放大
缩小
全文复制
上一篇[摘要]云计算的发展,使企业数据中心逐步迈入云时代,报业集团也相继建立了自己的“私有云”平台,在管理上带来便利的同时,亦遭受各类网络安全威胁,给日常运维带来许多新问题。本文通过对这些问题的分析,并结合实践经验,提出一种多维度的“私有云”安全防护管理方案,用于解决“私有云”运维工作中存在的安全问题。
[关键词]“私有云” 虚拟机 安全防护 [中图分类号] G23 [文献标识码] A
“私有云”平台概述
“私有云”(Private Clouds)是指企业自己搭建的,供企业内部或分支机构使用的云计算平台。安徽日报报业集团于2012年搭建了“私有云”平台。虚拟化软件选用VMware vSphere5.0,由惠普C7000刀片服务器群加Netapp3210存储构成硬件系统,实现业务数据集中处理。刀片交换机通过ISCSI方式与存储设备连接。服务器虚拟化整合硬件资源,部署虚机和虚拟交换机。存储设备另与核心交换连接,对内网提供网络共享文件服务。ESX server安装在每台刀片服务器的底层,控制中心安装在局域网的任一PC中,多终端管理。
1.“私有云”平台安全问题及分析
“私有云”平台是个多层面的复杂系统,平台安全涉及实体安全、网络安全、终端安全、系统安全、应用安全、环境安全、数据安全和安全管理等方面。虚拟化环境中,每台物理机划分为多个虚机,虚机上镜像的操作系统和预先打包好的软件组件与原有物理机基本相同。以往物理机所面临的问题,虚机避免不了,同时,虚拟环境也带来一些独特的安全问题。综合归纳,我们将“私有云”平台安全体系分为三个维度进行细分管理,即虚机自身安全、虚机内访安全和虚机外联安全。
(1)虚机本身承载着各类应用系统,如果安装普通杀毒和安全防护软件,不仅容易对正常访问造成干扰,而且消耗大量主机资源。
(2)虚机之间的横向业务访问是“私有云”平台虚拟化环境下特有的问题,在同一台刀片服务器上,不同的虚机间的业务访问,直接在刀片服务器内部实现交换,外层安全管理员根本无法对这些访问进行监控。
(3)由于目前“私有云”平台的硬件系统直接和核心交换机连接,而内网各vlan的三层网关在核心交换机上,所以“私有云”上的各业务和内网是完全互通的,没有任何防护。
“私有云”平台安全防护系统设计
针对三个维度中出现的安全威胁,结合现有管理工具和方法,“私有云”平台安全防护系统设计如下:
1.虚机自身安全防护设计
传统的虚机安全软件需要定期扫描网络硬盘、更新病毒库、占用每个虚机内存、网络、存储等资源,造成资源重复和浪费,需要一套定位于虚机,植根于VMware vSphere5.0基础上的新型病毒查杀软件。
2.虚机内访安全防护设计
虚机之间内部访问,外部无法获取流量信息进行分析。通过在服务器虚拟化环境中,架设跨平台分布式虚拟交换机,虚机上部署抓包软件,可实时获取内部交换机流量信息,从而掌握“私有云”内部交换机的实时数据交互信息,准确定位问题源。
3.虚机外联安全防护设计
“私有云”平台上业务系统种类繁多,不仅有对内业务访问,还有对外web发布。对内通过外联的交换机,端口上下发访问控制,限制除业务范围外的访问,对外依托集团边界安全系统,保护其安全访问。
“私有云”平台安全防护系统部署
1.虚机自身安全部署
(1)杀毒软件部署方式。在虚机上部署虚机杀毒软件,其主要功能是查杀;文件监控;扫描;病毒文件隔离、恢复;安全策略;病毒库与各子产品升级;日志统计、查询;事件、行为的分析与统计等。通过对VMware开放的API接口,将杀毒软件部署在控制中心,目前有两种方式:一是代理模式。需要在每个虚机部署杀毒软件,由独立的管理中心负责对每个杀毒引擎管理。二是无代理模式。将安全产品作为一个独立的虚拟设备,直接安装在VMware虚拟化环境中,为所有的虚机提供一个单独的数据库和引擎,不需要在每个虚机上安装代理程序,完全可以当做一个独立的虚机来使用。
无代理模式具有部署灵活简便、占用资源少、对虚机性能影响小、更能避免防病毒风暴这些优点。所以,我们采取无代理方式部署。
(2)无代理杀毒软件部署。“私有云”杀毒软件由管理中心、日志中心、升级中心、查杀协作、安全虚拟设备等五个子系统构成。无代理方式,管理中心、日志中心、升级中心可在同一个虚机上,也可在外部物理机上,节省“私有云”资源,提高便捷性。
安全虚拟设备是安全防护核心组件,集成了病毒库的查杀引擎,对与其在同一台物理机上的其他所有虚机执行安全防护。支持在访问文件时监控并进行扫描,以及主动扫描各虚机的文件。安全虚拟设备必须安装到每台物理主机,每台物理主机只安装一个安全虚拟设备。
2.虚机内访安全防护部署
目前,控制中心采用虚拟标准交换机,每台物理机分别管理各自的虚拟交换机,安装抓包软件的虚机需要在同一台物理机上,而如需检查其他物理机,只能通过控制中心将虚机在线迁移到需要检查的物理机上,往往错过最佳捕获数据时机。所以,将标准交换更改为分布式部署。将联网的范围从单个物理机扩展到了整个“私有云”平台,增强了网络监控和故障排除功能。
安装网络分析抓包工具,设定条件过滤器,来捕获和分析网络中传输的底层数据包,对数据包层次、协议层、应用层、网络运行情况、业务运行情况可以进行全面分析,可以快速排查“私有云”网络中出现或潜在的故障、威胁及性能问题。
3.虚机外联安全防护部署
局域网内外联业务访问,即从外部客户端到虚机的正常访问,和不同虚机间的三层访问业务转发,其共同特点是必须经过外部核心交换,所以对“私有云”外联访问控制,就部署外部核心交换上。由于网关是在三层交换上,有必要对每个网段先隔离,然后允许部分IP地址访问“私有云”平台。
局域网外外联业务访问,需要访问集团外部网络资源,对这部分的防护和传统的内网安全防护相比,没有本质区别。防护设备仍然是以防火墙和入侵防御系统为主,用上网行为管理,对虚机的上网行为进行审核和登记,部署应用层防火墙,着力解决web应用攻击的安全威胁。
“私有云”平台安全防护系统运行效果分析
从虚机网络流向角度考虑“私有云”平台防护漏洞,虚机之间流量通过定位于“私有云”平台的分布式交换机,可做到平台整体流量抓包分析;虚机外部业务访问防护通过ACL控制访问客户端和边界安全防护设备统一结合;虚机自身安全通过安全防护软件解决。
在实际故障处理上,需要对故障现象具体分析,综合解决问题。如常见的蠕虫攻击,会造成网络缓慢、网关设备堵塞、业务应用掉线,通过定位在分布交换机上的抓包工具,发现在短时间内,源主机向目的主机(随机)的445端口发送了大量大小为66字节的TCP syn请求报文,就可以定位为蠕虫引发的扫描行为,根据源IP定位后,杀毒软件可以解决。常见的分片攻击,也会造成网络缓慢,主机宕机,网络设备假死等现象,在同网段虚机上抓取流量包,通过协议视图定位,发现源IP在短时间内向目的IP发送了大量的分片报文,解码数据包,可见有规律地填充内容,因为源主机是真实的,可直接通过杀毒软件查杀虚机文件磁盘空间。
“私有云”平台安全防护系统部署后,运维人员通过故障现象,简单判断出故障原因大致范围,通过三个不同维度,可确定解决故障源的方法,进而可以精确定位出故障原因。虽然整个管理方法避免了安全威胁,减少故障排除时间,但还是有一些不足,相比单一的管理系统,使用上较为繁琐,需要多个软件配合使用;另外,安全管理员必须对整个网络环境非常熟悉,各种软件需要灵活运用,对安全管理员提出了更高的要求。
(作者单位:安徽日报报业集团信息技术中心)
参考文献
[1]李斌.基于企业私有云计算平台的安全构架[J].信息与电脑,2014(3).
[2]谭文辉.基于VMware虚拟化的安全分析.中国船舶重工七一二研究所,2012.
[3]张剑寒.数据中心安全防护技术分析.总后自动化工作站,2015(3).
[4]杭州华三通信技术有限公司.新一代网络建设理论与实践 [M].北京:电子工业出版社,53-393.
责编/李德金
