Главная страница
Навигация по странице:

  • 1 Основные понятия и типы гипервизоров

  • 2 Угрозы средств виртуализации и методы их защиты

  • 3 Сравнение производительности гипервизоров

  • Список литературы

    		•

    Реферат: Средства виртуализации, гипервизоры. Проф практикум_Реферат_Средства виртуализации, гипервизорыв. Средства виртуализации, гипервизоры


    Скачать 86.32 Kb.
    НазваниеСредства виртуализации, гипервизоры
    АнкорРеферат: Средства виртуализации, гипервизоры
    Дата11.09.2021
    Размер86.32 Kb.
    Формат файлаdocx
    Имя файлаПроф практикум_Реферат_Средства виртуализации, гипервизорыв.docx
    ТипРеферат
    #231375


    Реферат на тему:

    «Средства виртуализации, гипервизоры»


     

    Москва, 2021 г.

    СОДЕРЖАНИЕ

    Введение 3

    1 Основные понятия и типы гипервизоров 4

    2 Угрозы средств виртуализации и методы их защиты 7

    3 Сравнение производительности гипервизоров 9

    Заключение 13

    Список литературы 14



    Введение

    В настоящее время все большую популярность набирают технологии виртуализации. И это не является случайным – вычислительные мощности компьютеров повышаются. В результате развития технологий, появляются шести, восьми, шестнадцати ядерные процессоры. Растёт пропускная способность интерфейсов компьютеров, а также ёмкость и отзывчивость систем хранения данных.

    В результате появляется ситуация, что обладая такими мощностями на одном физическом сервере, можно перенести в виртуальную среду все серверы, которые функционируют в компании. Это становится возможным при помощи современной технологии виртуализации.

    Технологии виртуализации в настоящее время становятся одним из ключевых компонентов современной ИТ-инфраструктуры крупных организаций. Сейчас уже сложно представить построение нового серверного узла компании без использования технологии виртуализации. Определяющими факторами такой популярности, несмотря на некоторые недостатки, можно назвать экономию денег и времени, а также высокий уровень безопасности и обеспечение непрерывности бизнес-процессов.

    1 Основные понятия и типы гипервизоров

    В качестве виртуализации понимают предоставление набора вычислительных ресурсов либо их логическое объединение, которое абстрагировано от аппаратной реализации и которое при этом обеспечивает логическую изоляцию вычислительных процессов, выполняющихся на одном физическом ресурсе. Виртуализация смогла избавить пользователя либо программиста переписывать свои программы для определённой машины. Достигалось это при помощи того, что виртуальная машина, функционирующая на физической машине, являлась идентичной ей.

    Виртуальная машина представляет собой изолированный программный контейнер, работающий с собственной операционной системой и программными приложениями, сходно с физическим компьютером. Она функционирует также как и физический компьютер, и в ней содержатся собственные оперативные запоминающие устройства, сетевой адаптер и жёсткий диск.

    Хостовая операционная система – является операционной системой, которая устанавливается на реальное оборудование.

    Гипервизор или по-другому монитор виртуальных машин является программой, которая обеспечивает все необходимые взаимодействия между реальным и виртуальным оборудованием, которая поддерживает работу одной либо нескольких виртуальных машин и установленных гостевых операционных систем.

    Гостевой операционной системой называется операционная система, которая устанавливается на созданную виртуальную машину.

    Виртуальные машины подразделяются на следующие большие классы: системные виртуальные машины и языковые.

    Системными виртуальными машинами обеспечивается доступ к полному по функционалу окружению, сочетающем в себе операционную систему и несколько процессов, включая и для различных пользователей. Помимо этого, при помощи данных виртуальным машин одной физической машиной может поддерживаться одновременная работа нескольких гостевых операционных систем, которые изолированы друг от друга. По состоянию на текущий момент времени данный класс машин набирает популярность по причине распространения серверов и серверных комплексов, которые занимаются обслуживанием больших групп пользователей.

    Языковые зачастую применяются для выполнения одного гостевого приложения (редко многопоточного) внутри одной копии виртуальной среды. Данный класс виртуальных машин не занимается задачами разграничения доступа к ресурсам, а только предоставляют для пользовательской программы доступ к окружению, которое не зависит от параметров физической системы. К представителям данного класса виртуальных машин следует отнести .NЕT и JАVА Virtuаl Mаchinе.

    Чтобы реализовать параллельную работу нескольких виртуальных машин на одной хостовой операционной системе необходимо специальное программное либо аппаратное обеспечение – монитор виртуальной машины (гипервизор). К гипервизору предъявляются такие основные требования как следующие:

    – эквивалентность – когда любое программное приложение, которое выполняется под управлением виртуальной машины, должно функционировать в точности также как и на реальной системе, только с ограниченными ресурсами;

    – изоляция представляет собой требование регламентирующее, что каждая из виртуальных машин должна обладать доступом лишь к специально назначенным для неё ресурсам и она не должна оказывать влияние на деятельность гипервизора и функционирование остальных виртуальных машин;

    – эффективность – предусматривает то, что существенная доля инструкций виртуального процессора обязана выполняться непосредственным образом, без необходимости вмешательства гипервизора.

    Гипервизор виртуальной машины занимается управлением распределения всех аппаратных ресурсов между несколькими гостевыми операционными системами, которые совместно со своими процессами функционируют под его скрытным контролем. В случае если гостевая операционная система будет пытаться исполнить привилегированную инструкцию, тогда гипервизор её перехватит, проверит и исполнит от имени гостевой операционной системы.


    2 Угрозы средств виртуализации и методы их защиты

    Использование технологий виртуализации создает предпосылки для появления угроз безопасности, не характерных для информационных систем, построенных без использования технологий виртуализации и выделяет основные объекты, требующие защиты при использовании технологий виртуализации. К данным объектам относят следующие:

    – средства создания и управления виртуальной инфраструктурой (гипервизор I типа, гипервизор II типа, гипервизор системы хранения данных, консоль управления виртуальной инфраструктурой и др.);

    – виртуальные вычислительные системы (виртуальные машины, виртуальные сервера и др.);

    – виртуальные системы хранения данных;

    – виртуальные каналы передачи данных;

    – отдельные виртуальные устройства обработки, хранения и передачи данных (виртуальные диски, виртуальные процессоры, виртуальную память, виртуальное пассивное и активное сетевое оборудование и др.);

    – виртуальные средства защиты информации (ЗИ) и средства ЗИ, предназначенные для использования в среде виртуализации;

    – периметр виртуальной инфраструктуры (задействованные при реализации технологий виртуализации центральные процессоры и их ядра, адресное пространство памяти, сетевые интерфейсы, порты подключения внешних устройств и др.).

    Согласно ГОСТ Р 56938-2016 кроме существующих угроз информационной безопасности, ранее определённых в ГОСТ Р ИСО/МЭК 27001-2006 внедрение технологий виртуализации дополнительно может привести к появлению следующих угроз:

    – угрозы атаки на активное и/или пассивное виртуальное и/или физическое сетевое оборудование из физической и/или виртуальной сети;

    – угрозы атаки на виртуальные каналы передачи;

    – угрозы атаки на гипервизор из виртуальной машины и/или физической сети;

    – угрозы атаки на защищаемые виртуальные устройства из виртуальной и/или физической сети;

    – угрозы атаки на защищаемые виртуальные машины из виртуальной и/или физической сети;

    – угрозы атаки на защищаемые виртуальные машины из виртуальной и/или физической сети;

    – угрозы атаки на систему хранения данных из виртуальной и/или физической сети;

    – угрозы выхода процесса за пределы виртуальной машины;

    – угрозы несанкционированного доступа к данным за пределами зарезервированного адресного пространства, в том числе выделенного под виртуальное аппаратное обеспечение;

    – угрозы нарушения изоляции пользовательских данных внутри виртуальной машины;

    – угрозы нарушения процедуры аутентификации субъектов виртуального информационного взаимодействия;

    – угрозы перехвата управления гипервизором;

    – угрозы перехвата управления средой виртуализации;

    – угрозы неконтролируемого роста числа виртуальных машин;

    – угрозы неконтролируемого повышения количества зарезервированных вычислительных ресурсов;

    – угрозы нарушения технологии обработки информации путём несанкционированного внесения изменений в образы виртуальных машин;

    – угрозы несанкционированного доступа к хранимой в виртуальном пространстве защищаемой информации;

    – угрозы ошибок обновления гипервизора.

    В зависимости от объекта защиты информации ГОСТ Р 56938-2016 предлагает шесть групп мер ее защиты:

    – защита средств создания и управления виртуальной инфраструктурой;

    – защита виртуальных вычислительных систем;

    – защита виртуальных систем хранения данных;

    – защита виртуальных каналов передачи данных;

    – защита отдельных виртуальных устройств обработки, передачи и хранения данных;

    – защита виртуальных средств защиты информации и средств защиты информации, которые предназначены для применения в среде виртуализации.
    3 Сравнение производительности гипервизоров

    Для сравнения рассмотрим самые производительные неавтономных гипервизоров, которые работают по управлением операционных систем Linuх (KVM и Xen 4.10.0) и Windоws (VMware P;ayer 14 и Oracle VirtualBox 5.2.8).

    а) Центральный процессор.

    Гипервизоры Хеn и KVM имеют большие возможности задания свойств виртуального процессора – от наборов инструкций и модели данного процессора до его топологии. С целью достичь оптимальную производительность необходимо обозначить модель в качестве «проброс хостового центрального процессора», который передаёт почти полную информацию о физическом устройстве. При применении КVM свойство топологии процессора «число потоков» определяет число потоков на одно ядро, но не для всего центрального процессора.

    Недоступное для операционной системы Windоws включение больших страниц памяти немного повысит производительность, тем не менее делает включённые страницы недоступными хостовой системе, основанной на Linux. Результаты проведённого тестирования показаны на рисунках 1-4.


    Рисунок 1 – Тестирование ЦП в СPU-Z версии 1.83, применяется одно ядро



    Рисунок 2 – Тестирование ЦП в СPU-Z версии 1.83, применяются все ядра



    Рисунок 3 – Тестирование ЦП в тесте производительности 7-Ziр версии 18.01



    Рисунок 4 – Тестирование ЦП в Cinеbеnch R15
    Самая большая производительность была достигнута с применением Хеn, отличие в производительности среди рассмотренных гипервизоров является незначительной.

    б) Видеоподсистема.



    Рисунок 5 – Результаты тестирования видеоподсистемы в Cinеbеnch R15

    Производительность физического видеоадаптера в приложениях, которые требуют большого объёма видеопамяти, в гипервизоре Хеn существенно больше, чем в КVM. Данное обстоятельство может быть вызвано причиной неоптимального управления гипервизором IОММU.

    в) Оперативная память и сетевая подсистема.

    С целью обеспечить соединение между виртуальной и хостовой операционной системой использовался механизм трансляции сетевых адресов при помощи виртуального адаптера типа мост, виртуальный сетевой адаптер – Rеd Hat VitIO Nеtwork Аdаpter, который обеспечивает максимальную скорость осуществления обмена информацией. Разница в оценках скорости передачи информации по протоколам ТСР, IСMP и UDP находилась в пределах ±1% это можно связать с погрешностями тестового программного обеспечения. Отличия в тестировании функционирования оперативной памяти (задержка, запись, копирование и чтение) тоже являются незначительными, на уровне 1%.

    г) Дисковая подсистема.

    В каждом из гипервизоров можно использовать физический носитель и файловый контейнер фиксированного размера либо динамического, как хранилище. Виртуальные машины применяли файловые контейнеры, чтобы обеспечить лучшую переносимость и виртуальную дисковую шину IDE.

    Кроме гипервизора Xen остальными поддерживается создание снимков виртуальной машины, чтобы быстро восстанавливаться в предыдущее состояние. В случае использование Хеn создание снимков возлагается на операционную систему.

    В меньшей степени производительной и гибкой оказалась дисковая подсистема Хеn, а самой приближенной к реальной дисковой скорости – VirtuаlBox.

    Таким образом, можно сформулировать выводы, что при применении хостовой операционной системы на основе ядра Windows лучшие показатели у VMware Player, по некоторым параметрам превосходящий вариант с применением VirtualBox.

    С использованием Linux в качестве операционной системы хоста чтобы достигнуть максимальную производительность центрального процессора и устройств РСI-Ехрress (например, с целью проводить ресурсоёмкие расчёты либо при тестировании) необходимо использовать Хеn. В случае если необходимо обеспечить виртуальную машину увеличенной скоростью дисковой подсистемы, как и гибкостью в управлении наиболее предпочтительный вариант – использование КVМ, если можно допустить некоторые потери производительности устройств РСI-Ехрress.

    Заключение

    Технологии виртуализации являются неотъемлемой частью современной IT-инфраструктуры, так как они позволяют существенно ускорить внедрение новых и оптимизировать затраты на поддержку имеющихся информационных услуг и систем.

    Масштабное введение технологий виртуализации в деятельность различных служб приведёт к существенному перераспределению и снижению затрат на IT-технологии. Технологии современных микропроцессоров, повышение производительности локальных сетей и сетей WAN (в т. ч. и беспроводных) обеспечивают возможность виртуализации почти каждого элемента IT-индустрии и при необходимости реализации его в качестве масштабируемого облачного сервиса.

    Многообразие векторов атак, нацеленных на различные компоненты и службы виртуальной среды, приводит к тому, что для безопасности обработки информации в виртуальных центрах обработки данных недостаточно просто установить любой из специализированных продуктов. Обеспечение безопасности виртуального центра обработки данных требует создания всесторонней системы защиты, принимая во внимание критические векторы атак и новые возможности для преступников, и построения ряда процессов обеспечения ИБ: обеспечение доступа, управление инцидентами, событиями, обновления и конфигурации безопасности, актуализацию угроз и анализ уязвимостей.

    Список литературы

    1. ГОСТ Р 56938-2016 «Защита информации. Защита информации при использовании технологий виртуализации. Общие положения».

    2. ГОСТ Р ИСО/МЭК 27001-2006. «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности требования».

    3. Алексеев А.Л., Красноперова Е.А., Вахрушева Е.А. Гипервизоры и виртуальные машины // Сборник трудов Всероссийской научно-технической конференции. отв. ред. К. Ю. Петухов. 2019
      Издательство: Издательство ИжГТУ им. М.Т. Калашникова. – 2019. – С. 121-128.

    4. Гилязев И.Н. Концепция и методы обеспечения безопасности среды виртуализации // Материалы конференций ГНИИ «Нацразвитие». Апрель 2018 Сборник избранных статей Международных научных конференций. – 2018. – С. 121-124.

    написать администратору сайта