邱紅飛+黃春光

【摘 要】為了解決云環(huán)境下的安全防護(hù)問題，通過分析傳統(tǒng)防護(hù)方案存在的不足，并對云環(huán)境下資源池的架構(gòu)進(jìn)行研究，提出了無代理病毒防護(hù)設(shè)計(jì)、無代理防火墻的設(shè)計(jì)和無代理入侵檢測/防護(hù)的設(shè)計(jì)等關(guān)鍵技術(shù)解決方案。經(jīng)過實(shí)際性能測試驗(yàn)證，無代理方案的性能表現(xiàn)明顯優(yōu)于傳統(tǒng)防護(hù)方案，可為電信運(yùn)營商在云環(huán)境下的資源池提供有效的安全防護(hù)。

【關(guān)鍵詞】云資源池 VMware 無代理 入侵檢測系統(tǒng) 入侵防護(hù)系統(tǒng)

doi：10.3969/j.issn.1006-1010.2016.20.018 中圖分類號：TP391 文獻(xiàn)標(biāo)志碼：A 文章編號：1006-1010（2016）20-0092-05

1 引言

隨著云計(jì)算及虛擬化技術(shù)快速演進(jìn)，大量的數(shù)據(jù)中心服務(wù)器工作負(fù)荷將實(shí)現(xiàn)虛擬化。通常的部署方式是在單一物理系統(tǒng)中運(yùn)行多個(gè)虛擬機(jī)，從而使資源得到更高效的利用，這樣就可以大幅削減設(shè)備的資本支出、降低與電力和冷卻相關(guān)的能源成本以及節(jié)省物理空間。根據(jù)Gartner統(tǒng)計(jì)報(bào)告，到2016年為止80%的服務(wù)器將采用虛擬化部署。

虛擬環(huán)境下的服務(wù)器和虛擬桌面仍然會(huì)碰到與傳統(tǒng)物理計(jì)算機(jī)相同的安全性問題，如病毒、蠕蟲、木馬程序和惡意軟件的入侵。并且虛擬環(huán)境更加復(fù)雜，安全防護(hù)需要考慮虛擬機(jī)的密度、虛擬機(jī)的啟動(dòng)間隙防護(hù)、虛擬機(jī)之間的攻擊、虛擬機(jī)的管理復(fù)雜性等。由于大量使用了虛擬化技術(shù)，使得過去常規(guī)的安全手段已經(jīng)無法有效解決日益突出的安全問題，所以在虛擬環(huán)境下的服務(wù)器需要考慮如何有效地進(jìn)行安全防范。

2 傳統(tǒng)安全防護(hù)存在的問題

傳統(tǒng)的針對病毒防護(hù)解決方案都是通過安裝代理程序（Agent）到虛擬主機(jī)的操作系統(tǒng)中，在服務(wù)器虛擬化后，要實(shí)現(xiàn)針對病毒的實(shí)時(shí)防護(hù)，同樣需要將防病毒客戶端即代理程序安裝在各個(gè)虛擬機(jī)中，但是服務(wù)器虛擬化的目的是整合資源，最大化地發(fā)揮服務(wù)器資源的利用率，而傳統(tǒng)的防病毒技術(shù)需要在每個(gè)虛擬主機(jī)中安裝程序，如1臺(tái)服務(wù)器虛擬5臺(tái)主機(jī)，傳統(tǒng)方法需要安裝5套，這樣在掃描時(shí)就需要消耗虛擬主機(jī)的計(jì)算資源，并且在病毒庫更新時(shí)帶來更多的網(wǎng)絡(luò)資源消耗。傳統(tǒng)的病毒防護(hù)解決方案如圖1所示：

當(dāng)這些系統(tǒng)被遷移到虛擬環(huán)境時(shí)，眾多虛擬機(jī)同時(shí)更新病毒特征庫或進(jìn)行按需全盤掃描可能使內(nèi)存、存儲(chǔ)和CPU（Central Processing Unit，中央處理器）使用率出現(xiàn)尖峰，導(dǎo)致這些虛擬機(jī)在這段時(shí)間內(nèi)都無法正常提供服務(wù)，這種情況通常稱為殺毒風(fēng)暴。同時(shí)，由于殺毒風(fēng)暴的存在，虛擬機(jī)的密度也不能太高，比如可以承載50臺(tái)虛擬機(jī)的服務(wù)器資源池只能建立30臺(tái)虛擬機(jī)。目前最常見的做法是使按需掃描調(diào)度隨機(jī)化，但這種做法也不理想。

3 VMware平臺(tái)安全架構(gòu)介紹

VMware是一款眾所周知的虛擬化軟件，該軟件通過虛擬化服務(wù)器底層硬件以提供用戶可在服務(wù)器上同時(shí)運(yùn)行不同的操作系統(tǒng)環(huán)境。目前虛擬化軟件以VMware為主，包括虛擬化軟件思杰的Citrix、華為的Fusion、微軟的Hyper-V、開源KVM（Kernel-based Virtual Machine，內(nèi)核級虛擬化技術(shù)）等。

VMware在平臺(tái)的安全中，對外開放各種接口方式來實(shí)現(xiàn)第三方的安全控制。用戶的VMware ESXi主機(jī)需要統(tǒng)一接受一個(gè)vCenter中心管理，并通過vCenter中心對每臺(tái)主機(jī)分別自動(dòng)部署vShield Endpoint和安全虛擬機(jī)，這些安全虛擬機(jī)將在每個(gè)物理主機(jī)上自動(dòng)部署。在添加一臺(tái)物理主機(jī)后，當(dāng)新加VMware ESXi物理主機(jī)接受vCenter管理平臺(tái)管理時(shí)，將自動(dòng)生成部署安全虛擬機(jī)和vShield Endpoint。目前采用VMsafe API（Application Programming Interface，應(yīng)用程序編程接口）和vShield Endpoint的接口，通過在ESXi上部署安全虛擬應(yīng)用層來實(shí)現(xiàn)對虛擬機(jī)的安全防護(hù)；利用vShield Endpoint實(shí)現(xiàn)防病毒及防惡意軟件，利用VMsafe API實(shí)現(xiàn)網(wǎng)絡(luò)IDS（Intrusion Detection System，入侵檢測系統(tǒng)）/IPS（Intrusion Prevention System，入侵防護(hù)系統(tǒng)）。VMware平臺(tái)安全架構(gòu)如圖2所示：

4 云資源池下的防護(hù)安全方案

通過上述分析可以看出，在云資源時(shí)代，目前以VMware為主的虛擬環(huán)境中，安全防護(hù)面臨的是從病毒防護(hù)、訪問控制到入侵檢測/防護(hù)的一系列問題，因此本文設(shè)計(jì)了一套完整的安全防護(hù)策略，如圖3所示：

4.1 無代理病毒防護(hù)設(shè)計(jì)

在虛擬化環(huán)境中，有代理的防病毒軟件存在嚴(yán)重的資源消耗問題，影響服務(wù)器的運(yùn)行。目前可以采用無代理的方式來解決服務(wù)器資源問題，通過VMware的虛擬化層提供的API接口實(shí)現(xiàn)。無代理技術(shù)是指在每臺(tái)VMware ESXi物理服務(wù)器上部署一臺(tái)安全虛擬機(jī)，以一臺(tái)安全虛擬機(jī)方式運(yùn)行而不需要在其它各個(gè)業(yè)務(wù)虛擬機(jī)安裝任何代理程序，通過該虛擬機(jī)來保護(hù)所有在VMware ESXi物理服務(wù)器上的虛擬主機(jī)。同時(shí)，當(dāng)業(yè)務(wù)虛擬機(jī)任意啟用運(yùn)行或者物理服務(wù)器切換到時(shí)，都不出現(xiàn)防護(hù)空檔，這一切是傳統(tǒng)解決方案無法完成的。

VMware虛擬系統(tǒng)通過開放VMsafe API和vShield Endpoint的接口，在虛擬化層VMware ESXi上部署安全虛擬機(jī)，實(shí)現(xiàn)虛擬系統(tǒng)和虛擬主機(jī)之間的安全防護(hù)，這樣避免了在虛擬主機(jī)的操作系統(tǒng)中安裝代理程序，以無代理方式實(shí)現(xiàn)了實(shí)時(shí)的惡意軟件的防護(hù)。防毒引擎掃描時(shí)不需要消耗網(wǎng)絡(luò)和處理器的資源，在最大化利用服務(wù)器資源的同時(shí)提供全面惡意軟件的實(shí)時(shí)防護(hù)。

4.2 無代理防火墻的設(shè)計(jì)

傳統(tǒng)的防火墻技術(shù)通常以硬件形式存在，用于訪問控制和安全區(qū)域間的劃分。計(jì)算資源虛擬化后導(dǎo)致邊界模糊，很多的信息交換在虛擬系統(tǒng)內(nèi)部就實(shí)現(xiàn)了，而傳統(tǒng)防火墻在物理網(wǎng)絡(luò)層提供訪問控制，如何在虛擬系統(tǒng)內(nèi)部實(shí)現(xiàn)訪問控制和病毒傳播抑制是虛擬系統(tǒng)面臨的最基本安全問題。

無代理的防火墻提供全面基于狀態(tài)檢測細(xì)粒度的訪問控制功能，可以實(shí)現(xiàn)針對虛擬交換機(jī)基于網(wǎng)口的訪問控制和虛擬系統(tǒng)之間的區(qū)域邏輯隔離；同時(shí)，支持各種泛洪攻擊的識(shí)別和攔截。通過與底層的緊密集合，以達(dá)到對上層虛擬機(jī)無代理的防護(hù)。

4.3 無代理入侵檢測/防護(hù)的設(shè)計(jì)

傳統(tǒng)環(huán)境下的網(wǎng)絡(luò)安全拓?fù)鋱D在網(wǎng)絡(luò)出口處部署網(wǎng)關(guān)防護(hù)設(shè)備，如防火墻、防毒墻等各類安全設(shè)備，用來隔離網(wǎng)絡(luò)之間的攻擊和病毒擴(kuò)散問題，部署IDS監(jiān)控對服務(wù)器的非法訪問行為，在服務(wù)器上部署防病毒軟件，保護(hù)核心服務(wù)器的安全運(yùn)行。而在虛擬化環(huán)境下，一臺(tái)物理服務(wù)器平臺(tái)上將運(yùn)行數(shù)個(gè)甚至數(shù)十個(gè)業(yè)務(wù)虛擬機(jī)，這些傳統(tǒng)的安全防護(hù)措施將不再有效。因此，針對虛擬化環(huán)境應(yīng)該部署針對虛擬化環(huán)境的無代理解決方案。

在主機(jī)及網(wǎng)絡(luò)層面同時(shí)進(jìn)行入侵檢測和防護(hù)，這在安全基礎(chǔ)設(shè)施建設(shè)是非常必要的，然而在云計(jì)算和虛擬化的環(huán)境中，由于傳統(tǒng)的入侵檢測工具需要在每臺(tái)虛擬機(jī)中安裝代理程序，當(dāng)運(yùn)行在虛擬化的網(wǎng)絡(luò)或系統(tǒng)中時(shí)，會(huì)出現(xiàn)和有代理防病毒軟件類似的問題。此外，在虛擬環(huán)境中，虛擬交換機(jī)不支持建立鏡像端口、禁止將數(shù)據(jù)流拷貝至IDS傳感器。面對虛擬網(wǎng)絡(luò)內(nèi)部流量時(shí)，部署在傳統(tǒng)物理網(wǎng)區(qū)域中的IPS系統(tǒng)無法很好地集成到虛擬環(huán)境中，這樣會(huì)面對多種的技術(shù)問題，導(dǎo)致網(wǎng)絡(luò)入侵檢測很難實(shí)現(xiàn)。因此，與有代理運(yùn)行惡意軟件一樣，基于主機(jī)的IDS系統(tǒng)會(huì)消耗共享的資源，導(dǎo)致運(yùn)行資源風(fēng)暴、密度不夠等問題。

無代理入侵檢測/防護(hù)在VMware的VMsafe接口可以允許虛擬交換機(jī)或端口組以混合模式運(yùn)行時(shí)，虛擬的IDS傳感器可以檢測到同一虛擬段上的網(wǎng)絡(luò)流量。無代理IDS/IPS除了提供傳統(tǒng)IDS/IPS系統(tǒng)功能外，還提供虛擬環(huán)境中基于政策的監(jiān)控和分析工具，確保虛擬網(wǎng)絡(luò)的安全性，如網(wǎng)絡(luò)行為的分析及精確的流量監(jiān)控、分析、訪問控制等。通過無代理方式可以讓其在虛擬系統(tǒng)中占用更少的資源，避免過度消耗宿主機(jī)的硬件能力。

4.4 方案優(yōu)點(diǎn)及問題

方案優(yōu)點(diǎn)具體如下：

（1）簡化部署。采用無代理模式，管理員無需在模板機(jī)部署和更新代理程序，減少虛擬機(jī)的體積和管理工作量。

（2）避免病毒掃描風(fēng)暴。在無代理模式下，運(yùn)行于同一物理服務(wù)器上的多臺(tái)虛擬機(jī)的掃描工作統(tǒng)一進(jìn)行調(diào)度，資源占用得到有效控制，避免了病毒掃描風(fēng)暴的發(fā)生。

（3）減少資源占用。在無代理模式下，不占用主機(jī)的CPU、內(nèi)存和磁盤資源。

（4）隨時(shí)保持最新。采用無代理模式，只要保證安全虛擬機(jī)隨時(shí)在線、及時(shí)更新，每臺(tái)虛擬機(jī)就不用更新病毒庫。

（5）更高的密度、更低的成本。由于無代理模式可以節(jié)省資源占用，消除病毒掃描風(fēng)暴，因此可以提高部署密度和節(jié)省硬件采購成本。

當(dāng)然，無代理安全防護(hù)方案也存在一些問題。目前該方案主要是針對采用VMware虛擬化軟件部署的云環(huán)境，因?yàn)閂Mware提供了相應(yīng)的程序接口。同時(shí)，隨著VMware新版本的推出，相應(yīng)的程序接口也在不斷地調(diào)整，無代理安全防護(hù)方案在各種VMware版本下開發(fā)設(shè)計(jì)也不同。此外，如果云環(huán)境采用其它虛擬化軟件部署，安全接口的標(biāo)準(zhǔn)化程度不如VMware，則設(shè)計(jì)架構(gòu)需要調(diào)整，且實(shí)現(xiàn)難度較大。

5 性能測試對比分析

性能測試主要包括驗(yàn)證與傳統(tǒng)方式下安全防護(hù)在性能和資源占用方面的對比，具體如下：

（1）CPU資源占用測試：說明此次測試CPU的性能消耗對比傳統(tǒng)掃描方式的測試結(jié)果。

（2）內(nèi)存資源占用功能測試：說明此次測試內(nèi)存的性能消耗對比傳統(tǒng)掃描方式的測試結(jié)果。

（3）磁盤I/O占用測試：說明此次測試磁盤I/O的性能消耗對比傳統(tǒng)掃描方式的測試結(jié)果。

（4）網(wǎng)絡(luò)占用測試：說明此次測試網(wǎng)絡(luò)消耗對比傳統(tǒng)掃描方式的測試結(jié)果。

本次測試開啟了10個(gè)Windows 7環(huán)境虛擬機(jī)，測試結(jié)果如表1和表2所示：

本次測試開啟了虛擬化安全所必需的虛擬機(jī)包括vShield、vCenter和廠家自己配置的負(fù)載安全的虛擬機(jī)，以及進(jìn)行性能測試的10個(gè)Windows 7環(huán)境虛擬機(jī)，可以看到，對比CPU使用情況、內(nèi)存消耗、磁盤讀取速度和掃描速度，無代理方案與傳統(tǒng)有代理防病毒方案的性能開銷差距越突出。而在用戶的實(shí)際工作和生產(chǎn)環(huán)境中，單個(gè)主機(jī)上能夠運(yùn)行到50至100個(gè)虛擬機(jī)環(huán)境，這種環(huán)境下無代理方式在資源和防護(hù)方面的優(yōu)勢更加明顯。也就是說，單個(gè)主機(jī)上運(yùn)行的虛擬機(jī)越多，就越能體現(xiàn)無代理方式的優(yōu)勢。而有代理方式進(jìn)行掃描和更新時(shí)，虛擬機(jī)越多，主機(jī)資源負(fù)擔(dān)就會(huì)越重，在這種環(huán)境中會(huì)因?yàn)榘踩a(chǎn)品的運(yùn)行而造成資源的浪費(fèi)。

6 結(jié)束語

本文分析了傳統(tǒng)安全防護(hù)方案存在的問題，包括安全防護(hù)軟件的管理問題及性能問題，研究了云資源下的防護(hù)系統(tǒng)，給出了無代理病毒防護(hù)設(shè)計(jì)、無代理防火墻的設(shè)計(jì)、無代理入侵檢測/防護(hù)的設(shè)計(jì)等關(guān)鍵技術(shù)，并分析了無代理技術(shù)優(yōu)點(diǎn)及問題。在實(shí)際性能測試中，對比傳統(tǒng)防病毒軟件和虛擬化安全無代理解決方案，當(dāng)同時(shí)進(jìn)行安全防護(hù)時(shí)，本文中的無代理方案的性能表現(xiàn)明顯優(yōu)于傳統(tǒng)防護(hù)方案。

參考文獻(xiàn)：

[1] 張明浩. 計(jì)算機(jī)病毒防范技術(shù)探討[J]. 科技信息： 學(xué)術(shù)版， 2007（10）： 32-35.

[2] 王曉剛. 計(jì)算機(jī)病毒防范的對策與方法[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用， 2007（4）： 30-31.

[3] 孫曉南. 防火墻技術(shù)與網(wǎng)絡(luò)安全[J]. 科技信息， 2008（3）： 52-54.

[4] 童曉渝，張?jiān)朴?，房秉毅，? 大數(shù)據(jù)時(shí)代電信運(yùn)營商的機(jī)遇[J]. 信息通信技術(shù)， 2013（1）： 5-9.

[5] 潘泓. 基于虛擬機(jī)的代碼保護(hù)技術(shù)研究[J]. 計(jì)算機(jī)應(yīng)用研究， 2013（12）： 209-212.

[6] 金鈺，朱華. 運(yùn)營商云資源池安全防護(hù)策略的探討[J]. 電腦知識(shí)與技術(shù)， 2015，11（20）： 23-25.

[7] 顧炯，呂鵬，張金漫. 云資源池安全部署方案解析[J]. 電信技術(shù)， 2014（10）： 46-49.

[8] 陳杰. 虛擬化資源池的設(shè)計(jì)與實(shí)現(xiàn)[J]. 電信技術(shù)， 2012 （5）： 53-55.

[9] 鐘肖媛. 商務(wù)領(lǐng)航業(yè)務(wù)云資源池的設(shè)計(jì)與實(shí)現(xiàn)[D]. 蘭州： 蘭州大學(xué)， 2014.

[10] 王景學(xué). 云計(jì)算虛擬機(jī)防護(hù)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D]. 西安： 西安電子科技大學(xué)， 2014.

[11] 李蔚. 虛擬化技術(shù)在圖書館數(shù)據(jù)中心建設(shè)中的實(shí)施策略[J]. 科技情報(bào)開發(fā)與經(jīng)濟(jì)， 2015，25（23）： 38-40.

[12] 程伍端. 淺談虛擬機(jī)與網(wǎng)絡(luò)模擬器的結(jié)合應(yīng)用[J]. 福建電腦， 2011（10）： 81-82.