李寧

摘要：隨著VMware虛擬化技術(shù)在高校數(shù)據(jù)中心服務(wù)器上的廣泛應(yīng)用，虛擬服務(wù)器在數(shù)據(jù)中心中的地位也越來越重要，隨之而來的安全問題也越來越多。該文主要探討了高校內(nèi)信息化數(shù)據(jù)中心中基于VMware服務(wù)器虛擬化技術(shù)的虛擬機(jī)所面臨的安全問題，并針對這些安全威脅進(jìn)行了細(xì)致的分析，提出了各個層面的虛擬機(jī)安全問題解決方案，為保證高校信息化數(shù)據(jù)安全奠定了良好的基礎(chǔ)。

關(guān)鍵詞：VMware vSphere；服務(wù)器虛擬化；虛擬機(jī)安全

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2017）26-0247-02

隨著高校信息化建設(shè)的不斷推進(jìn)，高校高等教育信息化、管理信息化、后勤信息化等方面的快速發(fā)展，服務(wù)器虛擬化技術(shù)在數(shù)據(jù)中心建設(shè)中的應(yīng)用也越來越多，而采用集群式管理這一模式來合理進(jìn)行硬件資源、網(wǎng)絡(luò)資源、存儲資源的合理分配也越來越普遍。但是不斷頻發(fā)的網(wǎng)絡(luò)安全事件如最近的WannaCry“勒索病毒”等都對網(wǎng)絡(luò)用戶造成了極大的損失，使得社會上各行各業(yè)對于計(jì)算機(jī)網(wǎng)絡(luò)安全也越來越重視。同時這些網(wǎng)絡(luò)安全事件也對虛擬化的服務(wù)器同樣構(gòu)成威脅。怎么樣確保校園網(wǎng)內(nèi)部的虛擬機(jī)能夠安全、穩(wěn)定、高效、可靠地運(yùn)行成為了目前研究的重點(diǎn)問題。

1 服務(wù)器虛擬化集群技術(shù)

為了更好地解決數(shù)據(jù)中心中傳統(tǒng)單一物理服務(wù)器應(yīng)用方式的弊端，現(xiàn)在數(shù)據(jù)中心一般采用VMware等虛擬架構(gòu)軟件的服務(wù)器虛擬化解決方案，搭建服務(wù)器虛擬化架構(gòu)集群來進(jìn)行統(tǒng)一的資源管理。首先在多臺主機(jī)上安裝VMware vSphere Hypervisor （ESXi） 6.5，就可以將該臺主機(jī)的硬件資源整合到一個虛擬化的資源池中；然后在這個基礎(chǔ)上安裝VMware vSphere vCenter6.5，就可以實(shí)現(xiàn)多臺主機(jī)的資源整合；最后在vSphere Web Client （Flash）上就可以實(shí)現(xiàn)多主機(jī)和虛擬機(jī)的搭建和管理，并且利用vMotion實(shí)現(xiàn)虛擬化的主機(jī)在不同的主機(jī)之間進(jìn)行遷移。服務(wù)器虛擬化集群極大地整合了硬件服務(wù)器資源，提高了服務(wù)器運(yùn)行效率，大幅度地簡化了服務(wù)器管理的復(fù)雜性，不僅提高了整個系統(tǒng)的可用性，同時明顯地減少了投資成本。

2 服務(wù)器虛擬化存在的安全問題

2.1 主機(jī)間存在的安全問題

對服務(wù)器進(jìn)行虛擬化，實(shí)際上是對服務(wù)器虛擬化軟件如VMware vSphere vCenter系列等軟件的使用，其運(yùn)行在物理機(jī)上的VMware vSphere Hypervisor （ESXi）本身存在的安全漏洞，如果不及時更新同樣會造成宿主機(jī)的安全風(fēng)險。黑客如果利用這些漏洞對宿主機(jī)進(jìn)行持續(xù)攻擊，一旦獲取到VMware平臺管理權(quán)限，將可以任意對宿主機(jī)上的虛擬機(jī)進(jìn)行訪問，這些虛擬機(jī)上的各個部門的應(yīng)用系統(tǒng)和業(yè)務(wù)系統(tǒng)數(shù)據(jù)的安全性就無從談起了，給各個業(yè)務(wù)系統(tǒng)帶來了極大的安全隱患。此外，由于虛擬化技術(shù)在高校數(shù)據(jù)中心的廣泛應(yīng)用，容易造成僵尸虛擬機(jī)，嚴(yán)重影響物理機(jī)的CPU、內(nèi)存、網(wǎng)絡(luò)等硬件資源，容易導(dǎo)致物理主機(jī)運(yùn)行負(fù)荷過重，造成主機(jī)死機(jī)、業(yè)務(wù)中斷，嚴(yán)重時可能會導(dǎo)致物理機(jī)崩潰等現(xiàn)象。

2.2 主機(jī)與虛擬機(jī)間的安全問題

對服務(wù)器進(jìn)行虛擬化之后，一臺物理服務(wù)器上通常會運(yùn)行幾個乃至幾十個虛擬機(jī)，這樣一來，我們傳統(tǒng)的網(wǎng)絡(luò)安全監(jiān)控手段對于相同宿主機(jī)上的虛擬機(jī)之間的通信就不能進(jìn)行很好的監(jiān)控。宿主機(jī)上某一臺虛擬機(jī)遭受病毒、黑客等網(wǎng)絡(luò)攻擊時，該臺虛擬機(jī)將會奪占宿主機(jī)的帶寬等硬件資源，導(dǎo)致物理機(jī)達(dá)到性能問題和網(wǎng)絡(luò)瓶頸，導(dǎo)致物理機(jī)由于負(fù)載過重而崩潰；同樣，當(dāng)宿主機(jī)遭受攻擊時，位于宿主機(jī)上的虛擬機(jī)也會有同樣的安全風(fēng)險，從而引起服務(wù)器崩潰、數(shù)據(jù)丟失等一系列嚴(yán)重后果。

2.3 主機(jī)內(nèi)部虛擬機(jī)間的安全問題

目前服務(wù)器虛擬化的安全策略一般只是在宿主機(jī)層面進(jìn)行安全防護(hù)，而忽略了虛擬機(jī)本身的安全問題，通常虛擬機(jī)間的安全防護(hù)相對物理機(jī)而言是很薄弱的，其安全性得不到保障。如果同一宿主機(jī)上任意一臺存在安全隱患的虛擬機(jī)遭受網(wǎng)絡(luò)攻擊或者感染病毒時，通過虛擬機(jī)間的相互通信傳染到其他虛擬機(jī)，而且由于虛擬機(jī)的自動遷移，這些存在安全問題的虛擬機(jī)遷移到其他物理服務(wù)器上，或者其他服務(wù)器上重要的虛擬機(jī)遷移到該臺宿主機(jī)上，從而造成病毒在整個虛擬機(jī)集群中的傳播，造成嚴(yán)重的后果。

3 集群虛擬機(jī)安全解決方案

數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)最重要的一環(huán)就是對集群上虛擬機(jī)的安全防護(hù)，由于對服務(wù)器進(jìn)行虛擬化的部署模式有別于傳統(tǒng)服務(wù)器部署模式，因此必須要采取符合的安全防護(hù)措施，才可以保障校園內(nèi)部服務(wù)器系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、各個業(yè)務(wù)系統(tǒng)的安全、平穩(wěn)、高可靠地運(yùn)行。

3.1 部署安全產(chǎn)品，建立安全等級防護(hù)系統(tǒng)

隔離集群虛擬化服務(wù)器，并且在網(wǎng)絡(luò)邊界部署配置WAF、網(wǎng)絡(luò)防火墻。對集群內(nèi)部主機(jī)、虛擬機(jī)采取最小授權(quán)訪問策略，嚴(yán)格細(xì)分訪問權(quán)限，控制主機(jī)和虛擬機(jī)訪問IP、端口號和協(xié)議。根據(jù)數(shù)據(jù)中心中各個應(yīng)用系統(tǒng)和業(yè)務(wù)系統(tǒng)的重要性，對這些重要的虛擬機(jī)進(jìn)行封裝和隔離，對服務(wù)器加強(qiáng)內(nèi)部的安全防護(hù)，對各個虛擬機(jī)進(jìn)行的瀏覽和訪問嚴(yán)格執(zhí)行審計(jì)策略。從而保障虛擬機(jī)安全、穩(wěn)定、可靠地運(yùn)行。

3.2 網(wǎng)絡(luò)隔離，實(shí)現(xiàn)虛擬機(jī)間的隔離

充分運(yùn)用VLAN技術(shù)對處于同一局域網(wǎng)內(nèi)的虛擬機(jī)進(jìn)行網(wǎng)絡(luò)隔離，實(shí)現(xiàn)邏輯上的隔離。我們可以按照虛擬機(jī)的用途和服務(wù)類型，劃分為數(shù)據(jù)庫虛擬機(jī)、業(yè)務(wù)系統(tǒng)虛擬機(jī)、管理系統(tǒng)虛擬機(jī)、網(wǎng)站虛擬機(jī)等。從而有效降低虛擬機(jī)之間的安全風(fēng)險，保障各個虛擬機(jī)系統(tǒng)和數(shù)據(jù)安全。

3.3 定期更新VMware平臺、操作系統(tǒng)漏洞

定期對VMware vSphere vCenter系列軟件進(jìn)行補(bǔ)丁更新，包括Exsi、主機(jī)系統(tǒng)安全漏洞、部署在虛擬機(jī)上的業(yè)務(wù)系統(tǒng)補(bǔ)丁漏洞、應(yīng)用軟件的補(bǔ)丁漏洞、微軟系統(tǒng)漏洞、虛擬機(jī)所按照的如360殺毒、騰訊管家等安全軟件的漏洞更新等。不僅針對系統(tǒng)層面的補(bǔ)丁更新，還應(yīng)該對虛擬機(jī)所承載的服務(wù)、協(xié)議、開放的端口號進(jìn)行考量和審核，避免虛擬機(jī)產(chǎn)生“全放行”狀態(tài)。

3.4 完善集群虛擬機(jī)管理制度

第一，制定虛擬機(jī)申請審核制度。在日常的虛擬機(jī)管理中增加對新生虛擬機(jī)的申請審核，簽署責(zé)任明確的協(xié)議并對后續(xù)的管理進(jìn)行跟蹤，避免盲目地增加虛擬機(jī)，產(chǎn)生“僵尸”虛擬機(jī)，造成資源浪費(fèi)和安全隱患。

第二，加強(qiáng)對主機(jī)資源、虛擬機(jī)資源的數(shù)據(jù)監(jiān)控、性能監(jiān)控、網(wǎng)絡(luò)監(jiān)控和資源監(jiān)控，及時發(fā)現(xiàn)安全風(fēng)險或者網(wǎng)絡(luò)攻擊，便于管理人員實(shí)時掌握主機(jī)、虛擬機(jī)安全狀態(tài)。

第三，定期對虛擬機(jī)數(shù)據(jù)進(jìn)行備份。制定增量或差量、完整等備份計(jì)劃，對重要虛擬機(jī)的配置文件、重要或敏感數(shù)據(jù)、文件等進(jìn)行定期備份。建議備份到異地存儲設(shè)備上，以確保數(shù)據(jù)的安全性。

第四，加強(qiáng)虛擬機(jī)管理人員的安全意識，做好虛擬機(jī)搭建、訪問、審計(jì)和跟蹤等防護(hù)措施，設(shè)置最小化授權(quán)的虛擬機(jī)管理訪問策略，提高虛擬機(jī)網(wǎng)絡(luò)層面的穩(wěn)定性、安全性和高可用性。

4 結(jié)束語

綜上所述，服務(wù)器虛擬化技術(shù)在高校數(shù)據(jù)中心中的應(yīng)用，最大限度地降低了硬件資源的投入成本，并且對有限的硬件資源利用達(dá)到了最大化，使得整個數(shù)據(jù)中心、服務(wù)器、虛擬機(jī)的管理也變得更加簡單、快捷。但同時服務(wù)器虛擬化集群式的管理也帶來了極大的安全風(fēng)險。為確保校園網(wǎng)絡(luò)的安全、穩(wěn)定和高效地運(yùn)行，我們要從虛擬機(jī)管理規(guī)章制度、虛擬機(jī)安全隔離、部署安全產(chǎn)品等手段來確保集群式虛擬機(jī)的安全、穩(wěn)定運(yùn)行，才能更好對服務(wù)于教學(xué)、科研、管理和后勤服務(wù)。

參考文獻(xiàn)：

[1] 劉謙.面向云計(jì)算的虛擬機(jī)系統(tǒng)安全研究[D].上海交通大學(xué)，2012.

[2] 趙碩，季新生等.基于安全等級的虛擬機(jī)動態(tài)遷移方法[J].通信學(xué)報，2017.

[3] 韓俊波.計(jì)算機(jī)網(wǎng)絡(luò)安全管理中虛擬機(jī)技術(shù)的應(yīng)用[J].電子世界，2017.endprint