4 服务器虚拟化技术的融合

　　上述三种技术流派能够在众多技术中脱颖而出，自然有它们各自成功的道理。但是随着不同技术流派的相互取长补短，这三种虚拟化流派也大有逐渐融合的趋势。比如VMware ESX最初借由BT技术实现了全虚拟化，后期也支持硬件辅助虚拟化实现局部功能，而近期它又提出将部分设备资源的虚拟化功能通过半虚拟化方式来实现;又比如开源的Xen早期版本是典型的半虚拟化，它借助Domain0域完成大量虚拟化功能，然而Xen后期版本中又通过另一种不同于BT的技术实现了对全虚拟化的支持，目前它也支持硬件辅助虚拟化;再如内核虚拟机KVM，目前也融合支持三种虚拟化模式，尽管它是一种独特的虚拟化方式，但大致未跳出三种主流技术的框架;至于微软的Hyper-V，其虚拟化模式原本就与半虚拟化的Xen很相似，而且它必须借由硬件辅助以达到性能和安全方面的突破。

　　万变不离其宗，无论如何，服务器虚拟化技术的首要目的就是要高效灵活地完成不同层面计算资源的调配任务，它将包括CPU、内存、网络、存储和其它硬件在内的各类硬件资源严格地隔离开来，从而实现资源的动态化部署和充分利用，并且防止资源冲突。

　　服务器虚拟化安全风险解析及解决方案

　　从上一节描述的几种技术特性分析，服务器虚拟化技术除了要防范来自传统IT环境已有的安全威胁，还将面临由于其自身缺陷所带来的新的安全问题。与传统IT环境安全相对比，由服务器虚拟化引起的新安全隐患主要来自三个方面：一是VMM的设计缺陷;二是虚拟机之间通讯引起的风险;三是虚拟化管理平台存在漏洞。针对来自这些方面的风险，目前有一部分风险已经有了成熟的防范措施，而另一些还需继续研发出有效措施。

　　1 VMM设计缺陷

　　当前虚拟机系统的安全机制，都是建立在假设VMM完全安全可信的前提之上的，遗憾的是在几种服务器虚拟化实现技术中，VMM的安全性并未获得增强的防护能力。VMM的设计过程中确实存在一些漏洞可供攻击者利用，此外VMM内部的安全措施无法识别和阻止来自外部的篡改和替换。例如，虚拟机逃逸攻击(VM Escape)就是对于VMM安全漏洞的利用，如果入侵者获得VMM的访问权限，可直接对其他虚拟机进行攻击，假如入侵者关闭了VMM，将导致宿主机上所有虚拟机关闭。

　　目前针对VMM的攻击途径有两种：一是通过应用程序接口(API)攻击，操控一台虚拟机向VMM发出请求，VMM缺乏安全信任机制来判断虚拟机发出的请求是否经过认证和授权。二是通过网络对VMM进行攻击，如果网络配置有缺陷，缺乏配套的安全访问控制，入侵者就可能连接到VMM的IP地址;即使入侵者无法暴力破解VMM的登陆口令，但是依然可以发动拒绝服务攻击，如果VMM资源耗尽，那么运行在其上的所有虚拟机也将宕机。此外管理人员还无法通过网络连接VMM，只能重启VMM和上面所有的虚拟机。

　　针对上述VMM设计缺陷造成的虚拟化安全风险，目前的主要对策是结合以下两种手段：①针对API攻击防范的思路，是将可信计算术与虚拟化技术结合，构建可信虚拟化平台，形成完整的信任链，允许同时运行不同安全等级的应用。宿主机应选用具有可信计算平台安全模块的服务器。所谓可信平台模块定义了一套安全规格，TPM是服务器主板上的一块安全芯片，它能抵抗软件攻击，从而可以作为系统的可信根。TPM提供包括密钥生成，加密，解密，签名，安全Hash运算，以及随机数生成等功能，芯片内部的少量的安全存储空间，可以存储私钥和对称密钥等敏感信息。通过虚拟化TPM模块获得每台虚拟机的vTPM[7]，再与VMM和宿主机、虚拟机之间可以构建完善的信任链，保障VMM不受恶意代码的API攻击。值得一提的是，从安全战略角度考虑，如果完全采用国外的TPM，我国安全体系的控制权就将落入他人之手。好在我国和国际上其他组织几乎是同步进行可信计算平台的研究，其中最核心的密码技术完全采用我国自主研发的密码算法和引擎，我国称之为可信密码模块(Trusted Cryptography Module，TCM)，我们也可以将TCM虚拟化成vTCM，供虚拟机使用。②虚拟化平台中的每台物理机上的VMM必须严格分配不同的Vlan子网，实现网络的逻辑隔离，只有处于特权级别的虚拟化平台管理机，才可以通过防火墙访问控制策略来实现对平台中所有VMM进行监控管理。

　　2 虚拟机通讯风险

　　服务器虚拟化之后，与传统服务器环境相比，网络格局的变化相当大，相应地产生了许多安全问题。传统IT环境中的一些有效安全措施，一旦移植到服务器虚拟化网络环境中就容易出现水土不服现象。