虛擬化數據中心安全設計研究

鄧湘勤，倪 瑞

（1.國能大渡河大數據服務有限公司，四川 成都 610041；2.國能大渡河流域水電開發有限公司大數據公司，四川 成都 610041）

20世紀60年代，IBM公司首次提出了虛擬化技術概念，并對其進行了小范圍應用。進入到70年代后，美國發明了互聯網技術，并在隨后的20年間，對其進行了全球化的推廣應用，推動了虛擬化技術在互聯網中的運用。自從2012年全球開啟以工業4.0為目標的新一輪工業化改革以來，促進了大數據技術、云計算技術的應用，由此，在較大范圍內實現了虛擬化數據中心建設。由于虛擬化數據中心應用時存在諸多安全風險，所以在應用時需要配套地做好安全設計，防范各種風險[1]。

1 虛擬化數據中心概述

虛擬化數據中心（VDC）也稱虛擬數據中心，主要是指在數據中心中通過應用云計算概念構建的數據中心形態兼具科學技術與管理技術特征，能夠在數據中心部署方面實現自動化，在資源分配與調度上保障動態性[2]。

目前，對于虛擬化數據中心的建設包括對服務器的虛擬化、對網絡的虛擬化，適用于桌面、統一通信等。虛擬化數據中心基本架構一般由存儲設備、存儲虛擬平臺、服務器構成（見圖1）。實踐經驗表明，該技術應用后能利用系統控制方法完成對邏輯資源的統一整合，從而使服務器、存儲器、網絡在不占用計算機內存的情況下，借助統一存儲、策略管理提高數據中心的使用效率，擴展其應用范圍。整體上看，該技術的應用仍處于初級階段，但是在微觀實踐層面，已經應用到了各行業諸領域[3]。

圖1 虛擬化數據中心（VDC）示意

2 虛擬化數據中心安全風險

2.1 網絡架構風險

在常用的數據中心中主要通過建立隔離區的辦法來降低風險，常用的方法是于防火墻中建立數量不等的隔離區，然后借助訪問控制規則限制各類物理服務器訪問，從而在隔離區內實現對攻擊的有效限制。但是在應用虛擬化技術對數據中心進行處理后形成的虛擬化數據中心對原來的網絡結構進行了改變，此時部署的虛擬機始終處于關聯狀態，一旦其中的某個虛擬機發生安全風險，均會通過網絡路徑，將這種風險擴散到相關聯的虛擬機中，進而造成更大的風險。

2.2 資源利用風險

虛擬數據中心的主要優勢集中在對資源的統一融合、高效利用方面，然而在提升服務器利用率與靈活性后，服務器需要承擔更大的負載，進而降低運行性能。目前實踐中常用的方案是將虛擬化的各類應用統一到一臺服務器，此時并不能排除物理服務器中的故障，主要為硬件故障，因此，當服務器風險集中后會加重其發生故障的概率與嚴重程度。另外在虛擬化處理條件下，虛擬層之間的應用與交互，硬件與虛擬機之間存在隔離，管理人員只能對物理服務器中的風險進行監測、預防，并不能對物理服務器背后的風險做出有效評估，所以在這種情況下服務器的穩定性會隨之下降。

2.3 安全監管風險

虛擬機的創建具有實時性、靈活性、可下載性等多種特征，當某臺物理機上創建了多個虛擬機并且下載到了桌面系統之后，可以形成一個脫離了物理安全監管范圍的“常駐內存”。可是在實際的安全監管中主要圍繞物理環境展開，一旦虛擬機脫離這種物理環境，就能夠繞開物理服務器中設置的防火墻與監測異常行為的系統，并且在存儲平臺方面的異構特征，造成了資源隔離困難、安全監管不能統一的情況。此時安全監管中的面臨的風險相對較大。

2.4 虛擬環境風險

以黑客攻擊為例，黑客只需對管理層進行控制，即可實現對所有虛擬機的控制，而且在較難偵測的情況下，黑客可以將各種不同用途的“流氓軟件”“木馬病毒”安裝到虛擬化數據中心，從而實現對數據的竊取、破壞、篡改、控制等。以虛擬機的溢出為例，在溢出的同時產生了各種漏洞，黑客容易抓住這種漏洞，針對相應的虛擬機開啟攻擊，并逐層實現對底層管理程序的完全控制。以虛擬機跳躍為例，會導致攻擊跳轉，為黑客攻擊提供便利路徑。以補丁安全風險為例，虛擬機運行中要求定期安裝補丁，并對其開展更新、維護、修補。當補丁維護不及時，會出現不同種類、不同程度的安全漏洞，此時受到攻擊后，攻擊者可以利用虛擬機對主機執行“惡意代碼”等。

3 虛擬化數據中心安全設計

3.1 安全設計需求

虛擬化數據中心中受到主機動態遷移與業務混存的影響，需要同時解決這兩個問題，從常用的處理方案看，在前一個方面主要是在安全模型中完成主機動態遷移到其他物理服務器；在后一個方面則需要采用安全隔離完成相關處理[4]。

從安全設計需求的方面看，主要包括了三類需求：一是對用戶、業務、應用進行通道隔離；二是實施對集群中成員動態加入、離開、遷移方面的接入控制；三是以虛擬機的遷移為主，保障動態網絡安全策略的有效實施。所以在虛擬數據中心可以創建滿足其安全需求的三維安全模型，具體如下：一是在縱向訪問中可以借助L1級別的Web-AP-DB等，對不同區進行訪問的同一應用設置通道隔離；二是在橫向訪問中，利用高級別的L2完成對不同應用在同一級別中的訪問控制。由于不同級別之間通常禁止訪問，因此可以通過安全策略動態遷移方案，保障其訪問安全性。三是需要做好接入控制，保障網絡安全策略的支撐性能。見圖2。

圖2 虛擬數據中心安全模型

3.2 安全設計實踐

3.2.1 網絡架構設計

在虛擬化數據中心網絡架構安全設計方面，可以將多臺網絡設備進行虛擬化處理，具體可以借助IRF（Intelligent Resilient Framework）技術將其虛擬化為一臺設備，進而對其實施一體化的使用與管理。這種基于IRF技術的無環設計方案可以在較大程度上提高其可用性[5]。從應用設計原則看，主要是通過匯聚交換機堆疊辦法，在不同的交換機上接入服務器雙網卡，然后，利用端口捆綁技術完成對二層交換機的捆綁連接，使物理端口負載趨于均衡水平，并保障冗余備份功能的實現。除此之外，還需要借助模塊化、層次化設置，使應用核心區、數據中心核心區實現全面關聯，形成邊緣區域到核心區域的關聯應用。分層的模塊化設計見圖3。

圖3 虛擬化數據中心分層模塊化設計示意

3.2.2 安全部署設計

首先，劃分出接入層、匯聚層，然后通過低級別的L1（作為接入層，包括Web區、AP區、DB區）、中級別的L3、高級別的L2對匯聚層進行級別區分，按照低級別應用服務器、中級別應用服務器、高級別應用服務器進行設置。例如，在低級別應用服務器中，在匯聚交換機上設置網關，這樣可以通過交換機中的ACL進行有效控制。在中級別應用服務器上，則可以在基本的網關設置基礎上，在縱向訪問上設置防火墻體，并通過交換機上的ACL控制橫向訪問。在高級別應用服務器方面，對網關、橫向訪問、縱向訪問，均可以通過設置防火墻完成安全部署設計。這樣將匯聚層、接入層關聯后，就可以實現對不同級別業務中的風險進行有效管控（見圖4）。其次，可以通過服務器網關設置在防火墻與匯聚交換機上的兩種不同工作模式，一方面保障同一業務、不同業務互訪時的訪問控制與邊界安全控制，另一方面達到對分區互訪時的有效隔離與訪問控制。

圖4 網關安全控制模型示意（不同涉密等級）

3.2.3 動態遷移策略

虛擬化數據中心的安全策略實施思路是，以不同類型的應用系統為對象，設計針對不同級別的安全策略。所以當對虛擬環境中服務器與應用系統進行匹配、遷移時，需要改變、調整匹配的安全策略。在具體操作中，一般采用虛擬機軟件保障虛擬機軟件實現服務器上虛擬機制創建與快速遷移。需要注意的是，在實時遷移的動態安全策略中，虛擬機、服務器、網絡配置、虛擬機業務均需要進行連續遷移。由于該技術屬于虛擬化數據中心建設中的常用技術，因而比較容易實現。從實踐經驗看，通常是選擇VPORT概念，將1個或多個VPORT綁扎在虛擬機上，此時虛擬機發生遷移，鄰接的物理交換機上也能夠同步地將相關網絡配置綁定在VPORT上，從而在滿足各種遷移對象連續性遷移的同時不影響其他虛擬機綁定的VPORT。

3.2.4 存儲安全保護

在虛擬化數據中心的存儲應用中，存在多個虛擬對象（如NAS、FC SAN、IP SAN等），此時為了保障虛擬化管理軟件對此類對象的統一管理、全面管理，在用戶管理界面需要對底層對象的差異性進行屏蔽，并借助上層應用封裝的辦法達到管理界面的統一。常用存儲安全保護方法主要借助主機授權—用戶認證—用戶授權，對存儲資源進行有效的隔離，并保障訪問時安全控制。在虛擬存儲應用方面，則可以進一步利用虛擬機技術中的行為監控技術，對上層操作系統硬件的現實場景訪問行為進行獲取、監測，從而規避“惡意代碼”的執行造成的操作系統受攻擊問題。除此之外，通過部署基于存儲的獨立性入侵檢測系統，也能夠對相關設備中的讀寫操作進行特征抓取、行為分析，進而結合掃描檢測對其中的文件屬性、文件模式、文件結構等開展設定后的自動化檢測，及時發現異常情況并進行有效處理。

4 結束語

總之，虛擬化數據中心內涵豐富、比較優勢明顯，適用于各行業諸領域的數據中心轉型升級與業務管理，因此，在我國經濟高質量發展階段，需要進一步加強對虛擬化數據中心的研討。通過以上初步分析可以看出，在虛擬化數據中心建設與應用中，存在來自網絡結構變化、高資源利用率、虛擬軟件監管，以及虛擬環境方面的各種安全風險。所以在應用該技術時，一方面要提升建設方面的水平，另一方面則應該結合數據中心虛擬化處理后存在的安全問題及風險，通過配套的安全設計，保障虛擬化數據中心建設與使用的安全性。■