原创《虚拟化技术审计应用》:本论文可用于虚拟化技术论文范文参考下载,虚拟化技术相关论文写作参考研究。
一、虚拟化技术简介
1.服务器虚拟化概述.
虚拟化指的是将一个物理计算机划分为一个或多个完全孤立的“虚拟机”,又称VMs.具体应用中的服务器虚拟化,是将服务器物理资源抽象成逻辑资源,让CPU、内存、磁盘、I/O等硬件变成可以动态管理的资源池,不再受限于物理上的界限,在一台服务器上运行几台甚至上百台相互独立的虚拟服务器.每一个虚拟服务器都有一套自己的虚拟硬件,而且是一套一致的、标准化的硬件,可以在这些虚拟硬件上加载操作系统和应用程序.通过虚拟化技术,可提高资源的利用率,简化管理,实现服务器整合,提高IT对业务的灵活适应力.
2.服务器虚拟化技术原理.
虚拟化是一个抽象层,通过空间上的分割、时间上的分时以及模拟,虚拟化可将一份资源抽象成多份,亦可将多份资源抽象成—份,从而提供更高的IT资源利用率和灵活性.虚拟化技术允许具有不同操作系统的多个虚拟机在同一物理机上独立并运行.每个虚拟机都有自己的一套虚拟硬件(如RAM、CPU、网卡等)并在这些硬件中加载操作系统和应用程序.无论实际采用了什么物理硬件组件,操作系统都将它们视为一组一致、标准化的硬件.
二、虚拟化技术的安全策略及审计关注面
服务器虚拟化有着节省运营成本、提高服务器的利用率,便于管理维护,动态地改善IT基础架构的性能和效率,实现应用的快速部署,备份的快速恢复,应用升级前的测试以及升级失败后的快速回退,集中的性能监控和告警,保持业务的连续性,真正实现绿色计算等诸多优势,吸引了越来越多的用户.但服务器虚拟化技术在为用户带来利益的同时,也存在着严重的信息安全问题,对当前的安全技术提出了挑战.因此,保障服务器虚拟化的信息安全不可忽视,从IT审计角度来探讨服务器虚拟化的安全措施极有必要.从现有技术水平来看,保护虚拟系统的安全和保护独立服务器的安全没有什么不同,同样的最佳安全实践依然适用.即“平时怎样保护服务器安全,现在就要以同样的方法来保护虚拟机安全”.
(一)物理硬件及宿主机的安全要求.
1.审核硬件环境.在物理机上需要有足够的处理能力、内存、硬盘容量和带宽,以满足虚拟机的运行要求,建议预留一些额外的处理能力和内存.
2.加强对宿主机的硬件管理.务必要对宿主机的安全进行细致的审核.一是宿主机的物理环境安全,包括对进入机房的身份卡验证,对机器进行加锁(避免被人窃走硬盘);二是在安装完毕后拆除软驱、光驱;三是在BIOS里,禁止从其它设备引导,只允许从主硬盘引导.另外还要对BIOS设置*,避免被人修改启动选项;四是控制所有的外部接口.
3.加固宿主机的操作系统.宿主机的操作系统相对于虚拟机,需要更加审慎的安全策略,并且宿主机还应提供一些额外的安全措施,比如防火墙、入侵检测系统等.具体审计时,一是宿主机应该只有一个账户能管理虚拟机.*应该强壮,难以猜测,经常更换,只提供给必要的管理人员;二是如果需要接入网络,在开启服务之前,要使用防火墙限制,只允许必要的人访问;三是不需要的程序和服务不要开启,这样不仅可以保证安全,还可以节省资源;四是应及时升级补丁.
4.配置宿主机时间同步.虚拟机缺省都是依赖于宿主机的时钟,时钟的不准确性会导致任务的提前或滞后,例如我们设置周六到周日这两天,某些服务关闭,由于时间的重大差异,可能会造成业务中断.同时系统日志也充满了未知的不确定,导致系统管理员根本无法从日志上得出事件的真实事件.解决办法是配置同步时间服务器.
5.合理控制虚拟机的数量.在宿主机上创建虚拟机只要短短几分钟,但虚拟机数量越多,面临的安全风险也越大,导致管理、维护性能及配置供应的能力出现滞后.故应根据应用的需要,合理安排虚拟机数量,避免闲置的或测试用虚拟机在正式生产系统中的出现.
6.合理使用虚拟机的快照、复制技术.虚拟机的快照技术能够在错误出现时让损失降到最低,是虚拟机在特定时刻的状态、磁盘数据和配置等基于文件的一种保存方式,适当使用可以将虚拟机恢复到任何以前有正常快照的状态,但频繁使用会占用很大的存储空间,可能导致物理机I/O资源的大量消耗,虚拟机也可能因此崩溃.
(二)网络安全要求
1.对架构中的虚拟机进行隔离,尽量控制在DMZ区运行.由于宿主机内部的虚拟机通信是通过虚拟交换机来传送的.因此对外部网络安全控制机制来说是看不见的,应根据应用程序类型和数据敏感程度,把虚拟机隔离到“安全区”,并参照DMZ主机系统的加固方案来实施,只开放应用所需的必要服务.通常做法就是将虚拟的应用服务器和数据库服务器网段相互隔离,即把数据库服务器放置在另外一个对虚拟的应用服务器而言的DMZ区.
2.控制虚拟机层端口的访问.除了宿主机上开放的端口,虚拟机层也会使用宿主机的IP开放一些端口,这些端口可以允许其他人远程连接到虚拟机层,以查看或配置虚拟机、磁盘,或者执行其他任务.对这些端口的访问应该受到严格的控制,至少需要一个宿主机的防火墙,只允许授权者对这些端口的访问.最好不允许任何的远程访问,这样核心进程可以绝缘于外部环境.如此要求无法适应业务的需求,则可设置一台单独的管理机进行管理.
3.使用加密通信.一是必须使用通信加密手段,可以采用HTTPS、TLS、SSH或者加密VPN来管理;二是根据应用的仅有加密机制还是不够的,还应有身份鉴别和认证,以防止伪造源IP攻击、连接劫持、中间人攻击.
4.采取身份验证.对于宿主机和虚拟机一样,均需要同时配置身份验证方式.比如*的加密,登陆次数的锁定或延时等.
(三)对虚拟机服务和配置的要求.
1.禁用虚拟机部分功能.对于单一操作系统的虚拟机来说,总会有一些不需要的服务在启用,这些都是不必要的,而且他们占用了资源,可以关闭.例如屏幕保护、磁盘碎片整理、搜索工具(如搜索磁盘内的文件)、病毒和恶意软件扫描、文件完整性检查、日志和日志分析工具、系统更新等.
虚拟化技术论文参考资料:
结论:虚拟化技术审计应用为关于对写作虚拟化技术论文范文与课题研究的大学硕士、相关本科毕业论文cpu虚拟化技术要打开吗论文开题报告范文和相关文献综述及职称论文参考文献资料下载有帮助。
