淺談虛擬化技術: 制度下的安全性
現在,幾乎任何一個稱職的IT部門都會采用虛擬化技術來降低能耗,使服務器和操作系統的配置更具靈活性,存儲和系統資源被更好地利用。在虛擬化市場,各種解決方案層出不窮,虛擬化專業技術廠商、傳統IT企業紛紛粉墨登場,不同的虛擬化技術已經滲透到了各種IT應用環境中。然而,在應用持續流行的同時,如何確保安全性,如何促成標準的出臺以推動整個產業的持續發展,再度成為業界關注的話題。
虛擬化戰國時代
在虛擬化領域有眾多分支,包括虛擬機、存儲虛擬化、內存虛擬化、操作系統虛擬化、網絡虛擬化、數據中心虛擬化等。每種虛擬化都有其所對應的方案和技術,在企業應用的不同層面也存在著對不同虛擬化技術的需求。在眾多虛擬化技術的快速發展下,涌現出了一批技術領先的虛擬化廠商,他們之間相互合作、相互競爭,引領虛擬化技術不斷向前發展。
作為PC服務器虛擬化的始作俑者和領導者,VMware積極推動著虛擬化技術的發展。1999年,VMware開發了世界上第一個IA-32 虛擬機(主機體系結構),如今,VMware已經擁有一系列的虛擬化產品線,包括服務器、臺式機、工作站以及播放器等。VMware CEO Paul Maritz曾表示: “我們有完整的虛擬化產品線,目前最重要的任務是提高虛擬化的性能。為此,我們進行了CPU層面的虛擬化,未來希望把內存也進行虛擬化。除此之外,我們還可以實現分布化的虛擬化,以便更好地提高集群管理性、移動性和安全性。”
在虛擬化領域,開源的角色非常重要。在開源界,有兩個著名的開源虛擬化項目,那就是Xen和KVM。Xen是一個基于開源軟件的混合模型虛擬機,最早由英國劍橋大學計算機實驗室的Ian Pratt和 Keir Fraser等人領導的Xen開發小組完成。最初的Xen基于32位x86體系結構而設計開發,支持多個運行Xen操作系統虛擬機的服務器應用。今天的Xen已經可以支持32位x86架構(包括32位PAE)、64位x86架構、安騰和Power PC架構; 同時還支持SMP、虛擬機保存恢復、虛擬機動態遷移、設備驅動域等功能。
其實,早在2006年,Gartner就發布了一份服務器技術發展研究報告,其中有一個不同尋常的預測: 到2010年,共享的操作系統虛擬化將成為主流虛擬化技術。而在此之前,虛擬化和虛擬機是同義詞,操作系統虛擬化并不被認為是虛擬化。可以說,是Gartner的這份研究報告首次擊破了這一論斷,同時也給了SWsoft更大的市場機會,SWsoft正是操作系統虛擬化的積極倡導者。對于這個紛繁的虛擬化市場,SWsoft CEO張自力認為: “不同領域的虛擬化廠商有著不同的產品推廣和技術路線,不同的技術路線可能互相配合,也可能各自為營,所以不同的虛擬化廠商都有其各自的優勢,對用戶而言,這些虛擬化產品是很可能同時應用的,是可以并存的,而并不是相互排斥的關系。”
除了上述主流虛擬化廠商與項目外,作為傳統IT廠商的微軟、IBM、HP也紛紛涉足虛擬化市場。早在2003年,微軟就通過收購虛擬服務器軟件公司Connectix進軍虛擬化領域; 2004年,微軟宣布將Connectix Virtual PC系統免費下載,這進一步推動了虛擬機的普及,并更好地傳遞了虛擬化的概念。現在,微軟的精力主要集中在了Virtual PC的“孿生兄弟”Virtual Server上,由于數據中心服務器的平均使用率低于30%,有效整合現有服務器成為降低成本、提高效率的關鍵,Virtual Server的推出就是為了解決這一問題。
IBM一直都是虛擬化技術的倡導者,早在1970年,IBM在大型主機方面就已經開始應用虛擬化技術; 2001年,IBM將虛擬化技術引入到了小型機產品上; 2002年,增加了動態邏輯分區的功能,使得用戶不必停機就可以動態調整分區中的資源; 2003年,又增加了按需應變的功能; 2004年,實現了微分區功能,IBM在當年推出的Power 5服務器就做到了0.1個CPU一個分區; 2005年,IBM又推出了虛擬化管理平臺,這就簡化了對分區劃分功能的操作; 2008年10月,IBM將原有的System p和System i兩個系列的主機整合為一個新的產品系列—IBM Power System,這意味著IBM在對小型機產品進行一次更全面的整合和升級的同時,PowerVM也成為了最新代替原有AVP(Advanced POWER Virtualisation)技術的全新虛擬化平臺,其除了能夠提供原有 System p和System i所支持的虛擬化技術以外,還帶來很多新的虛擬化技術,如PowerVM Lx86、Live Partition Mobility和System Planning Tool等。
Sun對于虛擬化的理解是強調計算資源可以通過一種邏輯的方式來實現,用戶并不需要知道邏輯和物理的計算能力究竟是怎樣對應的,但卻能安全、有效地使用計算資源。Sun之前就已經推出了全套的虛擬化解決方案,企業用戶可以在正確的時間和地點應用正確的技術,總體來看,可以歸結為三種實現方式: 同操作系統不同應用、不同操作系統不同應用、大型機和小型機的虛擬化技術。同時,Sun的開源虛擬機VirtualBox已經成為廣大開源愛好者手中的首選虛擬機軟件。不過,隨著Oracle收購Sun塵埃落定,Sun的虛擬化技術何去何從就有待觀察了。
HP將其虛擬化歷程分為了三個階段,目前HP正在進入第三個階段,即IT環境的虛擬化,HP提出的下一代數據中心,就是強調數據中心整體的虛擬化解決方案,包含的內容不僅僅是服務器,還有存儲、網絡,甚至整個數據中心。
此外,在虛擬化領域競爭最激烈的就是虛擬機,VMware是這個市場的先行者,占據著較大的市場份額,雖然微軟與Xen等競爭者也分別推出了與VMware Server和VMware Workstation相似功能的產品,但短時間仍無法達到Virtual Center這種成熟管理工具的水平。2006年,微軟將Virtual Server變成免費產品,同時在Windows Vista Enterprise的授權政策中允許一個使用者在一臺計算機上安裝多達四臺的虛擬服務器,這些舉措也為微軟贏得了不少用戶。Xen在某些方面像是個新進者,但其實這個軟件也已經演進了快四年,其開放源代碼的特性得到了業界的支持。Intel與AMD紛紛投身到Xen的研發計劃中,Intel在中國專門建立了開源研究中心進行Xen項目的研發; Red Hat和Sun的OpenSolaris操作系統也表示支持Xen項目,并將其整合到了操作系統中。
Xen的開放式特性是其亮點,微軟擁有雄厚的資金支持和技術領先的研發隊伍,而VMware更想憑借其領先的技術和品牌鞏固自己的市場地位。虛擬化市場激烈競爭的同時,也為用戶提供了更優的技術、更多的選擇空間。
虛擬化安全嗎?
虛擬化應用已經成為一種趨勢,專業的虛擬化解決方案提供商、傳統的IT廠商都有了全面且成熟的虛擬化解決方案; 企業實施了虛擬化技術,通過讓多臺服務器共享一個單一的物理平臺,不僅節約了硬件成本、許可證成本、能耗和管理成本,同時降低了功耗、提高了系統利用率、也有效提高了生產力。這是一件皆大歡喜的事情,但是,對于虛擬化安全性的考慮,成為了CIO們是否實施虛擬化的首要選擇條件,在實施虛擬化技術的同時,浮現在CIO腦海中的往往是: “這東西安全嗎?”
在最近召開的RSA安全會議上,Configuresoft公司首席安全官Dave Shackleford及市場戰略副總裁Farrow均連續第二年介紹了虛擬化技術的安全問題。如果說在此次大會上有與節約成本相媲美的熱點話題,那么非虛擬化莫屬。討論的核心問題是如何確保新的虛擬環境中的安全問題。而在兩年前的RSA大會上,只安排了一場關于虛擬安全的專題會議,去年增加到了3場,而今年則是9場。
這從一個側面反映出虛擬化的安全問題得到了前所未有的重視。有專家表示,與傳統服務器相比,虛擬服務器并不缺乏安全性,而且通過劃分應用,可以提供很多額外的安全性。 企業在生產系統中部署了虛擬服務器之后,為利用虛擬化的彈性優勢,很多企業隨之而來也改變了他們的操作模式。隨著服務器池中資源的進一步集中,動態化與自動化成為了新的運維方法,而一些有害的、有漏洞的、或者不安全的操作系統映像文件也會在其中進行自動配置。因此,虛擬服務器并不一定代表不安全。
張自力認為,目前市面上的虛擬化軟件的安全記錄還是很不錯的。對虛擬化可能存在的安全漏洞的質疑和攻擊一直都沒有停止過。“我相信虛擬化技術經得起用戶規模進一步擴大的挑戰。相對于物理操作系統而言,無論是虛擬機還是虛擬化容器,其代碼規模和結構都要簡單得多,更好的安全性是完全可以做得到的。” 張自力說。在這里也要提醒最終用戶,安全漏洞不是主要問題,用戶需要關注的是虛擬化技術的引入對IT管理方式和流程帶來的變化。“原來一些系統遷移的工作通過虛擬化可以在瞬間完成,這樣,如果萬一出現了誤操作,可能會導致破壞安全準則的情況。因此,在虛擬化實施過程中,參考ITIL等標準,對IT設施的管理給予更多的關注,是相當必要的。” 張自力補充說。
基于安全性的考量,VMware早就開始準備了。在2008年3月,VMware發布VMSafe計劃為虛擬安全服務提供了一個框架,并為與虛擬機和hypervisor交互作用的虛擬安全服務提供了必要的API(應用程序接口),這組API可以讓虛擬安全工具檢查和過濾虛擬機的所有內存、CPU、進程、存儲以及網絡流量。此外,還實現了即可在虛擬機上運行,又能保持與虛擬機內各種惡意程序的完全隔絕。在傳統操作系統上運行的安全代理解決方案可以被惡意軟件終止或破壞,而虛擬安全解決方案則不同,其處在不會被操作系統觸及到的地方。
難怪VMware全球市場部副總裁Karthik Rau自豪地表示,當前能想到的做服務器整合最安全的平臺就是虛擬化的平臺。“因為盡管都是在一個共享的機器上運轉,但是它們還是相對獨立的。當然安全方面最大的問題就是我們如何來應用我們的虛擬機,包括如何分配像系統管理員的職責,比如誰是負責操作系統的?誰是負責其他方面的?這主要是系統設計的問題。”
除此之外,一些新技術也被不斷應用到虛擬化中,Intel開源研究中心主任工程師董耀祖介紹說: “利用虛擬機技術將不同的應用運行在不同的虛擬機上,從而避免了傳統操作系統下各進程之間的互相影響,這使得一個應用的安全漏洞不會影響另一個應用,從而增加了系統的整體安全性。當然,在今天,虛擬化技術仍處于發展的早期,出現安全漏洞也不可避免; 與此同時,很多安全性方面的技術也正在被不斷應用到虛擬化實踐中來,以提高虛擬化系統的整體安全性,如Intel TXT技術等。”
標準很重要
中國有句俗語叫“無規矩不成方圓”,強調了“規矩”的重要性。在IT領域,“規矩”同樣重要,那就是我們常說的標準。無論是開放標準W3C,還是私有文檔標準,甚至瀏覽器的事實標準IE,無不推動了整個產業向前發展。標準,在虛擬化領域同樣重要,尤其是當虛擬化存在諸多安全隱患時,當虛擬設備格式錯綜復雜時,當各家虛擬化遷移工具互不兼容時,標準的出臺則更顯珍貴,“制度”下才有安全,安全需要“制度”。
目前,虛擬化技術的標準化工作還處在一個非常初期的階段。總體來看,各家廠商都有自己的文件系統格式和API,因此實現全面標準化的條件還并不成熟。以“從一個虛擬化遷移到另一個虛擬化”這一技術來說,雖然采用各家公司的P2V工具都是可以很方便做到的,但是這種方式并不是直接的轉換。張自力認為,目前業界需要關注的是虛擬化領域中的開放性和互操作性問題。“事實上現在虛擬化應用所面臨的一個很重要的問題就是互操作性,而標準化的最大目標就是保證互操作性。在虛擬化領域存在眾多的廠商和眾多的產品,并且他們彼此之間相互競爭又合作,因此只有保證了互操作性才能真正滿足用戶的需求。”張自力表示:“API要開放,以便于管理工具集成虛擬化技術,而不是把虛擬化管理工具壟斷在廠商自己手中; 虛擬化軟件、操作系統、硬件驅動等相關IT部件的互操作性也是必須保證的; 而對文件系統格式的開放,可能就需要更長的時間了。”
其實,在2008年,VMware、Citrix Systems、微軟以及IBM、惠普和戴爾一直都與位于俄勒岡州波特蘭的標準組織DMTF(分布式管理任務組)合作,以為虛擬機制定一個互操作性規范。目前,已經制定了一個初步的規范,名為OVF(開放虛擬機格式),并且還制定了符合這個規范的工具。OVF中涉及的內容主要就是為了解決之前阻礙虛擬化應用的一些問題; 除此之外,OVF支持多虛擬化映象格式。因此,對于任何監管程序的虛擬機都可以使用OVF 引導程序來加載,而且,OVF引導程序也是基于數字簽名的,這確保了免費發布以及用戶的利益。
當然,OVF還并不完美,虛擬化的標準化之路還很長。董耀祖就表示: “統一虛擬化的標準還有很長的路要走。不過我們現在已經欣喜地看到,一些企業與企業間的聯合已經出現了。包括在Linux領域,已經有一個虛擬化工作組來討論與Linux虛擬化相關的技術問題; 在工業界,一些主要虛擬化方案提供商也正朝著相互兼容和標準化的方向努力,即使非開源的公司,如微軟也公布了hypercall的接口,以便其他的虛擬化方案如Xen也能運行下一代Windows操作系統Viridian等。這些努力最終都將使用戶受益,并幫助他們更好地使用不同的虛擬化方案。”
【編輯推薦】
