虛擬云桌面機房安全性能提升的研究與實踐

摘 要：本文通過文獻研究法和經驗總結法對虛擬云桌面機房基礎設施安全問題進行歸納分析，主要從物理安全機制、網絡安全機制、主機安全機制、虛擬機安全機制等四個方面對云計算機房基礎設施安全保護機制進行論述，并加以實踐、總結。提出可從配置基礎設施安全保障機制與利用先進的防火墻技術和設備兩個方面來提升虛擬云桌面機房系統的安全性能。

關鍵詞：虛擬云桌面；安全保障機制；虛擬機安全；主機安全；網絡安全

中圖分類號：TP309.1 文獻標識碼：A

目前，國內只有少數幾所高校和幾家企業(yè)建設有云計算機房，并且大多用于搞研發(fā)，少數用于教學。我院于2014年年底建設了5個基于虛擬云桌面技術的實訓室，共200臺機器，并于2015年投入使用。就云計算安全技術而言，國內外各類云計算安全產品與方案不斷涌現，如SUN、EMC、Intel、VMware等公司都有云計算安全產品，這類產品與技術已比較成熟。云計算安全問題包括云計算基礎設施安全、云計算環(huán)境下的數據安全、IaaS、PaaS、SaaS服務安全、云計算安全運營治理、云計算業(yè)務連續(xù)性保障云計算的合規(guī)性等。

就虛擬云計算機房而言，其安全性主要是指云計算基礎設施安全，這就需要配置好云計算基礎設施系統安全保護機制，進而提升系統的安全性能。那么如何配置云計算基礎設施系統安全保護機制呢？作者認為可從兩個方面來提升虛擬云桌面機房系統的安全性能：1）利用基于集成VMsafe的VM vSphere技術，配置基礎設施安全保障機制，包括主機安全、網絡安全、虛擬機安全、存儲安全等，保障系統內部安全。2）利用先進的防火墻技術和設備，抵擋外部攻擊，提高防御能力，提升虛擬云桌面系統的安全性能。本文寫作是就VM vSphere 5.1版本而言。

1 云計算機房基礎設施安全保護機制的配置

云計算機房基礎設施是實現其他一切云計算技術、服務、管理等項目的基礎和必備條件，沒有基礎設施的安全，其他的一切則是空中樓閣。云計算機房基礎設施安全保護機制分為物理安全機制、網絡安全機制、主機安全機制、虛擬機安全機制等安全保護機制，下面將一一介紹。

1.1 物理安全保護機制

所謂物理安全就是在物理環(huán)境上要實施防盜、防損、防非法入侵等安全防護措施。這就對云計算機房設備控制中心的位置選擇提出了要求，應選擇防火、防水、防盜的區(qū)域，需安裝防火、防盜設施。需要制定相應的安全管理制度與安全策略并嚴格執(zhí)行，云計算機房設備控制中心安全性要符合SAS 70合格性認證要求。

1.2 網絡安全保護機制

在云計算壞境下，網絡包括三個層面，即數據中心網絡、跨數據中心的互聯網絡、云用戶接入網絡。本文中指的網絡是數據中心網絡。云計算機房設備控制中心網絡安全包括兩個方面：一是傳統的網絡安全，二是網絡虛擬化的網絡安全。

1.2.1傳統的網絡安全保護機制

針對傳統的網絡安全問題，目前市場上主流網絡安全產品大致分為三類：

1）基于包過濾策略的基礎防火墻類；

2）入侵檢測和防御類；

3）針對特殊協議的主動安全類，如Web應用防火墻WAF、數據庫應用防火墻DAF。我校采用的防火墻是綠盟下一代防火墻NSFOCUS NF，NSFOCUS NF具有上述三類傳統防火墻的主要功能和特性，包括路由、交換、訪問控制、流量管理、SNAT/DNAT、ISP負載均衡、DDoS防護、VPN、HA、日志報表等，使用戶原有成熟的安全解決方案可以無更改，平滑的過渡到NSFOCUS NF下一代防火墻安全解決方案上來。將NSFOCUS NF防火墻部署在云計算機房與校園網之間，具體如圖1所示。

1.2.2網絡虛擬化的網絡安全保護機制

無論是橫向整合還是縱向分割的網絡虛擬化技術，它提升了網絡服務的安全性、可靠性、及可用性，同時也給基于此技術部署的云計算環(huán)境網絡帶來新的挑戰(zhàn)，需要正確配置、管理虛擬交換機和虛擬防火墻。

對于采用VMware虛擬化技術進行網絡虛擬化，采用基于集成VMsafe的VM vSphere技術管理的虛擬化網絡環(huán)境中，可在下列三種情況下部署和配置虛擬防火墻：

1）物理機和物理機之間（如vCenter Server系統和 ESXi 主機之間）；

2）虛擬機與虛擬機之間（如作為外部 Web 服務器的虛擬機與連接公司內部網絡的虛擬機之間）；

3）物理機與虛擬機之間（如在物理網絡適配器卡和虛擬機之間）。

虛擬防火墻在 ESXi 配置中的使用方式取決于系統管理員打算如何使用網絡以及如何為給定的組件提供所需的安全。例如，如果虛擬網絡中的每個虛擬機專用于運行同一部門的不同基準測試套件，那么從一個虛擬機對另一個虛擬機進行不利訪問的風險極小。因此，虛擬防火墻存在于虛擬機之間的配置不是必需的。但是，為了防止干擾外部主機的測試運行，可對所用配置進行設置，以便在虛擬網絡的入口點設有防火墻來保護整組虛擬機。我校根據實際情況需要，采用第3）種方式配置虛擬防火墻，保護虛擬主機的安全。

虛擬網絡通過虛擬交換機來連接，它跟物理網絡一樣，也需要安全保護。可以通過劃分VLAN的方式將整個虛擬網絡分成若干網段，設置各網段之間的通信方式，盡量減少各網段間的干擾，以保網絡安全。我校根據實際情況，將這200個虛擬機劃分成5個網段，分配給5個機房，各機房相互獨立。

1.3 主機安全保護機制

在云計算中心機房，主機是指那些用來實現云平臺部署的服務器，從硬件方面講，要采用基于可信計算技術設計、生產的企業(yè)級服務器。從軟件和管理上講，我們可以通過如下方法來提高主機安全性：

1）使用VM vSphere中“管理ESXi日志文件”，啟用持久日志記錄功能，并配置有效的syslong服務器來提高主機安全性；

2）配置pam_paswdqc.so文件，更改密碼復雜度和強度參數；

3）禁止匿名用戶的shell訪問；

4）限制鎖定模式下 DCUI 訪問權限；

5）禁用 Managed Object Browser （MOB）；

6）禁用授權 （SSH） 密鑰等。

當然上述只是列出了部分方法，應根據實際情況選擇使用。

1.4 虛擬機安全保護機制

虛擬機中運行的客戶機操作系統與物理系統一樣，會遭遇相同的安全風險，需要跟保護物理機一樣來保障虛擬機的安全。在虛擬機系統中，常用的安全措施有：

1）啟用防病毒軟件；

2）禁用虛擬機中不必要的功能；

3）限制未授權用戶在虛擬機內運行命令；

4）限制信息性消息從虛擬機流向 VMX 文件；

5）防止虛擬磁盤壓縮；

6）防止用戶監(jiān)視遠程控制臺會話；

7）配置客戶機操作系統的日志記錄級別；

8）限制公開復制到剪貼板中的敏感數據；

9）禁用未公開的功能；

10）限制客戶機操作系統寫入主機內存；

11）移除不必要的硬件設備；

12）阻止虛擬機用戶或進程與設備斷開連接等。

2 總結

本文從物理安全機制、網絡安全機制、主機安全機制、虛擬機安全機制等四個方面對云計算機房基礎設施安全保護機制進行論述，并加以實踐、總結，作者認為可從配置基礎設施安全保障機制與利用先進的防火墻技術和設備兩個方面來提升虛擬云桌面機房系統的安全性能，給大家提供一點借鑒。云計算機房安全保護方面的問題還有很多，比如中間件安全問題、數據安全問題、存儲安全問題等，都需要去研究和討論。

參考文獻：

[1] Vmware軟件公司vSphere 5.1安全性指南.2015，6，18.

[2] 陳赤榕.云計算服務運營管理與技術架構.清華大學出版社，2014，8.

[3] 綠盟下一代防火墻產品白皮書.綠盟科技，2016，6，25.

[4] 云計算對軟件開發(fā)與測試的影響.中國云計算，2014，02，27.

[5] 十種方法保持云中數據安全.TechTarget云計算，2013，08，23.

作者簡介：

馬新年（1974-），男，江蘇泰興人，江蘇工程職業(yè)技術學院商學院講師，網絡工程師，主要從事實驗室建設和管理工作。