企業(yè)虛擬化環(huán)境中的安全防護(hù)

李宇宏

（吉林省地方稅務(wù)局，吉林 長(zhǎng)春 130022）

1 虛擬化技術(shù)的優(yōu)勢(shì)

1.1 提高硬件資源的利用效率。在我國(guó)網(wǎng)絡(luò)環(huán)境越來越膨脹的背景下，服務(wù)器的耗電成本、散熱成本以及空間成本也越來越高，這都會(huì)影響計(jì)算機(jī)硬件資源的利用效率。因此，虛擬化廠家也將目標(biāo)放在了“單個(gè)物理服務(wù)器可以運(yùn)行多個(gè)操作系統(tǒng)環(huán)境”上。這樣網(wǎng)頁(yè)服務(wù)器和數(shù)據(jù)庫(kù)等系統(tǒng)服務(wù)都可以在單個(gè)的操作系統(tǒng)上運(yùn)行，而在同一個(gè)物理服務(wù)器上，多個(gè)操作系統(tǒng)也是可以同時(shí)運(yùn)行的，從而有效的解決了計(jì)算機(jī)硬件資源利用效率低的問題，同時(shí)也保持了服務(wù)間隔。

1.2 降低運(yùn)營(yíng)成本。在傳統(tǒng)的物理系統(tǒng)中，當(dāng)機(jī)房需要擴(kuò)建或是硬件需要更新時(shí)，企業(yè)要想采購(gòu)新設(shè)備就會(huì)產(chǎn)生一筆較大的花銷。而如果應(yīng)用了虛擬化環(huán)境，IT設(shè)備的采購(gòu)費(fèi)用就會(huì)大幅度的降低。首先，由于虛擬化環(huán)境所能實(shí)現(xiàn)的資源共享功能，這樣在虛擬化環(huán)境中就能將各種硬件設(shè)備整合到一起，有效的降低了機(jī)房的運(yùn)營(yíng)維護(hù)成本；其次，在越來越多的低成本硬件上VMware都已經(jīng)得到了認(rèn)可，并且隨著技術(shù)的發(fā)展，此套件也能夠與企業(yè)的工作負(fù)載條件良好的適應(yīng)了，所以其將會(huì)產(chǎn)生更大的成本節(jié)約空間。

1.3 管理上的優(yōu)勢(shì)。企業(yè)如果應(yīng)用了虛擬化的環(huán)境，那么就能夠?qū)T管理人員整合起來，一名管理人員管理上千臺(tái)服務(wù)也是有可能的，機(jī)器的運(yùn)行效果得到了提升，同時(shí)也提高了企業(yè)員工的工作效率。而要想充分的發(fā)揮出虛擬化技術(shù)在管理上的優(yōu)勢(shì)，其前提條件就是必須建立完善的組織架構(gòu)。

2 企業(yè)虛擬化環(huán)境中的安全問題

2.1 隔離。要想安全的整合服務(wù)器，從而實(shí)現(xiàn)多個(gè)虛擬機(jī)在一臺(tái)物理服務(wù)器上有效運(yùn)行，虛擬化使用邏輯隔離來體現(xiàn)物理獨(dú)立的感覺。這樣我們就無法判斷主機(jī)是否是出于隔離的狀態(tài)，要想確認(rèn)其是出于隔離的狀態(tài)的，就必須借助虛擬機(jī)管理程序和其他以軟件為基礎(chǔ)的組件。而怎樣才能正確的包含信息呢？管理人員就應(yīng)時(shí)刻關(guān)注可能會(huì)對(duì)網(wǎng)絡(luò)隔離和虛擬機(jī)產(chǎn)生影響的配置設(shè)備，并且在整個(gè)基礎(chǔ)架構(gòu)中，還應(yīng)實(shí)時(shí)的監(jiān)控會(huì)導(dǎo)致敏感數(shù)據(jù)泄漏的變更。

2.2 虛擬機(jī)的移動(dòng)性。在虛擬化的語言中，所謂的移動(dòng)性就是指虛擬機(jī)會(huì)自動(dòng)的將其本身和資源重新定位到另一個(gè)位置。而在實(shí)現(xiàn)此功能的過程中，也會(huì)產(chǎn)生一定的問題。如果是在傳統(tǒng)的數(shù)據(jù)中心中，物理服務(wù)器就可以被準(zhǔn)確的放置在某一個(gè)插槽上，而如果是混合數(shù)據(jù)中心，虛擬機(jī)就無法簡(jiǎn)單的定位。當(dāng)配置了可移動(dòng)性后，虛擬機(jī)就可以輕松的定位到另外一臺(tái)物理服務(wù)器上，這種移動(dòng)性充分的保證了數(shù)據(jù)中心的靈活性，大幅度的節(jié)約了開支和時(shí)間，但同時(shí)也容易產(chǎn)生類似于筆記本電腦和大型動(dòng)態(tài)主機(jī)配置協(xié)議環(huán)境的安全問題。

2.3 虛擬網(wǎng)絡(luò)的安全性。應(yīng)用了虛擬化技術(shù)后，在數(shù)據(jù)中心內(nèi)，服務(wù)器和網(wǎng)絡(luò)就不再是兩個(gè)獨(dú)立區(qū)分的層了，一些復(fù)雜的網(wǎng)絡(luò)環(huán)境在服務(wù)器本身的界限是虛擬化的，它們能夠?qū)崿F(xiàn)服務(wù)器中的虛擬機(jī)通信，并且也能夠享受到所有傳統(tǒng)的網(wǎng)絡(luò)裝置所使用的相同特性。在虛擬化的數(shù)據(jù)中心中，一個(gè)物理端口就可能表示上百臺(tái)虛擬服務(wù)器，這就會(huì)加大我們保證數(shù)據(jù)中心網(wǎng)絡(luò)安全性的難度。在同一臺(tái)物理服務(wù)器中，不同虛擬機(jī)的網(wǎng)絡(luò)流量是不會(huì)離開主機(jī)的，同時(shí)傳統(tǒng)的網(wǎng)絡(luò)安全裝置也不會(huì)檢測(cè)到它。而要想有效的保護(hù)這些盲點(diǎn)，就應(yīng)在虛擬基礎(chǔ)架構(gòu)中添加附加保護(hù)層。

2.4 操作職責(zé)的分離。職責(zé)分離和最小特權(quán)的策略可以用于限制企業(yè)IT管理員執(zhí)行日常任務(wù)和管理資源的權(quán)限。服務(wù)器管理人員是管理服務(wù)器的直接責(zé)任人，而網(wǎng)絡(luò)管理人員則是管理網(wǎng)絡(luò)的直接責(zé)任人，而安全管理工作則是由安全團(tuán)隊(duì)負(fù)責(zé)，這些部門之間是有著分界線的，而隨著虛擬化技術(shù)的出現(xiàn)則改變了這一現(xiàn)象，通過一個(gè)虛擬管理控制臺(tái)就可以同時(shí)管理網(wǎng)絡(luò)和服務(wù)器中的人物，但是卻也同時(shí)出現(xiàn)了新的運(yùn)營(yíng)問題。組織應(yīng)能夠準(zhǔn)確的訪問管理的身份和策略，組織不應(yīng)分配給無關(guān)人員過多的權(quán)限，而是應(yīng)由安全專業(yè)人士和服務(wù)器的管理人員來負(fù)責(zé)對(duì)虛擬環(huán)境的管理和維護(hù)工作，從而保證企業(yè)虛擬化環(huán)境的穩(wěn)定和安全。

3 企業(yè)虛擬化環(huán)境中的安全防護(hù)解決方案

3.1 趨勢(shì)科技的Deep Security。這類API端口在虛擬化平臺(tái)中成功的引入了自身的防毒處理技術(shù)，在終端不需要安裝代理，殺毒的效率也得到了極大提升，其主要是由Deep Security代理、Deep Security管理器和安全中心三個(gè)部分組成的。其工作原理為：Deep Security代理首先會(huì)接收到管理器中的安全配置，其主要包括對(duì)服務(wù)器強(qiáng)制執(zhí)行的防火墻、日志審計(jì)規(guī)則以及深度數(shù)據(jù)包檢查，之后會(huì)逐個(gè)服務(wù)器上安裝的所有軟件，從而確定哪些規(guī)則是適用的，創(chuàng)建包含所有規(guī)則監(jiān)控活動(dòng)的事件并將其發(fā)回給Deep Security管理器。之后管理器會(huì)對(duì)安全中心發(fā)出咨詢，從而及時(shí)的進(jìn)行安全更新。Deep Security代理、Deep Security管理器以及安全中心三者之間的通信都是相互驗(yàn)證的SSL所保護(hù)。此外，安全中心還能實(shí)時(shí)監(jiān)控漏洞信息的公共和私有源，從而保護(hù)正在使用的應(yīng)用程序和操作系統(tǒng)。

3.2 vShield。對(duì)于那些既想保證控制力、遵從性和安全性，又想充分的利用云計(jì)算優(yōu)勢(shì)的企業(yè)來說，那么建議企業(yè)應(yīng)用VMware vShield這一安全解決方案。其可以有效的防范網(wǎng)絡(luò)病毒的入侵，充分的提高端點(diǎn)上的防病毒和惡意軟件的防護(hù)性能，保證敏感數(shù)據(jù)的控制力和可見性，從而最大限度的保證企業(yè)數(shù)據(jù)和應(yīng)用程序的安全。

結(jié)語

通過以上的論述，我們對(duì)虛擬化技術(shù)的優(yōu)勢(shì)、企業(yè)虛擬化環(huán)境中的安全問題以及企業(yè)虛擬化環(huán)境中的安全防護(hù)解決方案三個(gè)方面的內(nèi)容進(jìn)行了詳細(xì)的分析和探討。作為我國(guó)IT行業(yè)中新興產(chǎn)品，虛擬化技術(shù)有著其獨(dú)特的優(yōu)勢(shì)，其在管理上、成本上以及硬件的利用效率上都有著明顯的優(yōu)勢(shì)，同時(shí)企業(yè)虛擬化環(huán)境的安全防護(hù)工作也迎來了新的挑戰(zhàn)，因此，我們應(yīng)針對(duì)企業(yè)虛擬化環(huán)境中的各類安全隱患，充分的了解主流的虛擬化安全防護(hù)產(chǎn)品，從而為企業(yè)虛擬化環(huán)境的安全防護(hù)工作提供支持和保證，保證我國(guó)企業(yè)的健康發(fā)展。

[1]盧建平.虛擬化系統(tǒng)中的攻擊與防護(hù)模型演技[J].武漢大學(xué)學(xué)報(bào)，2013.

[2]徐曉貝.企業(yè)私有云虛擬網(wǎng)絡(luò)的安全監(jiān)控研究[J].中國(guó)科技信息，2013.