薛强
摘要:以常州工程职业技术学院为例,目前我校通过部署VMware服务器虚拟化平台、Ctrix桌面虚拟化平台已经实现了业务系统、办公终端的快速“上云”,虚拟化平台的弹性、扩展灵活、按需部署、统一web管理为我信息中心的日常运维管理带来了极大的便利,但随之而来的是安全的问题——如何解决虚拟化平台的安全、保障业务系统免受黑客攻击、防范应用以及虚拟桌面中的文件免受病毒感染侵袭,实现“云内安全”,是我校正在密切关注、急需解决的问题。
关键词:云计算;网络;虚拟化
一、现状描述
目前我校内网数据中心业务系统服务器区域部署了20台2路、4路服务器,通过VMware Vsphere实现了服务器虚拟化。目前该资源池已部署了两百多台虚拟机,承载包括一卡通系统、门户网站、财务系统等在内的所有学校业务系统。
同时,虚拟化桌面服务器区域也部署了近14台2路服务器,通过Ctrix的XenDesktop实现桌面虚拟化,将所有虚拟桌面集中在服务器中,通过优化远程桌面协议实现图像的前端显示,以供学校机房、教师日常办公使用。
目前包括虚拟化服务器、虚拟化桌面在内的所有服务器虚拟机均为“裸奔”状态,终端没有相应的防护方案,众多业务系统、办公桌面暴露在公网当中,危险系数极高。
二、安全隐患
我校对于安全的需求主要包括几下几点:
(一)本次的安全规划主要集中在虚拟化平台内,包括服务器虚拟化平台内的安全和桌面虚拟化平台内部的安全。所以,安全方案必须能够兼容目前的VMware平台和Ctrix平台。
(二)我校主要关注平台内虚拟机的东西向安全。例如,经过NSX优化的虚拟网络,对于同网段同主机、同网段不同主机、不同网段同主机、不同网段不同主机的虚拟机之间通信最多只需要过二层接入交换机,部分通信只需要通过ESXi内部虚拟分布式交换机vDS即可通信。大量VM之间的业务流量不过三层,因此南北向物理防护很难生效。
(三)目前我校比较关注有客户端的轻代理安全防护方式如何规避升级风暴和杀毒风暴,终端安全防护一定不能以牺牲业务系统稳定性为代价。
(四)南北向的安全防护。虚拟化环境下主要包括四套网络——虚拟机东西向之间通信的隧道网络、外部访问虚拟机的业务网络、虚拟机向存储设备读写的存储網络以及日常管理的管理网络。其中黑客若初次攻击我校VM,必定需要通过南北向网络,故南北向的虚拟化环境下安全防护也必须做到。
(五)目前我校有数量较多的web服务器,无论web服务对内还是对外开放,都是最容易被黑客攻击的环节。Web目录极容易被黑客植入webshell后门,后期可能会通过黑客的C&C主机远程控制植入了webshell后门的web服务器,轻则web目录被篡改、相关核心文件被加密、数据被窃取,重则横向渗透到其他业务虚拟机中,造成大规模的病毒爆发、数据泄露。故针对我校的实际情况,虚拟机中的web安全尤为重要。
(六)为了方便师生进行相关文档的共享、交流,我校的文件共享虚拟机对所有教师职工开放。目前共享文件夹中已有大量的不同格式的文件,其就像一颗“定时炸弹”,不做好该共享文件的安全防护,随时可能“爆炸”。
三、解决方案
针对我校最为关注的几点需求,防病毒厂家公司通过虚拟化安全轻代理杀毒有效解决上述安全问题:
(一)虚拟化安全轻代理兼容性极好,现在绝大部分的云平台都可适配,包括我校目前使用的Ctrix和VMware。即使后期我校使用其他云平台厂家,虚拟化安全也可以轻松扩展、兼容。
(二)对于东西向安全,轻代理可实现2—7层的安全防护。其中,轻代理的防火墙模块可以实现ACL的IP五元组访问控制策略,对异常流量进行清洗,同时网卡流量统计模块可以定期关注主机的流量变化,发现可疑未知流量,有效应对2—4层的网络攻击;对于4—7层安全防护,轻代理客户端通过本地的恶意代码防范(杀毒)、漏洞利用(虚拟补丁)、暴力破解(防爆破)、webshell扫描(webshell后门查杀)、安全基线(针对不安全配置、相关参数、弱口令,为主机打分,给出一键修复方案,进行基线的提升。
(三)对于杀毒风暴的担心,我们可以将虚拟机分到不同的组中(可以基于不同的网段vlan,可以基于虚拟化平台类型,可以基于操作系统类型,完全我校自定义),将不同的虚拟机组在不同的时间点进行错峰定时查杀,应对杀毒风暴的问题。并且经过前期测试,轻代理的杀毒资源占用并不高,防病毒厂家已经做好足够的优化,轻量级业务系统可以统一查杀;对于补丁的升级,目前防病毒厂家是基于虚拟补丁的方式防护漏洞利用攻击。
(四)对于南北向的安全防护,防火墙、杀毒、入侵检测也能够做到对应的2—7层安全控制。
(五)针对web服务器安全,防病毒厂家虚拟化安全轻代理的webshell扫描可以有效应对webshell后门的植入,准确发现web目录的篡改和webshell的后门控制,提高安全级别。
(六)文件服务器可以通过“病毒查杀”进行包括宏病毒、蠕虫、木马在内的多种的恶意代码的快速扫描、发现和查杀。
四、结论
这次通过对虚拟化环境特性分析,结合实际情况分析了面临网络安全威胁,通过以上的方式给出了相应的安全对策。提醒大家不能只关注网络本身的情况,要从系统的最底层出发研究东西向存在的危险进行防护,这是基础设施的防护,也是保障虚拟化安全的防护。
参考文献:
[1]杨永.探讨虚拟化数据中心的安全问题分析[J].电子技术与软件工程,2015 (23):214.
[2]钱霂馨,张辉鹏.虚拟化数据中心的安全问题分析[J].信息安全与技术,2013,4 (08):50-53.