虛擬化數(shù)據(jù)中心安全設計研究

鄧湘勤，倪 瑞

（1.國能大渡河大數(shù)據(jù)服務有限公司，四川 成都 610041；2.國能大渡河流域水電開發(fā)有限公司大數(shù)據(jù)公司，四川 成都 610041）

20世紀60年代，IBM公司首次提出了虛擬化技術概念，并對其進行了小范圍應用。進入到70年代后，美國發(fā)明了互聯(lián)網(wǎng)技術，并在隨后的20年間，對其進行了全球化的推廣應用，推動了虛擬化技術在互聯(lián)網(wǎng)中的運用。自從2012年全球開啟以工業(yè)4.0為目標的新一輪工業(yè)化改革以來，促進了大數(shù)據(jù)技術、云計算技術的應用，由此，在較大范圍內實現(xiàn)了虛擬化數(shù)據(jù)中心建設。由于虛擬化數(shù)據(jù)中心應用時存在諸多安全風險，所以在應用時需要配套地做好安全設計，防范各種風險[1]。

1 虛擬化數(shù)據(jù)中心概述

虛擬化數(shù)據(jù)中心（VDC）也稱虛擬數(shù)據(jù)中心，主要是指在數(shù)據(jù)中心中通過應用云計算概念構建的數(shù)據(jù)中心形態(tài)兼具科學技術與管理技術特征，能夠在數(shù)據(jù)中心部署方面實現(xiàn)自動化，在資源分配與調度上保障動態(tài)性[2]。

目前，對于虛擬化數(shù)據(jù)中心的建設包括對服務器的虛擬化、對網(wǎng)絡的虛擬化，適用于桌面、統(tǒng)一通信等。虛擬化數(shù)據(jù)中心基本架構一般由存儲設備、存儲虛擬平臺、服務器構成（見圖1）。實踐經(jīng)驗表明，該技術應用后能利用系統(tǒng)控制方法完成對邏輯資源的統(tǒng)一整合，從而使服務器、存儲器、網(wǎng)絡在不占用計算機內存的情況下，借助統(tǒng)一存儲、策略管理提高數(shù)據(jù)中心的使用效率，擴展其應用范圍。整體上看，該技術的應用仍處于初級階段，但是在微觀實踐層面，已經(jīng)應用到了各行業(yè)諸領域[3]。

圖1 虛擬化數(shù)據(jù)中心（VDC）示意

2 虛擬化數(shù)據(jù)中心安全風險

2.1 網(wǎng)絡架構風險

在常用的數(shù)據(jù)中心中主要通過建立隔離區(qū)的辦法來降低風險，常用的方法是于防火墻中建立數(shù)量不等的隔離區(qū)，然后借助訪問控制規(guī)則限制各類物理服務器訪問，從而在隔離區(qū)內實現(xiàn)對攻擊的有效限制。但是在應用虛擬化技術對數(shù)據(jù)中心進行處理后形成的虛擬化數(shù)據(jù)中心對原來的網(wǎng)絡結構進行了改變，此時部署的虛擬機始終處于關聯(lián)狀態(tài)，一旦其中的某個虛擬機發(fā)生安全風險，均會通過網(wǎng)絡路徑，將這種風險擴散到相關聯(lián)的虛擬機中，進而造成更大的風險。

2.2 資源利用風險

虛擬數(shù)據(jù)中心的主要優(yōu)勢集中在對資源的統(tǒng)一融合、高效利用方面，然而在提升服務器利用率與靈活性后，服務器需要承擔更大的負載，進而降低運行性能。目前實踐中常用的方案是將虛擬化的各類應用統(tǒng)一到一臺服務器，此時并不能排除物理服務器中的故障，主要為硬件故障，因此，當服務器風險集中后會加重其發(fā)生故障的概率與嚴重程度。另外在虛擬化處理條件下，虛擬層之間的應用與交互，硬件與虛擬機之間存在隔離，管理人員只能對物理服務器中的風險進行監(jiān)測、預防，并不能對物理服務器背后的風險做出有效評估，所以在這種情況下服務器的穩(wěn)定性會隨之下降。

2.3 安全監(jiān)管風險

虛擬機的創(chuàng)建具有實時性、靈活性、可下載性等多種特征，當某臺物理機上創(chuàng)建了多個虛擬機并且下載到了桌面系統(tǒng)之后，可以形成一個脫離了物理安全監(jiān)管范圍的“常駐內存”?？墒窃趯嶋H的安全監(jiān)管中主要圍繞物理環(huán)境展開，一旦虛擬機脫離這種物理環(huán)境，就能夠繞開物理服務器中設置的防火墻與監(jiān)測異常行為的系統(tǒng)，并且在存儲平臺方面的異構特征，造成了資源隔離困難、安全監(jiān)管不能統(tǒng)一的情況。此時安全監(jiān)管中的面臨的風險相對較大。

2.4 虛擬環(huán)境風險

以黑客攻擊為例，黑客只需對管理層進行控制，即可實現(xiàn)對所有虛擬機的控制，而且在較難偵測的情況下，黑客可以將各種不同用途的“流氓軟件”“木馬病毒”安裝到虛擬化數(shù)據(jù)中心，從而實現(xiàn)對數(shù)據(jù)的竊取、破壞、篡改、控制等。以虛擬機的溢出為例，在溢出的同時產(chǎn)生了各種漏洞，黑客容易抓住這種漏洞，針對相應的虛擬機開啟攻擊，并逐層實現(xiàn)對底層管理程序的完全控制。以虛擬機跳躍為例，會導致攻擊跳轉，為黑客攻擊提供便利路徑。以補丁安全風險為例，虛擬機運行中要求定期安裝補丁，并對其開展更新、維護、修補。當補丁維護不及時，會出現(xiàn)不同種類、不同程度的安全漏洞，此時受到攻擊后，攻擊者可以利用虛擬機對主機執(zhí)行“惡意代碼”等。

3 虛擬化數(shù)據(jù)中心安全設計

3.1 安全設計需求

虛擬化數(shù)據(jù)中心中受到主機動態(tài)遷移與業(yè)務混存的影響，需要同時解決這兩個問題，從常用的處理方案看，在前一個方面主要是在安全模型中完成主機動態(tài)遷移到其他物理服務器；在后一個方面則需要采用安全隔離完成相關處理[4]。

從安全設計需求的方面看，主要包括了三類需求：一是對用戶、業(yè)務、應用進行通道隔離；二是實施對集群中成員動態(tài)加入、離開、遷移方面的接入控制；三是以虛擬機的遷移為主，保障動態(tài)網(wǎng)絡安全策略的有效實施。所以在虛擬數(shù)據(jù)中心可以創(chuàng)建滿足其安全需求的三維安全模型，具體如下：一是在縱向訪問中可以借助L1級別的Web-AP-DB等，對不同區(qū)進行訪問的同一應用設置通道隔離；二是在橫向訪問中，利用高級別的L2完成對不同應用在同一級別中的訪問控制。由于不同級別之間通常禁止訪問，因此可以通過安全策略動態(tài)遷移方案，保障其訪問安全性。三是需要做好接入控制，保障網(wǎng)絡安全策略的支撐性能。見圖2。

圖2 虛擬數(shù)據(jù)中心安全模型

3.2 安全設計實踐

3.2.1 網(wǎng)絡架構設計

在虛擬化數(shù)據(jù)中心網(wǎng)絡架構安全設計方面，可以將多臺網(wǎng)絡設備進行虛擬化處理，具體可以借助IRF（Intelligent Resilient Framework）技術將其虛擬化為一臺設備，進而對其實施一體化的使用與管理。這種基于IRF技術的無環(huán)設計方案可以在較大程度上提高其可用性[5]。從應用設計原則看，主要是通過匯聚交換機堆疊辦法，在不同的交換機上接入服務器雙網(wǎng)卡，然后，利用端口捆綁技術完成對二層交換機的捆綁連接，使物理端口負載趨于均衡水平，并保障冗余備份功能的實現(xiàn)。除此之外，還需要借助模塊化、層次化設置，使應用核心區(qū)、數(shù)據(jù)中心核心區(qū)實現(xiàn)全面關聯(lián)，形成邊緣區(qū)域到核心區(qū)域的關聯(lián)應用。分層的模塊化設計見圖3。

圖3 虛擬化數(shù)據(jù)中心分層模塊化設計示意

3.2.2 安全部署設計

首先，劃分出接入層、匯聚層，然后通過低級別的L1（作為接入層，包括Web區(qū)、AP區(qū)、DB區(qū)）、中級別的L3、高級別的L2對匯聚層進行級別區(qū)分，按照低級別應用服務器、中級別應用服務器、高級別應用服務器進行設置。例如，在低級別應用服務器中，在匯聚交換機上設置網(wǎng)關，這樣可以通過交換機中的ACL進行有效控制。在中級別應用服務器上，則可以在基本的網(wǎng)關設置基礎上，在縱向訪問上設置防火墻體，并通過交換機上的ACL控制橫向訪問。在高級別應用服務器方面，對網(wǎng)關、橫向訪問、縱向訪問，均可以通過設置防火墻完成安全部署設計。這樣將匯聚層、接入層關聯(lián)后，就可以實現(xiàn)對不同級別業(yè)務中的風險進行有效管控（見圖4）。其次，可以通過服務器網(wǎng)關設置在防火墻與匯聚交換機上的兩種不同工作模式，一方面保障同一業(yè)務、不同業(yè)務互訪時的訪問控制與邊界安全控制，另一方面達到對分區(qū)互訪時的有效隔離與訪問控制。

圖4 網(wǎng)關安全控制模型示意（不同涉密等級）

3.2.3 動態(tài)遷移策略

虛擬化數(shù)據(jù)中心的安全策略實施思路是，以不同類型的應用系統(tǒng)為對象，設計針對不同級別的安全策略。所以當對虛擬環(huán)境中服務器與應用系統(tǒng)進行匹配、遷移時，需要改變、調整匹配的安全策略。在具體操作中，一般采用虛擬機軟件保障虛擬機軟件實現(xiàn)服務器上虛擬機制創(chuàng)建與快速遷移。需要注意的是，在實時遷移的動態(tài)安全策略中，虛擬機、服務器、網(wǎng)絡配置、虛擬機業(yè)務均需要進行連續(xù)遷移。由于該技術屬于虛擬化數(shù)據(jù)中心建設中的常用技術，因而比較容易實現(xiàn)。從實踐經(jīng)驗看，通常是選擇VPORT概念，將1個或多個VPORT綁扎在虛擬機上，此時虛擬機發(fā)生遷移，鄰接的物理交換機上也能夠同步地將相關網(wǎng)絡配置綁定在VPORT上，從而在滿足各種遷移對象連續(xù)性遷移的同時不影響其他虛擬機綁定的VPORT。

3.2.4 存儲安全保護

在虛擬化數(shù)據(jù)中心的存儲應用中，存在多個虛擬對象（如NAS、FC SAN、IP SAN等），此時為了保障虛擬化管理軟件對此類對象的統(tǒng)一管理、全面管理，在用戶管理界面需要對底層對象的差異性進行屏蔽，并借助上層應用封裝的辦法達到管理界面的統(tǒng)一。常用存儲安全保護方法主要借助主機授權—用戶認證—用戶授權，對存儲資源進行有效的隔離，并保障訪問時安全控制。在虛擬存儲應用方面，則可以進一步利用虛擬機技術中的行為監(jiān)控技術，對上層操作系統(tǒng)硬件的現(xiàn)實場景訪問行為進行獲取、監(jiān)測，從而規(guī)避“惡意代碼”的執(zhí)行造成的操作系統(tǒng)受攻擊問題。除此之外，通過部署基于存儲的獨立性入侵檢測系統(tǒng)，也能夠對相關設備中的讀寫操作進行特征抓取、行為分析，進而結合掃描檢測對其中的文件屬性、文件模式、文件結構等開展設定后的自動化檢測，及時發(fā)現(xiàn)異常情況并進行有效處理。

4 結束語

總之，虛擬化數(shù)據(jù)中心內涵豐富、比較優(yōu)勢明顯，適用于各行業(yè)諸領域的數(shù)據(jù)中心轉型升級與業(yè)務管理，因此，在我國經(jīng)濟高質量發(fā)展階段，需要進一步加強對虛擬化數(shù)據(jù)中心的研討。通過以上初步分析可以看出，在虛擬化數(shù)據(jù)中心建設與應用中，存在來自網(wǎng)絡結構變化、高資源利用率、虛擬軟件監(jiān)管，以及虛擬環(huán)境方面的各種安全風險。所以在應用該技術時，一方面要提升建設方面的水平，另一方面則應該結合數(shù)據(jù)中心虛擬化處理后存在的安全問題及風險，通過配套的安全設計，保障虛擬化數(shù)據(jù)中心建設與使用的安全性?！?/p>