虛擬化資源池的網(wǎng)絡(luò)安全防護

牛翔宇

(寧夏回族自治區(qū)氣象信息中心,寧夏 銀川 750002)

大數(shù)據(jù)的快速發(fā)展為國家、企業(yè)和個人帶來了便利,也為新模式、新形式的形成提供了巨大的發(fā)展動力。然而,大數(shù)據(jù)帶來的信息安全問題已成為保障創(chuàng)新發(fā)展和正常工作中亟待解決的重點和難點?？蛻舳嗽L問資源池服務(wù)器面臨著簡化網(wǎng)絡(luò)連接和訪問連接管理的安全核心問題。安全接入網(wǎng)關(guān)可以集中管理和控制虛擬機的遠程訪問,將桌面接入網(wǎng)與終端接入網(wǎng)隔離,自動生成桌面接入網(wǎng)端口,屏蔽接入網(wǎng)內(nèi)部細節(jié)?？蛻舳送ㄟ^令牌機制和更新機制實現(xiàn)連接管理。在此基礎(chǔ)上,保證了客戶機終端與虛擬桌面之間的通信安全。安全是一個整體,物理桌面和虛擬桌面都需要防御惡意軟件,但是虛擬桌面的防御惡意軟件的安全解決方案必須專門針對共享資源環(huán)境設(shè)計。也就是說,虛擬化必須確保資源池的安全性。任何虛擬機進入資源池,在統(tǒng)一保護策略下,都會立即達到最新的安全級別。

1 研究的背景、意義以及內(nèi)容分析

1.1 研究意義分析

隨著時代的發(fā)展,氣象就像一種“鹽”,已經(jīng)融入了社會的各個方面。人們對氣象數(shù)據(jù)的需求是與時俱進的。大氣、地表、海洋,甚至碳循環(huán)和動態(tài)植被都被納入氣象數(shù)據(jù)的覆蓋范圍?，F(xiàn)在,氣象大數(shù)據(jù)時代就在我們面前。氣象大數(shù)據(jù)的支持是實現(xiàn)監(jiān)測、預報和服務(wù)的精準性和服務(wù)生命安全、生產(chǎn)發(fā)展、小康生活、生態(tài)良好的必要條件?？茖W的數(shù)據(jù)治理是推動大數(shù)據(jù)、實現(xiàn)大價值的必由之路。隨著時代的發(fā)展和進步,確保氣象資料大數(shù)據(jù)安全也變得越來越重要。氣象大數(shù)據(jù)時代已經(jīng)到來。如何對相關(guān)的虛擬化資源池的網(wǎng)絡(luò)安全防護是重點需要解決的問題。

1.2 研究內(nèi)容

根據(jù)國家政策法規(guī)的要求,以及網(wǎng)絡(luò)和信息安全的總體技術(shù)設(shè)計方案。中國氣象局結(jié)合寧夏部門的現(xiàn)有安全保護措施和網(wǎng)絡(luò)安全技術(shù)的發(fā)展成果,項目實施網(wǎng)絡(luò)安全研究的基本資源池從物理安全、網(wǎng)絡(luò)結(jié)構(gòu)安全,寧夏氣象部門實際網(wǎng)絡(luò)安全防護建設(shè)技術(shù)路線,為未來基礎(chǔ)資源池安全防護裝備部署和虛擬機終端多層次安全防護提供技術(shù)支撐。基于超融合技術(shù),物理主機和虛擬機之間的網(wǎng)絡(luò)通信資源池中是通過內(nèi)部開關(guān),和所有網(wǎng)絡(luò)流量不通過外部開關(guān),使外部網(wǎng)絡(luò)的安全設(shè)備無法保護虛擬機。需要在資源池中部署相應(yīng)的網(wǎng)絡(luò)安全防護措施,構(gòu)建虛擬化安全防護系統(tǒng)。虛擬機之間水平通信的安全性是虛擬環(huán)境中的一個特殊問題。在這種情況下,同一服務(wù)器的不同虛擬機之間的流量將直接在服務(wù)器內(nèi)部交換,導致外部網(wǎng)絡(luò)安全管理員無法監(jiān)視流量或?qū)崿F(xiàn)各種高級安全策略,如防火墻規(guī)則或入侵預防規(guī)則。還有網(wǎng)絡(luò)資源的擴展等。

圖1

圖2

2 虛擬化資源池的網(wǎng)絡(luò)安全防護

2.1 虛擬化資源池防護分析

南北交通安全:指資源池的內(nèi)部和外部交通安全。與傳統(tǒng)安全保護類似,主要防止外部人員對云資源池的攻擊和破壞。東西流量安全: 指資源池內(nèi)部流量之間的安全。在虛擬化環(huán)境中,虛擬機成為網(wǎng)絡(luò)元素的最小單元。然而,基于行為特征分析的傳統(tǒng)硬件防火墻和IDS/IPS網(wǎng)絡(luò)安全設(shè)備,根本無法感知到同一物理機器上vm 之間的流量,成為安全防護的盲點。運維安全:指對運維人員內(nèi)部行為的安全管理和審核。在云資源池中,由于維護人員較多,需要在跳板機上配置大量賬號來區(qū)分維護人員。

資源池的安全防護措施應(yīng)覆蓋外部網(wǎng)絡(luò)訪問層、虛擬化層、運維管理,并充分考慮性能的高可用性和可伸縮性,構(gòu)建全面深入的安全架構(gòu),確保資源池的安全。

2.1.1 虛擬化資源池外部網(wǎng)絡(luò)接入層防護措施分析

在資源池的外部網(wǎng)絡(luò)接入層,核心交換機旁掛有DDoS 流量清理、IDS/IPS、防火墻等設(shè)備,保護南北流量。

2.1.2 虛擬化資源池虛擬化層防護措施分析

虛擬化層部署虛擬防火墻軟件、IDS/IPS 深度包檢測軟件和殺毒軟件來保護虛擬化層。

2.1.3 虛擬化資源池運維訪問層防護措施分析

運維訪問層部署虛擬堡壘機設(shè)備,對運維進行審計和管理。(如圖1 是云資源安全體系的架構(gòu)詳細圖)

2.2 超融合技術(shù)

基于超融合技術(shù)。物理主機和虛擬機之間的網(wǎng)絡(luò)通信資源池中是通過內(nèi)部開關(guān),和所有網(wǎng)絡(luò)流量不通過外部開關(guān),使外部網(wǎng)絡(luò)的安全設(shè)備無法保護虛擬機。需要在資源池中部署相應(yīng)的網(wǎng)絡(luò)安全防護措施,構(gòu)建虛擬化安全防護系統(tǒng)。虛擬機之間水平通信的安全性是虛擬環(huán)境中的一個特殊問題。在這種情況下,同一服務(wù)器的不同虛擬機之間的流量將直接在服務(wù)器內(nèi)部交換,導致外部網(wǎng)絡(luò)安全管理員無法監(jiān)視流量或?qū)崿F(xiàn)各種高級安全策略,如防火墻規(guī)則或入侵預防規(guī)則。

建議在服務(wù)器虛擬化的過程中,虛擬化廠商如VMware 也可以通過在服務(wù)器管理程序?qū)蛹蓈switch 虛擬交換機功能來實現(xiàn)一些基本的訪問權(quán)限或拒絕規(guī)則。但是,目前還沒有而且很難集成更先進的安全檢測和保護引擎來檢測虛擬機之間的流量漏洞攻擊。為了實現(xiàn)更深入的安全檢測,主要有兩種技術(shù)方法:基于虛擬機的安全服務(wù)模型和基于EVB 技術(shù)實現(xiàn)流量重定向的安全檢測模型。如圖2 所示。

虛擬機安全軟件直接部署在服務(wù)器上。通過VMware開放的API 接口,將所有虛擬機之間的流量交換引入虛擬機安全軟件,在進入vswitch 前進行檢查。此時,可以根據(jù)需求將不同的虛擬機劃分為不同的安全域,并可以配置各個安全域之間的隔離和相互訪問策略。同時,可以將IPS 深度包檢測技術(shù)集成到軟件中,判斷虛擬機之間的流量交換是否存在漏洞攻擊。與流量重定向的安全檢測模型相比,該方法部署簡單,只需打開服務(wù)器上的資源并運行虛擬機軟件,即可實現(xiàn)虛擬機之間的東西流量安全。邊界防火墻在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間工作,有效地隔離了內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò),從而增加了內(nèi)部網(wǎng)絡(luò)的安全性。一般通過防火墻提供四個安全區(qū)域:信用安全區(qū)域信任、非信用安全區(qū)域u NTrust、非軍事區(qū)域DM Z 級/]本地邏輯安全區(qū)域。防火墻設(shè)備部署在資源池入口的核心交換端進行網(wǎng)絡(luò)層防御,確保業(yè)務(wù)平臺的資源池不受外部網(wǎng)絡(luò)攻擊。東西交通安全部署方案是指云資源池中虛擬機與虛擬機之間的交通安全。目前東西方交通安全防護主要有流量外部化技術(shù)和虛擬防火墻技術(shù)。流量外部化技術(shù)是指通過相應(yīng)的技術(shù)引導出資源池中虛擬機之間的流量,并對流量進行安全控制。接入交換機端部署硬件防火墻等安全模塊,通過VEPA 技術(shù)將內(nèi)部流量引導到外部安全模塊,控制流量安全。這個方法很容易實現(xiàn),但是它會增加額外的流量。

2.3 防護技術(shù)路線

防護技術(shù)路線分為以下幾部分：虛擬化資源池外部防護在實際的應(yīng)用中應(yīng)該覆蓋外部網(wǎng)絡(luò)訪問層、虛擬化層、運維管理,并充分考慮性能的高可用性和可伸縮性,構(gòu)建全面深入的安全架構(gòu),確保資源池的安全。在選擇機器時,根據(jù)現(xiàn)有的服務(wù)器進行定制,這主要要求服務(wù)器性能的平衡。選擇性能較好的主機類型作為計算節(jié)點和控制節(jié)點。選擇neutron,選擇VLAN 作為網(wǎng)絡(luò)模型,因為現(xiàn)有的城市公司信息網(wǎng)絡(luò)模型也采用VLAN 模型。同時,L3代理被禁用,并且沒有單獨的網(wǎng)絡(luò)節(jié)點。針對內(nèi)部防護來說,在計算節(jié)點上運行的虛擬機承載著web 容器、數(shù)據(jù)庫、Java 和dotnet 運行環(huán)境。進一步提供支持Java 和dotnet 環(huán)境的 web 容器虛擬機(tomcat、IIS)、數(shù)據(jù)庫虛擬機和應(yīng)用虛擬機,實現(xiàn)基本的IAAs 計算環(huán)境,虛擬機網(wǎng)絡(luò)通過中繼線直接連接到物理交換機。虛擬機網(wǎng)絡(luò)更高效、更穩(wěn)定。虛擬池通過進行內(nèi)部和外部的安全防護的措施,將得到進一步的安全保證,促使網(wǎng)絡(luò)在安全的環(huán)境中進一步發(fā)展和進步。

3 建設(shè)虛擬化資源池的網(wǎng)絡(luò)安全防護保障措施

3.1 安全管理制度的完善

在日常管理活動中建立相關(guān)的管理制度; 在系統(tǒng)上設(shè)置管理員等相應(yīng)的崗位,同時在實際發(fā)展過程中要把各崗位的職責進一步明確; 明確審批的部門以及相關(guān)審批的人員,對系統(tǒng)運行等關(guān)鍵的活動進行相應(yīng)的審批。《人員安全管理辦法》的進一步完善和實施,制定相關(guān)的安全教育和培訓的計劃,在實際的發(fā)展過程中每年進行知識和崗位等相應(yīng)的培訓。

3.2 網(wǎng)絡(luò)系統(tǒng)安全建設(shè)結(jié)構(gòu)安全防護

主網(wǎng)設(shè)備業(yè)務(wù)處理能力需要進一步提升,使得在業(yè)務(wù)達到高峰的時候能滿足一定的需求; 網(wǎng)絡(luò)和服務(wù)器之間的路徑控制方面進一步完善,在實際的發(fā)展過程中可以建立安全訪問的路徑; 繪制符合實際發(fā)展的網(wǎng)絡(luò)結(jié)構(gòu)圖,主要包括設(shè)備名稱等配置信息;在網(wǎng)絡(luò)安全防護方面可以識別用戶,采取限制非法登錄次數(shù)等措施進行一定的控制。對于遠程管理網(wǎng)絡(luò)的設(shè)備,在實際的發(fā)展過程中應(yīng)采取必要的措施,防止身份信息因為網(wǎng)絡(luò)的傳輸?shù)葐栴}而被竊聽。隨著服務(wù)器和數(shù)據(jù)中心基礎(chǔ)設(shè)施虛擬化程度的不斷提高,需要相應(yīng)的專業(yè)保護技術(shù)措施。隨著越來越多的單位將服務(wù)器遷移到基于虛擬機和云計算的環(huán)境中,這些資源的保護問題也逐漸顯現(xiàn)出來,并變得越來越重要。隨著數(shù)據(jù)中心中虛擬機數(shù)量的增加,它們越來越難以解釋、管理和保護。如果未經(jīng)授權(quán)的人訪問了虛擬機監(jiān)控程序,他們可以利用缺少控制漏洞并修改其中的所有虛擬機。隨著服務(wù)器和數(shù)據(jù)中心基礎(chǔ)設(shè)施虛擬化程度的不斷提高,需要相應(yīng)的專業(yè)保護技術(shù)措施。雖然防護的程度仍然與物理服務(wù)器防護產(chǎn)品的應(yīng)用深度和廣度密切相關(guān)。

4 結(jié)束語

在實際的發(fā)展過程中基礎(chǔ)設(shè)施資源池的網(wǎng)絡(luò)安全防護問題已經(jīng)變得越來越重要,安全問題不可忽視。相信在未來的發(fā)展過程中網(wǎng)絡(luò)安全問題將會得到更好的保護。在實際的發(fā)展過程中,相關(guān)的工作人員在工作過程中更多的是需要結(jié)合自身的經(jīng)驗進行進一步的研究和分析,為網(wǎng)絡(luò)安全問題的解決貢獻自身的一份力量。