王進(jìn)++談宏偉

摘 要：虛擬化是一個(gè)抽象概念，指計(jì)算元件在虛擬的基礎(chǔ)上而不是真實(shí)的基礎(chǔ)上運(yùn)行，它將物理硬件與操作系統(tǒng)分開(kāi)，從而提供更高的資源利用率和靈活性。中國(guó)金融業(yè)信息化“十二五”發(fā)展規(guī)劃提出了推廣綠色信息技術(shù)，建設(shè)“低碳”金融的重要任務(wù)，商業(yè)銀行要實(shí)現(xiàn)這項(xiàng)任務(wù)，必須借助先進(jìn)的虛擬化技術(shù)。該文根據(jù)金融機(jī)構(gòu)應(yīng)用場(chǎng)景來(lái)討論如何應(yīng)用虛擬化技術(shù)解決傳統(tǒng)IT架構(gòu)帶來(lái)的弊端，并探討了虛擬化技術(shù)應(yīng)用存在的安全風(fēng)險(xiǎn)和防范策略。

關(guān)鍵詞：虛擬化 金融業(yè) 安全風(fēng)險(xiǎn) 應(yīng)用方案

中圖分類(lèi)號(hào)：TP391 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2017）01（b）-0013-02

1 虛擬化技術(shù)應(yīng)用方案

傳統(tǒng) IT 架構(gòu)應(yīng)用虛擬技術(shù)的整體方案，根據(jù)應(yīng)用領(lǐng)域的不同分為以下4層。

1.1 存儲(chǔ)虛擬層

在這一層中應(yīng)用存儲(chǔ)虛擬化技術(shù)將傳統(tǒng)存儲(chǔ)層中的存儲(chǔ)設(shè)備抽象成虛擬文件系統(tǒng)，實(shí)現(xiàn)服務(wù)器對(duì)存儲(chǔ)設(shè)備的無(wú)關(guān)性訪問(wèn)，主要技術(shù)有RAID、SAN和NAS。RAID和SAN是將磁盤(pán)和磁帶組成存儲(chǔ)陣列，在存儲(chǔ)陣列上劃分邏輯卷，以虛擬硬盤(pán)形式供服務(wù)器訪問(wèn)，兩者的區(qū)別在于RAID是基于主機(jī)的形式，存儲(chǔ)陣列是附屬服務(wù)器的設(shè)備，而SAN是基于網(wǎng)絡(luò)的形式，存儲(chǔ)陣列是通過(guò)專(zhuān)有的存儲(chǔ)網(wǎng)絡(luò)（FC，光纖通道）連接服務(wù)器。NAS同樣是基于網(wǎng)絡(luò)的形式，服務(wù)器訪問(wèn)的是存儲(chǔ)陣列上已經(jīng)建立好的虛擬文件系統(tǒng)。對(duì)存儲(chǔ)層進(jìn)行虛擬化有效地解決了傳統(tǒng)IT架構(gòu)中因存儲(chǔ)設(shè)備復(fù)雜面管理難的問(wèn)題。

1.2 服務(wù)器虛擬層

這層虛擬化可以實(shí)現(xiàn)服務(wù)器整合、災(zāi)難恢復(fù)功能，能搭建異構(gòu)平臺(tái)系統(tǒng)研發(fā)和測(cè)試平臺(tái)。服務(wù)器整合將多個(gè)不同物理服務(wù)器上的信息轉(zhuǎn)移到不同的虛擬服務(wù)器上，然后將這些虛擬服務(wù)器同時(shí)運(yùn)行在一臺(tái)單獨(dú)的物理服務(wù)器上，減少了運(yùn)行多臺(tái)物理服務(wù)器的硬件和運(yùn)營(yíng)成本。

災(zāi)難恢復(fù)是使用虛擬化技術(shù)（如VMontion）提供備份/恢復(fù)和負(fù)載動(dòng)態(tài)遷移的功能，實(shí)現(xiàn)幾乎零宕機(jī)的實(shí)時(shí)遷移，保障業(yè)務(wù)連續(xù)性，將由系統(tǒng)故障等災(zāi)難性事件帶來(lái)的威脅降低到最小。同時(shí)，虛擬化服務(wù)器可以被靈活地激活、重啟，能在限定的時(shí)間內(nèi)創(chuàng)建重要服務(wù)器，也實(shí)現(xiàn)了經(jīng)濟(jì)高效且具有更高管理性能的災(zāi)難恢復(fù)解決方案。研發(fā)和測(cè)試平臺(tái)就是使用虛擬化技術(shù)在一臺(tái)物理服務(wù)器為研發(fā)和測(cè)試人員提供大量虛擬的服務(wù)器，提供多個(gè)操作系統(tǒng)環(huán)境，降低研發(fā)和測(cè)試的成本。另外，快速的服務(wù)器備份和恢復(fù)、開(kāi)通和重裝為研發(fā)和測(cè)試人員提供了方便快捷的測(cè)試環(huán)境。

1.3 網(wǎng)絡(luò)虛擬層

網(wǎng)絡(luò)虛擬層使用VLAN技術(shù)將局域網(wǎng)劃分成相互隔離的邏輯子網(wǎng)，使用VPN技術(shù)通過(guò)廣域網(wǎng)將遠(yuǎn)程的計(jì)算機(jī)接入內(nèi)部網(wǎng)，形成一個(gè)虛擬的私有網(wǎng)絡(luò)，這樣有效地保障了網(wǎng)絡(luò)的安全性，網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)的保密性也得到了保障。

1.4 桌面虛擬層

桌面虛擬層將原來(lái)傳統(tǒng)IT架構(gòu)中由PC提供用戶桌面的流程改成桌面虛擬化技術(shù)向用戶提供虛擬桌面，在服務(wù)器虛擬層提供大量虛擬計(jì)算機(jī)，這些虛擬計(jì)算機(jī)安裝不同的操作系統(tǒng)和不同的應(yīng)用軟件，通過(guò)網(wǎng)絡(luò)以遠(yuǎn)程桌面的形式呈現(xiàn)給用戶。桌面虛擬化有效地解決了因PC數(shù)量多帶來(lái)的維護(hù)困難和因PC保存數(shù)據(jù)帶來(lái)的數(shù)據(jù)安全短板等問(wèn)題。

2 虛擬化技術(shù)在金融業(yè)的應(yīng)用

金融業(yè)的IT基礎(chǔ)構(gòu)架是十分龐大和復(fù)雜的，既有占地?cái)?shù)萬(wàn)平方米的大型數(shù)據(jù)中心和災(zāi)備中心，也有只有幾臺(tái)個(gè)人電腦的小型辦事處。下面將根據(jù)金融機(jī)構(gòu)應(yīng)用場(chǎng)景來(lái)討論如何應(yīng)用虛擬化技術(shù)解決傳統(tǒng)IT架構(gòu)帶來(lái)的弊端。

2.1 支行柜臺(tái)、營(yíng)業(yè)部和小型分理處

這類(lèi)機(jī)構(gòu)中PC的運(yùn)維和管理、數(shù)據(jù)安全、網(wǎng)絡(luò)接入安全一直是重點(diǎn)管理的對(duì)象。對(duì)于PC的運(yùn)維和管理難、數(shù)據(jù)安全和網(wǎng)絡(luò)接入安全無(wú)法保障的問(wèn)題，可以使用桌面虛擬化和網(wǎng)絡(luò)虛擬化解決。桌面虛擬化和網(wǎng)絡(luò)虛擬化技術(shù)使得這類(lèi)機(jī)構(gòu)不再需要配備 PC，所有業(yè)務(wù)都通過(guò)VPN以遠(yuǎn)程桌面的方式接入上級(jí)機(jī)構(gòu)的服務(wù)器完成，業(yè)務(wù)數(shù)據(jù)同時(shí)保存在遠(yuǎn)程的服務(wù)器上。

2.2 分支機(jī)構(gòu)和運(yùn)營(yíng)中心

分支機(jī)構(gòu)和運(yùn)營(yíng)中心一般擁有大量的桌面系統(tǒng)，會(huì)有自己的機(jī)房用于部署本地的基礎(chǔ)和應(yīng)用服務(wù)器，同時(shí)會(huì)配備少量的 IT 支持人員。在這類(lèi)機(jī)構(gòu)中為各部門(mén)業(yè)務(wù)人員配備了大量的PC，大量的軟件部署加大了軟件更新、補(bǔ)丁和許可證管理的難度，大量的硬件也為資產(chǎn)管理帶來(lái)難題，這讓IT人員運(yùn)維和管理的工作量很大。在這類(lèi)機(jī)構(gòu)中，可以同時(shí)應(yīng)用服務(wù)器虛擬化、桌面虛擬化、網(wǎng)絡(luò)虛擬化解決存在的問(wèn)題。桌面虛擬化提供了統(tǒng)一管理的桌面和桌面環(huán)境，能夠減少PC的數(shù)量，可以有效解決PC運(yùn)維管理上存在的難題。服務(wù)器虛擬化實(shí)現(xiàn)多臺(tái)應(yīng)用服務(wù)器整合，可以很好地提高利用率并降低成本，整合后的服務(wù)器還能實(shí)現(xiàn)熱備和動(dòng)態(tài)遷移，同時(shí)，服務(wù)器虛擬化還提供了與硬件無(wú)關(guān)的虛擬機(jī)環(huán)境，能部署運(yùn)行老應(yīng)用系統(tǒng)。網(wǎng)絡(luò)虛擬化讓這類(lèi)機(jī)構(gòu)可以分部門(mén)、分業(yè)務(wù)使用VLAN劃分虛擬子網(wǎng)，可以使用VPN實(shí)現(xiàn)機(jī)構(gòu)間的連接，從而很好地保障了網(wǎng)絡(luò)和信息安全。

2.3 數(shù)據(jù)中心

金融業(yè)數(shù)據(jù)中心和災(zāi)備中心一般有占地?cái)?shù)千平方米的機(jī)房，其中配備了大量服務(wù)器，部署了大量的應(yīng)用系統(tǒng)，使用了海量的存儲(chǔ)設(shè)備，同時(shí)也配備了大量的 IT支持和開(kāi)發(fā)人員。數(shù)據(jù)中心里大量采用基于光纖的外置存儲(chǔ)和磁帶庫(kù)的方式存儲(chǔ)數(shù)據(jù)，但這些存儲(chǔ)設(shè)備由不同廠家生產(chǎn)，型號(hào)性能不一，這給使用和管理帶來(lái)了復(fù)雜性?？梢酝ㄟ^(guò)在SAN中添加虛擬化引擎實(shí)現(xiàn)基于網(wǎng)絡(luò)的存儲(chǔ)虛擬化，有效地降低管理的復(fù)雜度，虛擬出來(lái)的存儲(chǔ)資源與存儲(chǔ)硬件設(shè)備的相關(guān)性很低，為計(jì)算機(jī)提供的是統(tǒng)一的資源格式和類(lèi)型，服務(wù)器不需要考慮存儲(chǔ)設(shè)備的兼容性。各種存儲(chǔ)設(shè)備硬件的差別也可以不用關(guān)心，只要是虛擬化存儲(chǔ)系統(tǒng)所支持的硬件設(shè)備就可以使用。

3 虛擬化技術(shù)應(yīng)用存在安全風(fēng)險(xiǎn)

3.1 主機(jī)容災(zāi)風(fēng)險(xiǎn)

使用虛擬技術(shù)進(jìn)行服務(wù)器整合后，在節(jié)省資源的同時(shí)，也面臨一個(gè)嚴(yán)重的問(wèn)題，即一旦服務(wù)器出現(xiàn)硬件故障，其上運(yùn)行的多個(gè)系統(tǒng)都將停止運(yùn)行。虛擬服務(wù)器規(guī)劃不科學(xué)，虛擬機(jī)的濫用問(wèn)題會(huì)嚴(yán)重影響物理主機(jī)的CPU、內(nèi)存和網(wǎng)絡(luò)資源，使服務(wù)器負(fù)載過(guò)重，從而引起虛擬應(yīng)用的中斷或物理主機(jī)的崩潰。虛擬化的服務(wù)器合并程度越高，此類(lèi)風(fēng)險(xiǎn)越大。

3.2 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

進(jìn)行虛擬化后，原有網(wǎng)絡(luò)架構(gòu)的網(wǎng)絡(luò)邊界消失，將服務(wù)器安全和網(wǎng)絡(luò)安全進(jìn)行部分融合，如將原來(lái)部署在資金子網(wǎng)的和辦公子網(wǎng)的服務(wù)器整合在一起，可能使不能訪問(wèn)資金子網(wǎng)辦公的用戶能訪問(wèn)資金子網(wǎng)。傳統(tǒng)模式下安全防護(hù)產(chǎn)品可以探測(cè)到每臺(tái)服務(wù)器通過(guò)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)，從而發(fā)現(xiàn)服務(wù)器受到的攻擊，在虛擬化后，虛擬機(jī)間的網(wǎng)絡(luò)流量不被外部網(wǎng)絡(luò)感知，安全防護(hù)產(chǎn)品無(wú)法探測(cè)到異常行為，當(dāng)一臺(tái)虛擬機(jī)因受到攻擊后發(fā)生問(wèn)題時(shí)，安全威脅就會(huì)通過(guò)網(wǎng)絡(luò)蔓延至其他的虛擬服務(wù)器。

4 虛擬化技術(shù)風(fēng)險(xiǎn)防范策略研究

4.1 部署基于端點(diǎn)的安全防護(hù)

網(wǎng)絡(luò)架構(gòu)改變引起的問(wèn)題，在管理中最簡(jiǎn)單也最有效的方式，就是在虛擬后的每個(gè)端點(diǎn)實(shí)施安全防護(hù)措施。如使用VMware vShield在VMM層檢測(cè)每臺(tái)虛擬機(jī)的數(shù)據(jù)和行為，提高敏感數(shù)據(jù)的可見(jiàn)性和控制力。vShield還可以創(chuàng)建邏輯隔離，通過(guò)隔離虛擬機(jī)，提高管理層功能的有效性與廣泛性，降低虛擬機(jī)的溢出，更好地阻止出現(xiàn)不合理的虛擬或物理設(shè)定。

4.2 科學(xué)規(guī)劃虛擬設(shè)備負(fù)載

虛擬服務(wù)器負(fù)載過(guò)重，要通過(guò)不間斷地監(jiān)視服務(wù)器利用率來(lái)進(jìn)行容量大小、負(fù)載能力的分析，根據(jù)使用的量得出高峰期運(yùn)營(yíng)的時(shí)間與資源需求來(lái)創(chuàng)建合理使用的工作平臺(tái)。

主機(jī)容災(zāi)風(fēng)險(xiǎn)方面，可以引入虛擬服務(wù)器間的雙機(jī)熱備和負(fù)載動(dòng)遷移，保障業(yè)務(wù)的容災(zāi)能力，可使用專(zhuān)門(mén)的容錯(cuò)服務(wù)器硬件，軟件實(shí)現(xiàn)方式有VMontion、EverRun FT提供的解決方案。

4.3 加強(qiáng)配置管理

合并后的基礎(chǔ)設(shè)施需要更嚴(yán)格的控制和操作實(shí)踐來(lái)防止非預(yù)期停運(yùn)現(xiàn)象，需要加強(qiáng)配置管理，要確認(rèn)系統(tǒng)、硬件或者軟件的配置，管理配置變化，并在整個(gè)產(chǎn)品生命周期中記錄配置。

5 虛擬化技術(shù)應(yīng)用性能優(yōu)化

虛擬化帶來(lái)了很多好處，整個(gè)IT架構(gòu)基礎(chǔ)設(shè)施的利用將大大提高。虛擬機(jī)大量使用和增加帶來(lái)的是存儲(chǔ)空間使用的直線增加；桌面虛擬機(jī)的使用使得原來(lái)存放在客戶機(jī)磁盤(pán)上的文件現(xiàn)在也以磁盤(pán)映像的形式出現(xiàn)在存儲(chǔ)陣列上，數(shù)據(jù)量大增，同樣給網(wǎng)絡(luò)帶寬帶來(lái)巨大的壓力。從存儲(chǔ)和網(wǎng)絡(luò)入手，能很好地優(yōu)化虛擬化技術(shù)應(yīng)用性能。

5.1 重復(fù)數(shù)據(jù)刪除

虛擬機(jī)使用磁盤(pán)鏡像作為存儲(chǔ)介質(zhì)，而同一種操作系統(tǒng)的系統(tǒng)文件幾乎都相同，虛擬機(jī)使用統(tǒng)一的虛擬硬件，甚至驅(qū)動(dòng)程序都一模一樣，大量的虛擬機(jī)都需要相同的OS鏡像，造成了大量的冗余數(shù)據(jù)。通過(guò)重復(fù)數(shù)據(jù)刪除，可以消除大量重復(fù)的虛擬機(jī)鏡像中的數(shù)據(jù)塊，能大幅減少存儲(chǔ)數(shù)據(jù)量，節(jié)省數(shù)量可觀的存儲(chǔ)空間，從而減小了存儲(chǔ)系統(tǒng)容量以及網(wǎng)絡(luò)帶寬的壓力。

5.2 廣域網(wǎng)加速

桌面虛擬機(jī)使用戶都是通過(guò)網(wǎng)絡(luò)以遠(yuǎn)程桌面登錄虛擬機(jī)，大量的網(wǎng)絡(luò)訪問(wèn)給網(wǎng)絡(luò)帶來(lái)的壓力很大，網(wǎng)絡(luò)帶寬不夠使呈現(xiàn)給用戶的桌面視覺(jué)效果不佳，會(huì)降低用戶體驗(yàn)。同時(shí)，虛擬化后，大量的服務(wù)器集中在數(shù)據(jù)中心，也會(huì)加大網(wǎng)絡(luò)流量。通過(guò)廣域網(wǎng)加速等基礎(chǔ)設(shè)備的建設(shè)，加大網(wǎng)絡(luò)吞吐量，提供更佳的用戶體驗(yàn)。

參考文獻(xiàn)

[1] 崔倩楠.基于云計(jì)算環(huán)境的虛擬化資源平臺(tái)研究與評(píng)價(jià)[D].北京郵電大學(xué)，2011.

[2] 蔚趙春，凌鴻.商業(yè)銀行虛擬化技術(shù)應(yīng)用研究[J].金融理論與實(shí)踐，2012（8）：25-29.