云計算虛擬化安全問題的研究

薛強

摘要：以常州工程職業技術學院為例，目前我校通過部署VMware服務器虛擬化平臺、Ctrix桌面虛擬化平臺已經實現了業務系統、辦公終端的快速“上云”，虛擬化平臺的彈性、擴展靈活、按需部署、統一web管理為我信息中心的日常運維管理帶來了極大的便利，但隨之而來的是安全的問題——如何解決虛擬化平臺的安全、保障業務系統免受黑客攻擊、防范應用以及虛擬桌面中的文件免受病毒感染侵襲，實現“云內安全”，是我校正在密切關注、急需解決的問題。

關鍵詞：云計算;網絡;虛擬化

一、現狀描述

目前我校內網數據中心業務系統服務器區域部署了20臺2路、4路服務器，通過VMware Vsphere實現了服務器虛擬化。目前該資源池已部署了兩百多臺虛擬機，承載包括一卡通系統、門戶網站、財務系統等在內的所有學校業務系統。

同時，虛擬化桌面服務器區域也部署了近14臺2路服務器，通過Ctrix的XenDesktop實現桌面虛擬化，將所有虛擬桌面集中在服務器中，通過優化遠程桌面協議實現圖像的前端顯示，以供學校機房、教師日常辦公使用。

目前包括虛擬化服務器、虛擬化桌面在內的所有服務器虛擬機均為“裸奔”狀態，終端沒有相應的防護方案，眾多業務系統、辦公桌面暴露在公網當中，危險系數極高。

二、安全隱患

我校對于安全的需求主要包括幾下幾點：

（一）本次的安全規劃主要集中在虛擬化平臺內，包括服務器虛擬化平臺內的安全和桌面虛擬化平臺內部的安全。所以，安全方案必須能夠兼容目前的VMware平臺和Ctrix平臺。

（二）我校主要關注平臺內虛擬機的東西向安全。例如，經過NSX優化的虛擬網絡，對于同網段同主機、同網段不同主機、不同網段同主機、不同網段不同主機的虛擬機之間通信最多只需要過二層接入交換機，部分通信只需要通過ESXi內部虛擬分布式交換機vDS即可通信。大量VM之間的業務流量不過三層，因此南北向物理防護很難生效。

（三）目前我校比較關注有客戶端的輕代理安全防護方式如何規避升級風暴和殺毒風暴，終端安全防護一定不能以犧牲業務系統穩定性為代價。

（四）南北向的安全防護。虛擬化環境下主要包括四套網絡——虛擬機東西向之間通信的隧道網絡、外部訪問虛擬機的業務網絡、虛擬機向存儲設備讀寫的存儲網絡以及日常管理的管理網絡。其中黑客若初次攻擊我校VM，必定需要通過南北向網絡，故南北向的虛擬化環境下安全防護也必須做到。

（五）目前我校有數量較多的web服務器，無論web服務對內還是對外開放，都是最容易被黑客攻擊的環節。Web目錄極容易被黑客植入webshell后門，后期可能會通過黑客的C&C主機遠程控制植入了webshell后門的web服務器，輕則web目錄被篡改、相關核心文件被加密、數據被竊取，重則橫向滲透到其他業務虛擬機中，造成大規模的病毒爆發、數據泄露。故針對我校的實際情況，虛擬機中的web安全尤為重要。

（六）為了方便師生進行相關文檔的共享、交流，我校的文件共享虛擬機對所有教師職工開放。目前共享文件夾中已有大量的不同格式的文件，其就像一顆“定時炸彈”，不做好該共享文件的安全防護，隨時可能“爆炸”。

三、解決方案

針對我校最為關注的幾點需求，防病毒廠家公司通過虛擬化安全輕代理殺毒有效解決上述安全問題：

（一）虛擬化安全輕代理兼容性極好，現在絕大部分的云平臺都可適配，包括我校目前使用的Ctrix和VMware。即使后期我校使用其他云平臺廠家，虛擬化安全也可以輕松擴展、兼容。

（二）對于東西向安全，輕代理可實現2—7層的安全防護。其中，輕代理的防火墻模塊可以實現ACL的IP五元組訪問控制策略，對異常流量進行清洗，同時網卡流量統計模塊可以定期關注主機的流量變化，發現可疑未知流量，有效應對2—4層的網絡攻擊;對于4—7層安全防護，輕代理客戶端通過本地的惡意代碼防范（殺毒）、漏洞利用（虛擬補丁）、暴力破解（防爆破）、webshell掃描（webshell后門查殺）、安全基線（針對不安全配置、相關參數、弱口令，為主機打分，給出一鍵修復方案，進行基線的提升。

（三）對于殺毒風暴的擔心，我們可以將虛擬機分到不同的組中（可以基于不同的網段vlan，可以基于虛擬化平臺類型，可以基于操作系統類型，完全我校自定義），將不同的虛擬機組在不同的時間點進行錯峰定時查殺，應對殺毒風暴的問題。并且經過前期測試，輕代理的殺毒資源占用并不高，防病毒廠家已經做好足夠的優化，輕量級業務系統可以統一查殺;對于補丁的升級，目前防病毒廠家是基于虛擬補丁的方式防護漏洞利用攻擊。

（四）對于南北向的安全防護，防火墻、殺毒、入侵檢測也能夠做到對應的2—7層安全控制。

（五）針對web服務器安全，防病毒廠家虛擬化安全輕代理的webshell掃描可以有效應對webshell后門的植入，準確發現web目錄的篡改和webshell的后門控制，提高安全級別。

（六）文件服務器可以通過“病毒查殺”進行包括宏病毒、蠕蟲、木馬在內的多種的惡意代碼的快速掃描、發現和查殺。

四、結論

這次通過對虛擬化環境特性分析，結合實際情況分析了面臨網絡安全威脅，通過以上的方式給出了相應的安全對策。提醒大家不能只關注網絡本身的情況，要從系統的最底層出發研究東西向存在的危險進行防護，這是基礎設施的防護，也是保障虛擬化安全的防護。

參考文獻：

[1]楊永.探討虛擬化數據中心的安全問題分析[J].電子技術與軟件工程，2015 （23）：214.

[2]錢霂馨，張輝鵬.虛擬化數據中心的安全問題分析[J].信息安全與技術，2013，4 （08）：50-53.