淺析高校虛擬化數據中心的安全隱患與規避

摘要：隨著教育信息化的飛速發展，數據中心的虛擬化建設已成為高校信息化的工作重點和核心，本文就虛擬化數據中心的安全防范方面進行研究和探索。

關鍵詞：虛擬化；數據中心；安全

● 前言

據一項新的研究報告顯示，隨著高校數據中心全面虛擬化的投資力度加大，將面臨著十分急迫的網絡運行和安全挑戰。

因為在虛擬環境中，虛擬機有移動空間來優化硬件、網絡帶寬和可用的處理能力，但在提升處理能力的同時，也使管理環境更加復雜。當設定一個具有成本效益且有效的方式來提升數據中心的虛擬化構想時，安全就是一個大問題，在組織中需要專門配置用于檢查流入和流出數據的技術虛擬機。而且，物理防火墻通常不能用來處理運行多個虛擬服務器管理程序的流量，因此虛擬機管理程序在調整時所做的保護措施是必要的。

● 安全隱患原因分析

1.資源較高的利用率

虛擬化技術的應用，提高了服務器的利用效率和靈活性，但同時也導致服務器負載過重，運行性能下降。虛擬化后多個應用集中在一臺服務器上，當物理服務器出現重大硬件故障時，就是相當嚴重的風險集中問題。虛擬化的本質是應用只與虛擬層交互，而與真正的硬件隔離，這將導致安全管理人員看不到設備背后的安全風險，服務器變得更加不固定和不穩定。

2.網絡架構的改變

虛擬化技術改變了網絡結構，引發了新的安全風險。在部署虛擬化技術之前，可在防火墻上建立多個隔離區，對不同的物理服務器采用不同的訪問控制規則，可有效保證將攻擊限制在一個隔離區內，而在部署虛擬化技術后，一臺虛擬機失效，則可能通過網絡將安全問題擴散到其他虛擬機。

3.物理安全監管的脫離

一臺物理機上可以創建多個虛擬機，且可以隨時創建，也可被下載到桌面系統，常駐內存，可以脫離物理安全監管的范疇。很多安全標準是依賴于物理環境發揮作用的，外部的防火墻和異常行為監測等都需要物理服務器的網絡流量，有時虛擬化會繞過安全措施。存在異構存儲平臺的無法統一安全監控和無法將有效資源隔離的風險。

4.虛擬環境

黑客通過控制管理層，可以控制物理服務器上的所有虛擬機，而管理程序上運行的任何操作系統都很難偵測到流氓軟件等的威脅。

虛擬機溢出的漏洞能夠導致黑客威脅到特定的虛擬機，將黑客攻擊從虛擬服務器升級到控制底層的管理程序。

物理服務器上安裝多個虛擬機后，每個虛擬服務器都需要定期進行補丁更新、維護，大量的打補丁工作會導致不能及時補漏而產生安全威脅。

● 安全防范體系的建立

為了及時消除虛擬化數據中心的安全隱患，為核心數據提供可靠、便捷的使用環境，建立嚴格的預防體系勢在必行。

1.建立嚴密的內、外網管理體制

能夠嚴格地按區域劃分，不同的租戶，不同的應用劃分至不同的安全域，使用安全產品進行隔離與保護；部署端到端的安全防御手段，如運行在VM上的安全設備，可以將防御能力部署到每一臺物理服務器上；對網絡訪問行為進行嚴格管理，通過技術和管理手段規范BYOD行為，對僵尸網絡、網絡濫用等進行有效防御；使用多功能安全網關來替代傳統防火墻。在保護業務流量時，出于性能考慮，可能只會用到防火墻、IPS等功能，但在保護管理流量時，可啟用二至七層的多種安全功能。業務流和管理流劃分至不同的虛擬設備中，保證各自的獨立性。

2.建立全方位防御零日攻擊體系

針對系統缺陷的應用攻擊已成為數據中心面臨的主要威脅。而漏洞發現到被攻擊的時間跨度越來越短，使數據中心不能依賴單一功能的安全設備，尤其是僅僅基于特征防御的安全產品。必須集多種安全特性，并結合應用層防御技術（如web應用防護、數據安全等），各項安全技術有機結合，互相保護，時刻監控并防御APT攻擊的各種入侵手段，才能打造一個全方位立體安全體系。

傳統的基于簽名的檢測方法對于零日攻擊的防護并沒有起到很好的效果，可以通過虛擬現實的環境來檢查未知惡意軟件，對于未知威脅或者零日攻擊的防護，借用大數據分析的方式，對行為進行主動識別，將是下一個發展方向。當然，如果要將全部的判斷都基于行為是否異常來進行，在建模和大數據的分析上都是難點。

3.構建DDoS分層防御網體系

防火墻與入侵檢測IPS通常串行部署在網絡下游的網關位置，是基于狀態檢測的訪問控制系統，目前市場上很多廠商的防火墻中都含有Anti-DDoS功能，對于DDoS的防護，必須要使用專用的Anti-DDoS設備或專門的板卡。DDoS防護的最佳實踐應該是流量清洗中心與運營商BGP路由調度控制。

從業界統計分析的數據來看，數據中心發生的攻擊90%以上不足以造成數據中心出口帶寬擁塞，基本是以業務癱瘓型攻擊為主，只有不到10%的攻擊是將數據中心的鏈路完全擁塞的。因此，如果是應用型的DDoS攻擊，由于流量在本地帶寬控制以內，所以本地清洗即可，一旦遇到針對基礎設施的大流量擁塞型泛洪攻擊，在鏈路上游的清洗還是必要手段。可以實行分層防御，將數據中心側和運營商側進行聯動，即運營商側管道擁塞型攻擊，數據中心側防范業務癱瘓型DDoS攻擊。云清洗是DDoS防護的大趨勢，DDoS攻擊者手法多，變化快，時常需要定制正則語法來清洗，大規模攻擊的清洗位置越靠近上游越好。云清洗服務商需要具備自治域AS號進行BGP路由調度控制與DNS全網策略控制能力，才能帶來良好的網絡服務品質。

● 結束語

在大數據發展的驅動下，未來虛擬化數據中心面臨著更大的安全問題，未來防火墻將朝著兩個方面快速發展。一是虛擬化數據中心中，用戶訪問數據中心，以及數據中心直接的訪問流量都會使南北向流量繼續增長，導致數據中心出口帶寬流量由目前的超過200Gbps，到2015年將接近1Tbps的水平。二是數據中心中的應用類型變得越來越多樣化。數據中心流量傳輸不僅會在用戶與設備間，也可能存在于用戶與用戶間，以及設備與設備之間，接入數據中心的設備類型也變得更加多樣化。同時，伴隨虛擬化的發展，業務模型進一步復雜化了。作為放置在數據中心出口的防火墻，需要適應在更加復雜的應用流量模型下提供更高的處理性能，以適應大數據的發展。

在未來的虛擬化數據中心安全防范中，必須建立起合理的邏輯監管程序，全面化數據處理模型，標準化信息配置，同時加強數據的監管，人員監管與外部智能辨識，做好各個環節的相互支撐與防御。建立一條貫穿整個安全體系的數據通道，要從全面的數據安全系統入手，解決現有痼疾，打造出全新一代安全防御體系。

參考文獻：

[1]劉佳，杜雪濤，等.互聯網數據中心安全解決方案[J].電信工程技術與標準化，2010（2）.

[2]張志國.服務器虛擬化安全風險及其對策研究[J].晉中學院學報，2010（3）： 83-85.

[3]譚繼安.數字化校園數據中心安全問題研究[J].計算機安全，2011（05） .

[4]賴英旭，胡少龍，楊震.基于虛擬機的安全技術研究[J].中國科學技術大學學報，2011（10）.

[5]周曉艷.淺談數據中心的安全部署[J].科技創新導報，2012（12）.

[6]沈平，袁瑛.一種基于虛擬化技術構建的數字化校園方案[J].科技資訊，2012（02）.