等保2.0下高校虛擬化平臺安全探索

戶利利

摘要：虛擬化系統的高可靠性、可擴展性、易于管理等優點使得虛擬化系統在高校得到了廣泛的推廣使用。文章基于網絡安全等級保護2.0的基本要求，確定了虛擬化平臺的安全責任邊界、分析了虛擬化平臺的安全風險。針對虛擬化平臺面臨的安全威脅和安全需求，參考國家安全等級保護建設和測評的標準和規范，基于等級保護“一個中心，三重防護”的縱深防護思想，文章從虛擬化平臺的區域邊界、計算環境以及安全管理中心三個方面來介紹如何通過虛擬化等級保護來加強虛擬化平臺的安全。

關鍵詞：虛擬化平臺;高校;等級保護

中圖分類號：TP311 文獻標識碼：A

文章編號：1009-3044（2020）10-0027-03

1概述

2016年11月7號，十二屆全國人大常委會第24次會議通過了《中華人民共和國網絡安全法》，該法是網絡領域的基礎性法律，于2017年6月1日起開始實施。《中華人民共和國網絡安全法》第二十一條規定，國家實行網絡安全等級保護制度，網絡運營者應當按照網絡安全等級保護制度的要求，履行安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。高校作為培養人才的重要基地，需要嚴格遵守網絡安全法，實施網絡安全等級保護制度。2019年，網絡安全等級保護系列標準正式發布，網絡安全等級保護從此由1.0時代邁入2.0時代。網絡安全等級保護制度在2.0時代，將云計算、物聯網、移動互聯、工業控制信息系統和大數據等新應用、新技術納入等級保護擴展要求。

虛擬化技術是云計算中的核心技術，虛擬化包括了三層含義：虛擬化的對象是各種各樣的資源;經過虛擬化后的邏輯資源對用戶隱藏了不必要的細節;用戶可以在虛擬化環境中實現其在真實環境中的部分或者全部功能嘲。虛擬化平臺是利用虛擬化技術，將各類硬件資源虛擬化成統一的資源池，簡化了資源配置和管理，具有高可靠性、高彈性的同時提高了硬件的利用率。在現實的生產應用中，由于云平臺軟件的厚重，消耗資源大、價格昂貴等現實原因，云平臺軟件主要運用于各個大型企事業單位和運營商中，中小型企業和高校由于業務需求和經濟原因并沒有真正實現云的概念，大部分只是在虛擬化的層面上，因此從某種意義上說，虛擬化平臺的應用更具有廣泛性。

在網絡安全等級保護標準中，云計算是指通過網絡訪問或可擴展的、靈活的物理或虛擬共享的資源池，同時這種資源池需要具有自助獲取和管理的模式。雖然虛擬化平臺不具有云計算所要求的自助獲取的模式，但是虛擬化平臺也是個資源池，是可以參照云計算的要求來做安全等保。

2確定安全責任邊界

區別于傳統的信息系統，虛擬化保護環境是虛擬化平臺以及虛擬化平臺上部署的各類軟件以及各相關組件的集合。虛擬化保護環境依據管理權限劃分為不同的管理范圍，管理員對各自的管理范圍的安全負責。其中，虛擬化平臺等級保護的定級、備案、等級測評、安全整改等具體實施由虛擬化平臺的管理者負責;各虛擬化用戶對其申請的虛擬資源上的系統負責，該系統的定級和等級保護開展工作由虛擬化用戶負責。虛擬化平臺上可以有多個不同等級的虛擬化用戶信息系統，這些虛擬化用戶信息系統的安全保護的等級不能高于平臺的安全等級應。

在各高校中，一般是由信息中心作為虛擬化平臺的管理者，由信息中心根據平臺的用途和重要性確定平臺的保護等級，并根據平臺的保護等級的要求實施安全等保。在高校中，虛擬化用戶通常是指高校內的各個業務單位，各業務單位在保障業務工作的同時，也需要保障相應系統的安全。

虛擬化環境中可能具有多種虛擬化服務模式，根據服務模式的不同，虛擬化平臺的管理者和虛擬化用戶的安全責任邊界是不同的。虛擬化服務模式可分為基礎設施即服務IaaS、平臺即服務PaaS、軟件即服務SaaS。在不同的服務模式下，虛擬化用戶的安全責任邊界是不同的。對于IaaS的基礎設施服務模式，虛擬化用戶的職責范圍包括虛擬機操作系統和操作系統上的所有應用以及數據庫和中間件;對于PaaS平臺即是服務模式，虛擬化用戶的責任對象為軟件開發平臺中間件、應用和數據;對于SaaS軟件即服務模式，虛擬化用戶的職責范圍主要為用戶訪問和用戶賬號安全。除去虛擬化用戶的安全責任范圍，平臺剩下的安全責任都由平臺管理員的承擔。

3虛擬化平臺的安全風險

虛擬化平臺具有高可用、可擴展、支持多種操作系統持續運行、空間和資源消耗小等多種優點，但是在引入優勢的同時，也帶來了許多新的安全風險。

1）虛擬流量交換的安全風險，虛擬化流量分為兩種[3]，一種是南北向流量，一種是東西向流量。南北向流量是指虛擬化平臺與外部的流量，針對這種流量的安全可以采用常見的外部防護墻等防護手段，防護來自虛擬化平臺之外的攻擊和破壞。東西向流量指的是虛擬化平臺上各個虛擬機之間的流量。在虛擬環境中，虛擬機與虛擬機之間是通過虛擬交換機進行通信的，傳統的防火墻以及IPS等安全設備是無法感知到這種通信流量的。這種情況下，如果一臺虛擬機感染病毒，這臺感染病毒的虛擬機會對平臺上的其他虛擬機發起攻擊，引起虛擬機和平臺的多種安全風險。為了應對這種攻擊，我們需要對這種東西向的流量進行監控，并且設置各個虛擬機之間的安全策略來降低這種安全風險。

2）虛擬化引入的安全風險。虛擬化平臺中，宿主機操作系統，虛擬化平臺軟件等都可能存在安全漏洞，利用這些安全漏洞，攻擊者可以對虛擬化宿主機或者虛擬化平臺進行攻擊，進而對平臺上的虛擬機進行任意的配置破壞，造成虛擬機系統的不可用或者虛擬機上的數據泄露。這種風險需要及時對虛擬化系統進行系統升級，同時采用訪問控制的策略管理虛擬化軟件層的訪問權限，將系統設置為只針對個別IP開放需要的端口。

3）資源分配風險。處于虛擬資源池中的多個虛擬機共享同一套硬件資源，可能會出現惡意搶占網絡、存儲、計算等資源的情況，不僅影響了平臺資源的可用性，還影響了整個平臺的性能，導致平臺資源耗盡，影響其他關鍵業務系統的正常運行，造成安全風險。并且由于多個虛擬機共享資源，各個虛擬機在共享資源的同時，可能會造成數據泄露。目前主流的虛擬化系統都已經具備主機監控的功能，當主機或者虛擬機的資源消耗超過一定的閾值時，系統會報警。

4）虛擬化環境下的動態負載，虛擬機的動態漂移技術，保證了虛擬機上業務系統的持續性，但是也給虛擬化安全帶來了新的挑戰。為了保障各虛擬機的安全策略實施有效，這就需要安全策略、安全防護措施能夠隨著虛擬機進行漂移。

5）平臺層面對數據安全造成的風險。首先終端用戶把數據通過虛擬化存儲交付給虛擬化平臺后，從某種意義上說，數據的訪問權限已經開放給了虛擬化平臺的管理員，如何從平臺管理員的角度保障數據的保密性是第一個挑戰。其次，在虛擬化環境下，數據存儲是通過碎片化的方式，這種碎片化存儲方式給數據的可恢復性帶來挑戰。同時因為數據是碎片化存放的，無法在存儲層面上做隔離，如何保障這些碎片化的數據不被平臺上的其他系統訪問到這也是個很大的挑戰。

4等保2.0下虛擬化平臺的安全防護

虛擬化平臺是由大量的物理服務器和存儲資源組成的共享的IT資源池。虛擬化技術在資源動態分配和保障業務連續性等方面具有顯著的優勢。為了保證虛擬化平臺的安全，提高虛擬化平臺的整體防護能力，我們需要對虛擬化平臺進行等保安全測評。虛擬化平臺的等保安全測評是衡量虛擬化平臺安全的重要手段，通過虛擬化平臺的安全等保測評工作可以指導虛擬化平臺的安全建設，維護虛擬化平臺的安全性。

針對虛擬化平臺面臨的安全威脅和安全需求，基于等級保護“一個中心，三重防護”的縱深防護思想，從通信網絡到區域邊界再到計算環境進行重重防護，其中安全管理中心對平臺的系統管理、安全管理和安全審計進行集中管控。

4.1虛擬化的安全計算環境

用戶通過安全的通信網絡以網絡直接訪問、API接口訪問和Web服務器等方式安全的訪問虛擬化平臺提供的計算機安全環境。安全計算環境包括基礎設施層安全和服務器層安全。其中，基礎設施層分為硬件設施和虛擬設施。硬件設施的安全設計主要涉及物理主機、光纖交換機、存儲設備等物理實體的安全。虛擬設施的安全主要涉及服務器虛擬化軟件、存儲虛擬化軟件、網絡虛擬化軟件、虛擬化平臺管理軟件等，其中，鏡像和快照也屬于虛擬設施層。服務層是虛擬化平臺提供給用戶的虛擬資源的實現，根據服務模式的不同，虛擬化平臺提供者和用戶承擔的安全責任不同。服務層安全首先需要明確虛擬化平臺管理者的責任安全范圍，根據安全責任范圍和安全等級要求得出安全設計技術要求。

4.2虛擬化的安全區域邊界

在安全區域邊界方面，除了傳統的物理區域的邊界安全，還增加了由于虛擬引入的邊界問題。首先將整個平臺分為管理區域和業務區域。管理區域與業務區域網絡進行隔離設計，其中運維平臺、安全管理平臺、虛擬化管理平臺僅允許管理區域內的管理終端訪問，避免遠程管理引入的系統風險。

在業務區域中，需要在虛擬化系統規劃時，就在計算、存儲和網絡三個層面對平臺上將要運行的虛擬機、數據庫和中間件等資源按業務的重要程度進行物理模塊的隔離劃分。具體的劃分和隔離方法如下：

數據庫層面上，按業務邏輯將數據庫分為核心數據庫和交互數據庫。數據庫需要專門建立一個單獨的計算池，該計算池配置2個以上的高性能計算節點均衡計算負載，在存儲上單獨創建2個數據卷分別用來存核心數據庫和交互數據庫，核心的數據庫存放業務系統使用的核心數據，僅限相關的業務的訪問，拒絕其他訪問，配置策略要嚴格很多。交互數據庫用于存放應用系統之間的交換數據，配置的安全訪問策略較為寬松，用于過濾應用層帶來的安全問題，實現核心數據庫和應用之間的邏輯隔離。網絡層面上劃分兩個子網，核心數據庫子網網段和交互數據庫子網網段，實現網絡層面的安全隔離。

中間件部分，根據業務量的大小，創建一個單獨的計算池，該計算池可以由2個以上高性能節點和一個單獨的數據卷構成;

在虛擬機層面上，對虛擬機按照業務的重要的程度再次進行劃分，分為非常重要的虛擬機，重要的虛擬機和一般虛擬機以及臨時虛擬機四個等級的虛擬機，將這四個等級的虛擬機放在一個計算池中，并且將這四個等級的虛擬機分別存儲在不同的數據卷上。網絡層面上，對應于四種等級的虛擬機，可以劃分四個不同的子網，并且這四個子網分隔較遠，方便后期對流量的監控和分析。

4.3虛擬化安全管理中心

虛擬化環境的系統管理、安全管理和安全審計由安全管理中心統一集中管控。安全管理中心可以是一個機構，也可以是個平臺，安全管理中心對系統管理、安全管理和審計管理負責。由于虛擬化系統復雜，需要管理的內容比較多，在等保2.0中，需要將這些管理接口單獨劃分到一個區域中，與生產網分離，實現獨立且集中的管理。在安全管理方面，安全管理中心制定平臺安全管理規范和管理員安全操作守則。為了保障系統管理的安全性，系統管理員需要依據操作手冊對平臺系統進行維護，并且需要詳細記錄操作日志。在用戶權限方面，嚴格遵循最低權限原則，管理人員的權限需要與其工作職責范圍匹配，禁止共享賬號，當管理員發生人員變動時，即刻更新管理員賬號和密碼，將舊的管理員賬號進行刪除。同樣，安全設備和安全組件的管理接口也需要設置獨立的網段進行集中管理，并且平臺上所有的數據庫、中間件、虛擬機的安全策略配置和漏洞管理可以集中配置和管理。在安全審計方面，平臺上的所有的登陸除了需要通過身份認證外，還需要通過堡壘機等，實現系統登錄的多重防護。平臺上數據庫、中間件和虛擬機的日志需要定期發到審計服務器上，該日志審計服務器需要保存平臺上各個數據庫、中間件和虛擬機的6個月全流量操作日志，并且該日志有備份。

5結束語

高校信息化建設需要將網絡信息安全放在首位，《中華人民共和國網絡安全法》的發布將網絡安全等級保護上升到了法律層面。通過網絡安全等級保護建設可以加強高校的網絡安全防護體系的建設。本文以高校虛擬化平臺為例，確定了虛擬化平臺系統的安全責任邊界、分析了虛擬化系統的安全風險。針對虛擬化平臺面臨的安全威脅和安全需求，參考國家安全等級保護建設和測評的標準和規范，基于等級保護“一個中心，三重防護”的縱深防護思想，分別從虛擬化系統的區域邊界、計算環境以及安全管理中心三個方面來介紹如何通過虛擬化等級保護來加強虛擬化平臺的安全。