薛強(qiáng)

摘要：以常州工程職業(yè)技術(shù)學(xué)院為例，目前我校通過(guò)部署VMware服務(wù)器虛擬化平臺(tái)、Ctrix桌面虛擬化平臺(tái)已經(jīng)實(shí)現(xiàn)了業(yè)務(wù)系統(tǒng)、辦公終端的快速“上云”，虛擬化平臺(tái)的彈性、擴(kuò)展靈活、按需部署、統(tǒng)一web管理為我信息中心的日常運(yùn)維管理帶來(lái)了極大的便利，但隨之而來(lái)的是安全的問(wèn)題——如何解決虛擬化平臺(tái)的安全、保障業(yè)務(wù)系統(tǒng)免受黑客攻擊、防范應(yīng)用以及虛擬桌面中的文件免受病毒感染侵襲，實(shí)現(xiàn)“云內(nèi)安全”，是我校正在密切關(guān)注、急需解決的問(wèn)題。

關(guān)鍵詞：云計(jì)算;網(wǎng)絡(luò);虛擬化

一、現(xiàn)狀描述

目前我校內(nèi)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)服務(wù)器區(qū)域部署了20臺(tái)2路、4路服務(wù)器，通過(guò)VMware Vsphere實(shí)現(xiàn)了服務(wù)器虛擬化。目前該資源池已部署了兩百多臺(tái)虛擬機(jī)，承載包括一卡通系統(tǒng)、門(mén)戶網(wǎng)站、財(cái)務(wù)系統(tǒng)等在內(nèi)的所有學(xué)校業(yè)務(wù)系統(tǒng)。

同時(shí)，虛擬化桌面服務(wù)器區(qū)域也部署了近14臺(tái)2路服務(wù)器，通過(guò)Ctrix的XenDesktop實(shí)現(xiàn)桌面虛擬化，將所有虛擬桌面集中在服務(wù)器中，通過(guò)優(yōu)化遠(yuǎn)程桌面協(xié)議實(shí)現(xiàn)圖像的前端顯示，以供學(xué)校機(jī)房、教師日常辦公使用。

目前包括虛擬化服務(wù)器、虛擬化桌面在內(nèi)的所有服務(wù)器虛擬機(jī)均為“裸奔”狀態(tài)，終端沒(méi)有相應(yīng)的防護(hù)方案，眾多業(yè)務(wù)系統(tǒng)、辦公桌面暴露在公網(wǎng)當(dāng)中，危險(xiǎn)系數(shù)極高。

二、安全隱患

我校對(duì)于安全的需求主要包括幾下幾點(diǎn)：

（一）本次的安全規(guī)劃主要集中在虛擬化平臺(tái)內(nèi)，包括服務(wù)器虛擬化平臺(tái)內(nèi)的安全和桌面虛擬化平臺(tái)內(nèi)部的安全。所以，安全方案必須能夠兼容目前的VMware平臺(tái)和Ctrix平臺(tái)。

（二）我校主要關(guān)注平臺(tái)內(nèi)虛擬機(jī)的東西向安全。例如，經(jīng)過(guò)NSX優(yōu)化的虛擬網(wǎng)絡(luò)，對(duì)于同網(wǎng)段同主機(jī)、同網(wǎng)段不同主機(jī)、不同網(wǎng)段同主機(jī)、不同網(wǎng)段不同主機(jī)的虛擬機(jī)之間通信最多只需要過(guò)二層接入交換機(jī)，部分通信只需要通過(guò)ESXi內(nèi)部虛擬分布式交換機(jī)vDS即可通信。大量VM之間的業(yè)務(wù)流量不過(guò)三層，因此南北向物理防護(hù)很難生效。

（三）目前我校比較關(guān)注有客戶端的輕代理安全防護(hù)方式如何規(guī)避升級(jí)風(fēng)暴和殺毒風(fēng)暴，終端安全防護(hù)一定不能以犧牲業(yè)務(wù)系統(tǒng)穩(wěn)定性為代價(jià)。

（四）南北向的安全防護(hù)。虛擬化環(huán)境下主要包括四套網(wǎng)絡(luò)——虛擬機(jī)東西向之間通信的隧道網(wǎng)絡(luò)、外部訪問(wèn)虛擬機(jī)的業(yè)務(wù)網(wǎng)絡(luò)、虛擬機(jī)向存儲(chǔ)設(shè)備讀寫(xiě)的存儲(chǔ)網(wǎng)絡(luò)以及日常管理的管理網(wǎng)絡(luò)。其中黑客若初次攻擊我校VM，必定需要通過(guò)南北向網(wǎng)絡(luò)，故南北向的虛擬化環(huán)境下安全防護(hù)也必須做到。

（五）目前我校有數(shù)量較多的web服務(wù)器，無(wú)論web服務(wù)對(duì)內(nèi)還是對(duì)外開(kāi)放，都是最容易被黑客攻擊的環(huán)節(jié)。Web目錄極容易被黑客植入webshell后門(mén)，后期可能會(huì)通過(guò)黑客的C&C主機(jī)遠(yuǎn)程控制植入了webshell后門(mén)的web服務(wù)器，輕則web目錄被篡改、相關(guān)核心文件被加密、數(shù)據(jù)被竊取，重則橫向滲透到其他業(yè)務(wù)虛擬機(jī)中，造成大規(guī)模的病毒爆發(fā)、數(shù)據(jù)泄露。故針對(duì)我校的實(shí)際情況，虛擬機(jī)中的web安全尤為重要。

（六）為了方便師生進(jìn)行相關(guān)文檔的共享、交流，我校的文件共享虛擬機(jī)對(duì)所有教師職工開(kāi)放。目前共享文件夾中已有大量的不同格式的文件，其就像一顆“定時(shí)炸彈”，不做好該共享文件的安全防護(hù)，隨時(shí)可能“爆炸”。

三、解決方案

針對(duì)我校最為關(guān)注的幾點(diǎn)需求，防病毒廠家公司通過(guò)虛擬化安全輕代理殺毒有效解決上述安全問(wèn)題：

（一）虛擬化安全輕代理兼容性極好，現(xiàn)在絕大部分的云平臺(tái)都可適配，包括我校目前使用的Ctrix和VMware。即使后期我校使用其他云平臺(tái)廠家，虛擬化安全也可以輕松擴(kuò)展、兼容。

（二）對(duì)于東西向安全，輕代理可實(shí)現(xiàn)2—7層的安全防護(hù)。其中，輕代理的防火墻模塊可以實(shí)現(xiàn)ACL的IP五元組訪問(wèn)控制策略，對(duì)異常流量進(jìn)行清洗，同時(shí)網(wǎng)卡流量統(tǒng)計(jì)模塊可以定期關(guān)注主機(jī)的流量變化，發(fā)現(xiàn)可疑未知流量，有效應(yīng)對(duì)2—4層的網(wǎng)絡(luò)攻擊;對(duì)于4—7層安全防護(hù)，輕代理客戶端通過(guò)本地的惡意代碼防范（殺毒）、漏洞利用（虛擬補(bǔ)?。?、暴力破解（防爆破）、webshell掃描（webshell后門(mén)查殺）、安全基線（針對(duì)不安全配置、相關(guān)參數(shù)、弱口令，為主機(jī)打分，給出一鍵修復(fù)方案，進(jìn)行基線的提升。

（三）對(duì)于殺毒風(fēng)暴的擔(dān)心，我們可以將虛擬機(jī)分到不同的組中（可以基于不同的網(wǎng)段vlan，可以基于虛擬化平臺(tái)類型，可以基于操作系統(tǒng)類型，完全我校自定義），將不同的虛擬機(jī)組在不同的時(shí)間點(diǎn)進(jìn)行錯(cuò)峰定時(shí)查殺，應(yīng)對(duì)殺毒風(fēng)暴的問(wèn)題。并且經(jīng)過(guò)前期測(cè)試，輕代理的殺毒資源占用并不高，防病毒廠家已經(jīng)做好足夠的優(yōu)化，輕量級(jí)業(yè)務(wù)系統(tǒng)可以統(tǒng)一查殺;對(duì)于補(bǔ)丁的升級(jí)，目前防病毒廠家是基于虛擬補(bǔ)丁的方式防護(hù)漏洞利用攻擊。

（四）對(duì)于南北向的安全防護(hù)，防火墻、殺毒、入侵檢測(cè)也能夠做到對(duì)應(yīng)的2—7層安全控制。

（五）針對(duì)web服務(wù)器安全，防病毒廠家虛擬化安全輕代理的webshell掃描可以有效應(yīng)對(duì)webshell后門(mén)的植入，準(zhǔn)確發(fā)現(xiàn)web目錄的篡改和webshell的后門(mén)控制，提高安全級(jí)別。

（六）文件服務(wù)器可以通過(guò)“病毒查殺”進(jìn)行包括宏病毒、蠕蟲(chóng)、木馬在內(nèi)的多種的惡意代碼的快速掃描、發(fā)現(xiàn)和查殺。

四、結(jié)論

這次通過(guò)對(duì)虛擬化環(huán)境特性分析，結(jié)合實(shí)際情況分析了面臨網(wǎng)絡(luò)安全威脅，通過(guò)以上的方式給出了相應(yīng)的安全對(duì)策。提醒大家不能只關(guān)注網(wǎng)絡(luò)本身的情況，要從系統(tǒng)的最底層出發(fā)研究東西向存在的危險(xiǎn)進(jìn)行防護(hù)，這是基礎(chǔ)設(shè)施的防護(hù)，也是保障虛擬化安全的防護(hù)。

參考文獻(xiàn)：

[1]楊永.探討虛擬化數(shù)據(jù)中心的安全問(wèn)題分析[J].電子技術(shù)與軟件工程，2015 （23）：214.

[2]錢(qián)霂馨，張輝鵬.虛擬化數(shù)據(jù)中心的安全問(wèn)題分析[J].信息安全與技術(shù)，2013，4 （08）：50-53.