虛擬云桌面機房安全性能提升的研究與實踐

摘 要：本文通過文獻(xiàn)研究法和經(jīng)驗總結(jié)法對虛擬云桌面機房基礎(chǔ)設(shè)施安全問題進行歸納分析，主要從物理安全機制、網(wǎng)絡(luò)安全機制、主機安全機制、虛擬機安全機制等四個方面對云計算機房基礎(chǔ)設(shè)施安全保護機制進行論述，并加以實踐、總結(jié)。提出可從配置基礎(chǔ)設(shè)施安全保障機制與利用先進的防火墻技術(shù)和設(shè)備兩個方面來提升虛擬云桌面機房系統(tǒng)的安全性能。

關(guān)鍵詞：虛擬云桌面；安全保障機制；虛擬機安全；主機安全；網(wǎng)絡(luò)安全

中圖分類號：TP309.1 文獻(xiàn)標(biāo)識碼：A

目前，國內(nèi)只有少數(shù)幾所高校和幾家企業(yè)建設(shè)有云計算機房，并且大多用于搞研發(fā)，少數(shù)用于教學(xué)。我院于2014年年底建設(shè)了5個基于虛擬云桌面技術(shù)的實訓(xùn)室，共200臺機器，并于2015年投入使用。就云計算安全技術(shù)而言，國內(nèi)外各類云計算安全產(chǎn)品與方案不斷涌現(xiàn)，如SUN、EMC、Intel、VMware等公司都有云計算安全產(chǎn)品，這類產(chǎn)品與技術(shù)已比較成熟。云計算安全問題包括云計算基礎(chǔ)設(shè)施安全、云計算環(huán)境下的數(shù)據(jù)安全、IaaS、PaaS、SaaS服務(wù)安全、云計算安全運營治理、云計算業(yè)務(wù)連續(xù)性保障云計算的合規(guī)性等。

就虛擬云計算機房而言，其安全性主要是指云計算基礎(chǔ)設(shè)施安全，這就需要配置好云計算基礎(chǔ)設(shè)施系統(tǒng)安全保護機制，進而提升系統(tǒng)的安全性能。那么如何配置云計算基礎(chǔ)設(shè)施系統(tǒng)安全保護機制呢？作者認(rèn)為可從兩個方面來提升虛擬云桌面機房系統(tǒng)的安全性能：1）利用基于集成VMsafe的VM vSphere技術(shù)，配置基礎(chǔ)設(shè)施安全保障機制，包括主機安全、網(wǎng)絡(luò)安全、虛擬機安全、存儲安全等，保障系統(tǒng)內(nèi)部安全。2）利用先進的防火墻技術(shù)和設(shè)備，抵擋外部攻擊，提高防御能力，提升虛擬云桌面系統(tǒng)的安全性能。本文寫作是就VM vSphere 5.1版本而言。

1 云計算機房基礎(chǔ)設(shè)施安全保護機制的配置

云計算機房基礎(chǔ)設(shè)施是實現(xiàn)其他一切云計算技術(shù)、服務(wù)、管理等項目的基礎(chǔ)和必備條件，沒有基礎(chǔ)設(shè)施的安全，其他的一切則是空中樓閣。云計算機房基礎(chǔ)設(shè)施安全保護機制分為物理安全機制、網(wǎng)絡(luò)安全機制、主機安全機制、虛擬機安全機制等安全保護機制，下面將一一介紹。

1.1 物理安全保護機制

所謂物理安全就是在物理環(huán)境上要實施防盜、防損、防非法入侵等安全防護措施。這就對云計算機房設(shè)備控制中心的位置選擇提出了要求，應(yīng)選擇防火、防水、防盜的區(qū)域，需安裝防火、防盜設(shè)施。需要制定相應(yīng)的安全管理制度與安全策略并嚴(yán)格執(zhí)行，云計算機房設(shè)備控制中心安全性要符合SAS 70合格性認(rèn)證要求。

1.2 網(wǎng)絡(luò)安全保護機制

在云計算壞境下，網(wǎng)絡(luò)包括三個層面，即數(shù)據(jù)中心網(wǎng)絡(luò)、跨數(shù)據(jù)中心的互聯(lián)網(wǎng)絡(luò)、云用戶接入網(wǎng)絡(luò)。本文中指的網(wǎng)絡(luò)是數(shù)據(jù)中心網(wǎng)絡(luò)。云計算機房設(shè)備控制中心網(wǎng)絡(luò)安全包括兩個方面：一是傳統(tǒng)的網(wǎng)絡(luò)安全，二是網(wǎng)絡(luò)虛擬化的網(wǎng)絡(luò)安全。

1.2.1傳統(tǒng)的網(wǎng)絡(luò)安全保護機制

針對傳統(tǒng)的網(wǎng)絡(luò)安全問題，目前市場上主流網(wǎng)絡(luò)安全產(chǎn)品大致分為三類：

1）基于包過濾策略的基礎(chǔ)防火墻類；

2）入侵檢測和防御類；

3）針對特殊協(xié)議的主動安全類，如Web應(yīng)用防火墻WAF、數(shù)據(jù)庫應(yīng)用防火墻DAF。我校采用的防火墻是綠盟下一代防火墻NSFOCUS NF，NSFOCUS NF具有上述三類傳統(tǒng)防火墻的主要功能和特性，包括路由、交換、訪問控制、流量管理、SNAT/DNAT、ISP負(fù)載均衡、DDoS防護、VPN、HA、日志報表等，使用戶原有成熟的安全解決方案可以無更改，平滑的過渡到NSFOCUS NF下一代防火墻安全解決方案上來。將NSFOCUS NF防火墻部署在云計算機房與校園網(wǎng)之間，具體如圖1所示。

1.2.2網(wǎng)絡(luò)虛擬化的網(wǎng)絡(luò)安全保護機制

無論是橫向整合還是縱向分割的網(wǎng)絡(luò)虛擬化技術(shù)，它提升了網(wǎng)絡(luò)服務(wù)的安全性、可靠性、及可用性，同時也給基于此技術(shù)部署的云計算環(huán)境網(wǎng)絡(luò)帶來新的挑戰(zhàn)，需要正確配置、管理虛擬交換機和虛擬防火墻。

對于采用VMware虛擬化技術(shù)進行網(wǎng)絡(luò)虛擬化，采用基于集成VMsafe的VM vSphere技術(shù)管理的虛擬化網(wǎng)絡(luò)環(huán)境中，可在下列三種情況下部署和配置虛擬防火墻：

1）物理機和物理機之間（如vCenter Server系統(tǒng)和 ESXi 主機之間）；

2）虛擬機與虛擬機之間（如作為外部 Web 服務(wù)器的虛擬機與連接公司內(nèi)部網(wǎng)絡(luò)的虛擬機之間）；

3）物理機與虛擬機之間（如在物理網(wǎng)絡(luò)適配器卡和虛擬機之間）。

虛擬防火墻在 ESXi 配置中的使用方式取決于系統(tǒng)管理員打算如何使用網(wǎng)絡(luò)以及如何為給定的組件提供所需的安全。例如，如果虛擬網(wǎng)絡(luò)中的每個虛擬機專用于運行同一部門的不同基準(zhǔn)測試套件，那么從一個虛擬機對另一個虛擬機進行不利訪問的風(fēng)險極小。因此，虛擬防火墻存在于虛擬機之間的配置不是必需的。但是，為了防止干擾外部主機的測試運行，可對所用配置進行設(shè)置，以便在虛擬網(wǎng)絡(luò)的入口點設(shè)有防火墻來保護整組虛擬機。我校根據(jù)實際情況需要，采用第3）種方式配置虛擬防火墻，保護虛擬主機的安全。

虛擬網(wǎng)絡(luò)通過虛擬交換機來連接，它跟物理網(wǎng)絡(luò)一樣，也需要安全保護。可以通過劃分VLAN的方式將整個虛擬網(wǎng)絡(luò)分成若干網(wǎng)段，設(shè)置各網(wǎng)段之間的通信方式，盡量減少各網(wǎng)段間的干擾，以保網(wǎng)絡(luò)安全。我校根據(jù)實際情況，將這200個虛擬機劃分成5個網(wǎng)段，分配給5個機房，各機房相互獨立。

1.3 主機安全保護機制

在云計算中心機房，主機是指那些用來實現(xiàn)云平臺部署的服務(wù)器，從硬件方面講，要采用基于可信計算技術(shù)設(shè)計、生產(chǎn)的企業(yè)級服務(wù)器。從軟件和管理上講，我們可以通過如下方法來提高主機安全性：

1）使用VM vSphere中“管理ESXi日志文件”，啟用持久日志記錄功能，并配置有效的syslong服務(wù)器來提高主機安全性；

2）配置pam_paswdqc.so文件，更改密碼復(fù)雜度和強度參數(shù)；

3）禁止匿名用戶的shell訪問；

4）限制鎖定模式下 DCUI 訪問權(quán)限；

5）禁用 Managed Object Browser （MOB）；

6）禁用授權(quán) （SSH） 密鑰等。

當(dāng)然上述只是列出了部分方法，應(yīng)根據(jù)實際情況選擇使用。

1.4 虛擬機安全保護機制

虛擬機中運行的客戶機操作系統(tǒng)與物理系統(tǒng)一樣，會遭遇相同的安全風(fēng)險，需要跟保護物理機一樣來保障虛擬機的安全。在虛擬機系統(tǒng)中，常用的安全措施有：

1）啟用防病毒軟件；

2）禁用虛擬機中不必要的功能；

3）限制未授權(quán)用戶在虛擬機內(nèi)運行命令；

4）限制信息性消息從虛擬機流向 VMX 文件；

5）防止虛擬磁盤壓縮；

6）防止用戶監(jiān)視遠(yuǎn)程控制臺會話；

7）配置客戶機操作系統(tǒng)的日志記錄級別；

8）限制公開復(fù)制到剪貼板中的敏感數(shù)據(jù)；

9）禁用未公開的功能；

10）限制客戶機操作系統(tǒng)寫入主機內(nèi)存；

11）移除不必要的硬件設(shè)備；

12）阻止虛擬機用戶或進程與設(shè)備斷開連接等。

2 總結(jié)

本文從物理安全機制、網(wǎng)絡(luò)安全機制、主機安全機制、虛擬機安全機制等四個方面對云計算機房基礎(chǔ)設(shè)施安全保護機制進行論述，并加以實踐、總結(jié)，作者認(rèn)為可從配置基礎(chǔ)設(shè)施安全保障機制與利用先進的防火墻技術(shù)和設(shè)備兩個方面來提升虛擬云桌面機房系統(tǒng)的安全性能，給大家提供一點借鑒。云計算機房安全保護方面的問題還有很多，比如中間件安全問題、數(shù)據(jù)安全問題、存儲安全問題等，都需要去研究和討論。

參考文獻(xiàn)：

[1] Vmware軟件公司vSphere 5.1安全性指南.2015，6，18.

[2] 陳赤榕.云計算服務(wù)運營管理與技術(shù)架構(gòu).清華大學(xué)出版社，2014，8.

[3] 綠盟下一代防火墻產(chǎn)品白皮書.綠盟科技，2016，6，25.

[4] 云計算對軟件開發(fā)與測試的影響.中國云計算，2014，02，27.

[5] 十種方法保持云中數(shù)據(jù)安全.TechTarget云計算，2013，08，23.

作者簡介：

馬新年（1974-），男，江蘇泰興人，江蘇工程職業(yè)技術(shù)學(xué)院商學(xué)院講師，網(wǎng)絡(luò)工程師，主要從事實驗室建設(shè)和管理工作。