構(gòu)建企業(yè)“云”平臺(tái)的安全環(huán)境

張龍

[摘 要]企業(yè)利用VMware虛擬化技術(shù)，實(shí)現(xiàn)了應(yīng)用的高可用性、高可靠性，可為業(yè)務(wù)生產(chǎn)提供優(yōu)質(zhì)的服務(wù)，但虛擬化平臺(tái)的安全問題凸顯，基于此，本文探討如何對(duì)虛擬化平臺(tái)進(jìn)行安全防護(hù)。

[關(guān)鍵詞]虛擬化平臺(tái)；企業(yè)；安全

doi：10.3969/j.issn.1673 - 0194.2017.14.029

[中圖分類號(hào)]TP393.09；TP309 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1673-0194（2017）14-00-02

企業(yè)現(xiàn)已利用虛擬化技術(shù)，包括服務(wù)器虛擬化、桌面虛擬化，實(shí)現(xiàn)了信息系統(tǒng)建設(shè)和日常辦公。然而，在虛擬化技術(shù)大規(guī)模應(yīng)用的同時(shí)，安全與合規(guī)一直是企業(yè)從實(shí)體機(jī)遷移到虛擬化過程中最關(guān)切的問題，也是信息管理部門推廣、應(yīng)用云環(huán)境的一個(gè)急需解決的問題。

1 烏魯木齊石化公司虛擬化安全問題的解決方法

烏魯木齊石化公司（簡(jiǎn)稱“烏石化”）是中國(guó)石油下屬的地區(qū)公司。其利用VMware虛擬化技術(shù)實(shí)現(xiàn)了合理部署與規(guī)劃的數(shù)據(jù)中心，在用虛擬桌面大約有500個(gè)，而服務(wù)器虛擬化的虛機(jī)有200個(gè)左右，目前的安全方式主要受制于物理基礎(chǔ)設(shè)施，需要依賴物理安全設(shè)備，如網(wǎng)絡(luò)防火墻、傳統(tǒng)的防病毒軟件。虛擬平臺(tái)所擁有的動(dòng)態(tài)特性，即每個(gè)虛擬級(jí)的應(yīng)用和服務(wù)都是可移動(dòng)的，為了解決虛擬化的安全問題，其采用VMware vShield系列產(chǎn)品來(lái)改進(jìn)安全模式。

1.1 VMware vShield

烏石化采用了vShield的產(chǎn)品，包括vShield App、vShield Edge和vShield Endpoint。這些組件提供了可感知的虛擬化防護(hù)功能，同時(shí)發(fā)揮了現(xiàn)有虛擬平臺(tái)的云計(jì)算能力，并降低了烏石化安全基礎(chǔ)部署的成本，進(jìn)而加速了烏石化IT合規(guī)的進(jìn)程。

VMware vShield是一套產(chǎn)品的總稱，它提供了一個(gè)安全防護(hù)框架，可以將企業(yè)的安全防護(hù)設(shè)施進(jìn)行整合，極大程度地減少了防護(hù)軟件、安全策略以及安全設(shè)備的安裝和部署。

VMware vShield是一套安全防護(hù)的管理程序。它是一個(gè)感知應(yīng)用的防火墻，并以虛擬機(jī)的方式安裝在每個(gè)ESXi的主機(jī)上，同時(shí)可以根據(jù)策略的不同，創(chuàng)建和實(shí)施一套符合邏輯，且是動(dòng)態(tài)的應(yīng)用程序邊界，即可信區(qū)，而不是一個(gè)純粹的物理邊界。VMware vShield還引入了數(shù)據(jù)安全的功能，這是為了改善整個(gè)云環(huán)境安全性而設(shè)置的。數(shù)據(jù)安全能夠讓企業(yè)發(fā)現(xiàn)虛擬機(jī)內(nèi)部存在的敏感數(shù)據(jù)，并對(duì)這些數(shù)據(jù)進(jìn)行分類，數(shù)據(jù)安全暫時(shí)還未在烏石化應(yīng)用。圖1是烏石化現(xiàn)有虛擬化安全防護(hù)架構(gòu)示意圖。

借助VMware vShield App，整個(gè)虛擬化平臺(tái)可以對(duì)應(yīng)用程序和數(shù)據(jù)進(jìn)行保護(hù)，免受外部網(wǎng)絡(luò)的威脅，這個(gè)功能是通過提高分組能力、創(chuàng)建和管理更復(fù)雜、更細(xì)致的可信區(qū)來(lái)實(shí)現(xiàn)的。此外，VMware vShield App還能實(shí)現(xiàn)二層網(wǎng)絡(luò)防火墻的功能，同時(shí)還支持第三方的入侵防護(hù)系統(tǒng)（IPS）。這個(gè)功能可以監(jiān)控入侵，同時(shí)可自動(dòng)隔離任何有問題的虛擬機(jī)。vShield Endpoint這個(gè)組件可以與病毒防護(hù)和惡意程序防護(hù)相集成。

烏石化虛擬化安全防護(hù)的特點(diǎn)：①利用vShield工具，從底層對(duì)虛擬化平臺(tái)安全進(jìn)行防護(hù)，避免每臺(tái)虛擬機(jī)安裝防護(hù)軟件，占用虛擬資源；②高可用、負(fù)載均衡的設(shè)計(jì)，提高了防護(hù)平臺(tái)的安全性和穩(wěn)定性。

1.2 烏石化虛擬化安全防護(hù)系統(tǒng)的建設(shè)過程

烏石化虛擬化安全防護(hù)平臺(tái)從建設(shè)到投用，總共經(jīng)歷了3個(gè)過程。

（1）截至2014年，烏石化完成了虛擬化平臺(tái)的整體建設(shè)工作，但由于處在虛擬化使用的開始階段，其沒有搭建安全防護(hù)平臺(tái)。

（2）2015年開始，由于虛擬應(yīng)用大面積推廣，出現(xiàn)了按傳統(tǒng)PC機(jī)安裝防護(hù)軟件的方式，導(dǎo)致虛擬資源占用過大，同時(shí)所有虛擬機(jī)掃描病毒時(shí)形成了掃描風(fēng)暴，致使虛擬機(jī)運(yùn)行過慢等。

（3）2016年，烏石化開始搭建VMware vShield底層防護(hù)平臺(tái)并投用。

2 虛擬化安全防護(hù)平臺(tái)搭建過程中遇到的問題和解決方法

在安全防護(hù)系統(tǒng)搭建過程中，烏石化遇難到了一些問題。

2.1 平臺(tái)的選擇

針對(duì)VMware虛擬平臺(tái)，其選擇了VMware自己的vShield平臺(tái)和趨勢(shì)的Trend Micro Deep Security平臺(tái)，通過對(duì)兩種平臺(tái)的搭建和測(cè)試。在選擇時(shí)的考慮：第一，由于vShield除了底層防護(hù)的功能還有虛擬交換機(jī)的功能，這能為烏石化虛擬桌面DHCP所用；第二，具體操作的運(yùn)維人員對(duì)現(xiàn)有虛擬平臺(tái)更加熟悉，更有利于運(yùn)維工作的開展。最后烏石化還是選擇了vShield平臺(tái)。

2.2 用戶理念的轉(zhuǎn)變

安全防護(hù)平臺(tái)雖然解決了企業(yè)對(duì)虛擬平臺(tái)的關(guān)切，但與以往實(shí)體計(jì)算機(jī)在安全防護(hù)的操作習(xí)慣上還是不盡相同。傳統(tǒng)實(shí)體計(jì)算機(jī)在安全防護(hù)上通常是安裝防護(hù)軟件進(jìn)行實(shí)現(xiàn)，而對(duì)于虛擬平臺(tái)所有安全防護(hù)軟件的安裝，在同一時(shí)間掃描病毒時(shí)，會(huì)對(duì)虛擬平臺(tái)形成病毒掃描風(fēng)暴，會(huì)造成虛擬機(jī)運(yùn)行緩慢甚至癱瘓的問題。這就需要卸載傳統(tǒng)意義上的安全防護(hù)軟件，通過虛擬化底層來(lái)實(shí)現(xiàn)安全防護(hù)。為了讓用戶轉(zhuǎn)變理念，烏石化做了以下工作：①通過宣傳，使管理層對(duì)新技術(shù)、新應(yīng)用進(jìn)行認(rèn)識(shí)；②提升虛擬平臺(tái)運(yùn)維人員安全防護(hù)的技術(shù)水平；③加大宣傳力度，提高所有使用人員對(duì)新技術(shù)、新應(yīng)用的認(rèn)識(shí)。

3 結(jié) 語(yǔ)

VMware vShield套件的部署和應(yīng)用，對(duì)烏石化現(xiàn)有的虛擬平臺(tái)700多臺(tái)虛機(jī)提供了底層安全防護(hù)，解決了企業(yè)遷移到云計(jì)算過程中最關(guān)切的問題。

主要參考文獻(xiàn)

[1]百度文庫(kù).VMware vShield App 產(chǎn)品手冊(cè)[EB/OL].（2011-07-28）

[2017-05-01].https：//wenku.baidu.com/view/80cc2a21192e45361066f5ea.html.

[2]IT168文庫(kù).VMware vShield Zones組件及其工作原理[EB/OL].（2012-02-24）[2017-05-01].http：//wenku.it168.com/d_128048.shtml.

[3]趙晟杰，羅海濤，覃琳.云計(jì)算網(wǎng)絡(luò)安全現(xiàn)狀與思考[C]//廣西計(jì)算機(jī)學(xué)會(huì)2014年學(xué)術(shù)年會(huì)論文集，2014.

[4]張松，林樹順.基于云平臺(tái)的安全移動(dòng)應(yīng)用研究與實(shí)踐[C]//軟件定義 面向未來(lái)——2014電力行業(yè)信息化年會(huì)論文集， 2014.

[5]陳紅，任怡，劉曉建.云計(jì)算平臺(tái)下計(jì)費(fèi)機(jī)制研究[C]//CCF NCSC 2011——第二屆中國(guó)計(jì)算機(jī)學(xué)會(huì)服務(wù)計(jì)算學(xué)術(shù)會(huì)議論文集， 2011.

[6]李煥，劉樹吉，趙永彬，郭昊.電力企業(yè)云計(jì)算信息安全風(fēng)險(xiǎn)評(píng)估研究[C]// 2012年電力通信管理暨智能電網(wǎng)通信技術(shù)論壇論文集，2013.

[7]楊永艷，楊寧，馮鵬.大型企業(yè)云計(jì)算管理運(yùn)營(yíng)平臺(tái)服務(wù)模式與技術(shù)架構(gòu)研究[C]// 2013電力行業(yè)信息化年會(huì)論文集， 2013.

[8]王騫，鄒聯(lián).企業(yè)信息系統(tǒng)云計(jì)算平臺(tái)實(shí)施過程經(jīng)驗(yàn)探討[C]// 2013電力行業(yè)信息化年會(huì)論文集，2013.endprint