摘 要：本文通過文獻研究法和經(jīng)驗總結(jié)法對虛擬云桌面機房基礎設施安全問題進行歸納分析，主要從物理安全機制、網(wǎng)絡安全機制、主機安全機制、虛擬機安全機制等四個方面對云計算機房基礎設施安全保護機制進行論述，并加以實踐、總結(jié)。提出可從配置基礎設施安全保障機制與利用先進的防火墻技術(shù)和設備兩個方面來提升虛擬云桌面機房系統(tǒng)的安全性能。

關(guān)鍵詞：虛擬云桌面；安全保障機制；虛擬機安全；主機安全；網(wǎng)絡安全

中圖分類號：TP309.1 文獻標識碼：A

目前，國內(nèi)只有少數(shù)幾所高校和幾家企業(yè)建設有云計算機房，并且大多用于搞研發(fā)，少數(shù)用于教學。我院于2014年年底建設了5個基于虛擬云桌面技術(shù)的實訓室，共200臺機器，并于2015年投入使用。就云計算安全技術(shù)而言，國內(nèi)外各類云計算安全產(chǎn)品與方案不斷涌現(xiàn)，如SUN、EMC、Intel、VMware等公司都有云計算安全產(chǎn)品，這類產(chǎn)品與技術(shù)已比較成熟。云計算安全問題包括云計算基礎設施安全、云計算環(huán)境下的數(shù)據(jù)安全、IaaS、PaaS、SaaS服務安全、云計算安全運營治理、云計算業(yè)務連續(xù)性保障云計算的合規(guī)性等。

就虛擬云計算機房而言，其安全性主要是指云計算基礎設施安全，這就需要配置好云計算基礎設施系統(tǒng)安全保護機制，進而提升系統(tǒng)的安全性能。那么如何配置云計算基礎設施系統(tǒng)安全保護機制呢？作者認為可從兩個方面來提升虛擬云桌面機房系統(tǒng)的安全性能：1）利用基于集成VMsafe的VM vSphere技術(shù)，配置基礎設施安全保障機制，包括主機安全、網(wǎng)絡安全、虛擬機安全、存儲安全等，保障系統(tǒng)內(nèi)部安全。2）利用先進的防火墻技術(shù)和設備，抵擋外部攻擊，提高防御能力，提升虛擬云桌面系統(tǒng)的安全性能。本文寫作是就VM vSphere 5.1版本而言。

1 云計算機房基礎設施安全保護機制的配置

云計算機房基礎設施是實現(xiàn)其他一切云計算技術(shù)、服務、管理等項目的基礎和必備條件，沒有基礎設施的安全，其他的一切則是空中樓閣。云計算機房基礎設施安全保護機制分為物理安全機制、網(wǎng)絡安全機制、主機安全機制、虛擬機安全機制等安全保護機制，下面將一一介紹。

1.1 物理安全保護機制

所謂物理安全就是在物理環(huán)境上要實施防盜、防損、防非法入侵等安全防護措施。這就對云計算機房設備控制中心的位置選擇提出了要求，應選擇防火、防水、防盜的區(qū)域，需安裝防火、防盜設施。需要制定相應的安全管理制度與安全策略并嚴格執(zhí)行，云計算機房設備控制中心安全性要符合SAS 70合格性認證要求。

1.2 網(wǎng)絡安全保護機制

在云計算壞境下，網(wǎng)絡包括三個層面，即數(shù)據(jù)中心網(wǎng)絡、跨數(shù)據(jù)中心的互聯(lián)網(wǎng)絡、云用戶接入網(wǎng)絡。本文中指的網(wǎng)絡是數(shù)據(jù)中心網(wǎng)絡。云計算機房設備控制中心網(wǎng)絡安全包括兩個方面：一是傳統(tǒng)的網(wǎng)絡安全，二是網(wǎng)絡虛擬化的網(wǎng)絡安全。

1.2.1傳統(tǒng)的網(wǎng)絡安全保護機制

針對傳統(tǒng)的網(wǎng)絡安全問題，目前市場上主流網(wǎng)絡安全產(chǎn)品大致分為三類：

1）基于包過濾策略的基礎防火墻類；

2）入侵檢測和防御類；

3）針對特殊協(xié)議的主動安全類，如Web應用防火墻WAF、數(shù)據(jù)庫應用防火墻DAF。我校采用的防火墻是綠盟下一代防火墻NSFOCUS NF，NSFOCUS NF具有上述三類傳統(tǒng)防火墻的主要功能和特性，包括路由、交換、訪問控制、流量管理、SNAT/DNAT、ISP負載均衡、DDoS防護、VPN、HA、日志報表等，使用戶原有成熟的安全解決方案可以無更改，平滑的過渡到NSFOCUS NF下一代防火墻安全解決方案上來。將NSFOCUS NF防火墻部署在云計算機房與校園網(wǎng)之間，具體如圖1所示。

1.2.2網(wǎng)絡虛擬化的網(wǎng)絡安全保護機制

無論是橫向整合還是縱向分割的網(wǎng)絡虛擬化技術(shù)，它提升了網(wǎng)絡服務的安全性、可靠性、及可用性，同時也給基于此技術(shù)部署的云計算環(huán)境網(wǎng)絡帶來新的挑戰(zhàn)，需要正確配置、管理虛擬交換機和虛擬防火墻。

對于采用VMware虛擬化技術(shù)進行網(wǎng)絡虛擬化，采用基于集成VMsafe的VM vSphere技術(shù)管理的虛擬化網(wǎng)絡環(huán)境中，可在下列三種情況下部署和配置虛擬防火墻：

1）物理機和物理機之間（如vCenter Server系統(tǒng)和 ESXi 主機之間）；

2）虛擬機與虛擬機之間（如作為外部 Web 服務器的虛擬機與連接公司內(nèi)部網(wǎng)絡的虛擬機之間）；

3）物理機與虛擬機之間（如在物理網(wǎng)絡適配器卡和虛擬機之間）。

虛擬防火墻在 ESXi 配置中的使用方式取決于系統(tǒng)管理員打算如何使用網(wǎng)絡以及如何為給定的組件提供所需的安全。例如，如果虛擬網(wǎng)絡中的每個虛擬機專用于運行同一部門的不同基準測試套件，那么從一個虛擬機對另一個虛擬機進行不利訪問的風險極小。因此，虛擬防火墻存在于虛擬機之間的配置不是必需的。但是，為了防止干擾外部主機的測試運行，可對所用配置進行設置，以便在虛擬網(wǎng)絡的入口點設有防火墻來保護整組虛擬機。我校根據(jù)實際情況需要，采用第3）種方式配置虛擬防火墻，保護虛擬主機的安全。

虛擬網(wǎng)絡通過虛擬交換機來連接，它跟物理網(wǎng)絡一樣，也需要安全保護?？梢酝ㄟ^劃分VLAN的方式將整個虛擬網(wǎng)絡分成若干網(wǎng)段，設置各網(wǎng)段之間的通信方式，盡量減少各網(wǎng)段間的干擾，以保網(wǎng)絡安全。我校根據(jù)實際情況，將這200個虛擬機劃分成5個網(wǎng)段，分配給5個機房，各機房相互獨立。

1.3 主機安全保護機制

在云計算中心機房，主機是指那些用來實現(xiàn)云平臺部署的服務器，從硬件方面講，要采用基于可信計算技術(shù)設計、生產(chǎn)的企業(yè)級服務器。從軟件和管理上講，我們可以通過如下方法來提高主機安全性：

1）使用VM vSphere中“管理ESXi日志文件”，啟用持久日志記錄功能，并配置有效的syslong服務器來提高主機安全性；

2）配置pam_paswdqc.so文件，更改密碼復雜度和強度參數(shù)；

3）禁止匿名用戶的shell訪問；

4）限制鎖定模式下 DCUI 訪問權(quán)限；

5）禁用 Managed Object Browser （MOB）；

6）禁用授權(quán) （SSH） 密鑰等。

當然上述只是列出了部分方法，應根據(jù)實際情況選擇使用。

1.4 虛擬機安全保護機制

虛擬機中運行的客戶機操作系統(tǒng)與物理系統(tǒng)一樣，會遭遇相同的安全風險，需要跟保護物理機一樣來保障虛擬機的安全。在虛擬機系統(tǒng)中，常用的安全措施有：

1）啟用防病毒軟件；

2）禁用虛擬機中不必要的功能；

3）限制未授權(quán)用戶在虛擬機內(nèi)運行命令；

4）限制信息性消息從虛擬機流向 VMX 文件；

5）防止虛擬磁盤壓縮；

6）防止用戶監(jiān)視遠程控制臺會話；

7）配置客戶機操作系統(tǒng)的日志記錄級別；

8）限制公開復制到剪貼板中的敏感數(shù)據(jù)；

9）禁用未公開的功能；

10）限制客戶機操作系統(tǒng)寫入主機內(nèi)存；

11）移除不必要的硬件設備；

12）阻止虛擬機用戶或進程與設備斷開連接等。

2 總結(jié)

本文從物理安全機制、網(wǎng)絡安全機制、主機安全機制、虛擬機安全機制等四個方面對云計算機房基礎設施安全保護機制進行論述，并加以實踐、總結(jié)，作者認為可從配置基礎設施安全保障機制與利用先進的防火墻技術(shù)和設備兩個方面來提升虛擬云桌面機房系統(tǒng)的安全性能，給大家提供一點借鑒。云計算機房安全保護方面的問題還有很多，比如中間件安全問題、數(shù)據(jù)安全問題、存儲安全問題等，都需要去研究和討論。

參考文獻：

[1] Vmware軟件公司vSphere 5.1安全性指南.2015，6，18.

[2] 陳赤榕.云計算服務運營管理與技術(shù)架構(gòu).清華大學出版社，2014，8.

[3] 綠盟下一代防火墻產(chǎn)品白皮書.綠盟科技，2016，6，25.

[4] 云計算對軟件開發(fā)與測試的影響.中國云計算，2014，02，27.

[5] 十種方法保持云中數(shù)據(jù)安全.TechTarget云計算，2013，08，23.

作者簡介：

馬新年（1974-），男，江蘇泰興人，江蘇工程職業(yè)技術(shù)學院商學院講師，網(wǎng)絡工程師，主要從事實驗室建設和管理工作。