引言

    數(shù)據(jù)中心虛擬化是指利用虛擬化技術(shù)構(gòu)建基礎(chǔ)設(shè)施池，主要包括計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)3種資源。數(shù)據(jù)中心虛擬化后不再獨(dú)立地看待某臺(tái)設(shè)備和鏈路，而是計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)的深度融合，當(dāng)作按需分配的整體資源來(lái)對(duì)待。從主機(jī)等計(jì)算資源角度看，數(shù)據(jù)中心虛擬化包含多合一、一分多2個(gè)方向，都提供了計(jì)算資源按需調(diào)度的手段。存儲(chǔ)虛擬化的核心就是實(shí)現(xiàn)物理存儲(chǔ)設(shè)備到單一邏輯資源池的映射，是為了便于應(yīng)用和服務(wù)進(jìn)行數(shù)據(jù)管理，對(duì)存儲(chǔ)子系統(tǒng)或存儲(chǔ)服務(wù)進(jìn)行的內(nèi)部功能抽象、隱藏和隔離的行為。在現(xiàn)代信息技術(shù)中，虛擬化技術(shù)以其對(duì)資源的高效整合、提高硬件資源利用率、節(jié)省能源、節(jié)約投資等優(yōu)點(diǎn)而得到廣泛應(yīng)用。但虛擬化技術(shù)在為用戶帶來(lái)利益的同時(shí)，也對(duì)用戶的數(shù)據(jù)安全和基礎(chǔ)架構(gòu)提出了新的要求。如何在安全的范疇使用虛擬化技術(shù)，成為迫在眉睫需要解決的問(wèn)題。因此，筆者對(duì)虛擬化數(shù)據(jù)中心的安全設(shè)計(jì)進(jìn)行研究。

1 虛擬化后數(shù)據(jù)中心面臨的安全問(wèn)題

    1)服務(wù)器利用率和端口流量大幅提升，對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)承載性能提出巨大挑戰(zhàn)，對(duì)網(wǎng)絡(luò)可靠性要求更高;

    2)各種應(yīng)用部署在同一臺(tái)服務(wù)器上，網(wǎng)絡(luò)流量在同一臺(tái)服務(wù)器上疊加，使得流量模型更加復(fù)雜;

    3)虛擬機(jī)的部署和遷移，使安全策略的部署更復(fù)雜，需要一個(gè)動(dòng)態(tài)安全機(jī)制對(duì)數(shù)據(jù)中心進(jìn)行防護(hù);

    4)在應(yīng)用虛擬存儲(chǔ)技術(shù)后，面對(duì)異構(gòu)存儲(chǔ)設(shè)備的特點(diǎn)，存在如何統(tǒng)一監(jiān)管的問(wèn)題;虛擬化后不同密級(jí)信息混合存儲(chǔ)在同一個(gè)物理介質(zhì)上，將造成越權(quán)訪問(wèn)等問(wèn)題。

2 數(shù)據(jù)中心安全風(fēng)險(xiǎn)分析

    2.1高資源利用率帶來(lái)的風(fēng)險(xiǎn)集中

    通過(guò)虛擬化技術(shù)，提高了服務(wù)器的利用效率和靈活性，也導(dǎo)致服務(wù)器負(fù)載過(guò)重，運(yùn)行性能下降。虛擬化后多個(gè)應(yīng)用集中在1臺(tái)服務(wù)器上，當(dāng)物理服務(wù)器出現(xiàn)重大硬件故障是更嚴(yán)重的風(fēng)險(xiǎn)集中問(wèn)題。虛擬化的本質(zhì)是應(yīng)用只與虛擬層交互，而與真正的硬件隔離，這將導(dǎo)致安全管理人員看不到設(shè)備背后的安全風(fēng)險(xiǎn)，服務(wù)器變得更加不固定和不穩(wěn)定。

    2.2網(wǎng)絡(luò)架構(gòu)改變帶來(lái)的安全風(fēng)險(xiǎn)

    虛擬化技術(shù)改變了網(wǎng)絡(luò)結(jié)構(gòu)，引發(fā)新的安全風(fēng)險(xiǎn)。在部署虛擬化技術(shù)之前，可在防火墻上建立多個(gè)隔離區(qū)，對(duì)不同的物理服務(wù)器采用不同的訪問(wèn)控制規(guī)則，可有效保證攻擊限制在一個(gè)隔離區(qū)內(nèi)，在部署虛擬化技術(shù)后，一臺(tái)虛擬機(jī)失效，可能通過(guò)網(wǎng)絡(luò)將安全問(wèn)題擴(kuò)散到其他虛擬機(jī)。

    2.3虛擬機(jī)脫離物理安全監(jiān)管的風(fēng)險(xiǎn)

    1臺(tái)物理機(jī)上可以創(chuàng)建多個(gè)虛擬機(jī)，且可以隨時(shí)創(chuàng)建，也可被下載到桌面系統(tǒng)上，常駐內(nèi)存，可以脫離物理安全監(jiān)管的范疇。很多安全標(biāo)準(zhǔn)是依賴于物理環(huán)境發(fā)揮作用的，外部的防火墻和異常行為監(jiān)測(cè)等都需要物理服務(wù)器的網(wǎng)絡(luò)流量，有時(shí)虛擬化會(huì)繞過(guò)安全措施。存在異構(gòu)存儲(chǔ)平臺(tái)的無(wú)法統(tǒng)一安全監(jiān)控和無(wú)法有效資源隔離的風(fēng)險(xiǎn)。

    2.4虛擬環(huán)境的安全風(fēng)險(xiǎn)

    1)黑客攻擊。

    控制了管理層的黑客會(huì)控制物理服務(wù)器上的所有虛擬機(jī)，而管理程序上運(yùn)行的任何操作系統(tǒng)都很難偵測(cè)到流氓軟件等的威脅。

    2)虛擬機(jī)溢出。

    虛擬機(jī)溢出的漏洞會(huì)導(dǎo)致黑客威脅到特定的虛擬機(jī)，將黑客攻擊從虛擬服務(wù)器升級(jí)到控制底層的管理程序。

    3)虛擬機(jī)跳躍。

    虛擬機(jī)跳躍會(huì)允許攻擊從一個(gè)虛擬機(jī)跳轉(zhuǎn)到同一個(gè)物理硬件上運(yùn)行的其它虛擬服務(wù)器。

    4）補(bǔ)丁安全風(fēng)險(xiǎn)。

    物理服務(wù)器上安裝多個(gè)虛擬機(jī)后，每個(gè)虛擬服務(wù)器都需要定期進(jìn)行補(bǔ)丁更新、維護(hù)，大量的打補(bǔ)丁工作會(huì)導(dǎo)致不能及時(shí)補(bǔ)漏而產(chǎn)生安全威脅。安全研究人員在虛擬化軟件發(fā)現(xiàn)了嚴(yán)重的安全漏洞，即可通過(guò)虛擬機(jī)在主機(jī)上執(zhí)行惡意代碼。黑客還可以利用虛擬化技術(shù)隱藏病毒和惡意軟件的蹤跡。

3 數(shù)據(jù)中心的安全設(shè)計(jì)

    3.1 數(shù)據(jù)中心的安全需求

    傳統(tǒng)的數(shù)據(jù)中心關(guān)注業(yè)務(wù)流量的訪問(wèn)控制，數(shù)據(jù)中心虛擬化后增加了主機(jī)動(dòng)態(tài)遷移和業(yè)務(wù)混存的安全風(fēng)險(xiǎn)，因此在安全模型中需要將主機(jī)動(dòng)態(tài)遷移到其它物理服務(wù)器，并將業(yè)務(wù)的有效隔離作為第三維的關(guān)注點(diǎn)。虛擬化數(shù)據(jù)中心的安全需求包含3個(gè)方面:一是通道隔離，即不同的應(yīng)用、業(yè)務(wù)和用戶進(jìn)行安全隔離，確保用戶群組獲得正確的資源和網(wǎng)絡(luò)流量，保證高可用;二是接入控制，即網(wǎng)絡(luò)安全策略應(yīng)支撐集群中成員的動(dòng)態(tài)加入、離開(kāi)或遷移;三是網(wǎng)絡(luò)安全策略可隨虛擬機(jī)遷移。數(shù)據(jù)中心虛擬化后三維安全模型如1所示。

圖1 數(shù)據(jù)中心虛擬化后安全模型

    3.2 虛擬化數(shù)據(jù)中心的安全設(shè)計(jì)

    1)數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)高可用設(shè)計(jì)

    在新一代數(shù)據(jù)中心虛擬化網(wǎng)絡(luò)架構(gòu)中，通過(guò)IRF (intelligent resilient framework)技術(shù)將多臺(tái)網(wǎng)絡(luò)設(shè)備虛擬化成1臺(tái)設(shè)備統(tǒng)一管理和使用，整體無(wú)環(huán)設(shè)計(jì)并提高可用性。在IRF架構(gòu)下，基本原則就是服務(wù)器雙網(wǎng)卡接在不同交換機(jī)上，匯聚交換機(jī)堆疊后，將兩層交換機(jī)用多條鏈路進(jìn)行捆綁連接，實(shí)現(xiàn)基于物理端口的負(fù)載均衡和冗余備份，如圖2。

圖2 端口捆綁技術(shù)

    數(shù)據(jù)中心架構(gòu)規(guī)劃設(shè)計(jì)時(shí)，還需要按照模塊化、層次化原則進(jìn)行。從可靠性角度看，三層架構(gòu)和二層架構(gòu)均可以實(shí)現(xiàn)數(shù)據(jù)中心網(wǎng)絡(luò)的高可用，而二層扁平化網(wǎng)絡(luò)架構(gòu)更適合大規(guī)模服務(wù)器虛擬化集群和虛擬機(jī)的遷移。模塊化設(shè)計(jì)是指針對(duì)不同功能或相同功能不同性能、不同規(guī)模的應(yīng)用進(jìn)行功能分析的基礎(chǔ)上，劃分出一系列功能模塊。在內(nèi)部網(wǎng)中根據(jù)應(yīng)用系統(tǒng)的重要性、流量特征和用戶特征的不同，可大致劃分幾個(gè)區(qū)域，以數(shù)據(jù)中心核心區(qū)為中心，其它功能區(qū)與核心區(qū)相連，成為數(shù)據(jù)中心網(wǎng)絡(luò)的邊緣區(qū)域，如圖3所示。

    2）網(wǎng)絡(luò)安全的部署設(shè)計(jì)。

    虛擬化數(shù)據(jù)中心關(guān)注的重點(diǎn)是實(shí)現(xiàn)整體資源的靈活調(diào)配，因此在考慮訪問(wèn)控制時(shí)，要優(yōu)先考慮對(duì)計(jì)算資源靈活性調(diào)配的程度。網(wǎng)絡(luò)安全的控制點(diǎn)盡量上移，服務(wù)器網(wǎng)關(guān)盡量不設(shè)在防火墻，避免靈活性的降低。根據(jù)應(yīng)用的重要程度不同，利用交換機(jī)和防火墻來(lái)實(shí)現(xiàn)訪問(wèn)的工作模式如圖4所示。

圖3 數(shù)據(jù)中心的模塊化設(shè)計(jì)

圖4 不同涉密等級(jí)網(wǎng)關(guān)安全控制模型

    服務(wù)器網(wǎng)關(guān)設(shè)置在匯聚交換機(jī)上的工作模式:匯聚交換機(jī)作為Web/AP/DB服務(wù)器的網(wǎng)關(guān)，Web/AP/DB服務(wù)器二層分區(qū)之間互訪經(jīng)過(guò)匯聚交換機(jī)ACL做訪問(wèn)控制，防火墻做邊界安全控制。同一業(yè)務(wù)在同一VRF(虛擬路由表)內(nèi)，而Web/AP/DB分布在同一VRF的不同二層分區(qū)內(nèi)，Web/AP/DB通過(guò)交換機(jī)三層轉(zhuǎn)發(fā)訪問(wèn);不同業(yè)務(wù)之間的訪問(wèn)，跨VRF通過(guò)防火墻控制。

    服務(wù)器網(wǎng)關(guān)設(shè)置在防火墻上的工作模式:服務(wù)器網(wǎng)關(guān)設(shè)置在防火墻上，通過(guò)靜態(tài)路由下一跳指向匯聚交換機(jī)的三層接口，三組服務(wù)器網(wǎng)關(guān)地址各不相同，各組服務(wù)器內(nèi)的虛擬機(jī)只能在本VLAN內(nèi)遷移，如Web/AP/DB 3種服務(wù)器部署在不同ULAN,L2分區(qū)之間互訪需經(jīng)過(guò)防火墻實(shí)現(xiàn)訪問(wèn)控制，屬于強(qiáng)隔離措施。

    3)安全策略的動(dòng)態(tài)遷移。

    數(shù)據(jù)中心需針對(duì)不同類型的應(yīng)用系統(tǒng)制定不同級(jí)別的防護(hù)策略。虛擬化環(huán)境下，應(yīng)用系統(tǒng)和服務(wù)器是自由匹配和隨需遷移的，每一次虛擬機(jī)遷移都對(duì)應(yīng)安全策略的改變和調(diào)整，因此發(fā)生虛擬機(jī)創(chuàng)建或遷移時(shí)，需要利用虛擬機(jī)軟件保證虛擬機(jī)在服務(wù)器上的快速遷移，同時(shí)要保證網(wǎng)絡(luò)配置的實(shí)時(shí)遷移，以確保虛擬機(jī)業(yè)務(wù)的連續(xù)性。目前業(yè)界最優(yōu)的解決方法，即在服務(wù)器鄰接的物理交換機(jī)采用VPORT的概念。一個(gè)虛擬機(jī)綁定一個(gè)或幾個(gè)VPORT，虛擬機(jī)遷移時(shí)，只需在鄰接的物理交換機(jī)上將虛擬機(jī)對(duì)應(yīng)的網(wǎng)絡(luò)配置(profile)綁定到VPORT上，而不會(huì)對(duì)其他虛擬機(jī)的VPORT產(chǎn)生影響。

    4)存儲(chǔ)虛擬化的安全保護(hù)。

    在應(yīng)用存儲(chǔ)虛擬化后，虛擬化管理軟件應(yīng)能全面管理IP SAN, FC SAN, NAS等不同虛擬對(duì)象，通過(guò)上層應(yīng)用封裝對(duì)用戶提供一致的管理界面，屏蔽底層對(duì)象的差異性。通過(guò)基于主機(jī)的授權(quán)、基于用戶認(rèn)證和授權(quán)來(lái)實(shí)現(xiàn)存儲(chǔ)資源隔離和訪問(wèn)控制。采用基于虛擬機(jī)技術(shù)的行為監(jiān)控技術(shù)，獲得上層操作系統(tǒng)真實(shí)的硬件訪問(wèn)行為，避免惡意代碼通過(guò)修改操作系統(tǒng)造成信息隱瞞。應(yīng)部署與主機(jī)獨(dú)立的、基于存儲(chǔ)的入侵檢測(cè)系統(tǒng)，對(duì)存儲(chǔ)設(shè)備所有讀寫(xiě)操作進(jìn)行抓取和分析，以檢測(cè)存儲(chǔ)設(shè)備中文件/屬性的改變、檢測(cè)文件模式的非正常修改、監(jiān)控文件結(jié)構(gòu)的完整性;掃描檢測(cè)可疑文件等。

4 管理策略

    1)制定虛擬機(jī)管理制度，明確管理責(zé)任。

    2)制定專門(mén)的虛擬機(jī)審核、追蹤流程，防止虛擬機(jī)蔓延而導(dǎo)致的管理受控。

    3)所有物理機(jī)、管理程序、虛擬機(jī)的配置和數(shù)量都建在固定模板中，確保配置可控、可管，并將虛擬機(jī)管理放入安全策略。

    4)利用虛擬化監(jiān)控工具，檢測(cè)出未授權(quán)的拷貝和“克隆”虛擬機(jī)的行為，確保敏感信息在正確的管控中。

5 結(jié)束語(yǔ)

    筆者介紹了虛擬化數(shù)據(jù)中心存在的安全風(fēng)險(xiǎn)和采取的安全策略，分析結(jié)果和實(shí)踐證明，該策略正確可行。虛擬化數(shù)據(jù)中心是當(dāng)前與未來(lái)的發(fā)展方向，數(shù)據(jù)中心網(wǎng)絡(luò)要實(shí)現(xiàn)高可用、高安全，單純靠技術(shù)手段并不能解決所有問(wèn)題，還需要完善的運(yùn)維流程、規(guī)章制度和管理體制，這將是一個(gè)長(zhǎng)期、循序漸進(jìn)的過(guò)程。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：虛擬化數(shù)據(jù)中心的安全設(shè)計(jì)

本文網(wǎng)址：http://www.oesoe.com/html/support/1112159374.html