云環境下資源池的防護系統設計與實現

邱紅飛+黃春光

【摘 要】為了解決云環境下的安全防護問題，通過分析傳統防護方案存在的不足，并對云環境下資源池的架構進行研究，提出了無代理病毒防護設計、無代理防火墻的設計和無代理入侵檢測/防護的設計等關鍵技術解決方案。經過實際性能測試驗證，無代理方案的性能表現明顯優于傳統防護方案，可為電信運營商在云環境下的資源池提供有效的安全防護。

【關鍵詞】云資源池 VMware 無代理 入侵檢測系統 入侵防護系統

doi：10.3969/j.issn.1006-1010.2016.20.018 中圖分類號：TP391 文獻標志碼：A 文章編號：1006-1010（2016）20-0092-05

1 引言

隨著云計算及虛擬化技術快速演進，大量的數據中心服務器工作負荷將實現虛擬化。通常的部署方式是在單一物理系統中運行多個虛擬機，從而使資源得到更高效的利用，這樣就可以大幅削減設備的資本支出、降低與電力和冷卻相關的能源成本以及節省物理空間。根據Gartner統計報告，到2016年為止80%的服務器將采用虛擬化部署。

虛擬環境下的服務器和虛擬桌面仍然會碰到與傳統物理計算機相同的安全性問題，如病毒、蠕蟲、木馬程序和惡意軟件的入侵。并且虛擬環境更加復雜，安全防護需要考慮虛擬機的密度、虛擬機的啟動間隙防護、虛擬機之間的攻擊、虛擬機的管理復雜性等。由于大量使用了虛擬化技術，使得過去常規的安全手段已經無法有效解決日益突出的安全問題，所以在虛擬環境下的服務器需要考慮如何有效地進行安全防范。

2 傳統安全防護存在的問題

傳統的針對病毒防護解決方案都是通過安裝代理程序（Agent）到虛擬主機的操作系統中，在服務器虛擬化后，要實現針對病毒的實時防護，同樣需要將防病毒客戶端即代理程序安裝在各個虛擬機中，但是服務器虛擬化的目的是整合資源，最大化地發揮服務器資源的利用率，而傳統的防病毒技術需要在每個虛擬主機中安裝程序，如1臺服務器虛擬5臺主機，傳統方法需要安裝5套，這樣在掃描時就需要消耗虛擬主機的計算資源，并且在病毒庫更新時帶來更多的網絡資源消耗。傳統的病毒防護解決方案如圖1所示：

當這些系統被遷移到虛擬環境時，眾多虛擬機同時更新病毒特征庫或進行按需全盤掃描可能使內存、存儲和CPU（Central Processing Unit，中央處理器）使用率出現尖峰，導致這些虛擬機在這段時間內都無法正常提供服務，這種情況通常稱為殺毒風暴。同時，由于殺毒風暴的存在，虛擬機的密度也不能太高，比如可以承載50臺虛擬機的服務器資源池只能建立30臺虛擬機。目前最常見的做法是使按需掃描調度隨機化，但這種做法也不理想。

3 VMware平臺安全架構介紹

VMware是一款眾所周知的虛擬化軟件，該軟件通過虛擬化服務器底層硬件以提供用戶可在服務器上同時運行不同的操作系統環境。目前虛擬化軟件以VMware為主，包括虛擬化軟件思杰的Citrix、華為的Fusion、微軟的Hyper-V、開源KVM（Kernel-based Virtual Machine，內核級虛擬化技術）等。

VMware在平臺的安全中，對外開放各種接口方式來實現第三方的安全控制。用戶的VMware ESXi主機需要統一接受一個vCenter中心管理，并通過vCenter中心對每臺主機分別自動部署vShield Endpoint和安全虛擬機，這些安全虛擬機將在每個物理主機上自動部署。在添加一臺物理主機后，當新加VMware ESXi物理主機接受vCenter管理平臺管理時，將自動生成部署安全虛擬機和vShield Endpoint。目前采用VMsafe API（Application Programming Interface，應用程序編程接口）和vShield Endpoint的接口，通過在ESXi上部署安全虛擬應用層來實現對虛擬機的安全防護；利用vShield Endpoint實現防病毒及防惡意軟件，利用VMsafe API實現網絡IDS（Intrusion Detection System，入侵檢測系統）/IPS（Intrusion Prevention System，入侵防護系統）。VMware平臺安全架構如圖2所示：

4 云資源池下的防護安全方案

通過上述分析可以看出，在云資源時代，目前以VMware為主的虛擬環境中，安全防護面臨的是從病毒防護、訪問控制到入侵檢測/防護的一系列問題，因此本文設計了一套完整的安全防護策略，如圖3所示：

4.1 無代理病毒防護設計

在虛擬化環境中，有代理的防病毒軟件存在嚴重的資源消耗問題，影響服務器的運行。目前可以采用無代理的方式來解決服務器資源問題，通過VMware的虛擬化層提供的API接口實現。無代理技術是指在每臺VMware ESXi物理服務器上部署一臺安全虛擬機，以一臺安全虛擬機方式運行而不需要在其它各個業務虛擬機安裝任何代理程序，通過該虛擬機來保護所有在VMware ESXi物理服務器上的虛擬主機。同時，當業務虛擬機任意啟用運行或者物理服務器切換到時，都不出現防護空檔，這一切是傳統解決方案無法完成的。

VMware虛擬系統通過開放VMsafe API和vShield Endpoint的接口，在虛擬化層VMware ESXi上部署安全虛擬機，實現虛擬系統和虛擬主機之間的安全防護，這樣避免了在虛擬主機的操作系統中安裝代理程序，以無代理方式實現了實時的惡意軟件的防護。防毒引擎掃描時不需要消耗網絡和處理器的資源，在最大化利用服務器資源的同時提供全面惡意軟件的實時防護。

4.2 無代理防火墻的設計

傳統的防火墻技術通常以硬件形式存在，用于訪問控制和安全區域間的劃分。計算資源虛擬化后導致邊界模糊，很多的信息交換在虛擬系統內部就實現了，而傳統防火墻在物理網絡層提供訪問控制，如何在虛擬系統內部實現訪問控制和病毒傳播抑制是虛擬系統面臨的最基本安全問題。

無代理的防火墻提供全面基于狀態檢測細粒度的訪問控制功能，可以實現針對虛擬交換機基于網口的訪問控制和虛擬系統之間的區域邏輯隔離；同時，支持各種泛洪攻擊的識別和攔截。通過與底層的緊密集合，以達到對上層虛擬機無代理的防護。

4.3 無代理入侵檢測/防護的設計

傳統環境下的網絡安全拓撲圖在網絡出口處部署網關防護設備，如防火墻、防毒墻等各類安全設備，用來隔離網絡之間的攻擊和病毒擴散問題，部署IDS監控對服務器的非法訪問行為，在服務器上部署防病毒軟件，保護核心服務器的安全運行。而在虛擬化環境下，一臺物理服務器平臺上將運行數個甚至數十個業務虛擬機，這些傳統的安全防護措施將不再有效。因此，針對虛擬化環境應該部署針對虛擬化環境的無代理解決方案。

在主機及網絡層面同時進行入侵檢測和防護，這在安全基礎設施建設是非常必要的，然而在云計算和虛擬化的環境中，由于傳統的入侵檢測工具需要在每臺虛擬機中安裝代理程序，當運行在虛擬化的網絡或系統中時，會出現和有代理防病毒軟件類似的問題。此外，在虛擬環境中，虛擬交換機不支持建立鏡像端口、禁止將數據流拷貝至IDS傳感器。面對虛擬網絡內部流量時，部署在傳統物理網區域中的IPS系統無法很好地集成到虛擬環境中，這樣會面對多種的技術問題，導致網絡入侵檢測很難實現。因此，與有代理運行惡意軟件一樣，基于主機的IDS系統會消耗共享的資源，導致運行資源風暴、密度不夠等問題。

無代理入侵檢測/防護在VMware的VMsafe接口可以允許虛擬交換機或端口組以混合模式運行時，虛擬的IDS傳感器可以檢測到同一虛擬段上的網絡流量。無代理IDS/IPS除了提供傳統IDS/IPS系統功能外，還提供虛擬環境中基于政策的監控和分析工具，確保虛擬網絡的安全性，如網絡行為的分析及精確的流量監控、分析、訪問控制等。通過無代理方式可以讓其在虛擬系統中占用更少的資源，避免過度消耗宿主機的硬件能力。

4.4 方案優點及問題

方案優點具體如下：

（1）簡化部署。采用無代理模式，管理員無需在模板機部署和更新代理程序，減少虛擬機的體積和管理工作量。

（2）避免病毒掃描風暴。在無代理模式下，運行于同一物理服務器上的多臺虛擬機的掃描工作統一進行調度，資源占用得到有效控制，避免了病毒掃描風暴的發生。

（3）減少資源占用。在無代理模式下，不占用主機的CPU、內存和磁盤資源。

（4）隨時保持最新。采用無代理模式，只要保證安全虛擬機隨時在線、及時更新，每臺虛擬機就不用更新病毒庫。

（5）更高的密度、更低的成本。由于無代理模式可以節省資源占用，消除病毒掃描風暴，因此可以提高部署密度和節省硬件采購成本。

當然，無代理安全防護方案也存在一些問題。目前該方案主要是針對采用VMware虛擬化軟件部署的云環境，因為VMware提供了相應的程序接口。同時，隨著VMware新版本的推出，相應的程序接口也在不斷地調整，無代理安全防護方案在各種VMware版本下開發設計也不同。此外，如果云環境采用其它虛擬化軟件部署，安全接口的標準化程度不如VMware，則設計架構需要調整，且實現難度較大。

5 性能測試對比分析

性能測試主要包括驗證與傳統方式下安全防護在性能和資源占用方面的對比，具體如下：

（1）CPU資源占用測試：說明此次測試CPU的性能消耗對比傳統掃描方式的測試結果。

（2）內存資源占用功能測試：說明此次測試內存的性能消耗對比傳統掃描方式的測試結果。

（3）磁盤I/O占用測試：說明此次測試磁盤I/O的性能消耗對比傳統掃描方式的測試結果。

（4）網絡占用測試：說明此次測試網絡消耗對比傳統掃描方式的測試結果。

本次測試開啟了10個Windows 7環境虛擬機，測試結果如表1和表2所示：

本次測試開啟了虛擬化安全所必需的虛擬機包括vShield、vCenter和廠家自己配置的負載安全的虛擬機，以及進行性能測試的10個Windows 7環境虛擬機，可以看到，對比CPU使用情況、內存消耗、磁盤讀取速度和掃描速度，無代理方案與傳統有代理防病毒方案的性能開銷差距越突出。而在用戶的實際工作和生產環境中，單個主機上能夠運行到50至100個虛擬機環境，這種環境下無代理方式在資源和防護方面的優勢更加明顯。也就是說，單個主機上運行的虛擬機越多，就越能體現無代理方式的優勢。而有代理方式進行掃描和更新時，虛擬機越多，主機資源負擔就會越重，在這種環境中會因為安全產品的運行而造成資源的浪費。

6 結束語

本文分析了傳統安全防護方案存在的問題，包括安全防護軟件的管理問題及性能問題，研究了云資源下的防護系統，給出了無代理病毒防護設計、無代理防火墻的設計、無代理入侵檢測/防護的設計等關鍵技術，并分析了無代理技術優點及問題。在實際性能測試中，對比傳統防病毒軟件和虛擬化安全無代理解決方案，當同時進行安全防護時，本文中的無代理方案的性能表現明顯優于傳統防護方案。

參考文獻：

[1] 張明浩. 計算機病毒防范技術探討[J]. 科技信息： 學術版， 2007（10）： 32-35.

[2] 王曉剛. 計算機病毒防范的對策與方法[J]. 網絡安全技術與應用， 2007（4）： 30-31.

[3] 孫曉南. 防火墻技術與網絡安全[J]. 科技信息， 2008（3）： 52-54.

[4] 童曉渝，張云勇，房秉毅，等. 大數據時代電信運營商的機遇[J]. 信息通信技術， 2013（1）： 5-9.

[5] 潘泓. 基于虛擬機的代碼保護技術研究[J]. 計算機應用研究， 2013（12）： 209-212.

[6] 金鈺，朱華. 運營商云資源池安全防護策略的探討[J]. 電腦知識與技術， 2015，11（20）： 23-25.

[7] 顧炯，呂鵬，張金漫. 云資源池安全部署方案解析[J]. 電信技術， 2014（10）： 46-49.

[8] 陳杰. 虛擬化資源池的設計與實現[J]. 電信技術， 2012 （5）： 53-55.

[9] 鐘肖媛. 商務領航業務云資源池的設計與實現[D]. 蘭州： 蘭州大學， 2014.

[10] 王景學. 云計算虛擬機防護系統設計與實現[D]. 西安： 西安電子科技大學， 2014.

[11] 李蔚. 虛擬化技術在圖書館數據中心建設中的實施策略[J]. 科技情報開發與經濟， 2015，25（23）： 38-40.

[12] 程伍端. 淺談虛擬機與網絡模擬器的結合應用[J]. 福建電腦， 2011（10）： 81-82.