基于虛擬化環(huán)境的信息安全防護(hù)體系構(gòu)建

◆孫梅玲李降宇王寅永

（1.大連市地方稅務(wù)局 遼寧 116015；2.大連理工大學(xué)網(wǎng)絡(luò)與信息化中心 遼寧 116024；3.大連智通信息技術(shù)有限公司 遼寧 116023）

基于虛擬化環(huán)境的信息安全防護(hù)體系構(gòu)建

◆孫梅玲1李降宇2王寅永3

（1.大連市地方稅務(wù)局 遼寧 116015；2.大連理工大學(xué)網(wǎng)絡(luò)與信息化中心 遼寧 116024；3.大連智通信息技術(shù)有限公司 遼寧 116023）

隨著信息數(shù)字化的進(jìn)一步深入發(fā)展，大連地稅局大部分關(guān)鍵應(yīng)用系統(tǒng)已經(jīng)采用服務(wù)器虛擬化解決方案。虛擬服務(wù)器解決了企業(yè)信息化建設(shè)所需硬件成本的壓力，但是鑒于目前網(wǎng)絡(luò)安全和信息安全的建設(shè)需要，迫切需要包括入侵檢測(cè)和防護(hù)、防火墻、完整性監(jiān)控與日志檢查的服務(wù)器防御以及現(xiàn)在可以部署的惡意軟件防護(hù)，提供必要的防護(hù)措施，以提高在虛擬化環(huán)境中關(guān)鍵任務(wù)應(yīng)用的安全性。

虛擬化；信息安全；防護(hù)體系

0 引言

目前地稅局大多關(guān)鍵應(yīng)用系統(tǒng)已經(jīng)采用Vmware服務(wù)器虛擬化解決方案，服務(wù)器虛擬化使大連市地稅局能夠在效率、成本方面獲得顯著收益，使綜合數(shù)據(jù)中心更具環(huán)保、增加可擴(kuò)展性和改善資源實(shí)施時(shí)間方面的附加利益。同時(shí)，數(shù)據(jù)中心的虛擬系統(tǒng)面臨許多與物理服務(wù)器相同的安全挑戰(zhàn)，從而增加了風(fēng)險(xiǎn)暴露，再加上在保護(hù)這些IT資源方面存在大量特殊挑戰(zhàn)，最終將抵消虛擬化的優(yōu)勢(shì)。尤其在虛擬化體系結(jié)構(gòu)，從根本上影響如何對(duì)于關(guān)鍵任務(wù)應(yīng)用進(jìn)行設(shè)計(jì)、部署和管理，滿足用戶對(duì)物理服務(wù)器和虛擬服務(wù)器的安全保障需要[1]。基于目前網(wǎng)絡(luò)安全和信息安全的建設(shè)需要，迫切需要包括入侵檢測(cè)和防護(hù)、防火墻、完整性監(jiān)控與日志檢查的服務(wù)器防御以及現(xiàn)在可以部署的惡意軟件防護(hù)，提供必要的防護(hù)措施，以提高安全性。

1 虛擬化安全面臨威脅分析

虛擬服務(wù)器基礎(chǔ)架構(gòu)除了具有傳統(tǒng)物理服務(wù)器的風(fēng)險(xiǎn)之外，同時(shí)也會(huì)帶來其虛擬系統(tǒng)自身的安全問題。新安全威脅的出現(xiàn)自然就需要新方法來處理。通過前期調(diào)研分析，總結(jié)了目前虛擬化環(huán)境內(nèi)存在的幾點(diǎn)安全隱患。

（1）虛擬機(jī)之間的互相攻擊。由于在虛擬化環(huán)境采用傳統(tǒng)的防護(hù)模式，導(dǎo)致主要的防護(hù)邊界還是位于物理主機(jī)的邊緣，從而忽視了同一物理主機(jī)上不同虛擬機(jī)之間的互相攻擊和互相入侵的安全隱患。

（2）隨時(shí)啟動(dòng)的防護(hù)間歇。由于目前大量使用Vmware的服務(wù)器虛擬化技術(shù)，使IT服務(wù)具備更高的靈活性和負(fù)載均衡，但由于資源動(dòng)態(tài)調(diào)整關(guān)閉或開啟虛擬機(jī)會(huì)導(dǎo)致防護(hù)間歇問題。

（3）系統(tǒng)安全補(bǔ)丁安裝。在虛擬化環(huán)境內(nèi)仍會(huì)定期采用傳統(tǒng)方式對(duì)階段性發(fā)布的系統(tǒng)補(bǔ)丁進(jìn)行測(cè)試和手工安裝。雖然虛擬化服務(wù)器本身有一定狀態(tài)恢復(fù)的功能機(jī)制，但此種做法仍有一定安全風(fēng)險(xiǎn)。

（4）防病毒軟件對(duì)資源的占用沖突導(dǎo)致AV（Anti-Virus）風(fēng)暴。目前在虛擬化環(huán)境中對(duì)于虛擬化服務(wù)器仍使用每臺(tái)虛擬操作系統(tǒng)安裝Offiescan防病毒客戶端的方式進(jìn)行病毒防護(hù)。在防護(hù)效果上可以達(dá)到安全標(biāo)準(zhǔn)，但如從資源占用方面考慮存在一定安全風(fēng)險(xiǎn)。

通過以上的分析是我們了解到雖然傳統(tǒng)安全設(shè)備可以在物理網(wǎng)絡(luò)層和操作系統(tǒng)提供安全防護(hù)，但是虛擬環(huán)境中存在新的安全威脅，例如：虛擬主機(jī)之間通訊的訪問控制問題，病毒通過虛擬交換機(jī)傳播問題等，傳統(tǒng)的安全設(shè)備無法提供相關(guān)的防護(hù)，急需為虛擬環(huán)境提供全面的安全保護(hù)。

2 虛擬化安全解決方案設(shè)計(jì)

針對(duì)虛擬環(huán)境建設(shè)全新的信息安全防護(hù)方案，通過病毒防護(hù)、訪問控制、入侵檢測(cè)/入侵防護(hù)、虛擬補(bǔ)丁、主機(jī)完整性監(jiān)控、日志審計(jì)等功能實(shí)現(xiàn)虛擬主機(jī)和虛擬系統(tǒng)的全面防護(hù)，并滿足信息系統(tǒng)合規(guī)性審計(jì)要求，構(gòu)建虛擬化平臺(tái)的基礎(chǔ)架構(gòu)多層次的綜合防護(hù)[2]。設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如圖1。

圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

2.1 病毒防護(hù)

傳統(tǒng)的病毒針防護(hù)解決方案都是通過安裝Agent代理程序到虛擬主機(jī)的操作系統(tǒng)中，在整合服務(wù)器虛擬化后，要實(shí)現(xiàn)針對(duì)病毒的實(shí)時(shí)防護(hù)，同樣需要在虛擬主機(jī)的操作系統(tǒng)中安裝防病毒Agent程序。

通過VMshield接口實(shí)現(xiàn)對(duì)虛擬系統(tǒng)和虛擬主機(jī)之間的全面防護(hù)，無需在虛擬主機(jī)的操作系統(tǒng)中安裝Agent程序，即虛擬主機(jī)系統(tǒng)無代理方式實(shí)現(xiàn)實(shí)時(shí)的病毒防護(hù)，這樣無需消耗分配給虛擬主機(jī)的計(jì)算資源和更多的網(wǎng)絡(luò)資源消耗，最大化利用計(jì)算資源的同時(shí)提供全面病毒的實(shí)時(shí)防護(hù)。

2.2 訪問控制

傳統(tǒng)技術(shù)的防火墻技術(shù)常常以硬件形式存在，用于通過訪問控制和安全區(qū)域間的劃分，計(jì)算資源虛擬化后導(dǎo)致邊界模糊，而傳統(tǒng)防火墻在物理網(wǎng)絡(luò)層提供訪問控制，如何在虛擬系統(tǒng)內(nèi)部實(shí)現(xiàn)訪問控制和病毒傳播抑制是虛擬系統(tǒng)面臨的最基本安全問題。

防火墻提供基于狀態(tài)檢測(cè)細(xì)粒度的訪問控制功能，可以實(shí)現(xiàn)針對(duì)虛擬交換機(jī)基于網(wǎng)口的訪問控制和虛擬系統(tǒng)之間的區(qū)域邏輯隔離，同時(shí)支持各種泛洪攻擊的識(shí)別和攔截。

2.3 入侵檢測(cè)/防護(hù)

在 VMware的NSX環(huán)境中，可通過NSX專用接口可以對(duì)虛擬交換機(jī)允許交換機(jī)或端口組運(yùn)行在“混雜模式”，這時(shí)虛擬的IDS傳感器能夠感知在同一虛擬段上的網(wǎng)絡(luò)流量。除了提供傳統(tǒng)IDS/IPS系統(tǒng)功能外，還在虛擬環(huán)境中基于政策的（policy-based）監(jiān)控和分析工具，更精確的流量監(jiān)控、分析和訪問控制，還能分析網(wǎng)絡(luò)行為，為虛擬網(wǎng)絡(luò)提供更高的安全性。

2.4 虛擬補(bǔ)丁防護(hù)

通過虛擬補(bǔ)丁技術(shù)完全可以解決由于補(bǔ)丁導(dǎo)致的問題，通過在虛擬系統(tǒng)的接口對(duì)虛擬主機(jī)系統(tǒng)進(jìn)行評(píng)估，并可以自動(dòng)對(duì)每個(gè)虛擬主機(jī)提供全面的漏洞修補(bǔ)功能，在操作系統(tǒng)在沒有安裝補(bǔ)丁程序之前，提供針對(duì)漏洞攻擊的攔截。虛擬補(bǔ)丁防護(hù)功能既不需要停機(jī)安裝，也不需要進(jìn)行廣泛的應(yīng)用程序測(cè)試。雖然此集成包可以為IT人員節(jié)省大量時(shí)間。

2.5 完整性審計(jì)

針對(duì)系統(tǒng)支持依據(jù)基線的文件、目錄、注冊(cè)表等關(guān)鍵文件監(jiān)控和審計(jì)功能，當(dāng)這些關(guān)鍵位置為惡意篡改或感染病毒時(shí)，可以提供為管理員提供告警和記錄功能，從而提供系統(tǒng)的安全性。

服務(wù)器系統(tǒng)日志和應(yīng)用程序日志正以驚人的速度生成，這就可以詳細(xì)記錄下來IT活動(dòng)。例行的日志檢查及深入分析保存日志不但可以立即識(shí)別出現(xiàn)不久的安全事件、違反政策情況、欺詐活動(dòng)以及運(yùn)作問題，還有助于提供有用的信息，從而解決問題。

建設(shè)全面的系統(tǒng)日志和詳盡的報(bào)告功能，通過對(duì)日志進(jìn)行分析可以讓管理員跟蹤IT基礎(chǔ)設(shè)施的活動(dòng)，評(píng)估服務(wù)器數(shù)據(jù)泄密事件是否發(fā)生、如何發(fā)生、何時(shí)發(fā)生、在何處發(fā)生的有效方法[4]。

3 結(jié)束語(yǔ)

大連市地方稅務(wù)局VMware 平臺(tái)下及華為平臺(tái)下采用物理服務(wù)器多臺(tái)，部署了DeepSecurity后，無需在虛擬主機(jī)操作系統(tǒng)中Agent程序就可以實(shí)現(xiàn)基礎(chǔ)的多種防護(hù)功能，為每臺(tái)虛擬主機(jī)的多層次安全防護(hù)，包括：防病毒功能、訪問控制功能、虛擬補(bǔ)丁、攻擊防御、完整性監(jiān)控等。管理員通過瀏覽器就可以實(shí)現(xiàn)DeepSecurity的管控，包括Agent程序的策略下發(fā)，狀態(tài)檢測(cè)、風(fēng)險(xiǎn)監(jiān)控等功能，并且支持VMware vCenter的集中控管，在提供最大化的服務(wù)器基礎(chǔ)防護(hù)的同時(shí)大大提高了管理的便捷性，同時(shí)也降低了對(duì)IT資源的影響。

[1]李宇宏.企業(yè)虛擬化環(huán)境中的安全防護(hù)[J].中國(guó)新技術(shù)新產(chǎn)品, 2014.

[2]魯松.計(jì)算機(jī)虛擬化技術(shù)及應(yīng)用[M].北京:機(jī)械工業(yè)出版社, 2008.

[3]王建永.虛擬化系統(tǒng)的安全防護(hù)[J].電腦知識(shí)與技術(shù), 2013.

[4]王搖茜，朱志祥，葛搖新，杜搖遲.應(yīng)用于云計(jì)算中心的虛擬主機(jī)安全防護(hù)系統(tǒng)[J].計(jì)算機(jī)技術(shù)與發(fā)展, 2014.