【CNETCOM 技術】服(fu)務(wu)器(qi)虛(xu)擬(ni)化(hua)技(ji)術(shu)在(zai)過(guo)去(qu)幾(ji)年(nian)獲(huo)得(de)了(le)長(chang)足(zu)發(fa)展(zhan)。它(ta)隻(zhi)需(xu)要(yao)較(jiao)少(shao)的(de)硬(ying)件(jian)資(zi)源(yuan)就(jiu)能(neng)運(yun)行(xing)多(duo)種(zhong)應(ying)用(yong)程(cheng)序(xu)和(he)操(cao)作(zuo)係(xi)統(tong)，能(neng)允(yun)許(xu)用(yong)戶(hu)根(gen)據(ju)自(zi)身(shen)需(xu)求(qiu)快(kuai)速(su)調(tiao)配(pei)新(xin)的(de)資(zi)源(yuan)。服(fu)務(wu)器(qi)虛(xu)擬(ni)化(hua)的(de)優(you)勢(shi)已(yi)經(jing)從(cong)多(duo)方(fang)麵(mian)論(lun)述(shu)過(guo)了(le)

，但(dan)對(dui)hypervisoranquanquexiandeguanzhuhaibugou。ruguoninyouyubuxiaoxinhuoqueshaojingyan，jiuhuihenrongyiyudaoanquanwenti。youzhuanjiajinggaoshuo，xunifuwuqixiangduiwulifuwuqieryangengrongyishoudaogongji，zheyeshiguanlichengxujishukaifaguochengzhongmianlindexindeyinhuan。

　　每台物理機執行多個工作負載同時也存在風險。每個實例之間必須相互隔離以免有意或無意相互幹涉。hypervisor或虛擬機監控器VMM是虛擬硬件的軟件，提供子機之間的隔離。但是麵對相對較新的非主機虛擬化和處理密集工作負載的需求，hypervisor安全愈發重要。Gartner預測60%以上計劃在2012年用虛擬服務器代理物理服務器的環境，安全性降低了。

　　更多企業轉向虛擬化來降低成本和增加靈活性
，同時又帶來了虛擬化和hypervisor安全方麵的花費。如今市麵上有各式各樣的虛擬化hypervisor，該如何選擇才能在既降低成本的同時保護安全呢?

　　首先
，hypervisor的代碼越少就意味著受攻擊的點越少。基於內核的虛擬機KVM hypervisor內置於Linux內核
，利用Linux自身的調度器進行管理，所以其核心源碼很少。KVM是裸機管理程序

，無需修改操作係統直接運行於硬件係統之上
，屬於Type 1 hypervisor。由於Type 1管guan理li程cheng序xu以yi簡jian化hua層ceng的de方fang式shi向xiang虛xu擬ni機ji提ti交jiao虛xu擬ni化hua後hou的de硬ying件jian資zi源yuan，因yin此ci它ta可ke以yi提ti供gong更geng好hao的de性xing能neng和he可ke擴kuo展zhan性xing。從cong而er減jian少shao了le運yun行xing管guan理li程cheng序xu本ben身shen所suo需xu的de花hua銷xiao。

　　其次，在虛擬環境中
，一個軟件實例服務於多個客戶端，這就涉及到子機隔離的問題。客戶信任hypervisor。毫無疑問
，hypervisor上麵的子操作係統必須阻止安全漏洞的發生。並且，客戶端數據的訪問必須受到保護。由於KVM屬於Linux一部分，所以遵循Linux進程隔離。在內核中，自主訪問控製DAC阻止用戶訪問未授權的資源或其他進程。

　　同樣，基於硬件的隔離也很重要。KVM使用專為虛擬化打造的處理器指令，確保在hypervisor之間子機的隔離。英特爾虛擬機擴展VMX技術與AMD安全虛擬機SVM說明添加了第三層隔離與保護。

　　與傳統DAC對應就是MAC，即強製訪問控製。除了DAC隔離，通過SELinux
，KVM還集成了MAC。有了MAC，是管理員而不是處理器擁有者去決定哪些用戶可以對哪些對象進行哪些操作類型的訪問。sVirt API在SELinux中集成了MAC與Linux虛擬化，是RHEL 6的一個默認選項。此外，在IBM係統上采用KVM的RHEL通過了通用標準評估保準級別4+(EAL4+)認證，達到政府安全標準。