等保2.0下高校虛擬化平臺(tái)安全探索

戶利利

摘要：虛擬化系統(tǒng)的高可靠性、可擴(kuò)展性、易于管理等優(yōu)點(diǎn)使得虛擬化系統(tǒng)在高校得到了廣泛的推廣使用。文章基于網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0的基本要求，確定了虛擬化平臺(tái)的安全責(zé)任邊界、分析了虛擬化平臺(tái)的安全風(fēng)險(xiǎn)。針對(duì)虛擬化平臺(tái)面臨的安全威脅和安全需求，參考國家安全等級(jí)保護(hù)建設(shè)和測評(píng)的標(biāo)準(zhǔn)和規(guī)范，基于等級(jí)保護(hù)“一個(gè)中心，三重防護(hù)”的縱深防護(hù)思想，文章從虛擬化平臺(tái)的區(qū)域邊界、計(jì)算環(huán)境以及安全管理中心三個(gè)方面來介紹如何通過虛擬化等級(jí)保護(hù)來加強(qiáng)虛擬化平臺(tái)的安全。

關(guān)鍵詞：虛擬化平臺(tái);高校;等級(jí)保護(hù)

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2020）10-0027-03

1概述

2016年11月7號(hào)，十二屆全國人大常委會(huì)第24次會(huì)議通過了《中華人民共和國網(wǎng)絡(luò)安全法》，該法是網(wǎng)絡(luò)領(lǐng)域的基礎(chǔ)性法律，于2017年6月1日起開始實(shí)施?！吨腥A人民共和國網(wǎng)絡(luò)安全法》第二十一條規(guī)定，國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。高校作為培養(yǎng)人才的重要基地，需要嚴(yán)格遵守網(wǎng)絡(luò)安全法，實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。2019年，網(wǎng)絡(luò)安全等級(jí)保護(hù)系列標(biāo)準(zhǔn)正式發(fā)布，網(wǎng)絡(luò)安全等級(jí)保護(hù)從此由1.0時(shí)代邁入2.0時(shí)代。網(wǎng)絡(luò)安全等級(jí)保護(hù)制度在2.0時(shí)代，將云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)、工業(yè)控制信息系統(tǒng)和大數(shù)據(jù)等新應(yīng)用、新技術(shù)納入等級(jí)保護(hù)擴(kuò)展要求。

虛擬化技術(shù)是云計(jì)算中的核心技術(shù)，虛擬化包括了三層含義：虛擬化的對(duì)象是各種各樣的資源;經(jīng)過虛擬化后的邏輯資源對(duì)用戶隱藏了不必要的細(xì)節(jié);用戶可以在虛擬化環(huán)境中實(shí)現(xiàn)其在真實(shí)環(huán)境中的部分或者全部功能嘲。虛擬化平臺(tái)是利用虛擬化技術(shù)，將各類硬件資源虛擬化成統(tǒng)一的資源池，簡化了資源配置和管理，具有高可靠性、高彈性的同時(shí)提高了硬件的利用率。在現(xiàn)實(shí)的生產(chǎn)應(yīng)用中，由于云平臺(tái)軟件的厚重，消耗資源大、價(jià)格昂貴等現(xiàn)實(shí)原因，云平臺(tái)軟件主要運(yùn)用于各個(gè)大型企事業(yè)單位和運(yùn)營商中，中小型企業(yè)和高校由于業(yè)務(wù)需求和經(jīng)濟(jì)原因并沒有真正實(shí)現(xiàn)云的概念，大部分只是在虛擬化的層面上，因此從某種意義上說，虛擬化平臺(tái)的應(yīng)用更具有廣泛性。

在網(wǎng)絡(luò)安全等級(jí)保護(hù)標(biāo)準(zhǔn)中，云計(jì)算是指通過網(wǎng)絡(luò)訪問或可擴(kuò)展的、靈活的物理或虛擬共享的資源池，同時(shí)這種資源池需要具有自助獲取和管理的模式。雖然虛擬化平臺(tái)不具有云計(jì)算所要求的自助獲取的模式，但是虛擬化平臺(tái)也是個(gè)資源池，是可以參照云計(jì)算的要求來做安全等保。

2確定安全責(zé)任邊界

區(qū)別于傳統(tǒng)的信息系統(tǒng)，虛擬化保護(hù)環(huán)境是虛擬化平臺(tái)以及虛擬化平臺(tái)上部署的各類軟件以及各相關(guān)組件的集合。虛擬化保護(hù)環(huán)境依據(jù)管理權(quán)限劃分為不同的管理范圍，管理員對(duì)各自的管理范圍的安全負(fù)責(zé)。其中，虛擬化平臺(tái)等級(jí)保護(hù)的定級(jí)、備案、等級(jí)測評(píng)、安全整改等具體實(shí)施由虛擬化平臺(tái)的管理者負(fù)責(zé);各虛擬化用戶對(duì)其申請(qǐng)的虛擬資源上的系統(tǒng)負(fù)責(zé)，該系統(tǒng)的定級(jí)和等級(jí)保護(hù)開展工作由虛擬化用戶負(fù)責(zé)。虛擬化平臺(tái)上可以有多個(gè)不同等級(jí)的虛擬化用戶信息系統(tǒng)，這些虛擬化用戶信息系統(tǒng)的安全保護(hù)的等級(jí)不能高于平臺(tái)的安全等級(jí)應(yīng)。

在各高校中，一般是由信息中心作為虛擬化平臺(tái)的管理者，由信息中心根據(jù)平臺(tái)的用途和重要性確定平臺(tái)的保護(hù)等級(jí)，并根據(jù)平臺(tái)的保護(hù)等級(jí)的要求實(shí)施安全等保。在高校中，虛擬化用戶通常是指高校內(nèi)的各個(gè)業(yè)務(wù)單位，各業(yè)務(wù)單位在保障業(yè)務(wù)工作的同時(shí)，也需要保障相應(yīng)系統(tǒng)的安全。

虛擬化環(huán)境中可能具有多種虛擬化服務(wù)模式，根據(jù)服務(wù)模式的不同，虛擬化平臺(tái)的管理者和虛擬化用戶的安全責(zé)任邊界是不同的。虛擬化服務(wù)模式可分為基礎(chǔ)設(shè)施即服務(wù)IaaS、平臺(tái)即服務(wù)PaaS、軟件即服務(wù)SaaS。在不同的服務(wù)模式下，虛擬化用戶的安全責(zé)任邊界是不同的。對(duì)于IaaS的基礎(chǔ)設(shè)施服務(wù)模式，虛擬化用戶的職責(zé)范圍包括虛擬機(jī)操作系統(tǒng)和操作系統(tǒng)上的所有應(yīng)用以及數(shù)據(jù)庫和中間件;對(duì)于PaaS平臺(tái)即是服務(wù)模式，虛擬化用戶的責(zé)任對(duì)象為軟件開發(fā)平臺(tái)中間件、應(yīng)用和數(shù)據(jù);對(duì)于SaaS軟件即服務(wù)模式，虛擬化用戶的職責(zé)范圍主要為用戶訪問和用戶賬號(hào)安全。除去虛擬化用戶的安全責(zé)任范圍，平臺(tái)剩下的安全責(zé)任都由平臺(tái)管理員的承擔(dān)。

3虛擬化平臺(tái)的安全風(fēng)險(xiǎn)

虛擬化平臺(tái)具有高可用、可擴(kuò)展、支持多種操作系統(tǒng)持續(xù)運(yùn)行、空間和資源消耗小等多種優(yōu)點(diǎn)，但是在引入優(yōu)勢的同時(shí)，也帶來了許多新的安全風(fēng)險(xiǎn)。

1）虛擬流量交換的安全風(fēng)險(xiǎn)，虛擬化流量分為兩種[3]，一種是南北向流量，一種是東西向流量。南北向流量是指虛擬化平臺(tái)與外部的流量，針對(duì)這種流量的安全可以采用常見的外部防護(hù)墻等防護(hù)手段，防護(hù)來自虛擬化平臺(tái)之外的攻擊和破壞。東西向流量指的是虛擬化平臺(tái)上各個(gè)虛擬機(jī)之間的流量。在虛擬環(huán)境中，虛擬機(jī)與虛擬機(jī)之間是通過虛擬交換機(jī)進(jìn)行通信的，傳統(tǒng)的防火墻以及IPS等安全設(shè)備是無法感知到這種通信流量的。這種情況下，如果一臺(tái)虛擬機(jī)感染病毒，這臺(tái)感染病毒的虛擬機(jī)會(huì)對(duì)平臺(tái)上的其他虛擬機(jī)發(fā)起攻擊，引起虛擬機(jī)和平臺(tái)的多種安全風(fēng)險(xiǎn)。為了應(yīng)對(duì)這種攻擊，我們需要對(duì)這種東西向的流量進(jìn)行監(jiān)控，并且設(shè)置各個(gè)虛擬機(jī)之間的安全策略來降低這種安全風(fēng)險(xiǎn)。

2）虛擬化引入的安全風(fēng)險(xiǎn)。虛擬化平臺(tái)中，宿主機(jī)操作系統(tǒng)，虛擬化平臺(tái)軟件等都可能存在安全漏洞，利用這些安全漏洞，攻擊者可以對(duì)虛擬化宿主機(jī)或者虛擬化平臺(tái)進(jìn)行攻擊，進(jìn)而對(duì)平臺(tái)上的虛擬機(jī)進(jìn)行任意的配置破壞，造成虛擬機(jī)系統(tǒng)的不可用或者虛擬機(jī)上的數(shù)據(jù)泄露。這種風(fēng)險(xiǎn)需要及時(shí)對(duì)虛擬化系統(tǒng)進(jìn)行系統(tǒng)升級(jí)，同時(shí)采用訪問控制的策略管理虛擬化軟件層的訪問權(quán)限，將系統(tǒng)設(shè)置為只針對(duì)個(gè)別IP開放需要的端口。

3）資源分配風(fēng)險(xiǎn)。處于虛擬資源池中的多個(gè)虛擬機(jī)共享同一套硬件資源，可能會(huì)出現(xiàn)惡意搶占網(wǎng)絡(luò)、存儲(chǔ)、計(jì)算等資源的情況，不僅影響了平臺(tái)資源的可用性，還影響了整個(gè)平臺(tái)的性能，導(dǎo)致平臺(tái)資源耗盡，影響其他關(guān)鍵業(yè)務(wù)系統(tǒng)的正常運(yùn)行，造成安全風(fēng)險(xiǎn)。并且由于多個(gè)虛擬機(jī)共享資源，各個(gè)虛擬機(jī)在共享資源的同時(shí)，可能會(huì)造成數(shù)據(jù)泄露。目前主流的虛擬化系統(tǒng)都已經(jīng)具備主機(jī)監(jiān)控的功能，當(dāng)主機(jī)或者虛擬機(jī)的資源消耗超過一定的閾值時(shí)，系統(tǒng)會(huì)報(bào)警。

4）虛擬化環(huán)境下的動(dòng)態(tài)負(fù)載，虛擬機(jī)的動(dòng)態(tài)漂移技術(shù)，保證了虛擬機(jī)上業(yè)務(wù)系統(tǒng)的持續(xù)性，但是也給虛擬化安全帶來了新的挑戰(zhàn)。為了保障各虛擬機(jī)的安全策略實(shí)施有效，這就需要安全策略、安全防護(hù)措施能夠隨著虛擬機(jī)進(jìn)行漂移。

5）平臺(tái)層面對(duì)數(shù)據(jù)安全造成的風(fēng)險(xiǎn)。首先終端用戶把數(shù)據(jù)通過虛擬化存儲(chǔ)交付給虛擬化平臺(tái)后，從某種意義上說，數(shù)據(jù)的訪問權(quán)限已經(jīng)開放給了虛擬化平臺(tái)的管理員，如何從平臺(tái)管理員的角度保障數(shù)據(jù)的保密性是第一個(gè)挑戰(zhàn)。其次，在虛擬化環(huán)境下，數(shù)據(jù)存儲(chǔ)是通過碎片化的方式，這種碎片化存儲(chǔ)方式給數(shù)據(jù)的可恢復(fù)性帶來挑戰(zhàn)。同時(shí)因?yàn)閿?shù)據(jù)是碎片化存放的，無法在存儲(chǔ)層面上做隔離，如何保障這些碎片化的數(shù)據(jù)不被平臺(tái)上的其他系統(tǒng)訪問到這也是個(gè)很大的挑戰(zhàn)。

4等保2.0下虛擬化平臺(tái)的安全防護(hù)

虛擬化平臺(tái)是由大量的物理服務(wù)器和存儲(chǔ)資源組成的共享的IT資源池。虛擬化技術(shù)在資源動(dòng)態(tài)分配和保障業(yè)務(wù)連續(xù)性等方面具有顯著的優(yōu)勢。為了保證虛擬化平臺(tái)的安全，提高虛擬化平臺(tái)的整體防護(hù)能力，我們需要對(duì)虛擬化平臺(tái)進(jìn)行等保安全測評(píng)。虛擬化平臺(tái)的等保安全測評(píng)是衡量虛擬化平臺(tái)安全的重要手段，通過虛擬化平臺(tái)的安全等保測評(píng)工作可以指導(dǎo)虛擬化平臺(tái)的安全建設(shè)，維護(hù)虛擬化平臺(tái)的安全性。

針對(duì)虛擬化平臺(tái)面臨的安全威脅和安全需求，基于等級(jí)保護(hù)“一個(gè)中心，三重防護(hù)”的縱深防護(hù)思想，從通信網(wǎng)絡(luò)到區(qū)域邊界再到計(jì)算環(huán)境進(jìn)行重重防護(hù)，其中安全管理中心對(duì)平臺(tái)的系統(tǒng)管理、安全管理和安全審計(jì)進(jìn)行集中管控。

4.1虛擬化的安全計(jì)算環(huán)境

用戶通過安全的通信網(wǎng)絡(luò)以網(wǎng)絡(luò)直接訪問、API接口訪問和Web服務(wù)器等方式安全的訪問虛擬化平臺(tái)提供的計(jì)算機(jī)安全環(huán)境。安全計(jì)算環(huán)境包括基礎(chǔ)設(shè)施層安全和服務(wù)器層安全。其中，基礎(chǔ)設(shè)施層分為硬件設(shè)施和虛擬設(shè)施。硬件設(shè)施的安全設(shè)計(jì)主要涉及物理主機(jī)、光纖交換機(jī)、存儲(chǔ)設(shè)備等物理實(shí)體的安全。虛擬設(shè)施的安全主要涉及服務(wù)器虛擬化軟件、存儲(chǔ)虛擬化軟件、網(wǎng)絡(luò)虛擬化軟件、虛擬化平臺(tái)管理軟件等，其中，鏡像和快照也屬于虛擬設(shè)施層。服務(wù)層是虛擬化平臺(tái)提供給用戶的虛擬資源的實(shí)現(xiàn)，根據(jù)服務(wù)模式的不同，虛擬化平臺(tái)提供者和用戶承擔(dān)的安全責(zé)任不同。服務(wù)層安全首先需要明確虛擬化平臺(tái)管理者的責(zé)任安全范圍，根據(jù)安全責(zé)任范圍和安全等級(jí)要求得出安全設(shè)計(jì)技術(shù)要求。

4.2虛擬化的安全區(qū)域邊界

在安全區(qū)域邊界方面，除了傳統(tǒng)的物理區(qū)域的邊界安全，還增加了由于虛擬引入的邊界問題。首先將整個(gè)平臺(tái)分為管理區(qū)域和業(yè)務(wù)區(qū)域。管理區(qū)域與業(yè)務(wù)區(qū)域網(wǎng)絡(luò)進(jìn)行隔離設(shè)計(jì)，其中運(yùn)維平臺(tái)、安全管理平臺(tái)、虛擬化管理平臺(tái)僅允許管理區(qū)域內(nèi)的管理終端訪問，避免遠(yuǎn)程管理引入的系統(tǒng)風(fēng)險(xiǎn)。

在業(yè)務(wù)區(qū)域中，需要在虛擬化系統(tǒng)規(guī)劃時(shí)，就在計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)三個(gè)層面對(duì)平臺(tái)上將要運(yùn)行的虛擬機(jī)、數(shù)據(jù)庫和中間件等資源按業(yè)務(wù)的重要程度進(jìn)行物理模塊的隔離劃分。具體的劃分和隔離方法如下：

數(shù)據(jù)庫層面上，按業(yè)務(wù)邏輯將數(shù)據(jù)庫分為核心數(shù)據(jù)庫和交互數(shù)據(jù)庫。數(shù)據(jù)庫需要專門建立一個(gè)單獨(dú)的計(jì)算池，該計(jì)算池配置2個(gè)以上的高性能計(jì)算節(jié)點(diǎn)均衡計(jì)算負(fù)載，在存儲(chǔ)上單獨(dú)創(chuàng)建2個(gè)數(shù)據(jù)卷分別用來存核心數(shù)據(jù)庫和交互數(shù)據(jù)庫，核心的數(shù)據(jù)庫存放業(yè)務(wù)系統(tǒng)使用的核心數(shù)據(jù)，僅限相關(guān)的業(yè)務(wù)的訪問，拒絕其他訪問，配置策略要嚴(yán)格很多。交互數(shù)據(jù)庫用于存放應(yīng)用系統(tǒng)之間的交換數(shù)據(jù)，配置的安全訪問策略較為寬松，用于過濾應(yīng)用層帶來的安全問題，實(shí)現(xiàn)核心數(shù)據(jù)庫和應(yīng)用之間的邏輯隔離。網(wǎng)絡(luò)層面上劃分兩個(gè)子網(wǎng)，核心數(shù)據(jù)庫子網(wǎng)網(wǎng)段和交互數(shù)據(jù)庫子網(wǎng)網(wǎng)段，實(shí)現(xiàn)網(wǎng)絡(luò)層面的安全隔離。

中間件部分，根據(jù)業(yè)務(wù)量的大小，創(chuàng)建一個(gè)單獨(dú)的計(jì)算池，該計(jì)算池可以由2個(gè)以上高性能節(jié)點(diǎn)和一個(gè)單獨(dú)的數(shù)據(jù)卷構(gòu)成;

在虛擬機(jī)層面上，對(duì)虛擬機(jī)按照業(yè)務(wù)的重要的程度再次進(jìn)行劃分，分為非常重要的虛擬機(jī)，重要的虛擬機(jī)和一般虛擬機(jī)以及臨時(shí)虛擬機(jī)四個(gè)等級(jí)的虛擬機(jī)，將這四個(gè)等級(jí)的虛擬機(jī)放在一個(gè)計(jì)算池中，并且將這四個(gè)等級(jí)的虛擬機(jī)分別存儲(chǔ)在不同的數(shù)據(jù)卷上。網(wǎng)絡(luò)層面上，對(duì)應(yīng)于四種等級(jí)的虛擬機(jī)，可以劃分四個(gè)不同的子網(wǎng)，并且這四個(gè)子網(wǎng)分隔較遠(yuǎn)，方便后期對(duì)流量的監(jiān)控和分析。

4.3虛擬化安全管理中心

虛擬化環(huán)境的系統(tǒng)管理、安全管理和安全審計(jì)由安全管理中心統(tǒng)一集中管控。安全管理中心可以是一個(gè)機(jī)構(gòu)，也可以是個(gè)平臺(tái)，安全管理中心對(duì)系統(tǒng)管理、安全管理和審計(jì)管理負(fù)責(zé)。由于虛擬化系統(tǒng)復(fù)雜，需要管理的內(nèi)容比較多，在等保2.0中，需要將這些管理接口單獨(dú)劃分到一個(gè)區(qū)域中，與生產(chǎn)網(wǎng)分離，實(shí)現(xiàn)獨(dú)立且集中的管理。在安全管理方面，安全管理中心制定平臺(tái)安全管理規(guī)范和管理員安全操作守則。為了保障系統(tǒng)管理的安全性，系統(tǒng)管理員需要依據(jù)操作手冊(cè)對(duì)平臺(tái)系統(tǒng)進(jìn)行維護(hù)，并且需要詳細(xì)記錄操作日志。在用戶權(quán)限方面，嚴(yán)格遵循最低權(quán)限原則，管理人員的權(quán)限需要與其工作職責(zé)范圍匹配，禁止共享賬號(hào)，當(dāng)管理員發(fā)生人員變動(dòng)時(shí)，即刻更新管理員賬號(hào)和密碼，將舊的管理員賬號(hào)進(jìn)行刪除。同樣，安全設(shè)備和安全組件的管理接口也需要設(shè)置獨(dú)立的網(wǎng)段進(jìn)行集中管理，并且平臺(tái)上所有的數(shù)據(jù)庫、中間件、虛擬機(jī)的安全策略配置和漏洞管理可以集中配置和管理。在安全審計(jì)方面，平臺(tái)上的所有的登陸除了需要通過身份認(rèn)證外，還需要通過堡壘機(jī)等，實(shí)現(xiàn)系統(tǒng)登錄的多重防護(hù)。平臺(tái)上數(shù)據(jù)庫、中間件和虛擬機(jī)的日志需要定期發(fā)到審計(jì)服務(wù)器上，該日志審計(jì)服務(wù)器需要保存平臺(tái)上各個(gè)數(shù)據(jù)庫、中間件和虛擬機(jī)的6個(gè)月全流量操作日志，并且該日志有備份。

5結(jié)束語

高校信息化建設(shè)需要將網(wǎng)絡(luò)信息安全放在首位，《中華人民共和國網(wǎng)絡(luò)安全法》的發(fā)布將網(wǎng)絡(luò)安全等級(jí)保護(hù)上升到了法律層面。通過網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)可以加強(qiáng)高校的網(wǎng)絡(luò)安全防護(hù)體系的建設(shè)。本文以高校虛擬化平臺(tái)為例，確定了虛擬化平臺(tái)系統(tǒng)的安全責(zé)任邊界、分析了虛擬化系統(tǒng)的安全風(fēng)險(xiǎn)。針對(duì)虛擬化平臺(tái)面臨的安全威脅和安全需求，參考國家安全等級(jí)保護(hù)建設(shè)和測評(píng)的標(biāo)準(zhǔn)和規(guī)范，基于等級(jí)保護(hù)“一個(gè)中心，三重防護(hù)”的縱深防護(hù)思想，分別從虛擬化系統(tǒng)的區(qū)域邊界、計(jì)算環(huán)境以及安全管理中心三個(gè)方面來介紹如何通過虛擬化等級(jí)保護(hù)來加強(qiáng)虛擬化平臺(tái)的安全。