云環(huán)境下資源池的防護系統(tǒng)設(shè)計與實現(xiàn)

邱紅飛+黃春光

【摘 要】為了解決云環(huán)境下的安全防護問題，通過分析傳統(tǒng)防護方案存在的不足，并對云環(huán)境下資源池的架構(gòu)進行研究，提出了無代理病毒防護設(shè)計、無代理防火墻的設(shè)計和無代理入侵檢測/防護的設(shè)計等關(guān)鍵技術(shù)解決方案。經(jīng)過實際性能測試驗證，無代理方案的性能表現(xiàn)明顯優(yōu)于傳統(tǒng)防護方案，可為電信運營商在云環(huán)境下的資源池提供有效的安全防護。

【關(guān)鍵詞】云資源池 VMware 無代理 入侵檢測系統(tǒng) 入侵防護系統(tǒng)

doi：10.3969/j.issn.1006-1010.2016.20.018 中圖分類號：TP391 文獻標志碼：A 文章編號：1006-1010（2016）20-0092-05

1 引言

隨著云計算及虛擬化技術(shù)快速演進，大量的數(shù)據(jù)中心服務器工作負荷將實現(xiàn)虛擬化。通常的部署方式是在單一物理系統(tǒng)中運行多個虛擬機，從而使資源得到更高效的利用，這樣就可以大幅削減設(shè)備的資本支出、降低與電力和冷卻相關(guān)的能源成本以及節(jié)省物理空間。根據(jù)Gartner統(tǒng)計報告，到2016年為止80%的服務器將采用虛擬化部署。

虛擬環(huán)境下的服務器和虛擬桌面仍然會碰到與傳統(tǒng)物理計算機相同的安全性問題，如病毒、蠕蟲、木馬程序和惡意軟件的入侵。并且虛擬環(huán)境更加復雜，安全防護需要考慮虛擬機的密度、虛擬機的啟動間隙防護、虛擬機之間的攻擊、虛擬機的管理復雜性等。由于大量使用了虛擬化技術(shù)，使得過去常規(guī)的安全手段已經(jīng)無法有效解決日益突出的安全問題，所以在虛擬環(huán)境下的服務器需要考慮如何有效地進行安全防范。

2 傳統(tǒng)安全防護存在的問題

傳統(tǒng)的針對病毒防護解決方案都是通過安裝代理程序（Agent）到虛擬主機的操作系統(tǒng)中，在服務器虛擬化后，要實現(xiàn)針對病毒的實時防護，同樣需要將防病毒客戶端即代理程序安裝在各個虛擬機中，但是服務器虛擬化的目的是整合資源，最大化地發(fā)揮服務器資源的利用率，而傳統(tǒng)的防病毒技術(shù)需要在每個虛擬主機中安裝程序，如1臺服務器虛擬5臺主機，傳統(tǒng)方法需要安裝5套，這樣在掃描時就需要消耗虛擬主機的計算資源，并且在病毒庫更新時帶來更多的網(wǎng)絡(luò)資源消耗。傳統(tǒng)的病毒防護解決方案如圖1所示：

當這些系統(tǒng)被遷移到虛擬環(huán)境時，眾多虛擬機同時更新病毒特征庫或進行按需全盤掃描可能使內(nèi)存、存儲和CPU（Central Processing Unit，中央處理器）使用率出現(xiàn)尖峰，導致這些虛擬機在這段時間內(nèi)都無法正常提供服務，這種情況通常稱為殺毒風暴。同時，由于殺毒風暴的存在，虛擬機的密度也不能太高，比如可以承載50臺虛擬機的服務器資源池只能建立30臺虛擬機。目前最常見的做法是使按需掃描調(diào)度隨機化，但這種做法也不理想。

3 VMware平臺安全架構(gòu)介紹

VMware是一款眾所周知的虛擬化軟件，該軟件通過虛擬化服務器底層硬件以提供用戶可在服務器上同時運行不同的操作系統(tǒng)環(huán)境。目前虛擬化軟件以VMware為主，包括虛擬化軟件思杰的Citrix、華為的Fusion、微軟的Hyper-V、開源KVM（Kernel-based Virtual Machine，內(nèi)核級虛擬化技術(shù)）等。

VMware在平臺的安全中，對外開放各種接口方式來實現(xiàn)第三方的安全控制。用戶的VMware ESXi主機需要統(tǒng)一接受一個vCenter中心管理，并通過vCenter中心對每臺主機分別自動部署vShield Endpoint和安全虛擬機，這些安全虛擬機將在每個物理主機上自動部署。在添加一臺物理主機后，當新加VMware ESXi物理主機接受vCenter管理平臺管理時，將自動生成部署安全虛擬機和vShield Endpoint。目前采用VMsafe API（Application Programming Interface，應用程序編程接口）和vShield Endpoint的接口，通過在ESXi上部署安全虛擬應用層來實現(xiàn)對虛擬機的安全防護；利用vShield Endpoint實現(xiàn)防病毒及防惡意軟件，利用VMsafe API實現(xiàn)網(wǎng)絡(luò)IDS（Intrusion Detection System，入侵檢測系統(tǒng)）/IPS（Intrusion Prevention System，入侵防護系統(tǒng)）。VMware平臺安全架構(gòu)如圖2所示：

4 云資源池下的防護安全方案

通過上述分析可以看出，在云資源時代，目前以VMware為主的虛擬環(huán)境中，安全防護面臨的是從病毒防護、訪問控制到入侵檢測/防護的一系列問題，因此本文設(shè)計了一套完整的安全防護策略，如圖3所示：

4.1 無代理病毒防護設(shè)計

在虛擬化環(huán)境中，有代理的防病毒軟件存在嚴重的資源消耗問題，影響服務器的運行。目前可以采用無代理的方式來解決服務器資源問題，通過VMware的虛擬化層提供的API接口實現(xiàn)。無代理技術(shù)是指在每臺VMware ESXi物理服務器上部署一臺安全虛擬機，以一臺安全虛擬機方式運行而不需要在其它各個業(yè)務虛擬機安裝任何代理程序，通過該虛擬機來保護所有在VMware ESXi物理服務器上的虛擬主機。同時，當業(yè)務虛擬機任意啟用運行或者物理服務器切換到時，都不出現(xiàn)防護空檔，這一切是傳統(tǒng)解決方案無法完成的。

VMware虛擬系統(tǒng)通過開放VMsafe API和vShield Endpoint的接口，在虛擬化層VMware ESXi上部署安全虛擬機，實現(xiàn)虛擬系統(tǒng)和虛擬主機之間的安全防護，這樣避免了在虛擬主機的操作系統(tǒng)中安裝代理程序，以無代理方式實現(xiàn)了實時的惡意軟件的防護。防毒引擎掃描時不需要消耗網(wǎng)絡(luò)和處理器的資源，在最大化利用服務器資源的同時提供全面惡意軟件的實時防護。

4.2 無代理防火墻的設(shè)計

傳統(tǒng)的防火墻技術(shù)通常以硬件形式存在，用于訪問控制和安全區(qū)域間的劃分。計算資源虛擬化后導致邊界模糊，很多的信息交換在虛擬系統(tǒng)內(nèi)部就實現(xiàn)了，而傳統(tǒng)防火墻在物理網(wǎng)絡(luò)層提供訪問控制，如何在虛擬系統(tǒng)內(nèi)部實現(xiàn)訪問控制和病毒傳播抑制是虛擬系統(tǒng)面臨的最基本安全問題。

無代理的防火墻提供全面基于狀態(tài)檢測細粒度的訪問控制功能，可以實現(xiàn)針對虛擬交換機基于網(wǎng)口的訪問控制和虛擬系統(tǒng)之間的區(qū)域邏輯隔離；同時，支持各種泛洪攻擊的識別和攔截。通過與底層的緊密集合，以達到對上層虛擬機無代理的防護。

4.3 無代理入侵檢測/防護的設(shè)計

傳統(tǒng)環(huán)境下的網(wǎng)絡(luò)安全拓撲圖在網(wǎng)絡(luò)出口處部署網(wǎng)關(guān)防護設(shè)備，如防火墻、防毒墻等各類安全設(shè)備，用來隔離網(wǎng)絡(luò)之間的攻擊和病毒擴散問題，部署IDS監(jiān)控對服務器的非法訪問行為，在服務器上部署防病毒軟件，保護核心服務器的安全運行。而在虛擬化環(huán)境下，一臺物理服務器平臺上將運行數(shù)個甚至數(shù)十個業(yè)務虛擬機，這些傳統(tǒng)的安全防護措施將不再有效。因此，針對虛擬化環(huán)境應該部署針對虛擬化環(huán)境的無代理解決方案。

在主機及網(wǎng)絡(luò)層面同時進行入侵檢測和防護，這在安全基礎(chǔ)設(shè)施建設(shè)是非常必要的，然而在云計算和虛擬化的環(huán)境中，由于傳統(tǒng)的入侵檢測工具需要在每臺虛擬機中安裝代理程序，當運行在虛擬化的網(wǎng)絡(luò)或系統(tǒng)中時，會出現(xiàn)和有代理防病毒軟件類似的問題。此外，在虛擬環(huán)境中，虛擬交換機不支持建立鏡像端口、禁止將數(shù)據(jù)流拷貝至IDS傳感器。面對虛擬網(wǎng)絡(luò)內(nèi)部流量時，部署在傳統(tǒng)物理網(wǎng)區(qū)域中的IPS系統(tǒng)無法很好地集成到虛擬環(huán)境中，這樣會面對多種的技術(shù)問題，導致網(wǎng)絡(luò)入侵檢測很難實現(xiàn)。因此，與有代理運行惡意軟件一樣，基于主機的IDS系統(tǒng)會消耗共享的資源，導致運行資源風暴、密度不夠等問題。

無代理入侵檢測/防護在VMware的VMsafe接口可以允許虛擬交換機或端口組以混合模式運行時，虛擬的IDS傳感器可以檢測到同一虛擬段上的網(wǎng)絡(luò)流量。無代理IDS/IPS除了提供傳統(tǒng)IDS/IPS系統(tǒng)功能外，還提供虛擬環(huán)境中基于政策的監(jiān)控和分析工具，確保虛擬網(wǎng)絡(luò)的安全性，如網(wǎng)絡(luò)行為的分析及精確的流量監(jiān)控、分析、訪問控制等。通過無代理方式可以讓其在虛擬系統(tǒng)中占用更少的資源，避免過度消耗宿主機的硬件能力。

4.4 方案優(yōu)點及問題

方案優(yōu)點具體如下：

（1）簡化部署。采用無代理模式，管理員無需在模板機部署和更新代理程序，減少虛擬機的體積和管理工作量。

（2）避免病毒掃描風暴。在無代理模式下，運行于同一物理服務器上的多臺虛擬機的掃描工作統(tǒng)一進行調(diào)度，資源占用得到有效控制，避免了病毒掃描風暴的發(fā)生。

（3）減少資源占用。在無代理模式下，不占用主機的CPU、內(nèi)存和磁盤資源。

（4）隨時保持最新。采用無代理模式，只要保證安全虛擬機隨時在線、及時更新，每臺虛擬機就不用更新病毒庫。

（5）更高的密度、更低的成本。由于無代理模式可以節(jié)省資源占用，消除病毒掃描風暴，因此可以提高部署密度和節(jié)省硬件采購成本。

當然，無代理安全防護方案也存在一些問題。目前該方案主要是針對采用VMware虛擬化軟件部署的云環(huán)境，因為VMware提供了相應的程序接口。同時，隨著VMware新版本的推出，相應的程序接口也在不斷地調(diào)整，無代理安全防護方案在各種VMware版本下開發(fā)設(shè)計也不同。此外，如果云環(huán)境采用其它虛擬化軟件部署，安全接口的標準化程度不如VMware，則設(shè)計架構(gòu)需要調(diào)整，且實現(xiàn)難度較大。

5 性能測試對比分析

性能測試主要包括驗證與傳統(tǒng)方式下安全防護在性能和資源占用方面的對比，具體如下：

（1）CPU資源占用測試：說明此次測試CPU的性能消耗對比傳統(tǒng)掃描方式的測試結(jié)果。

（2）內(nèi)存資源占用功能測試：說明此次測試內(nèi)存的性能消耗對比傳統(tǒng)掃描方式的測試結(jié)果。

（3）磁盤I/O占用測試：說明此次測試磁盤I/O的性能消耗對比傳統(tǒng)掃描方式的測試結(jié)果。

（4）網(wǎng)絡(luò)占用測試：說明此次測試網(wǎng)絡(luò)消耗對比傳統(tǒng)掃描方式的測試結(jié)果。

本次測試開啟了10個Windows 7環(huán)境虛擬機，測試結(jié)果如表1和表2所示：

本次測試開啟了虛擬化安全所必需的虛擬機包括vShield、vCenter和廠家自己配置的負載安全的虛擬機，以及進行性能測試的10個Windows 7環(huán)境虛擬機，可以看到，對比CPU使用情況、內(nèi)存消耗、磁盤讀取速度和掃描速度，無代理方案與傳統(tǒng)有代理防病毒方案的性能開銷差距越突出。而在用戶的實際工作和生產(chǎn)環(huán)境中，單個主機上能夠運行到50至100個虛擬機環(huán)境，這種環(huán)境下無代理方式在資源和防護方面的優(yōu)勢更加明顯。也就是說，單個主機上運行的虛擬機越多，就越能體現(xiàn)無代理方式的優(yōu)勢。而有代理方式進行掃描和更新時，虛擬機越多，主機資源負擔就會越重，在這種環(huán)境中會因為安全產(chǎn)品的運行而造成資源的浪費。

6 結(jié)束語

本文分析了傳統(tǒng)安全防護方案存在的問題，包括安全防護軟件的管理問題及性能問題，研究了云資源下的防護系統(tǒng)，給出了無代理病毒防護設(shè)計、無代理防火墻的設(shè)計、無代理入侵檢測/防護的設(shè)計等關(guān)鍵技術(shù)，并分析了無代理技術(shù)優(yōu)點及問題。在實際性能測試中，對比傳統(tǒng)防病毒軟件和虛擬化安全無代理解決方案，當同時進行安全防護時，本文中的無代理方案的性能表現(xiàn)明顯優(yōu)于傳統(tǒng)防護方案。

參考文獻：

[1] 張明浩. 計算機病毒防范技術(shù)探討[J]. 科技信息： 學術(shù)版， 2007（10）： 32-35.

[2] 王曉剛. 計算機病毒防范的對策與方法[J]. 網(wǎng)絡(luò)安全技術(shù)與應用， 2007（4）： 30-31.

[3] 孫曉南. 防火墻技術(shù)與網(wǎng)絡(luò)安全[J]. 科技信息， 2008（3）： 52-54.

[4] 童曉渝，張云勇，房秉毅，等. 大數(shù)據(jù)時代電信運營商的機遇[J]. 信息通信技術(shù)， 2013（1）： 5-9.

[5] 潘泓. 基于虛擬機的代碼保護技術(shù)研究[J]. 計算機應用研究， 2013（12）： 209-212.

[6] 金鈺，朱華. 運營商云資源池安全防護策略的探討[J]. 電腦知識與技術(shù)， 2015，11（20）： 23-25.

[7] 顧炯，呂鵬，張金漫. 云資源池安全部署方案解析[J]. 電信技術(shù)， 2014（10）： 46-49.

[8] 陳杰. 虛擬化資源池的設(shè)計與實現(xiàn)[J]. 電信技術(shù)， 2012 （5）： 53-55.

[9] 鐘肖媛. 商務領(lǐng)航業(yè)務云資源池的設(shè)計與實現(xiàn)[D]. 蘭州： 蘭州大學， 2014.

[10] 王景學. 云計算虛擬機防護系統(tǒng)設(shè)計與實現(xiàn)[D]. 西安： 西安電子科技大學， 2014.

[11] 李蔚. 虛擬化技術(shù)在圖書館數(shù)據(jù)中心建設(shè)中的實施策略[J]. 科技情報開發(fā)與經(jīng)濟， 2015，25（23）： 38-40.

[12] 程伍端. 淺談虛擬機與網(wǎng)絡(luò)模擬器的結(jié)合應用[J]. 福建電腦， 2011（10）： 81-82.