1虛擬化簡介

    1．1虛擬化的基本概念

    早在上世紀60年代，美國的計算機學術界就開始了虛擬技術的萌芽。1959年6月在國際信息處理大會上，克里斯托弗的一篇《計算機分時應用》的論文，被認為是虛擬化技術的最早論述。

    所謂虛擬化，是指將單臺電腦／服務器軟件環境分割為多個獨立分區，每個分區均可以按照需要模擬電腦／服務器的一項技術。它的技術實質是通過中間層次實現計算資源的管理和再分配，使資源利用實現最大化。

    以市場占有率來說，目前提供企業虛擬化的主要產品有VMware的vShpere、微軟Hyper-V以及Ctrix的XenServer／XenDesktop等，此次課題研究將圍繞市場占有率最高、普及最廣的VMware廠家的虛擬化技術展開。

    1．2虛擬化的優勢

    虛擬化之所以成為IT領域的新寵，必有其不可取代的獨到之處，那么其魅力究竟何在呢?

    1．2．1降低運營成本

    在過去的物理系統中，如果出現硬件老化或機房擴建的需求時，企業必須花費一筆不小的費用用于新設備的采購，而在選擇虛擬化方案后，IT設備的采購費用花銷不再是令人頭疼的問題。虛擬化軟件提供的資源共享，將原先眾多的硬件設備整合到虛擬化環境中，這資源池的概念為用戶降低了機房的運維成本：

    (1)大大縮減了用戶每年在硬件采購與機房運營成本(包括供電、制冷和場地)；

    (2)另一方面，隨著VMware在更多低成本硬件上得到認可，以及該套件不斷擴展以適應最苛刻的企業工作負載條件，VMware Infrastructure帶來的成本節約空間將越來越大。

    1．2．2提高硬件資源效率

    隨著網絡環境的過度膨脹，加上服務器的空間、耗電、散熱成本不斷提高，CPU等資源利用率過低，使得虛擬機廠家開始將目標放在“單個物理服務器上運行多個操作系統環境。”這樣可以讓每一個系統服務(如數據庫、網頁服務器)在單個的操作系統上運行，而多個操作系統可以在同一臺物理服務器上并行運行，不但保持了服務間隔，更讓前面的問題迎刃而解。

    1．2．3管理的優勢

    虛擬化提供的功能可以將IT管理人員再度合并。一個人管理上千臺服務器不再是夢想，不但可以讓機器有高效性，公司的人事也可以有高效性，當然，完善的管理功能必須創建在良好的架構之上。

    1．2．4高可用性

    在服務器合并之后，大家發現虛擬機的功能不僅于此。由于虛擬機的硬件在抽象化之后，比物理機的應用更有彈性。再加上特殊的硬件和設計之后企業最在乎高可用性(High Availability)。冗余、負載均衡、副本等從前必須靠復雜技術或是昂貴設備才能解決的問題，使用虛擬化可以一并解決。

    此外，虛擬化更可以解決當前設備無法解決的問題，包括動態主機遷移、快捷刪除數據、統一桌面管理，甚至是創建永遠不會藍屏的企業集成環境。

2虛擬化環境中的安全隱患

    虛擬化的眾多好處，讓人們認為系統管理員在虛擬化架構實施后便能高枕無憂，可惜的是現實狀況告訴用戶這一切只是我們對于虛擬化效果的過度期望——虛擬化技術打破了傳統系統的架構后，在解放管理員于繁雜的管理維護工作的同時，也為系統安全帶來了新的威脅。由于設計虛擬化方案的專家一般并不是非常了解安全防護知識，導致整個虛擬化設計方案中，都沒有特別考慮到安全防護的環節。

    可以看出，在新的虛擬化架構中，人、流程和技術必須進行相應的調整。因此，我們必須全面地了解這個技術獨有的新風險和安全挑戰。接下來的章節將闡述虛擬化環境的幾個主要的安全問題。

    2．1隔離

    為了安全地整合服務器，實現在一臺物理服務器上運行多個虛擬機，虛擬化使用邏輯隔離來提供物理獨立的感覺。我們無法再通過網線和其他物理對象來確定主機是否分隔，我們依靠的是虛擬機管理程序和其他基于軟件的組件來確認這一點。當工作負載是來自共享同一個硬件的擁有不同可信任級別的用戶時，這會變得越來越重要。為了正確地包含信息，管理員必須特別地關注影響虛擬機和網絡隔離的配置設備，同時持續地監控整個基礎架構中可能導致敏感數據泄漏的變更。

    2．2服務器生命周期和變更控制

    補丁管理和變更控制對于保持操作平穩和安全運行是至關重要的。它可以通過及時申請重要安全修復來實現。事實上， 許多IT組織已經圍繞服務器維護建立了一個精密、科學的環境，這是非常重要的。毫無疑問，組織每年都會投入大量的時間和精力來維護數據中心的服務器。虛擬化的出現改變了游戲規則，從而增加了復雜性。服務器不再持續地運行；而虛擬機是可以停止、啟動、暫停甚至重新返回最初的狀態的。主機所配置和部署的速度也顯著提高。過去需要花費數小時才能完成的配置，現在只需幾秒或幾分鐘就可以完成。其結果就是形成了一個高度動態的環境，主機可以在不需要監控的情況下快速地引入到數據中心，而安全漏洞可以被忽視或根據虛擬機的狀態被重新引入。安全專業人員必須全面地了解哪些虛擬機是正在部署的，哪些是目前正在運行的，最后一次打補丁是什么時候以及它們的擁有者是誰。

    2．3虛擬機移動性

    移動性，在虛擬化語言中指的是虛擬機自動將其本身和資源重定位到另一個位置。

    圖1虛擬機移動性示意圖

    這個被高度認可的功能也可能產生一些問題。在一個傳統的數據中心中，物理服務器“A”可能被放置在第5行第8個機架的插槽3上。而在一個混合數據中心，虛擬機“B”則無法簡單地定位。作為資源池的一部分，服務器“B”可能分布在多個物理資源上。如果配置了移動性，虛擬機可以重新定位到另外一臺物理服務器上，不管是作為災難預備的自動化過程的一部分或是用于響應性能閾值。虛擬機的移動性意味著增加數據中心的靈活性，減少時間和開支，但是它同時也引進了類似于筆記本電腦和大型動態主機配置協議(D H C P)環境的安全問題。

    針對于傳統服務器和網絡的靜態策略和其他安全機制可能很容易混淆。安全產品可以在多個物理和虛擬環境中智能地操作，并通過整合平臺和管理API實現基礎架構感知，從而使管理員能夠對各種安全區域的虛擬機移動性進行控制。

    2．4虛擬網絡安全性

    網絡和服務器不再是數據中心內兩個獨立區分的層。虛擬化會造成一些復雜網絡環境，它們在服務器本身的界限是完全虛擬化的。這些虛擬網絡會促進服務器中的虛擬機通信，同時共享物理交換機和其他傳統網絡裝置所使用的許多相同特性。在數據中心，用于表示l臺服務器的一個物理端口可能表示10臺或者上百臺虛擬服務器，并且對于我們如何保證數據中心網絡安全造成巨大影響。在同一臺物理服務器中，虛擬機之間的網絡流量并不會離開主機，也不會被物理網絡中的傳統網絡安全裝置檢測到。這些盲點，特別是在不同信任層的虛擬機中，必須通過運行在虛擬基礎架構中的附加保護層進行妥善地保護。

    2．5操作職責的分離

    職責分離和最小特權的策略是很重要的安全原則，它們可用于限制IT管理員管理資源和執行日常任務的權限。服務器管理往往是由服務器管理員負責的，而網絡管理是由網絡管理員負責，安全專業人員則與兩個團隊一起工作，同時還負責。

    他們自己的特定任務。虛擬化已經改變了這些部門的自然邊界和分界線。服務器和網絡任務都可以通過一個虛擬管理控制臺進行管理，從而帶來了必須克服的新的運營挑戰。組織必須清晰定義正確的身份和訪問管理策略，允許管理員和安全專業人員正確地維護和保證虛擬環境安全，而不會向無關人員分配過多權限。

    2．6軟件附加層

    由于數據中心引進了虛擬化，因此實現軟件也需要額外的代碼——從控制虛擬機的管理控制臺到提供技術基礎的虛擬機管理程序。同樣地，由于x86虛擬化的某些普遍性、可達性和相對的不成熟，因此也出現了一些與虛擬化軟件相關的新漏洞。此外，從供應商到漏洞分析和發布是高度機密的。很多信息披露可以歸咎于虛擬化軟件堆棧所打包的第三方代碼，而供應商正在采取措施減少他們的軟件的足跡和對無法控制代碼的依賴。然而，毫無疑問，無故障代碼大部分都是做不到的，特別是在供應商將復雜功能整合到他們的平臺上的情況下。組織必須將虛擬化作為他們最重要的應用程序，同時提供恰當的防護以便應付這些風險。

    總結出虛擬化環境中的這些常見安全隱患后，下面我們就將列舉出幾個常見的安全防護解決方案，并對每個方案的特點作出相應解釋與說明。

3常見的虛擬化安全防護解決方案

    3．1 vShield

    對于想要充分利用云計算的優勢，同時又不想犧牲安全性、控制力或遵從性的公司而言，VMware vShield安全解決方案系列可為其虛擬數據中心和云計算環境提供全面的保護。vShirld可提供網絡入侵防范，將用于端點的防病毒和惡意軟件防護性能提高一個數量級上，提高敏感數據的可見性和控制力，并且促進整個企業內的IT遵從性實現，從而幫助公司加強應用程序和數據的安全。

    3．1．1基本功能

    1)保護關鍵業務應用程序的安全

    vShield解決方案使客戶可以輕松地為同一虛擬數據中心內分屬不同信任級別的應用程序(例如生產和開發、財務和銷售、機密和非機密應用程序等)提供支持。vShield中的虛擬化管理程序級防火墻可以確保對所有部署的應用程序都實施正確的分段和信任區域。

    2)保護虛擬桌面部署的安全

    通過與VMware View集成，vShield可以為虛擬端點和應用程序提供更有效的防病毒和防惡意軟件保護。為實現這一點，它將防病毒和防惡意軟件功能從各個虛擬機卸載到用于保護主機及主機上的所有虛擬機的安全虛擬機上。這種方法既簡化了安全管理的過程，又加強了對防病毒“風暴”、性能瓶頸和僵尸網絡攻擊的防范。

    圖2保護虛擬桌面部署的安全

    vShield還可以通過全面的網絡隔離以及防火墻、虛擬專用網(VPN)和動態主機配置協議(DHCP)等一系列網關服務，幫助組織圍繞虛擬桌面基礎架構創建邏輯安全邊界。

    3)通過敏感數據發現功能降低違規風險

    組織可以使用vShield App with Data Security準確地發現和報告非結構化文件中的敏感數據。借助80多個預定義的國家／地區和行業特定的法規模板，它可以快速識別和報告敏感數據泄漏。此外，它通過將數據發現功能卸載到虛擬設備來提高性能。

    4)保護多租戶環境的安全

    vShield解決方案可通過創建為虛擬數據中心提供完全網絡隔離的邏輯安全區域，使企業和云計算服務提供商可以輕松支持多租戶IT環境，并安全地共享網絡資源。vShield還可以精確地控制和提供詳盡的網關流量信息，此外還可提供VPN服務，用于保護虛擬數據中心之間的通信保密性和完整性。

    圖3保護多租戶環境的安全

    3．2趨勢科技Deep Security

    趨勢科技的Deep Security正是針對VMware開放的API端口，將自身的防毒處理整合到虛擬化平臺中，主要特點是能夠加快查毒效率、并且終端無需安裝代理。

    Deep Security解決方案架構包含三個組件：Deep Security代理，部署在受保護的服務器或虛擬機上。

    Deep Security管理器，提供集中式策略管理、發布安全更新并通過警報和報告進行監控。

    安全中心，是一種托管門戶，專業漏洞研究團隊針對新出現的威脅通過該門戶開發規則更新，然后由Deep Security管理器定期發布這些更新。

    3．2．1工作原理

    Deep Security代理接收來自Deep Security管理器的安全配置，通常是一個安全配置文件。該安全配置包含對服務器強制執行的深度數據包檢查、防火墻、完整性監控及日志審計規則。只需通過執行建議的掃描即可確定對服務器分配哪些規則，此過程將掃描服務器上已安裝的軟件并建議需要采用哪些規則保護服務器。對所有規則監控活動都創建事件，隨后這些事件將發送到Deep Security管理器，或者同時也發送到SIEM系統。Deep Security代理和Deep Seeurity管理器之間的所有通信都受到相互驗證的SSL所保護。

    Deep Security管理器對安全中心發出輪詢，以確定是否存在新的安全更新。存在新的更新時，Deep Security管理器將獲取該更新，然后便可通過手動或自動方式將該更新應用于需要其額外保護的服務器。Deep Security管理器和安全中心之間的通信也受到相互驗證的SSL所保護。DeepSecurity管理器還連接到IT基礎架構的其他元素，以簡化管理。Deep Security管理器可連接到VMware vCenter，也可連接到Microsoft ActiveDirectory等目錄，以獲取服務器配置和分組信息。Deep Security管理器還擁有Web服務API，可用于程式化地訪問功能。

    安全中心對漏洞信息的公共和私有源都進行監控，以保護客戶正在使用的操作系統和應用程序。

    3．2．2主要功能模塊

    1)Deep Security管理器

    Deep Security解決方案提供實用且經過驗證的控制，可解決棘手的安全問題。有關操作且具有可行性的安全不僅讓您的組織獲知安全事件，還可幫助了解安全事件。在許多情況下，這種安全就是提供有關事件發起者、內容、時間和位置的信息，以便組織可以正確理解事件然后執行相應操作，而不僅僅是告訴組織安全控制本身執行了什么操作。Deep Security管理器軟件滿足了安全和操作雙重要求，其功能如下：

    (1)集中式的、基于Web的管理系統：通過一種熟悉的、資源管理器風格的用戶界面創建和管理安全策略，并跟蹤記錄威脅以及為響應威脅而采取的預防措施。

    (2)詳細報告：內容詳盡的報告記錄了未遂的攻擊，并提供有關安全配置和更改的可審計歷史記錄。

    (3)建議掃描：識別服務器和虛擬機上運行的應用程序，并建議對這些系統應用哪些過濾器，從而確保提供事半功倍的正確防護。

    (4)風險排名：可根據資產價值和漏洞信息查看安全事件。

    (5)基于角色的訪問：可使多個管理員(每個管理員具有不同級別的權限)對系統的不同方面進行操作并根據各自的角色接收相應的信息。

    (6)可自定義的儀表板：使管理員能夠瀏覽和追溯至特定信息，并監控威脅及采取的預防措施。可創建和保存多個個性化視圖。

    (7)預定任務：可預定常規任務(如報告、更新、備份和目錄同步)以便自動完成。

    2)Deep Security代理

    Deep Security代理是Deep Security解決方案中的一個基于服務器的軟件組件，實現了IDS／IPS、Web應用程序防護、應用程序控制、防火墻、完整性監控以及日志審計。它可通過監控出入通信流中是否存在協議偏離、發出攻擊信號的內容或違反策略的情況，對服務器或虛擬機實行防御。必要時，Deep Security代理會通過阻止惡意通信流介入威脅并使之無效。

    3)安全中心

    安全中心是Deep Security解決方案中不可或缺的一部分。它包含一支由安全專家組成的動態團隊，這些專家在發現各種新的漏洞和威脅時便提供及時快速的響應，從而幫助客戶對最新威脅做到防患于未然；同時，安全中心還包含一個用于訪問安全更新和信息的客戶門戶。安全中心專家采用一套由復雜的自動化工具所支持的嚴格的六步快速響應流程：

    (1)監控：對超過100個公共、私有和政府數據源進行系統化的持續監控，以識別新的相關威脅和漏洞，并將其關聯起來。安全中心研究人員利用與不同組織的關系，獲取有關漏洞的早期(有時是預發布)信息，從而向客戶提供及時、準確的防護。這些來源包括Microsoft、Oracle及其他供應商顧問、SANS、CERT、Bugtraq、VulnWatch、PacketStorm以及Securiteam。

    (2)確定優先級：然后根據客戶風險評估及服務等級協議確定漏洞的優先級，以做進一步分析。

    (3)分析：對漏洞執行深入分析，確定需要采取的必要防護措施。

    (4)開發和測試：然后開發出可對漏洞實行防護的軟件過濾器以及可推薦過濾器的規則，并進行廣泛的測試，以便最大限度地降低誤測率，并確保客戶能夠快速、順利地部署這些過濾器和規則。

    (5)交付：將新過濾器作為安全更新交付給客戶。當新的安全更新發布時，客戶將通過Deep SeCurity管理器中的警報立即收到通知。然后就可以將這些過濾器自動或手動應用于相應的服務器。

    (6)通信：通過可提供有關新發現安全漏洞的詳細描述的安全顧問，可實現與客戶之問的持續通信。3．3 lBM VSP

    3．3．1 IBM安全防護解決方案架構

    在每臺VMware ESX服務器上部署IBM Virtual Server Protection虛擬化防護系統軟件，在虛擬環境的基礎設施邊界部署IBM GX系列網絡入侵防護設備。

    3．3．2 IBM安全防護系統功能概述表1 IBM安全防護系統功能概述

表1 IBM安全防護系統功能概述

    三者都能有效地解決因為同時開啟病毒掃描而引發的“防病毒風暴”的問題。

    vShield解決方案能夠提供自適應的安全防護機制，安全防護策略可跟隨虛擬機在主機之間移動；通過一個綜合性框架，vShield可以為虛擬數據中心和云計算環境提供全方位保護——主機、網絡、應用程序、數據和端點；vShield可以保護虛擬數據中心的應用程序使其不受網絡攻擊的侵擾，公司可以監視和控制虛擬機之間的網絡通信——策略執行是基于VMware vCmterTM容器和vShield安全組等邏輯結構進行，而不是僅基于P地址等物理結構，因此十分靈活。

    趨勢科技作為專門的安全解決方案廠家，DeepSecurity能提供相對更加專業與深入的安全防護，以單個解決方案提供包括狀態型防火墻、入侵檢測和防御、應用層防火墻功能、文件和系統完整性監控以及日志審計等所有功能；在快速廣泛的部署過程中也表現良好；并且能跨平臺提供完整功能，與IT基礎架構更加緊密地集成。

    而IBM虛擬基礎架構安全性提供了虛擬環境感知，同時形成了一個透明的即插即用威脅保護解決方案，從而解決與虛擬機蔓延和移動性、虛擬網絡可見性缺乏相關的安全性問題。通過整合虛擬平臺，IBM提供了整體的網絡級別的入侵防御和虛擬環境審計，從而減少了客戶操作系統中的網絡流量分析需求。通過這種方法，企業可以控制每個客戶0S的安全性，從而清除了冗余資源消耗，降低了安全管理復雜性。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：企業虛擬化環境中的安全防護

本文網址：http://www.guhuozai8.cn/html/consultation/1083947742.html