鄭懷宇

福建中醫(yī)藥大學(xué)校園計(jì)算機(jī)網(wǎng)絡(luò)建于1998年，2002年配合“數(shù)字福建”建設(shè)規(guī)劃，擬定《“數(shù)字福建中醫(yī)學(xué)院”建設(shè)規(guī)劃草案》。2004年制定《福建中醫(yī)學(xué)院數(shù)字化校園建設(shè)總體規(guī)劃》，同年立項(xiàng)建設(shè)。2007年完成數(shù)字化校園建設(shè)招標(biāo)，同年10月統(tǒng)一身份認(rèn)證、信息門戶、數(shù)據(jù)共享和辦公自動(dòng)化系統(tǒng)首先投入使用，隨后其它系統(tǒng)也相繼投入使用至今。經(jīng)過多年的校園信息化項(xiàng)目建設(shè)，現(xiàn)有數(shù)十臺(tái)機(jī)架式服務(wù)器及刀片式服務(wù)器、多套存儲(chǔ)硬件，通過虛擬化部署，承載數(shù)字化校園、網(wǎng)站群系統(tǒng)等眾多應(yīng)用，數(shù)據(jù)級(jí)容災(zāi)跨兩個(gè)校區(qū)，覆蓋Linux/Windows兩大平臺(tái)的數(shù)據(jù)庫、中間件等等。

防止漏洞攻擊

近年來，福建中醫(yī)藥大學(xué)加強(qiáng)了數(shù)據(jù)中心的安全防護(hù)建設(shè)，先后部署了安全網(wǎng)關(guān)、WEB應(yīng)用防護(hù)，防病毒軟件等安全系統(tǒng)，基本實(shí)現(xiàn)了物理邊界安全及終端安全。但由于虛擬化系統(tǒng)本身的特性，如何實(shí)現(xiàn)虛擬化系統(tǒng)的主機(jī)漏洞防護(hù)面臨著不少挑戰(zhàn)。

不管是物理服務(wù)器還是虛擬服務(wù)器，其上的操作系統(tǒng)包括各種數(shù)據(jù)庫、中間件等等應(yīng)用都可能存在安全漏洞，黑客或者病毒等可以通過這些漏洞攻擊服務(wù)器。

針對(duì)服務(wù)器的漏洞，如果用打?qū)嶓w補(bǔ)丁的方法解決，需要與涉及的所有第三方應(yīng)用軟件開發(fā)商協(xié)調(diào)及確認(rèn)應(yīng)用軟件的兼容性，且很多補(bǔ)丁修補(bǔ)都需要重啟動(dòng)服務(wù)器。這種做法每年集中做一次兩次可以，但和安全漏洞同步執(zhí)行恐怕不太現(xiàn)實(shí)。目前的現(xiàn)狀是，我們一般會(huì)使用網(wǎng)絡(luò)IPS設(shè)備對(duì)一些重要的安全漏洞做策略阻止。但附加在IPS上的策略數(shù)量過多的話，IPS性能將不敷使用。實(shí)際上，這種方法也只能針對(duì)有限的幾種安全漏洞設(shè)定策略阻止，相對(duì)于各種操作系統(tǒng)及應(yīng)用軟件存在的幾千種安全漏洞來說，無異于杯水車薪。針對(duì)這種困境，對(duì)主機(jī)安全有更高要求的使用者一般會(huì)在網(wǎng)絡(luò)IPS以外再實(shí)施主機(jī)防火墻及主機(jī)IPS系統(tǒng)，在每臺(tái)服務(wù)器上部署主機(jī)加固軟件，將大部分IPS策略分擔(dān)到各臺(tái)主機(jī)上，這樣的話，由于每臺(tái)獨(dú)立的主機(jī)上的操作系統(tǒng)及應(yīng)用是有限的，其上的主機(jī)IPS需要承載的策略并不會(huì)很多，基本可以滿足安全的需要。

在虛擬化的環(huán)境中，虛擬機(jī)之間的互相通訊直接通過虛擬化軟件底層的虛擬交換機(jī)進(jìn)行，如果攻擊者使用某一臺(tái)虛擬服務(wù)器攻擊另外的虛擬服務(wù)器的話，我們?cè)谶吔绮渴鸬腎PS、防火墻以及用來偵測內(nèi)部攻擊的IDS都將失去作用。

虛擬化環(huán)境的主機(jī)安全

事實(shí)上，針對(duì)虛擬化環(huán)境下的主機(jī)安全，需要用“虛擬化”的眼光來看待和思考。在虛擬化環(huán)境下，各虛擬服務(wù)器的資源利用率普遍會(huì)達(dá)到50%以上，這要比物理機(jī)時(shí)代的平均10%左右增加5倍。從這個(gè)角度來看，如果適用于虛擬化環(huán)境的安全軟件是需要部署于每個(gè)虛擬機(jī)的話，我們需要慎重考慮。

那么，解決虛擬化環(huán)境下的主機(jī)安全的最好方法是“無代理安全”，即在虛擬化軟件的底層安裝一個(gè)嵌入式軟件，實(shí)現(xiàn)防火墻及IPS功能。這個(gè)無代理防火墻、IPS既可以控制各虛擬機(jī)之間及虛擬機(jī)與外界之間的通信，又可以不在各個(gè)虛擬服務(wù)器上安裝代理的前提下對(duì)各個(gè)虛擬機(jī)實(shí)現(xiàn)定制化的IPS及防火墻策略。簡單的說，在VMware的ESX上安裝一臺(tái)安全虛擬機(jī)，這臺(tái)安全虛擬機(jī)可以針對(duì)ESX上虛擬出來的不同虛擬服務(wù)器及其上的應(yīng)用實(shí)施不同的漏洞防護(hù)安全策略，同時(shí)也可以阻斷虛擬機(jī)之間可能存在的互相攻擊或者跳板式攻擊。這種安全防護(hù)需要考慮到前文提到的虛擬化系統(tǒng)的資源利用率緊湊的問題，不能對(duì)虛擬化系統(tǒng)產(chǎn)生很大的資源負(fù)擔(dān)。更重要的是，這種實(shí)施策略及防護(hù)的過程不能修改操作系統(tǒng)和數(shù)據(jù)庫、中間件等應(yīng)用的內(nèi)核，不能產(chǎn)生“兼容性問題”，更不能重啟動(dòng)服務(wù)器。

目前虛擬化環(huán)境現(xiàn)有服務(wù)器包括九個(gè)UCS刀片、BladeCenter H的9個(gè)刀片。應(yīng)用覆蓋整個(gè)數(shù)字化校園，數(shù)據(jù)庫采用Oracle，中間件采用IBM WAS。在依據(jù)信息安全相關(guān)規(guī)范，同時(shí)參考了福建省內(nèi)其他兄弟單位及教育主管單位的實(shí)際案例。在考察了趨勢科技及其他幾個(gè)廠商的產(chǎn)品，其中趨勢科技的DeepSecurity有很大的優(yōu)勢，體現(xiàn)在產(chǎn)品功能全面，趨勢科技的DeepSecurity能全面實(shí)現(xiàn)虛擬化環(huán)境的整體安全；產(chǎn)品相對(duì)成熟， DeepSecurity產(chǎn)品從2006年推出至今，已經(jīng)有很長的歷史，而其他廠商的相似產(chǎn)品推出大多僅有一年甚至幾個(gè)月，應(yīng)用案例很多。

通過在虛擬化環(huán)境部署趨勢科技的DeepSecurity，可以在VMware的vCenter中直接調(diào)用DeepSecurity的控制臺(tái)，對(duì)虛擬化環(huán)境做一次主機(jī)漏洞掃描，再應(yīng)用DeepSecurity根據(jù)掃描后的結(jié)果給的“虛擬補(bǔ)丁”推薦策略，即可對(duì)整個(gè)虛擬化環(huán)境的主機(jī)漏洞作統(tǒng)一的漏洞防護(hù)。當(dāng)然，我們也可以額外制定自己的防護(hù)策略。以上過程只需鼠標(biāo)操作，不需要管理員自行編寫任何防護(hù)策略，節(jié)約了大量時(shí)間，也不需要過于專業(yè)的知識(shí)。

IT技術(shù)日新月異，高校信息化建設(shè)的虛擬化時(shí)代的來臨不可抗拒。如何在新的時(shí)代、新的技術(shù)體系架構(gòu)下考慮高校網(wǎng)絡(luò)的安全是每個(gè)高校IT管理者的責(zé)任。

endprint