構建企業“云”平臺的安全環境

張龍

[摘 要]企業利用VMware虛擬化技術，實現了應用的高可用性、高可靠性，可為業務生產提供優質的服務，但虛擬化平臺的安全問題凸顯，基于此，本文探討如何對虛擬化平臺進行安全防護。

[關鍵詞]虛擬化平臺；企業；安全

doi：10.3969/j.issn.1673 - 0194.2017.14.029

[中圖分類號]TP393.09；TP309 [文獻標識碼]A [文章編號]1673-0194（2017）14-00-02

企業現已利用虛擬化技術，包括服務器虛擬化、桌面虛擬化，實現了信息系統建設和日常辦公。然而，在虛擬化技術大規模應用的同時，安全與合規一直是企業從實體機遷移到虛擬化過程中最關切的問題，也是信息管理部門推廣、應用云環境的一個急需解決的問題。

1 烏魯木齊石化公司虛擬化安全問題的解決方法

烏魯木齊石化公司（簡稱“烏石化”）是中國石油下屬的地區公司。其利用VMware虛擬化技術實現了合理部署與規劃的數據中心，在用虛擬桌面大約有500個，而服務器虛擬化的虛機有200個左右，目前的安全方式主要受制于物理基礎設施，需要依賴物理安全設備，如網絡防火墻、傳統的防病毒軟件。虛擬平臺所擁有的動態特性，即每個虛擬級的應用和服務都是可移動的，為了解決虛擬化的安全問題，其采用VMware vShield系列產品來改進安全模式。

1.1 VMware vShield

烏石化采用了vShield的產品，包括vShield App、vShield Edge和vShield Endpoint。這些組件提供了可感知的虛擬化防護功能，同時發揮了現有虛擬平臺的云計算能力，并降低了烏石化安全基礎部署的成本，進而加速了烏石化IT合規的進程。

VMware vShield是一套產品的總稱，它提供了一個安全防護框架，可以將企業的安全防護設施進行整合，極大程度地減少了防護軟件、安全策略以及安全設備的安裝和部署。

VMware vShield是一套安全防護的管理程序。它是一個感知應用的防火墻，并以虛擬機的方式安裝在每個ESXi的主機上，同時可以根據策略的不同，創建和實施一套符合邏輯，且是動態的應用程序邊界，即可信區，而不是一個純粹的物理邊界。VMware vShield還引入了數據安全的功能，這是為了改善整個云環境安全性而設置的。數據安全能夠讓企業發現虛擬機內部存在的敏感數據，并對這些數據進行分類，數據安全暫時還未在烏石化應用。圖1是烏石化現有虛擬化安全防護架構示意圖。

借助VMware vShield App，整個虛擬化平臺可以對應用程序和數據進行保護，免受外部網絡的威脅，這個功能是通過提高分組能力、創建和管理更復雜、更細致的可信區來實現的。此外，VMware vShield App還能實現二層網絡防火墻的功能，同時還支持第三方的入侵防護系統（IPS）。這個功能可以監控入侵，同時可自動隔離任何有問題的虛擬機。vShield Endpoint這個組件可以與病毒防護和惡意程序防護相集成。

烏石化虛擬化安全防護的特點：①利用vShield工具，從底層對虛擬化平臺安全進行防護，避免每臺虛擬機安裝防護軟件，占用虛擬資源；②高可用、負載均衡的設計，提高了防護平臺的安全性和穩定性。

1.2 烏石化虛擬化安全防護系統的建設過程

烏石化虛擬化安全防護平臺從建設到投用，總共經歷了3個過程。

（1）截至2014年，烏石化完成了虛擬化平臺的整體建設工作，但由于處在虛擬化使用的開始階段，其沒有搭建安全防護平臺。

（2）2015年開始，由于虛擬應用大面積推廣，出現了按傳統PC機安裝防護軟件的方式，導致虛擬資源占用過大，同時所有虛擬機掃描病毒時形成了掃描風暴，致使虛擬機運行過慢等。

（3）2016年，烏石化開始搭建VMware vShield底層防護平臺并投用。

2 虛擬化安全防護平臺搭建過程中遇到的問題和解決方法

在安全防護系統搭建過程中，烏石化遇難到了一些問題。

2.1 平臺的選擇

針對VMware虛擬平臺，其選擇了VMware自己的vShield平臺和趨勢的Trend Micro Deep Security平臺，通過對兩種平臺的搭建和測試。在選擇時的考慮：第一，由于vShield除了底層防護的功能還有虛擬交換機的功能，這能為烏石化虛擬桌面DHCP所用；第二，具體操作的運維人員對現有虛擬平臺更加熟悉，更有利于運維工作的開展。最后烏石化還是選擇了vShield平臺。

2.2 用戶理念的轉變

安全防護平臺雖然解決了企業對虛擬平臺的關切，但與以往實體計算機在安全防護的操作習慣上還是不盡相同。傳統實體計算機在安全防護上通常是安裝防護軟件進行實現，而對于虛擬平臺所有安全防護軟件的安裝，在同一時間掃描病毒時，會對虛擬平臺形成病毒掃描風暴，會造成虛擬機運行緩慢甚至癱瘓的問題。這就需要卸載傳統意義上的安全防護軟件，通過虛擬化底層來實現安全防護。為了讓用戶轉變理念，烏石化做了以下工作：①通過宣傳，使管理層對新技術、新應用進行認識；②提升虛擬平臺運維人員安全防護的技術水平；③加大宣傳力度，提高所有使用人員對新技術、新應用的認識。

3 結 語

VMware vShield套件的部署和應用，對烏石化現有的虛擬平臺700多臺虛機提供了底層安全防護，解決了企業遷移到云計算過程中最關切的問題。

主要參考文獻

[1]百度文庫.VMware vShield App 產品手冊[EB/OL].（2011-07-28）

[2017-05-01].https：//wenku.baidu.com/view/80cc2a21192e45361066f5ea.html.

[2]IT168文庫.VMware vShield Zones組件及其工作原理[EB/OL].（2012-02-24）[2017-05-01].http：//wenku.it168.com/d_128048.shtml.

[3]趙晟杰，羅海濤，覃琳.云計算網絡安全現狀與思考[C]//廣西計算機學會2014年學術年會論文集，2014.

[4]張松，林樹順.基于云平臺的安全移動應用研究與實踐[C]//軟件定義 面向未來——2014電力行業信息化年會論文集， 2014.

[5]陳紅，任怡，劉曉建.云計算平臺下計費機制研究[C]//CCF NCSC 2011——第二屆中國計算機學會服務計算學術會議論文集， 2011.

[6]李煥，劉樹吉，趙永彬，郭昊.電力企業云計算信息安全風險評估研究[C]// 2012年電力通信管理暨智能電網通信技術論壇論文集，2013.

[7]楊永艷，楊寧，馮鵬.大型企業云計算管理運營平臺服務模式與技術架構研究[C]// 2013電力行業信息化年會論文集， 2013.

[8]王騫，鄒聯.企業信息系統云計算平臺實施過程經驗探討[C]// 2013電力行業信息化年會論文集，2013.endprint