王進++談宏偉

摘 要：虛擬化是一個抽象概念，指計算元件在虛擬的基礎(chǔ)上而不是真實的基礎(chǔ)上運行，它將物理硬件與操作系統(tǒng)分開，從而提供更高的資源利用率和靈活性。中國金融業(yè)信息化“十二五”發(fā)展規(guī)劃提出了推廣綠色信息技術(shù)，建設(shè)“低碳”金融的重要任務(wù)，商業(yè)銀行要實現(xiàn)這項任務(wù)，必須借助先進的虛擬化技術(shù)。該文根據(jù)金融機構(gòu)應(yīng)用場景來討論如何應(yīng)用虛擬化技術(shù)解決傳統(tǒng)IT架構(gòu)帶來的弊端，并探討了虛擬化技術(shù)應(yīng)用存在的安全風險和防范策略。

關(guān)鍵詞：虛擬化 金融業(yè) 安全風險 應(yīng)用方案

中圖分類號：TP391 文獻標識碼：A 文章編號：1672-3791（2017）01（b）-0013-02

1 虛擬化技術(shù)應(yīng)用方案

傳統(tǒng) IT 架構(gòu)應(yīng)用虛擬技術(shù)的整體方案，根據(jù)應(yīng)用領(lǐng)域的不同分為以下4層。

1.1 存儲虛擬層

在這一層中應(yīng)用存儲虛擬化技術(shù)將傳統(tǒng)存儲層中的存儲設(shè)備抽象成虛擬文件系統(tǒng)，實現(xiàn)服務(wù)器對存儲設(shè)備的無關(guān)性訪問，主要技術(shù)有RAID、SAN和NAS。RAID和SAN是將磁盤和磁帶組成存儲陣列，在存儲陣列上劃分邏輯卷，以虛擬硬盤形式供服務(wù)器訪問，兩者的區(qū)別在于RAID是基于主機的形式，存儲陣列是附屬服務(wù)器的設(shè)備，而SAN是基于網(wǎng)絡(luò)的形式，存儲陣列是通過專有的存儲網(wǎng)絡(luò)（FC，光纖通道）連接服務(wù)器。NAS同樣是基于網(wǎng)絡(luò)的形式，服務(wù)器訪問的是存儲陣列上已經(jīng)建立好的虛擬文件系統(tǒng)。對存儲層進行虛擬化有效地解決了傳統(tǒng)IT架構(gòu)中因存儲設(shè)備復(fù)雜面管理難的問題。

1.2 服務(wù)器虛擬層

這層虛擬化可以實現(xiàn)服務(wù)器整合、災(zāi)難恢復(fù)功能，能搭建異構(gòu)平臺系統(tǒng)研發(fā)和測試平臺。服務(wù)器整合將多個不同物理服務(wù)器上的信息轉(zhuǎn)移到不同的虛擬服務(wù)器上，然后將這些虛擬服務(wù)器同時運行在一臺單獨的物理服務(wù)器上，減少了運行多臺物理服務(wù)器的硬件和運營成本。

災(zāi)難恢復(fù)是使用虛擬化技術(shù)（如VMontion）提供備份/恢復(fù)和負載動態(tài)遷移的功能，實現(xiàn)幾乎零宕機的實時遷移，保障業(yè)務(wù)連續(xù)性，將由系統(tǒng)故障等災(zāi)難性事件帶來的威脅降低到最小。同時，虛擬化服務(wù)器可以被靈活地激活、重啟，能在限定的時間內(nèi)創(chuàng)建重要服務(wù)器，也實現(xiàn)了經(jīng)濟高效且具有更高管理性能的災(zāi)難恢復(fù)解決方案。研發(fā)和測試平臺就是使用虛擬化技術(shù)在一臺物理服務(wù)器為研發(fā)和測試人員提供大量虛擬的服務(wù)器，提供多個操作系統(tǒng)環(huán)境，降低研發(fā)和測試的成本。另外，快速的服務(wù)器備份和恢復(fù)、開通和重裝為研發(fā)和測試人員提供了方便快捷的測試環(huán)境。

1.3 網(wǎng)絡(luò)虛擬層

網(wǎng)絡(luò)虛擬層使用VLAN技術(shù)將局域網(wǎng)劃分成相互隔離的邏輯子網(wǎng)，使用VPN技術(shù)通過廣域網(wǎng)將遠程的計算機接入內(nèi)部網(wǎng)，形成一個虛擬的私有網(wǎng)絡(luò)，這樣有效地保障了網(wǎng)絡(luò)的安全性，網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)的保密性也得到了保障。

1.4 桌面虛擬層

桌面虛擬層將原來傳統(tǒng)IT架構(gòu)中由PC提供用戶桌面的流程改成桌面虛擬化技術(shù)向用戶提供虛擬桌面，在服務(wù)器虛擬層提供大量虛擬計算機，這些虛擬計算機安裝不同的操作系統(tǒng)和不同的應(yīng)用軟件，通過網(wǎng)絡(luò)以遠程桌面的形式呈現(xiàn)給用戶。桌面虛擬化有效地解決了因PC數(shù)量多帶來的維護困難和因PC保存數(shù)據(jù)帶來的數(shù)據(jù)安全短板等問題。

2 虛擬化技術(shù)在金融業(yè)的應(yīng)用

金融業(yè)的IT基礎(chǔ)構(gòu)架是十分龐大和復(fù)雜的，既有占地數(shù)萬平方米的大型數(shù)據(jù)中心和災(zāi)備中心，也有只有幾臺個人電腦的小型辦事處。下面將根據(jù)金融機構(gòu)應(yīng)用場景來討論如何應(yīng)用虛擬化技術(shù)解決傳統(tǒng)IT架構(gòu)帶來的弊端。

2.1 支行柜臺、營業(yè)部和小型分理處

這類機構(gòu)中PC的運維和管理、數(shù)據(jù)安全、網(wǎng)絡(luò)接入安全一直是重點管理的對象。對于PC的運維和管理難、數(shù)據(jù)安全和網(wǎng)絡(luò)接入安全無法保障的問題，可以使用桌面虛擬化和網(wǎng)絡(luò)虛擬化解決。桌面虛擬化和網(wǎng)絡(luò)虛擬化技術(shù)使得這類機構(gòu)不再需要配備 PC，所有業(yè)務(wù)都通過VPN以遠程桌面的方式接入上級機構(gòu)的服務(wù)器完成，業(yè)務(wù)數(shù)據(jù)同時保存在遠程的服務(wù)器上。

2.2 分支機構(gòu)和運營中心

分支機構(gòu)和運營中心一般擁有大量的桌面系統(tǒng)，會有自己的機房用于部署本地的基礎(chǔ)和應(yīng)用服務(wù)器，同時會配備少量的 IT 支持人員。在這類機構(gòu)中為各部門業(yè)務(wù)人員配備了大量的PC，大量的軟件部署加大了軟件更新、補丁和許可證管理的難度，大量的硬件也為資產(chǎn)管理帶來難題，這讓IT人員運維和管理的工作量很大。在這類機構(gòu)中，可以同時應(yīng)用服務(wù)器虛擬化、桌面虛擬化、網(wǎng)絡(luò)虛擬化解決存在的問題。桌面虛擬化提供了統(tǒng)一管理的桌面和桌面環(huán)境，能夠減少PC的數(shù)量，可以有效解決PC運維管理上存在的難題。服務(wù)器虛擬化實現(xiàn)多臺應(yīng)用服務(wù)器整合，可以很好地提高利用率并降低成本，整合后的服務(wù)器還能實現(xiàn)熱備和動態(tài)遷移，同時，服務(wù)器虛擬化還提供了與硬件無關(guān)的虛擬機環(huán)境，能部署運行老應(yīng)用系統(tǒng)。網(wǎng)絡(luò)虛擬化讓這類機構(gòu)可以分部門、分業(yè)務(wù)使用VLAN劃分虛擬子網(wǎng)，可以使用VPN實現(xiàn)機構(gòu)間的連接，從而很好地保障了網(wǎng)絡(luò)和信息安全。

2.3 數(shù)據(jù)中心

金融業(yè)數(shù)據(jù)中心和災(zāi)備中心一般有占地數(shù)千平方米的機房，其中配備了大量服務(wù)器，部署了大量的應(yīng)用系統(tǒng)，使用了海量的存儲設(shè)備，同時也配備了大量的 IT支持和開發(fā)人員。數(shù)據(jù)中心里大量采用基于光纖的外置存儲和磁帶庫的方式存儲數(shù)據(jù)，但這些存儲設(shè)備由不同廠家生產(chǎn)，型號性能不一，這給使用和管理帶來了復(fù)雜性。可以通過在SAN中添加虛擬化引擎實現(xiàn)基于網(wǎng)絡(luò)的存儲虛擬化，有效地降低管理的復(fù)雜度，虛擬出來的存儲資源與存儲硬件設(shè)備的相關(guān)性很低，為計算機提供的是統(tǒng)一的資源格式和類型，服務(wù)器不需要考慮存儲設(shè)備的兼容性。各種存儲設(shè)備硬件的差別也可以不用關(guān)心，只要是虛擬化存儲系統(tǒng)所支持的硬件設(shè)備就可以使用。

3 虛擬化技術(shù)應(yīng)用存在安全風險

3.1 主機容災(zāi)風險

使用虛擬技術(shù)進行服務(wù)器整合后，在節(jié)省資源的同時，也面臨一個嚴重的問題，即一旦服務(wù)器出現(xiàn)硬件故障，其上運行的多個系統(tǒng)都將停止運行。虛擬服務(wù)器規(guī)劃不科學，虛擬機的濫用問題會嚴重影響物理主機的CPU、內(nèi)存和網(wǎng)絡(luò)資源，使服務(wù)器負載過重，從而引起虛擬應(yīng)用的中斷或物理主機的崩潰。虛擬化的服務(wù)器合并程度越高，此類風險越大。

3.2 網(wǎng)絡(luò)安全風險

進行虛擬化后，原有網(wǎng)絡(luò)架構(gòu)的網(wǎng)絡(luò)邊界消失，將服務(wù)器安全和網(wǎng)絡(luò)安全進行部分融合，如將原來部署在資金子網(wǎng)的和辦公子網(wǎng)的服務(wù)器整合在一起，可能使不能訪問資金子網(wǎng)辦公的用戶能訪問資金子網(wǎng)。傳統(tǒng)模式下安全防護產(chǎn)品可以探測到每臺服務(wù)器通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)，從而發(fā)現(xiàn)服務(wù)器受到的攻擊，在虛擬化后，虛擬機間的網(wǎng)絡(luò)流量不被外部網(wǎng)絡(luò)感知，安全防護產(chǎn)品無法探測到異常行為，當一臺虛擬機因受到攻擊后發(fā)生問題時，安全威脅就會通過網(wǎng)絡(luò)蔓延至其他的虛擬服務(wù)器。

4 虛擬化技術(shù)風險防范策略研究

4.1 部署基于端點的安全防護

網(wǎng)絡(luò)架構(gòu)改變引起的問題，在管理中最簡單也最有效的方式，就是在虛擬后的每個端點實施安全防護措施。如使用VMware vShield在VMM層檢測每臺虛擬機的數(shù)據(jù)和行為，提高敏感數(shù)據(jù)的可見性和控制力。vShield還可以創(chuàng)建邏輯隔離，通過隔離虛擬機，提高管理層功能的有效性與廣泛性，降低虛擬機的溢出，更好地阻止出現(xiàn)不合理的虛擬或物理設(shè)定。

4.2 科學規(guī)劃虛擬設(shè)備負載

虛擬服務(wù)器負載過重，要通過不間斷地監(jiān)視服務(wù)器利用率來進行容量大小、負載能力的分析，根據(jù)使用的量得出高峰期運營的時間與資源需求來創(chuàng)建合理使用的工作平臺。

主機容災(zāi)風險方面，可以引入虛擬服務(wù)器間的雙機熱備和負載動遷移，保障業(yè)務(wù)的容災(zāi)能力，可使用專門的容錯服務(wù)器硬件，軟件實現(xiàn)方式有VMontion、EverRun FT提供的解決方案。

4.3 加強配置管理

合并后的基礎(chǔ)設(shè)施需要更嚴格的控制和操作實踐來防止非預(yù)期停運現(xiàn)象，需要加強配置管理，要確認系統(tǒng)、硬件或者軟件的配置，管理配置變化，并在整個產(chǎn)品生命周期中記錄配置。

5 虛擬化技術(shù)應(yīng)用性能優(yōu)化

虛擬化帶來了很多好處，整個IT架構(gòu)基礎(chǔ)設(shè)施的利用將大大提高。虛擬機大量使用和增加帶來的是存儲空間使用的直線增加；桌面虛擬機的使用使得原來存放在客戶機磁盤上的文件現(xiàn)在也以磁盤映像的形式出現(xiàn)在存儲陣列上，數(shù)據(jù)量大增，同樣給網(wǎng)絡(luò)帶寬帶來巨大的壓力。從存儲和網(wǎng)絡(luò)入手，能很好地優(yōu)化虛擬化技術(shù)應(yīng)用性能。

5.1 重復(fù)數(shù)據(jù)刪除

虛擬機使用磁盤鏡像作為存儲介質(zhì)，而同一種操作系統(tǒng)的系統(tǒng)文件幾乎都相同，虛擬機使用統(tǒng)一的虛擬硬件，甚至驅(qū)動程序都一模一樣，大量的虛擬機都需要相同的OS鏡像，造成了大量的冗余數(shù)據(jù)。通過重復(fù)數(shù)據(jù)刪除，可以消除大量重復(fù)的虛擬機鏡像中的數(shù)據(jù)塊，能大幅減少存儲數(shù)據(jù)量，節(jié)省數(shù)量可觀的存儲空間，從而減小了存儲系統(tǒng)容量以及網(wǎng)絡(luò)帶寬的壓力。

5.2 廣域網(wǎng)加速

桌面虛擬機使用戶都是通過網(wǎng)絡(luò)以遠程桌面登錄虛擬機，大量的網(wǎng)絡(luò)訪問給網(wǎng)絡(luò)帶來的壓力很大，網(wǎng)絡(luò)帶寬不夠使呈現(xiàn)給用戶的桌面視覺效果不佳，會降低用戶體驗。同時，虛擬化后，大量的服務(wù)器集中在數(shù)據(jù)中心，也會加大網(wǎng)絡(luò)流量。通過廣域網(wǎng)加速等基礎(chǔ)設(shè)備的建設(shè)，加大網(wǎng)絡(luò)吞吐量，提供更佳的用戶體驗。

參考文獻

[1] 崔倩楠.基于云計算環(huán)境的虛擬化資源平臺研究與評價[D].北京郵電大學，2011.

[2] 蔚趙春，凌鴻.商業(yè)銀行虛擬化技術(shù)應(yīng)用研究[J].金融理論與實踐，2012（8）：25-29.