VMware虚拟化安全在河南省水利信息化中的应用

□赵倩倩 □刘子涵 □宋 博 □李 亚

（河南省水利信息中心）

VMware虚拟化安全在河南省水利信息化中的应用

□赵倩倩 □刘子涵 □宋 博 □李 亚

（河南省水利信息中心）

随着服务器虚拟化技术在河南省水利信息中的广泛应用，其安全问题也日益受到关注。文章主要讨论了河南省水利信息化中服务器虚拟化面对的安全威胁，并进行了详细分析，给出了具体的基于不同层面的虚拟化安全的解决方案，为河南省水利信息化中VMware服务器虚拟化的稳定运行提供巨大的保障，为水利信息化数据的安全打下良好的基础。

虚拟化安全；服务器虚拟化；解决方案

1 引言

随着河南省水利信息化建设的快速发展，业务应用系统、服务器资源逐渐庞大，VMware平台服务器虚拟化的建立和应用大大提高了资源的利用率，提供了相互隔离、安全、高效的应用执行环境，并方便各个应用的管理和升级维护。但同时，服务器虚拟化后，在传统组织架构中能看到的安全风险，在虚拟化架构中一样都不少，从底层HyperVisor到虚拟操作系统层（OS）以及应用层（APPs），甚至包括离线的虚拟镜像文件，还有其虚拟系统自身的安全问题，所以虚拟化平台的安全威胁比传统架构面临的风险更甚。如果不采取任何安全措施，那整个虚拟化架构就犹如传统IT平台一样没有任何防御措施，但套用传统硬件环境的安全方案，并不能适用于虚拟化平台，反而会给业务系统的稳定运行带来灾难性的后果。所以，详细分析河南省水利信息化中VMware平台服务器虚拟化存在的安全威胁，针对这些问题给出相应的防护措施和解决方案，至关重要。

2 河南省水利信息化中的VMware虚拟化安全威胁

虚拟化技术在河南省水利信息化中的应用，使整合资源、灵活部署应用、提高资源利用率、节省空间等都成为可能，但是单位的VMware平台服务器虚拟化的安全面临着以下几方面威胁。

2.1 虚拟机之间的互相攻击

由于目前河南省水利信息化的虚拟化环境仍旧使用传统的防护模式，导致主要的防护边界还是位于物理主机的边缘，从而忽视了同一物理主机上不同虚拟机之间的互相攻击和互相入侵的安全隐患。而虚拟机之间的安全防护是相对薄弱的，且安全性较差。若虚拟环境中的任何一台虚拟机存在安全漏洞，网络攻击者均可利用系统漏洞对该虚拟机发起攻击，一旦该虚拟机被攻击者控制，攻击者可将该虚拟机作为跳板实现对其他虚拟机的攻击，甚至威胁到整个虚拟化环境的安全。

2.2 随时启动的防护间歇

由于目前大量使用VMware的服务器虚拟化技术，其IT服务具备更高的灵活性和负载均衡。但同时，这些由于资源动态调整关闭或开启虚拟机随时会导致防护间歇问题。如：某台一直处于关闭状态的虚拟机在业务需要时会自动启动，成为后台服务器组的一部分；但在这台虚拟机启动时，其包括防病毒在内的所有安全状态都较其他一直在线运行的服务器处于滞后和脱节的地位。

2.3 系统安全补丁安装

目前河南省水利信息化的虚拟化环境内仍会定期采用传统方式对阶段性发布的系统补丁进行测试分析和手工安装。虽然VMware平台服务器虚拟化本身具有一定状态恢复的功能机制，但此种做法仍有一定安全风险：无法确保系统在测试后发生的变化是否会因为安装补丁导致正在运行的业务应用异常。集中的安装系统补丁，在前中后期均需要大量人力、物力和技术支撑，部署成本较大。

2.4 防病毒软件对资源的占用冲突导致杀毒风暴（AV storm，antivirus storm）

目前在河南省水利信息化的虚拟化环境中，对于虚拟机仍使用每台虚拟操作系统安装“传统”防病毒客户端的方式进行病毒防护。在防护效果上可以达到安全标准，但如从资源占用方面考虑，存在一定安全风险。由于每个防病毒客户端都会在同一个物理主机上产生资源消耗，那么当发生客户端同时扫描和同时更新时，资源消耗的问题会愈发明显，严重时可能导致ESX/ESXI服务器宕机。

通过以上的分析，了解到虽然传统安全设备或软件可以给物理网络层和操作系统等提供安全防护，但是虚拟环境中新的安全威胁，例如：虚拟机之间通讯的访问控制问题，病毒通过虚拟交换机传播问题，虚拟机之间的东西向流量控制问题等，传统的安全设备或软件已经无法提供相关的防护，需要研究新的安全技术为虚拟环化境提供全面的保护。下面是关于河南省水利信息化中VMware平台服务器虚拟化安全的解决方案的探讨。

3 虚拟化安全的三种层面解决方案的探究

3.1 基于宿主机

基于宿主机，即在虚拟化系统底层解决虚拟化安全问题。在每台物理宿主机的底层ESX/ESXI中部署安全软件，为每台宿主机提供多层次安全防护，如防病毒功能、访问控制功能、虚拟补丁、攻击防御、完整性监控等。安全软件部署在ESX/ESXI底层，其与VMware兼容性良好，无需消耗分配给虚拟机的计算资源和更多的网络资源消耗，最大化利用计算资源的同时提供全面病毒的实时防护。

但同时，因安全软件部署在宿主机底层ESX/ESXI中，安装时需要停用HA，且需要多次迁移宿主机上的虚拟机，在此过程中对虚拟平台造成一定的安全隐患。同时，还要在所需监控或者保护的虚拟机上安装Agent，且Agent对系统本身的影响未知，更遑论业务；还需手动给每一个被保护的虚拟机单独配置防护策略。

3.2 基于网关

基于网关，即将安全软件以虚拟机的形式部署在虚拟化平台中，对网络行为进行访问控制。

无论是虚拟机之间的东西向流量，还是虚拟机到物理网络的南北向流量，所有的数据流量一定要经过物理线路，而虚拟架构中的非法流量对物理设备的冲击是无法过滤的。所以，把虚拟化架构中的安全威胁在虚拟化环境中内部解决，以避免恶意流量对接入层以上网络传输设备造成冲击。因此，可以将安全软件以虚拟机的形式部署在虚拟化平台中，对网络行为进行访问控制。将关键业务安全地分置在不同的虚拟机上，所有的通信为虚拟安全网关监视和管制，确保所有通信都符合安全策略；划分安全区块，对跨区域的访问进行隔离、控制；进行实时监控与过滤，对流量行为进行分析，创建自定义和基于策略的警报时间等等，进行统一管控。

这种解决方案的优势在于部署简单、操作易用；在虚拟机上不需要安装代理；每个虚拟机的流量均受到监控和管理，但是，也存在一定的劣势。如虽在虚机上不安装代理，但仍需要暂停所有需要进行安全防护的虚拟机业务，更改其系统配置来适配安全软件，方便管理；基于网关的解决方案，只检测到了虚拟机的边界，但对于同一网关下的虚拟机无法进行安全防护。

3.3 基于VLAN接口的引流模式

基于VLAN接口的引流模式，即通过引流技术、虚机微隔离及可视化技术，可以为河南省水利信息化提供全方位的安全服务，包括流量及应用可视化，虚机之间威胁检测与隔离，网络攻击审计与溯源等，帮助其搭建安全、合规的“绿色”平台。安全软件以多台虚拟机的形式部署在虚拟平台中，将管理平面、控制平面、业务平面采用分离式设计；在每一台需要保护的物理服务器部署一个插件，即可实现对该物理服务器上所有虚拟机的安全保护。

该解决方案的优势在于无需修改虚拟化平台和虚拟机配置，不需要在每台虚拟机上安装软件或插件，以便减少对物理机的资源占用；在安全业务管理中直接驱动自动引流，具有较强的流量可视化能力；不使用VMware的API进行引流，因此不受其版本演进变化的影响，性能高。但是，需要根据网络交换机VLAN的划分情况，设置虚拟VLAN，对现有的虚拟化平台需要大的改动，影响业务的正常运行。

4 结语

服务器虚拟化已成为当前网络发展的一个大趋势，而存在的安全威胁也极大地引起了社会的广泛关注。但目前我国在虚拟化安全领域的研究还在发展阶段，尚未完全成熟。因此，充分认清河南省水利信息化虚拟环境中的安全威胁，并通过行之有效的手段制定相应的安全方案，加强服务器虚拟化的安全防护，才能最大程度上降低或消除风险隐患，确保虚拟平台的正常有效应用。

[1]邓高峰，高四良，李玉龙．服务器虚拟化安全问题分析及防护措施[J]．计算机安全，2014（8）：30-32．

[2]满亮.服务器虚拟化的安全威胁及防范分析[J].互联网天地，2016（1）：9-12．

（责任编辑：刘 青）

TV 393

A

1673-8853（2016）12-61-02

2016-11-12