邓湘勤,倪 瑞
(1.国能大渡河大数据服务有限公司,四川 成都 610041;2.国能大渡河流域水电开发有限公司大数据公司,四川 成都 610041)
20世纪60年代,IBM公司首次提出了虚拟化技术概念,并对其进行了小范围应用。进入到70年代后,美国发明了互联网技术,并在随后的20年间,对其进行了全球化的推广应用,推动了虚拟化技术在互联网中的运用。自从2012年全球开启以工业4.0为目标的新一轮工业化改革以来,促进了大数据技术、云计算技术的应用,由此,在较大范围内实现了虚拟化数据中心建设。由于虚拟化数据中心应用时存在诸多安全风险,所以在应用时需要配套地做好安全设计,防范各种风险[1]。
虚拟化数据中心(VDC)也称虚拟数据中心,主要是指在数据中心中通过应用云计算概念构建的数据中心形态兼具科学技术与管理技术特征,能够在数据中心部署方面实现自动化,在资源分配与调度上保障动态性[2]。
目前,对于虚拟化数据中心的建设包括对服务器的虚拟化、对网络的虚拟化,适用于桌面、统一通信等。虚拟化数据中心基本架构一般由存储设备、存储虚拟平台、服务器构成(见图1)。实践经验表明,该技术应用后能利用系统控制方法完成对逻辑资源的统一整合,从而使服务器、存储器、网络在不占用计算机内存的情况下,借助统一存储、策略管理提高数据中心的使用效率,扩展其应用范围。整体上看,该技术的应用仍处于初级阶段,但是在微观实践层面,已经应用到了各行业诸领域[3]。
图1 虚拟化数据中心(VDC)示意
在常用的数据中心中主要通过建立隔离区的办法来降低风险,常用的方法是于防火墙中建立数量不等的隔离区,然后借助访问控制规则限制各类物理服务器访问,从而在隔离区内实现对攻击的有效限制。但是在应用虚拟化技术对数据中心进行处理后形成的虚拟化数据中心对原来的网络结构进行了改变,此时部署的虚拟机始终处于关联状态,一旦其中的某个虚拟机发生安全风险,均会通过网络路径,将这种风险扩散到相关联的虚拟机中,进而造成更大的风险。
虚拟数据中心的主要优势集中在对资源的统一融合、高效利用方面,然而在提升服务器利用率与灵活性后,服务器需要承担更大的负载,进而降低运行性能。目前实践中常用的方案是将虚拟化的各类应用统一到一台服务器,此时并不能排除物理服务器中的故障,主要为硬件故障,因此,当服务器风险集中后会加重其发生故障的概率与严重程度。另外在虚拟化处理条件下,虚拟层之间的应用与交互,硬件与虚拟机之间存在隔离,管理人员只能对物理服务器中的风险进行监测、预防,并不能对物理服务器背后的风险做出有效评估,所以在这种情况下服务器的稳定性会随之下降。
虚拟机的创建具有实时性、灵活性、可下载性等多种特征,当某台物理机上创建了多个虚拟机并且下载到了桌面系统之后,可以形成一个脱离了物理安全监管范围的“常驻内存”。可是在实际的安全监管中主要围绕物理环境展开,一旦虚拟机脱离这种物理环境,就能够绕开物理服务器中设置的防火墙与监测异常行为的系统,并且在存储平台方面的异构特征,造成了资源隔离困难、安全监管不能统一的情况。此时安全监管中的面临的风险相对较大。
以黑客攻击为例,黑客只需对管理层进行控制,即可实现对所有虚拟机的控制,而且在较难侦测的情况下,黑客可以将各种不同用途的“流氓软件”“木马病毒”安装到虚拟化数据中心,从而实现对数据的窃取、破坏、篡改、控制等。以虚拟机的溢出为例,在溢出的同时产生了各种漏洞,黑客容易抓住这种漏洞,针对相应的虚拟机开启攻击,并逐层实现对底层管理程序的完全控制。以虚拟机跳跃为例,会导致攻击跳转,为黑客攻击提供便利路径。以补丁安全风险为例,虚拟机运行中要求定期安装补丁,并对其开展更新、维护、修补。当补丁维护不及时,会出现不同种类、不同程度的安全漏洞,此时受到攻击后,攻击者可以利用虚拟机对主机执行“恶意代码”等。
虚拟化数据中心中受到主机动态迁移与业务混存的影响,需要同时解决这两个问题,从常用的处理方案看,在前一个方面主要是在安全模型中完成主机动态迁移到其他物理服务器;在后一个方面则需要采用安全隔离完成相关处理[4]。
从安全设计需求的方面看,主要包括了三类需求:一是对用户、业务、应用进行通道隔离;二是实施对集群中成员动态加入、离开、迁移方面的接入控制;三是以虚拟机的迁移为主,保障动态网络安全策略的有效实施。所以在虚拟数据中心可以创建满足其安全需求的三维安全模型,具体如下:一是在纵向访问中可以借助L1级别的Web-AP-DB等,对不同区进行访问的同一应用设置通道隔离;二是在横向访问中,利用高级别的L2完成对不同应用在同一级别中的访问控制。由于不同级别之间通常禁止访问,因此可以通过安全策略动态迁移方案,保障其访问安全性。三是需要做好接入控制,保障网络安全策略的支撑性能。见图2。
图2 虚拟数据中心安全模型
3.2.1 网络架构设计
在虚拟化数据中心网络架构安全设计方面,可以将多台网络设备进行虚拟化处理,具体可以借助IRF(Intelligent Resilient Framework)技术将其虚拟化为一台设备,进而对其实施一体化的使用与管理。这种基于IRF技术的无环设计方案可以在较大程度上提高其可用性[5]。从应用设计原则看,主要是通过汇聚交换机堆叠办法,在不同的交换机上接入服务器双网卡,然后,利用端口捆绑技术完成对二层交换机的捆绑连接,使物理端口负载趋于均衡水平,并保障冗余备份功能的实现。除此之外,还需要借助模块化、层次化设置,使应用核心区、数据中心核心区实现全面关联,形成边缘区域到核心区域的关联应用。分层的模块化设计见图3。
图3 虚拟化数据中心分层模块化设计示意
3.2.2 安全部署设计
首先,划分出接入层、汇聚层,然后通过低级别的L1(作为接入层,包括Web区、AP区、DB区)、中级别的L3、高级别的L2对汇聚层进行级别区分,按照低级别应用服务器、中级别应用服务器、高级别应用服务器进行设置。例如,在低级别应用服务器中,在汇聚交换机上设置网关,这样可以通过交换机中的ACL进行有效控制。在中级别应用服务器上,则可以在基本的网关设置基础上,在纵向访问上设置防火墙体,并通过交换机上的ACL控制横向访问。在高级别应用服务器方面,对网关、横向访问、纵向访问,均可以通过设置防火墙完成安全部署设计。这样将汇聚层、接入层关联后,就可以实现对不同级别业务中的风险进行有效管控(见图4)。其次,可以通过服务器网关设置在防火墙与汇聚交换机上的两种不同工作模式,一方面保障同一业务、不同业务互访时的访问控制与边界安全控制,另一方面达到对分区互访时的有效隔离与访问控制。
图4 网关安全控制模型示意(不同涉密等级)
3.2.3 动态迁移策略
虚拟化数据中心的安全策略实施思路是,以不同类型的应用系统为对象,设计针对不同级别的安全策略。所以当对虚拟环境中服务器与应用系统进行匹配、迁移时,需要改变、调整匹配的安全策略。在具体操作中,一般采用虚拟机软件保障虚拟机软件实现服务器上虚拟机制创建与快速迁移。需要注意的是,在实时迁移的动态安全策略中,虚拟机、服务器、网络配置、虚拟机业务均需要进行连续迁移。由于该技术属于虚拟化数据中心建设中的常用技术,因而比较容易实现。从实践经验看,通常是选择VPORT概念,将1个或多个VPORT绑扎在虚拟机上,此时虚拟机发生迁移,邻接的物理交换机上也能够同步地将相关网络配置绑定在VPORT上,从而在满足各种迁移对象连续性迁移的同时不影响其他虚拟机绑定的VPORT。
3.2.4 存储安全保护
在虚拟化数据中心的存储应用中,存在多个虚拟对象(如NAS、FC SAN、IP SAN等),此时为了保障虚拟化管理软件对此类对象的统一管理、全面管理,在用户管理界面需要对底层对象的差异性进行屏蔽,并借助上层应用封装的办法达到管理界面的统一。常用存储安全保护方法主要借助主机授权—用户认证—用户授权,对存储资源进行有效的隔离,并保障访问时安全控制。在虚拟存储应用方面,则可以进一步利用虚拟机技术中的行为监控技术,对上层操作系统硬件的现实场景访问行为进行获取、监测,从而规避“恶意代码”的执行造成的操作系统受攻击问题。除此之外,通过部署基于存储的独立性入侵检测系统,也能够对相关设备中的读写操作进行特征抓取、行为分析,进而结合扫描检测对其中的文件属性、文件模式、文件结构等开展设定后的自动化检测,及时发现异常情况并进行有效处理。
总之,虚拟化数据中心内涵丰富、比较优势明显,适用于各行业诸领域的数据中心转型升级与业务管理,因此,在我国经济高质量发展阶段,需要进一步加强对虚拟化数据中心的研讨。通过以上初步分析可以看出,在虚拟化数据中心建设与应用中,存在来自网络结构变化、高资源利用率、虚拟软件监管,以及虚拟环境方面的各种安全风险。所以在应用该技术时,一方面要提升建设方面的水平,另一方面则应该结合数据中心虚拟化处理后存在的安全问题及风险,通过配套的安全设计,保障虚拟化数据中心建设与使用的安全性。■