VMware虛擬化安全在河南省水利信息化中的應用

□趙倩倩 □劉子涵 □宋 博 □李 亞

（河南省水利信息中心）

VMware虛擬化安全在河南省水利信息化中的應用

□趙倩倩 □劉子涵 □宋 博 □李 亞

（河南省水利信息中心）

隨著服務器虛擬化技術在河南省水利信息中的廣泛應用，其安全問題也日益受到關注。文章主要討論了河南省水利信息化中服務器虛擬化面對的安全威脅，并進行了詳細分析，給出了具體的基于不同層面的虛擬化安全的解決方案，為河南省水利信息化中VMware服務器虛擬化的穩定運行提供巨大的保障，為水利信息化數據的安全打下良好的基礎。

虛擬化安全；服務器虛擬化；解決方案

1 引言

隨著河南省水利信息化建設的快速發展，業務應用系統、服務器資源逐漸龐大，VMware平臺服務器虛擬化的建立和應用大大提高了資源的利用率，提供了相互隔離、安全、高效的應用執行環境，并方便各個應用的管理和升級維護。但同時，服務器虛擬化后，在傳統組織架構中能看到的安全風險，在虛擬化架構中一樣都不少，從底層HyperVisor到虛擬操作系統層（OS）以及應用層（APPs），甚至包括離線的虛擬鏡像文件，還有其虛擬系統自身的安全問題，所以虛擬化平臺的安全威脅比傳統架構面臨的風險更甚。如果不采取任何安全措施，那整個虛擬化架構就猶如傳統IT平臺一樣沒有任何防御措施，但套用傳統硬件環境的安全方案，并不能適用于虛擬化平臺，反而會給業務系統的穩定運行帶來災難性的后果。所以，詳細分析河南省水利信息化中VMware平臺服務器虛擬化存在的安全威脅，針對這些問題給出相應的防護措施和解決方案，至關重要。

2 河南省水利信息化中的VMware虛擬化安全威脅

虛擬化技術在河南省水利信息化中的應用，使整合資源、靈活部署應用、提高資源利用率、節省空間等都成為可能，但是單位的VMware平臺服務器虛擬化的安全面臨著以下幾方面威脅。

2.1 虛擬機之間的互相攻擊

由于目前河南省水利信息化的虛擬化環境仍舊使用傳統的防護模式，導致主要的防護邊界還是位于物理主機的邊緣，從而忽視了同一物理主機上不同虛擬機之間的互相攻擊和互相入侵的安全隱患。而虛擬機之間的安全防護是相對薄弱的，且安全性較差。若虛擬環境中的任何一臺虛擬機存在安全漏洞，網絡攻擊者均可利用系統漏洞對該虛擬機發起攻擊，一旦該虛擬機被攻擊者控制，攻擊者可將該虛擬機作為跳板實現對其他虛擬機的攻擊，甚至威脅到整個虛擬化環境的安全。

2.2 隨時啟動的防護間歇

由于目前大量使用VMware的服務器虛擬化技術，其IT服務具備更高的靈活性和負載均衡。但同時，這些由于資源動態調整關閉或開啟虛擬機隨時會導致防護間歇問題。如：某臺一直處于關閉狀態的虛擬機在業務需要時會自動啟動，成為后臺服務器組的一部分；但在這臺虛擬機啟動時，其包括防病毒在內的所有安全狀態都較其他一直在線運行的服務器處于滯后和脫節的地位。

2.3 系統安全補丁安裝

目前河南省水利信息化的虛擬化環境內仍會定期采用傳統方式對階段性發布的系統補丁進行測試分析和手工安裝。雖然VMware平臺服務器虛擬化本身具有一定狀態恢復的功能機制，但此種做法仍有一定安全風險：無法確保系統在測試后發生的變化是否會因為安裝補丁導致正在運行的業務應用異常。集中的安裝系統補丁，在前中后期均需要大量人力、物力和技術支撐，部署成本較大。

2.4 防病毒軟件對資源的占用沖突導致殺毒風暴（AV storm，antivirus storm）

目前在河南省水利信息化的虛擬化環境中，對于虛擬機仍使用每臺虛擬操作系統安裝“傳統”防病毒客戶端的方式進行病毒防護。在防護效果上可以達到安全標準，但如從資源占用方面考慮，存在一定安全風險。由于每個防病毒客戶端都會在同一個物理主機上產生資源消耗，那么當發生客戶端同時掃描和同時更新時，資源消耗的問題會愈發明顯，嚴重時可能導致ESX/ESXI服務器宕機。

通過以上的分析，了解到雖然傳統安全設備或軟件可以給物理網絡層和操作系統等提供安全防護，但是虛擬環境中新的安全威脅，例如：虛擬機之間通訊的訪問控制問題，病毒通過虛擬交換機傳播問題，虛擬機之間的東西向流量控制問題等，傳統的安全設備或軟件已經無法提供相關的防護，需要研究新的安全技術為虛擬環化境提供全面的保護。下面是關于河南省水利信息化中VMware平臺服務器虛擬化安全的解決方案的探討。

3 虛擬化安全的三種層面解決方案的探究

3.1 基于宿主機

基于宿主機，即在虛擬化系統底層解決虛擬化安全問題。在每臺物理宿主機的底層ESX/ESXI中部署安全軟件，為每臺宿主機提供多層次安全防護，如防病毒功能、訪問控制功能、虛擬補丁、攻擊防御、完整性監控等。安全軟件部署在ESX/ESXI底層，其與VMware兼容性良好，無需消耗分配給虛擬機的計算資源和更多的網絡資源消耗，最大化利用計算資源的同時提供全面病毒的實時防護。

但同時，因安全軟件部署在宿主機底層ESX/ESXI中，安裝時需要停用HA，且需要多次遷移宿主機上的虛擬機，在此過程中對虛擬平臺造成一定的安全隱患。同時，還要在所需監控或者保護的虛擬機上安裝Agent，且Agent對系統本身的影響未知，更遑論業務；還需手動給每一個被保護的虛擬機單獨配置防護策略。

3.2 基于網關

基于網關，即將安全軟件以虛擬機的形式部署在虛擬化平臺中，對網絡行為進行訪問控制。

無論是虛擬機之間的東西向流量，還是虛擬機到物理網絡的南北向流量，所有的數據流量一定要經過物理線路，而虛擬架構中的非法流量對物理設備的沖擊是無法過濾的。所以，把虛擬化架構中的安全威脅在虛擬化環境中內部解決，以避免惡意流量對接入層以上網絡傳輸設備造成沖擊。因此，可以將安全軟件以虛擬機的形式部署在虛擬化平臺中，對網絡行為進行訪問控制。將關鍵業務安全地分置在不同的虛擬機上，所有的通信為虛擬安全網關監視和管制，確保所有通信都符合安全策略；劃分安全區塊，對跨區域的訪問進行隔離、控制；進行實時監控與過濾，對流量行為進行分析，創建自定義和基于策略的警報時間等等，進行統一管控。

這種解決方案的優勢在于部署簡單、操作易用；在虛擬機上不需要安裝代理；每個虛擬機的流量均受到監控和管理，但是，也存在一定的劣勢。如雖在虛機上不安裝代理，但仍需要暫停所有需要進行安全防護的虛擬機業務，更改其系統配置來適配安全軟件，方便管理；基于網關的解決方案，只檢測到了虛擬機的邊界，但對于同一網關下的虛擬機無法進行安全防護。

3.3 基于VLAN接口的引流模式

基于VLAN接口的引流模式，即通過引流技術、虛機微隔離及可視化技術，可以為河南省水利信息化提供全方位的安全服務，包括流量及應用可視化，虛機之間威脅檢測與隔離，網絡攻擊審計與溯源等，幫助其搭建安全、合規的“綠色”平臺。安全軟件以多臺虛擬機的形式部署在虛擬平臺中，將管理平面、控制平面、業務平面采用分離式設計；在每一臺需要保護的物理服務器部署一個插件，即可實現對該物理服務器上所有虛擬機的安全保護。

該解決方案的優勢在于無需修改虛擬化平臺和虛擬機配置，不需要在每臺虛擬機上安裝軟件或插件，以便減少對物理機的資源占用；在安全業務管理中直接驅動自動引流，具有較強的流量可視化能力；不使用VMware的API進行引流，因此不受其版本演進變化的影響，性能高。但是，需要根據網絡交換機VLAN的劃分情況，設置虛擬VLAN，對現有的虛擬化平臺需要大的改動，影響業務的正常運行。

4 結語

服務器虛擬化已成為當前網絡發展的一個大趨勢，而存在的安全威脅也極大地引起了社會的廣泛關注。但目前我國在虛擬化安全領域的研究還在發展階段，尚未完全成熟。因此，充分認清河南省水利信息化虛擬環境中的安全威脅，并通過行之有效的手段制定相應的安全方案，加強服務器虛擬化的安全防護，才能最大程度上降低或消除風險隱患，確保虛擬平臺的正常有效應用。

[1]鄧高峰，高四良，李玉龍．服務器虛擬化安全問題分析及防護措施[J]．計算機安全，2014（8）：30-32．

[2]滿亮.服務器虛擬化的安全威脅及防范分析[J].互聯網天地，2016（1）：9-12．

（責任編輯：劉 青）

TV 393

A

1673-8853（2016）12-61-02

2016-11-12