高校虚拟化环境下的主机漏洞防护浅析

在传统的机房中，我们可以用交换机、路由器、防火墙、IPS等传统的安全设备实现各个安全功能。但在虚拟化的环境中，虚拟机之间的互相通讯直接通过虚拟化软件底层的虚拟交换机进行，如果攻击者使用某一台虚拟服务器攻击另外的虚拟服务器的话，我们在边界部署的IPS、防火墙以及用来侦测内部攻击的IDS都将失去作用。

事实上，针对虚拟化环境下的主机安全，我们需要用“虚拟化”的眼光来看待和思考。以VMware虚拟化软件举例，整个VMware的虚拟化系统中，所有的虚拟机VM是通过vSwitch虚拟交换机进行通讯的，VMware使用两组API来承载通信控制。其中VMsafe API负责和网络相关的通信，vShield Endpoint API负责和内容、应用相关的通信。如果我们能让安全软件嵌入到VMware的虚拟化软件底层且能够直接调用这两组API的话，虚拟化环境本身的安全包括虚拟服务器的安全不就可以实现了吗。

当然，我们知道虚拟化环境下，各虚拟服务器的资源利用率普遍会达到50%以上，这要比物理机时代的平均10%左右增加5倍。从这个角度来看，如果适用于虚拟化环境的安全软件是需要部署于每个虚拟机的话，我们需要慎重考虑。毕竟安全软件本身就是很耗资源且习惯“争抢”资源的，而安全软件的扫描、更新等更是极耗资源。

综上所述，解决虚拟化环境下的主机安全的最好方法是“无代理安全”，即在虚拟化软件的底层安装一个嵌入式软件，实现防火墙及IPS功能。这个无代理防火墙、IPS既可以控制各虚拟机之间及虚拟机与外界之间的通信，又可以不在各个虚拟服务器上安装代理的前提下对各个虚拟机实现定制化的IPS及防火墙策略。简单的说，在VMware的ESX上安装一台安全虚拟机，这台安全虚拟机可以针对ESX上虚拟出来的不同虚拟服务器及其上的应用实施不同的漏洞防护安全策略，同时也可以阻断虚拟机之间可能存在的互相攻击或者跳板式攻击。这种安全防护需要考虑到前文提到的虚拟化系统的资源利用率紧凑的问题，不能对虚拟化系统产生很大的资源负担。更重要的是，这种实施策略及防护的过程不能修改操作系统和数据库、中间件等应用的内核，不能产生“兼容性问题”，更不能重启动服务器。

我校目前虚拟化环境现有服务器包括九个UCS刀片、BladeCenter H的9个刀片。应用覆盖整个数字化校园，数据库采用Oracle，中间件采用IBMWAS。在依据《国家发展改革委办公厅关于组织实施2013年国家信息安全专项有关事项的通知》的第2点的（2）提到的“云操作系统安全加固和虚拟机安全管理产品”的规范，同时参考了福建省内其他兄弟单位及教育主管单位的实际案例。我们考察了趋势科技及其他几个厂商的产品，其中趋势科技的DeepSecurity有很大的优势，体现在以下几个方面：

1、产品功能全面，趋势科技的DeepSecurity能全面实现虚拟化环境的整体安全。

2、产品相对成熟， DeepSecurity产品从2006年推出至今，已经有很长的历史，而其他厂商的相似产品推出大多仅有一年甚至几个月。

3、应用案例很多，虚拟化及云计算的领军者VMware和Amazon自身也在使用趋势科技的DeepSecurity产品。在省内的兄弟高校及教育主管单位有成功的应用。

趋势科技的DeepSecurity以无代理的方式实现虚拟化环境的整体安全。以下是无代理安全的示意图：

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友