虚拟化解决方案; 企业实施了虚拟化技术,通过让多台服务器共享一个单一的物理平台,不仅节约了硬件成本、许可证成本、能耗和管理成本,同时降低了功耗、提高了系统利用率、也有效提高了生产力。这是一件皆大欢喜的事情,但是,对于虚拟化安全性的考虑,成为了CIO们是否实施虚拟化的首要选择条件,在实施虚拟化技术的同时,浮现在CIO脑海中的往往是: “这东西安全吗?”

  在最近召开的RSA安全会议上,Configuresoft公司首席安全官Dave Shackleford及市场战略副总裁Farrow均连续第二年介绍了虚拟化技术的安全问题。如果说在此次大会上有与节约成本相媲美的热点话题,那么非虚拟化莫属。讨论的核心问题是如何确保新的虚拟环境中的安全问题。而在两年前的RSA大会上,只安排了一场关于虚拟安全的专题会议,去年增加到了3场,而今年则是9场。

  这从一个侧面反映出虚拟化的安全问题得到了前所未有的重视。有专家表示,与传统服务器相比,虚拟服务器并不缺乏安全性,而且通过划分应用,可以提供很多额外的安全性。 企业在生产系统中部署了虚拟服务器之后,为利用虚拟化的弹性优势,很多企业随之而来也改变了他们的操作模式。随着服务器池中资源的进一步集中,动态化与自动化成为了新的运维方法,而一些有害的、有漏洞的、或者不安全的操作系统映像文件也会在其中进行自动配置。因此,虚拟服务器并不一定代表不安全。

  张自力认为,目前市面上的虚拟化软件的安全记录还是很不错的。对虚拟化可能存在的安全漏洞的质疑和攻击一直都没有停止过。“我相信虚拟化技术经得起用户规模进一步扩大的挑战。相对于物理操作系统而言,无论是虚拟机还是虚拟化容器,其代码规模和结构都要简单得多,更好的安全性是完全可以做得到的。” 张自力说。在这里也要提醒最终用户,安全漏洞不是主要问题,用户需要关注的是虚拟化技术的引入对IT管理方式和流程带来的变化。“原来一些系统迁移的工作通过虚拟化可以在瞬间完成,这样,如果万一出现了误操作,可能会导致破坏安全准则的情况。因此,在虚拟化实施过程中,参考ITIL等标准,对IT设施的管理给予更多的关注,是相当必要的。” 张自力补充说。

  基于安全性的考量,VMware早就开始准备了。在2008年3月,VMware发布VMSafe计划为虚拟安全服务提供了一个框架,并为与虚拟机和hypervisor交互作用的虚拟安全服务提供了必要的API(应用程序接口),这组API可以让虚拟安全工具检查和过滤虚拟机的所有内存、CPU、进程、存储以及网络流量。此外,还实现了即可在虚拟机上运行,又能保持与虚拟机内各种恶意程序的完全隔绝。在传统操作系统上运行的安全代理解决方案可以被恶意软件终止或破坏,而虚拟安全解决方案则不同,其处在不会被操作系统触及到的地方。

  难怪VMware全球市场部副总裁Karthik Rau自豪地表示,当前能想到的做服务器整合最安全的平台就是虚拟化的平台。“因为尽管都是在一个共享的机器上运转,但是它们还是相对独立的。当然安全方面最大的问题就是我们如何来应用我们的虚拟机,包括如何分配像系统管理员的职责,比如谁是负责操作系统的?谁是负责其他方面的?这主要是系统设计的问题。”

  除此之外,一些新技术也被不断应用到虚拟化中,Intel开源研究中心主任工程师董耀祖介绍说: “利用虚拟机技术将不同的应用运行在不同的虚拟机上,从而避免了传统操作系统下各进程之间的互相影响,这使得一个应用的安全漏洞不会影响另一个应用,从而增加了系统的整体安全性。当然,在今天,虚拟化技术仍处于发展的早期,出现安全漏洞也不可避免; 与此同时,很多安全性方面的技术也正在被不断应用到虚拟化实践中来,以提高虚拟化系统的整体安全性,如Intel TXT技术等。”

  标准很重要

  中国有句俗语叫“无规矩不成方圆”,强调了“规矩”的重要性。在IT领域,“规矩”同样重要,那就是我们常说的标准。无论是开放标准W3C,还是私有文档标准,甚至浏览器的事实标准IE,无不推动了整个产业向前发展。标准,在虚拟化领域同样重要,尤其是当虚拟化存在诸多安全隐患时,当虚拟设备格式错综复杂时,当各家虚拟化迁移工具互不兼容时,标准的出台则更显珍贵,“制度”下才有安全,安全需要“制度”。

  目前,虚拟化技术的标准化工作还处在一个非常初期的阶段。总体来看,各家厂商都有自己的文件系统格式和API,因此实现全面标准化的条件还并不成熟。以“从一个虚拟化迁移到另一个虚拟化”这一技术来说,虽然采用各家公司的P2V工具都是可以很方便做到的,但是这种方式并不是直接的转换。张自力认为,目前业界需要关注的是虚拟化领域中的开放性和互操作性问题。“事实上现在虚拟化应用所面临的一个很重要的问题就是互操作性,而标准化的最大目标就是保证互操作性。在虚拟化领域存在众多的厂商和众多的产品,并且他们彼此之间相互竞争又合作,因此只有保证了互操作性才能真正满足用户的需求。”张自力表示:“API要开放,以便于管理工具集成虚拟化技术,而不是把虚拟化管理工具垄断在厂商自己手中; 虚拟化软件、操作系统、硬件驱动等相关IT部件的互操作性也是必须保证的; 而对文件系统格式的开放,可能就需要更长的时间了。”

  其实,在2008年,VMware、Citrix Systems、微软以及IBM、惠普和戴尔一直都与位于俄勒冈州波特兰的标准组织DMTF(分布式管理任务组)合作,以为虚拟机制定一个互操作性规范。目前,已经制定了一个初步的规范,名为OVF(开放虚拟机格式),并且还制定了符合这个规范的工具。OVF中涉及的内容主要就是为了解决之前阻碍虚拟化应用的一些问题; 除此之外,OVF支持多虚拟化映象格式。因此,对于任何监管程序的虚拟机都可以使用OVF 引导程序来加载,而且,OVF引导程序也是基于数字签名的,这确保了免费发布以及用户的利益。

  当然,OVF还并不完美,虚拟化的标准化之路还很长。董耀祖就表示: “统一虚拟化的标准还有很长的路要走。不过我们现在已经欣喜地看到,一些企业与企业间的联合已经出现了。包括在Linux领域,已经有一个虚拟化工作组来讨论与Linux虚拟化相关的技术问题; 在工业界,一些主要虚拟化方案提供商也正朝着相互兼容和标准化的方向努力,即使非开源的公司,如微软也公布了hypercall的接口,以便其他的虚拟化方案如Xen也能运行下一代Windows操作系统Viridian等。这些努力最终都将使用户受益,并帮助他们更好地使用不同的虚拟化方案。”

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章