报业私有云服务器虚拟化安全解析(4)

作者:网站采编
关键词:
摘要：报纸采编是报业集团的最核心的关键业务，虚拟化平台比传统的双机+DAS的热备方式提高了HA性能。服务器端在32CPU、64GB内存和千兆迁移专网配置下，不同物

报纸采编是报业集团的最核心的关键业务，虚拟化平台比传统的双机+DAS的热备方式提高了HA性能。服务器端在32CPU、64GB内存和千兆迁移专网配置下，不同物理机之间的热迁移时间在几分钟内完成，仅有一次丢包，对客户端而言基本上感觉不到。ESXi核心下，虚拟硬盘的I/O性能和裸设备基本相当，只要存储设备IOPS和吞吐率满足要求，整体的I/O性能可较好地满足生产环境要求。

主数据中心的物理服务器配置多网口（万兆光口和千兆电口），其中若干网口捆绑配置专用于采编业务虚拟机，在虚拟化网络配置中将这些网口单列为采编交换机，并在核心三层交换机设置访问控制规则，防止非授权访问，其他关键业务的虚拟机也可以采用类似的网络流量隔离措施，此外，还独立设置了管理网络的接口和迁移网络的接口，都与虚拟机网络在物理网卡上隔离，并设置严格的访问控制规则，管理网络的接口只允许管理员的客户机接入，迁移网络的接口连接到一个独立于办公局域网的专用高速二层交换机。存储系统采用了FC SAN，双8Gb x24口光纤交换机，与四台四路八核高性能服务器双链路连接，两套存储阵列再与光纤交换机双链路连接，存储系统只是使用了单纯的FC SAN，未采用IP SAN、iSCSI等基于IP的存储协议与办公局域网连接，NAS单独作为一套系统存在。在另外一个数据中心部署一套小型服务器虚拟化系统通过Replication软件进行复制和备份。

总 结

对于服务器虚拟化的安全，业界给出了足够的提示、说明和方法，本文结合报业私有云环境，论述了一些与实际应用相关的安全问题和解决方案。在报业企业的IT环境中，有一种大家比较熟悉的现象，就是硬件性能提升速度快，为了保证出版的安全时效性，很多硬件系统在超过稳定运行期之后就用性能更高的新硬件系统替换，这个周期大约是3至5年左右。而对于应用软件系统而言，只要够用，其规模则相对固定、变化不大，通俗讲就是变得“不吃硬件”了，因此在报业环境中一对多服务器虚拟化大有用武之地，也是发展趋势。同时，计算机安全也在这个趋势中得到了足够的重视。

注释：

①项国富 金海 邹德清 陈学广：《基于虚拟化的安全监控》，《软件学报》，2012年第8期

②《VMware高危漏洞竟能危及真实系统安全》，太平洋电脑网，

③红黑联盟：《VMware虚拟硬件内存破坏漏洞》，

④《Gartner警告称60%虚拟化服务器有安全漏洞》，赛迪网，

⑤《Gartner：服务器虚拟化可能面临五 个 风 险 》，TechTarget，

⑥《ESX vSwith虚拟交换机vlan模式》无忧网客联盟，

云计算近年来在企业得到了实质性的发展和应用，特别是在服务器虚拟化方面，很多企业经过尝试、熟悉并取得满意的效果之后，进行了较大范围的推广。报业也不例外。本文从报业企业生产环境的角度出发，对私有云计算中的服务器虚拟化的适用特点，以及在计算机安全方面的优势和面临的挑战分别进行分析，最后对加强虚拟服务器系统的安全防护提出一些看法和解决方案。适用特点目前国内报业企业在新建数据中心上都适当地采用了云计算的部署模式，服务器虚拟化已经进入生产环境，而且存储技术在数据I/O方面和设备性价比的提升使得虚拟化技术在生产环节的应用进一步扩大，但并不是全部应用都是适合服务器虚拟化，概括来说其适用特点如下：非超大规模的文字和数字类数据以及中小尺寸图片、图像、音视频类多媒体数据的处理可运行在虚拟机中，完全满足生产环境的需要，涵盖报纸采编系统、办公OA、电子邮件、财务、广告、发行、历史数据存档和检索等，此类应用基于的文件系统和数据库存取不超出目前服务器虚拟化技术的处理能力，由于交互操作规模不大，所以不会影响时效性；相反，对于交互操作规模极大或者极其频繁的应用，或者大尺寸图片、图像、音视频类数据的处理，则不适合运行在目前通用技术的虚拟机中，比如新闻网站、图片处理、报纸的排版、影视剧以及新闻和综艺节目的制作等，往往会产生I/O瓶颈，此类应用的云计算技术往往需要定制。在安全方面的优势我们知道，云计算之所以能够推广，根本原因在于其带来的商业化方面的经济效益，不仅可以提高硬软件资源的使用效率，还能大幅降低部署、管理和维护的成本，使专业化的计算资源服务提供商成为可能，在我国向集约化经济发展的大方向下，企业在IT投资方面考虑得更加细致。此外，在计算机安全方面，服务器虚拟化整合的数据中心还比常规数据中心有高可用性、集中专业化管理等安全方面的突出优势：1.紧凑的内核虚拟化系统的核心软件层一般非常精简，被称为更小的可信计算基，①在同等设计能力下，代码量小意味着系统的漏洞更少一些，所以更加安全稳定。2.高可用性服务器虚拟化整合后进行的HA可以方便地对每一个虚机和全部应用进行失效接管和漂移配置，提高整体的高可用性，减少停机时间，这对于常规数据中心来说是很难实现的。在常规数据中心，要对不同类型的操作系统和应用进行失效接管的配置，不仅在服务器资源上需要分别配置双机，而且有些应用的漂移比较难于实现，配置复杂而且容易出错，而基于底层的虚拟化则很好地解决了这些问题。3.集中专业化管理对于大型企业来说，服务器的安全管理需要落实到每一台设备上，包括硬件和软件，而有些分支机构和部门的服务器管理是相对独立的，在这种情况下，如果分支机构的技术力量不足，就会有潜在的安全风险。云计算通过服务器虚拟化为分支机构提供PaaS，分支机构获得的虚拟机平台不仅可以完成日常业务，而且将硬件和系统软件维护的任务转移到更加专业的总部技术力量来完成。在安全方面的挑战企业私有云的服务器虚拟化在安全方面的潜在问题主要来自于虚拟机的相互隔离，一旦成为一个短板，就会造成安全的“水位下降”。传统的安全防护有时依靠物理手段，比如物理隔离、物理上唯一的属性如MAC地址等，物理上部署的服务器系统，一台物理主机上所产生的安全问题，一般会局限在这个物理主机内，不会传导到其他物理主机上（通过网络的攻击除外），而服务器虚拟化中的一个虚拟机一旦对物理宿主机产生安全事件，那么就会同时影响到其他同宿主机的虚拟机。或者说，如果底层虚拟化系统有漏洞，虚拟机的相互隔离做得不好，那么攻破一台虚拟机就等于攻破了该宿主物理机上运行的全部虚拟机。比如在2008年初，一家名为Core Security的安全科技公司的框架渗透测试人员报告了Windows平台上的虚拟软件VMware Workstation、Player以及ACE存在一个高危漏洞，利用这一漏洞攻击者可绕过虚拟操作系统进而可向真实系统修改或添加任意文件。②再如，2008年末发布的VMware虚拟硬件内存破坏漏洞：如果虚拟机操作系统向虚拟的硬件发送了恶意请求的话，就可能触发内存破坏，导致虚拟硬件写入非受控的物理内存区域，攻击者可以利用这个漏洞完全控制宿主物理机系统或导致拒绝服务，该漏洞的存在面比较广，涉及到了VMWare Workstation、ACE、Player、VMWare Server、Fusion、VMWare ESX 3.5、ESX 3.0.3、ESX 3.0.2、ESXi 3.5等多款产品，VMWare公司及时地发布了该漏洞的补丁。③VMware是服务器虚拟化业界领先厂商，其案例具有一定的代表意义。此外，再例如带宽隔离问题，如果网络带宽没有对各个虚拟机进行额度分配，都是按需尽量递送，在这种情况下对一台虚拟机发动DoS攻击，会导致宿主机的物理带宽耗尽，那么整个宿主机上虚拟机都将断网。从以上案例可以看出，服务器虚拟化面临的安全问题从根本上来说并不是新型的计算机安全问题，而是使传统的安全问题更加突出了。Gartner在2010年的一个研究报告称：虚拟化服务器的安全问题“不是因为虚拟化本身不安全，而是存在于系统配置方面”，因为“40%的虚拟化部署在最初的架构和规划阶段甚至都没有考虑到IT安全因素”，所以Gartner分析师建议“安全流程应该扩展到虚拟化管理程序和虚拟机监视器方面”，并“把虚拟化层当作企业数据中心中最重要的x86平台”。④云计算数据中心的管理员不能再像以前那样对安全事件抱有一些侥幸态度，打个比方，以前是一个篮子放一个鸡蛋，打坏一个篮子最多坏一个鸡蛋，而如今是一个篮子放很多鸡蛋，就要格外注意对篮子进行防护。Gartner在2013年初又进一步总结了服务器虚拟化可能面临的五个风险：（1）虚拟化项目的规划和建设初期没有进行充足的安全设计；（2）在没有充分隔离的情况下，一个虚拟化层的妥协可能导致所有托管的工作负载的妥协；（3）如果虚拟机之间的沟通缺乏监控和保护，来自虚拟化内部的攻击就很难被发现和及时制止；（4）不同信任级别的工作负载整合到一台物理服务器中而没有足够的隔离；（5）缺乏适当的访问控制管理。⑤其中的（2）、（3）、（4）都与虚拟机的隔离问题相关，这也是本部分开始着重指出的一点，（1）是指出虚拟化项目初期安全规划和设计的重要性，（5）是说虚拟化系统需要严格管控。服务器虚拟化的安全防护措施经过多年的发展和完善之后，目前主流的服务器虚拟化系统，比如VMware vSphere等，在配置合理和适当安全加固的情况下，基本上讲是非常安全的。其中具体的安全防护措施可以概括为以下几个方面的事项：1.有关安全的规划设计虚拟化项目的规划和建设初期要进行充足的安全设计，内容涉及要迁移到虚拟化平台上的应用的类型、数量、所需资源、权限等级、高可用性等级、数据安全和保密等级、相互关联度、网络位置、网络环境安全评估等，物理服务器的数量、架构、计算资源、内存资源的配置、网络接口的类型和数量，数据存储类型、数量、容量和网络类型，以及和物理主机的连接方式等，虚拟化软件平台的选择，以及该平台的优势和劣势分析，特别对于虚拟化平台的软件系统，如果存在有关安全方面的短板，应考虑在这方面具有优势的第三方系统加以补充。2.远程访问管理默认情况下，虚拟化系统关闭了很多方便管理员的服务，比如物理宿主机的Web管理界面、SSH远程连接等，因为启用这些服务可能会影响安全性。这些服务虽然都可以方便管理员的工作，但同时也为非授权访问提供了可能的机会：黑客可能会攻击到弱密码系统。最安全的方式是关闭宿主机的远程访问，因为部署完虚拟化系统之后，宿主机的配置相对固定，很少有机会再去更改，所以对于少量的配置修改可以直接去控制台完成。如果必须打开远程访问，那么一定要配备一个强密码管理策略，比如VMWare的ESXi来源于Linux系统，具有众所周知的超级账户root，平时应尽量减少root账户的使用，并为其配置一个足够强的密码，也为每类管理用户创建一个受限的账户，同时对每个账户进行审计。3.虚拟化的网络配置服务器虚拟化的网络系统包括虚拟机网络、存储网络、管理网络、迁移网络等。虚拟机网络一般是建立在服务器物理网卡上的虚拟交换系统，例如VMWare中的“标准交换机：vSwitch”，其上的虚拟交换机端口分配给虚拟机使用，此时对于网络流量需要相互分隔的多个虚拟机系统来说就显得比较关键，如同物理上的二层和三层交换机类似，虚拟交换机也需要VLAN等手段来隔离流量；⑥此外，除非必要，应关闭虚拟交换机上的混杂模式，以避免虚拟机之间的相互侦听。存储网络目前有FC SAN、SAS SAN、IP SAN、iSCSI、NAS等多种方式，服务器虚拟化的存储网络最好独立。即使采用IP解决方案比如IP SAN和iSCSI，因为当前存储协议在物理线路上一般都不加密传送数据，最好建立独立的IP存储网。但从实践效果上看，独立存储网络一般都采用主流的FC SAN或者具有发展潜力的SAS SAN，这种存储网络仅连接于存储和服务器之间，独立于办公局域网，具备很好的安全性。从安全角度来看，服务器虚拟化系统的管理网络最好与虚拟机网络分开，但很多管理员为了能方便地在局域网中随时随地进行管理，就将管理网络合并到虚拟机网络中，实际上这种配置带来了潜在的威胁，正如前面所谈到的远程访问管理，如果把管理网络合并到虚拟机网络，一定要注意远程访问管理的安全配置。实际上将管理网络独立于办公网，在物理连接上或者在逻辑连接上分开，是一种安全的配置方式。迁移网络是服务器虚拟化高可用性中进行数据迁移的网络，该网络最好要高速，以减少迁移时间，使业务中断时间最小化，此外因为没有加密传输，该网络最好独立，比如若是双物理机配置，那么可以用网卡直连的方式配置迁移网络；如果是多机，可以采用独立的交换机进行连接。4.防病毒传统的防病毒策略是每台服务器上都需要安装防病毒软件，在虚拟化环境下，防病毒的策略有所演化，比如VMWare与趋势科技合作使用无代理方式为宿主机上的全部虚拟机部署防病毒系统，无代理方式是指在宿主物理机上安装防病毒软件系统之后，不必为每台虚拟机再安装杀毒软件，而是通过vShield Endpoint组件起作用，这比每台虚拟机上都安装杀毒客户端要节省资源和管理成本，体现集成管理的优势。当然，仅对防病毒加强安全而言，有代理方式也是可以的，但需要注意升级和扫描时间的安排，最好避免在同一时间为所有虚拟机的防病毒客户端进行升级或者例行扫描，否则会造成过多的额外负载。5.安全监控安全监控可以使庞大的虚拟机系统中可能存在的安全问题可视化，为系统管理员及时发现和解决安全问题打下基础。常规的安全监控产品一般是监控一台物理主机，包括该主机硬件状况、进程运行状况和网络进出流量，或者是一个物理网络，包括该网络的拓扑结构、网络接口流量、主机流量等，通过统计分析来观察整个计算机系统的状况来及时发现安全问题。相比而言，服务器虚拟化的安全监控除上述功能外，还要解决一些新的情况：同一台物理宿主机上运行着很多虚拟机，这些虚拟机之间以及各个虚拟机与外面之间存在比较复杂的数据通信，对于常规的安全监控产品，即使在每台虚拟机上都部署，一是统计分析起来比较复杂、会占用大量的虚拟机资源，二是对虚拟交换机上的流量缺少细致的分析，这样就比较难于定位安全故障点。目前国内外出现了很多基于虚拟化的安全监控研究，在某种程度上反过来也有利于对虚拟化自身的安全监控产品的研发，现在主流的服务器虚拟化系统十分注重安全监控，不仅自身具有部分监控功能，还提供API以供第三方厂商进行功能扩展。6.数据安全服务器虚拟化的一个突出特点是：一个虚拟机全部数据都打包到虚拟层的几个磁盘文件中，每个虚拟化磁盘文件对应虚拟机中的一块磁盘，因此物理环境中关于硬盘的数据安全在虚拟机环境中就转化为虚拟磁盘文件的数据安全，重点关注两方面的问题：一是防丢失、二是防泄露。防丢失主要采取数据的冗余和备份策略，服务器虚拟化的数据一般都基于存储阵列存放，存储阵列有RAID配置，具备一定的数据冗余度，提高因为物理硬盘损坏而导致数据丢失的预防能力，此外还有各种备份手段来适当加强数据的冗余度，比如快照、全备份、增量备份、异地同步或者异步灾备、磁带备份等。防泄露主要是防止数据的非法访问和窃取，这方面涉及的内容比较多，首先是防止物理上的非法侵入，加强机房安全管理和监控，数据备份点也要安全；再是虚拟化的物理存储区域尽可能独立，确保安全性，防止IP网络入侵；第三，对虚拟机所在的物理宿主机层进行保护，加强管理接口的权限管理，杜绝非授权访问；第四，时刻关注虚拟层是否有安全漏洞，及时修正；第五，必要时采取数据加密存储和传输机制，以防万一；第六，配置全方位的安全监控机制，及时发现数据安全问题，并在第一时间修复。案例分析大众报业集团对服务器虚拟化在生产环境的应用进行了较长时间的探索，从2005年开始将小型非关键应用运行在Microsoft Virtual PC或者VMWare GSX Server虚拟机当中，再后来将小型关键应用运行在VMWare Server虚拟机中，并尝试了电子邮件系统的虚拟机部署方式，都取得了比较理想的效果，到如今通过VMWare vSphere虚拟化，进行企业私有云计算的规划、设计和建设，将生产环境的报纸采编、全文检索、多种ERP应用等关键应用迁移到服务器虚拟化平台中，积累了一定经验：对于云计算的服务器虚拟化而言，实现起来其实并不是一件难事，可以说很容易就能做到，目前主流的虚拟化产品都具备友好和简洁的安装过程，真正的难点在于性能和安全规划、设计和管理。报纸采编是报业集团的最核心的关键业务，虚拟化平台比传统的双机+DAS的热备方式提高了HA性能。服务器端在32CPU、64GB内存和千兆迁移专网配置下，不同物理机之间的热迁移时间在几分钟内完成，仅有一次丢包，对客户端而言基本上感觉不到。ESXi核心下，虚拟硬盘的I/O性能和裸设备基本相当，只要存储设备IOPS和吞吐率满足要求，整体的I/O性能可较好地满足生产环境要求。主数据中心的物理服务器配置多网口（万兆光口和千兆电口），其中若干网口捆绑配置专用于采编业务虚拟机，在虚拟化网络配置中将这些网口单列为采编交换机，并在核心三层交换机设置访问控制规则，防止非授权访问，其他关键业务的虚拟机也可以采用类似的网络流量隔离措施，此外，还独立设置了管理网络的接口和迁移网络的接口，都与虚拟机网络在物理网卡上隔离，并设置严格的访问控制规则，管理网络的接口只允许管理员的客户机接入，迁移网络的接口连接到一个独立于办公局域网的专用高速二层交换机。存储系统采用了FC SAN，双8Gb x24口光纤交换机，与四台四路八核高性能服务器双链路连接，两套存储阵列再与光纤交换机双链路连接，存储系统只是使用了单纯的FC SAN，未采用IP SAN、iSCSI等基于IP的存储协议与办公局域网连接，NAS单独作为一套系统存在。在另外一个数据中心部署一套小型服务器虚拟化系统通过Replication软件进行复制和备份。总 结对于服务器虚拟化的安全，业界给出了足够的提示、说明和方法，本文结合报业私有云环境，论述了一些与实际应用相关的安全问题和解决方案。在报业企业的IT环境中，有一种大家比较熟悉的现象，就是硬件性能提升速度快，为了保证出版的安全时效性，很多硬件系统在超过稳定运行期之后就用性能更高的新硬件系统替换，这个周期大约是3至5年左右。而对于应用软件系统而言，只要够用，其规模则相对固定、变化不大，通俗讲就是变得“不吃硬件”了，因此在报业环境中一对多服务器虚拟化大有用武之地，也是发展趋势。同时，计算机安全也在这个趋势中得到了足够的重视。注释：①项国富 金海 邹德清 陈学广：《基于虚拟化的安全监控》，《软件学报》，2012年第8期②《VMware高危漏洞竟能危及真实系统安全》，太平洋电脑网，③红黑联盟：《VMware虚拟硬件内存破坏漏洞》，④《Gartner警告称60%虚拟化服务器有安全漏洞》，赛迪网，⑤《Gartner：服务器虚拟化可能面临五 个 风 险 》，TechTarget，⑥《ESX vSwith虚拟交换机vlan模式》无忧网客联盟，

文章来源：《中国报业》 网址: http://www.zgbyzzs.cn/qikandaodu/2021/0203/719.html

上一篇：报业云计算信息安全数据中心建设
下一篇：报业云计算与虚拟化服务平台的建设研究