摘要：隨著教育信息化的飛速發(fā)展，數(shù)據(jù)中心的虛擬化建設(shè)已成為高校信息化的工作重點和核心，本文就虛擬化數(shù)據(jù)中心的安全防范方面進(jìn)行研究和探索。

關(guān)鍵詞：虛擬化；數(shù)據(jù)中心；安全

● 前言

據(jù)一項新的研究報告顯示，隨著高校數(shù)據(jù)中心全面虛擬化的投資力度加大，將面臨著十分急迫的網(wǎng)絡(luò)運行和安全挑戰(zhàn)。

因為在虛擬環(huán)境中，虛擬機(jī)有移動空間來優(yōu)化硬件、網(wǎng)絡(luò)帶寬和可用的處理能力，但在提升處理能力的同時，也使管理環(huán)境更加復(fù)雜。當(dāng)設(shè)定一個具有成本效益且有效的方式來提升數(shù)據(jù)中心的虛擬化構(gòu)想時，安全就是一個大問題，在組織中需要專門配置用于檢查流入和流出數(shù)據(jù)的技術(shù)虛擬機(jī)。而且，物理防火墻通常不能用來處理運行多個虛擬服務(wù)器管理程序的流量，因此虛擬機(jī)管理程序在調(diào)整時所做的保護(hù)措施是必要的。

● 安全隱患原因分析

1.資源較高的利用率

虛擬化技術(shù)的應(yīng)用，提高了服務(wù)器的利用效率和靈活性，但同時也導(dǎo)致服務(wù)器負(fù)載過重，運行性能下降。虛擬化后多個應(yīng)用集中在一臺服務(wù)器上，當(dāng)物理服務(wù)器出現(xiàn)重大硬件故障時，就是相當(dāng)嚴(yán)重的風(fēng)險集中問題。虛擬化的本質(zhì)是應(yīng)用只與虛擬層交互，而與真正的硬件隔離，這將導(dǎo)致安全管理人員看不到設(shè)備背后的安全風(fēng)險，服務(wù)器變得更加不固定和不穩(wěn)定。

2.網(wǎng)絡(luò)架構(gòu)的改變

虛擬化技術(shù)改變了網(wǎng)絡(luò)結(jié)構(gòu)，引發(fā)了新的安全風(fēng)險。在部署虛擬化技術(shù)之前，可在防火墻上建立多個隔離區(qū)，對不同的物理服務(wù)器采用不同的訪問控制規(guī)則，可有效保證將攻擊限制在一個隔離區(qū)內(nèi)，而在部署虛擬化技術(shù)后，一臺虛擬機(jī)失效，則可能通過網(wǎng)絡(luò)將安全問題擴(kuò)散到其他虛擬機(jī)。

3.物理安全監(jiān)管的脫離

一臺物理機(jī)上可以創(chuàng)建多個虛擬機(jī)，且可以隨時創(chuàng)建，也可被下載到桌面系統(tǒng)，常駐內(nèi)存，可以脫離物理安全監(jiān)管的范疇。很多安全標(biāo)準(zhǔn)是依賴于物理環(huán)境發(fā)揮作用的，外部的防火墻和異常行為監(jiān)測等都需要物理服務(wù)器的網(wǎng)絡(luò)流量，有時虛擬化會繞過安全措施。存在異構(gòu)存儲平臺的無法統(tǒng)一安全監(jiān)控和無法將有效資源隔離的風(fēng)險。

4.虛擬環(huán)境

黑客通過控制管理層，可以控制物理服務(wù)器上的所有虛擬機(jī)，而管理程序上運行的任何操作系統(tǒng)都很難偵測到流氓軟件等的威脅。

虛擬機(jī)溢出的漏洞能夠?qū)е潞诳屯{到特定的虛擬機(jī)，將黑客攻擊從虛擬服務(wù)器升級到控制底層的管理程序。

物理服務(wù)器上安裝多個虛擬機(jī)后，每個虛擬服務(wù)器都需要定期進(jìn)行補(bǔ)丁更新、維護(hù)，大量的打補(bǔ)丁工作會導(dǎo)致不能及時補(bǔ)漏而產(chǎn)生安全威脅。

● 安全防范體系的建立

為了及時消除虛擬化數(shù)據(jù)中心的安全隱患，為核心數(shù)據(jù)提供可靠、便捷的使用環(huán)境，建立嚴(yán)格的預(yù)防體系勢在必行。

1.建立嚴(yán)密的內(nèi)、外網(wǎng)管理體制

能夠嚴(yán)格地按區(qū)域劃分，不同的租戶，不同的應(yīng)用劃分至不同的安全域，使用安全產(chǎn)品進(jìn)行隔離與保護(hù)；部署端到端的安全防御手段，如運行在VM上的安全設(shè)備，可以將防御能力部署到每一臺物理服務(wù)器上；對網(wǎng)絡(luò)訪問行為進(jìn)行嚴(yán)格管理，通過技術(shù)和管理手段規(guī)范BYOD行為，對僵尸網(wǎng)絡(luò)、網(wǎng)絡(luò)濫用等進(jìn)行有效防御；使用多功能安全網(wǎng)關(guān)來替代傳統(tǒng)防火墻。在保護(hù)業(yè)務(wù)流量時，出于性能考慮，可能只會用到防火墻、IPS等功能，但在保護(hù)管理流量時，可啟用二至七層的多種安全功能。業(yè)務(wù)流和管理流劃分至不同的虛擬設(shè)備中，保證各自的獨立性。

2.建立全方位防御零日攻擊體系

針對系統(tǒng)缺陷的應(yīng)用攻擊已成為數(shù)據(jù)中心面臨的主要威脅。而漏洞發(fā)現(xiàn)到被攻擊的時間跨度越來越短，使數(shù)據(jù)中心不能依賴單一功能的安全設(shè)備，尤其是僅僅基于特征防御的安全產(chǎn)品。必須集多種安全特性，并結(jié)合應(yīng)用層防御技術(shù)（如web應(yīng)用防護(hù)、數(shù)據(jù)安全等），各項安全技術(shù)有機(jī)結(jié)合，互相保護(hù)，時刻監(jiān)控并防御APT攻擊的各種入侵手段，才能打造一個全方位立體安全體系。

傳統(tǒng)的基于簽名的檢測方法對于零日攻擊的防護(hù)并沒有起到很好的效果，可以通過虛擬現(xiàn)實的環(huán)境來檢查未知惡意軟件，對于未知威脅或者零日攻擊的防護(hù)，借用大數(shù)據(jù)分析的方式，對行為進(jìn)行主動識別，將是下一個發(fā)展方向。當(dāng)然，如果要將全部的判斷都基于行為是否異常來進(jìn)行，在建模和大數(shù)據(jù)的分析上都是難點。

3.構(gòu)建DDoS分層防御網(wǎng)體系

防火墻與入侵檢測IPS通常串行部署在網(wǎng)絡(luò)下游的網(wǎng)關(guān)位置，是基于狀態(tài)檢測的訪問控制系統(tǒng)，目前市場上很多廠商的防火墻中都含有Anti-DDoS功能，對于DDoS的防護(hù)，必須要使用專用的Anti-DDoS設(shè)備或?qū)ｉT的板卡。DDoS防護(hù)的最佳實踐應(yīng)該是流量清洗中心與運營商BGP路由調(diào)度控制。

從業(yè)界統(tǒng)計分析的數(shù)據(jù)來看，數(shù)據(jù)中心發(fā)生的攻擊90%以上不足以造成數(shù)據(jù)中心出口帶寬擁塞，基本是以業(yè)務(wù)癱瘓型攻擊為主，只有不到10%的攻擊是將數(shù)據(jù)中心的鏈路完全擁塞的。因此，如果是應(yīng)用型的DDoS攻擊，由于流量在本地帶寬控制以內(nèi)，所以本地清洗即可，一旦遇到針對基礎(chǔ)設(shè)施的大流量擁塞型泛洪攻擊，在鏈路上游的清洗還是必要手段?？梢詫嵭蟹謱臃烙瑢?shù)據(jù)中心側(cè)和運營商側(cè)進(jìn)行聯(lián)動，即運營商側(cè)管道擁塞型攻擊，數(shù)據(jù)中心側(cè)防范業(yè)務(wù)癱瘓型DDoS攻擊。云清洗是DDoS防護(hù)的大趨勢，DDoS攻擊者手法多，變化快，時常需要定制正則語法來清洗，大規(guī)模攻擊的清洗位置越靠近上游越好。云清洗服務(wù)商需要具備自治域AS號進(jìn)行BGP路由調(diào)度控制與DNS全網(wǎng)策略控制能力，才能帶來良好的網(wǎng)絡(luò)服務(wù)品質(zhì)。

● 結(jié)束語

在大數(shù)據(jù)發(fā)展的驅(qū)動下，未來虛擬化數(shù)據(jù)中心面臨著更大的安全問題，未來防火墻將朝著兩個方面快速發(fā)展。一是虛擬化數(shù)據(jù)中心中，用戶訪問數(shù)據(jù)中心，以及數(shù)據(jù)中心直接的訪問流量都會使南北向流量繼續(xù)增長，導(dǎo)致數(shù)據(jù)中心出口帶寬流量由目前的超過200Gbps，到2015年將接近1Tbps的水平。二是數(shù)據(jù)中心中的應(yīng)用類型變得越來越多樣化。數(shù)據(jù)中心流量傳輸不僅會在用戶與設(shè)備間，也可能存在于用戶與用戶間，以及設(shè)備與設(shè)備之間，接入數(shù)據(jù)中心的設(shè)備類型也變得更加多樣化。同時，伴隨虛擬化的發(fā)展，業(yè)務(wù)模型進(jìn)一步復(fù)雜化了。作為放置在數(shù)據(jù)中心出口的防火墻，需要適應(yīng)在更加復(fù)雜的應(yīng)用流量模型下提供更高的處理性能，以適應(yīng)大數(shù)據(jù)的發(fā)展。

在未來的虛擬化數(shù)據(jù)中心安全防范中，必須建立起合理的邏輯監(jiān)管程序，全面化數(shù)據(jù)處理模型，標(biāo)準(zhǔn)化信息配置，同時加強(qiáng)數(shù)據(jù)的監(jiān)管，人員監(jiān)管與外部智能辨識，做好各個環(huán)節(jié)的相互支撐與防御。建立一條貫穿整個安全體系的數(shù)據(jù)通道，要從全面的數(shù)據(jù)安全系統(tǒng)入手，解決現(xiàn)有痼疾，打造出全新一代安全防御體系。

參考文獻(xiàn)：

[1]劉佳，杜雪濤，等.互聯(lián)網(wǎng)數(shù)據(jù)中心安全解決方案[J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2010（2）.

[2]張志國.服務(wù)器虛擬化安全風(fēng)險及其對策研究[J].晉中學(xué)院學(xué)報，2010（3）： 83-85.

[3]譚繼安.數(shù)字化校園數(shù)據(jù)中心安全問題研究[J].計算機(jī)安全，2011（05） .

[4]賴英旭，胡少龍，楊震.基于虛擬機(jī)的安全技術(shù)研究[J].中國科學(xué)技術(shù)大學(xué)學(xué)報，2011（10）.

[5]周曉艷.淺談數(shù)據(jù)中心的安全部署[J].科技創(chuàng)新導(dǎo)報，2012（12）.

[6]沈平，袁瑛.一種基于虛擬化技術(shù)構(gòu)建的數(shù)字化校園方案[J].科技資訊，2012（02）.