论文部分内容阅读
摘要:随着教育信息化的飞速发展,数据中心的虚拟化建设已成为高校信息化的工作重点和核心,本文就虚拟化数据中心的安全防范方面进行研究和探索。
关键词:虚拟化;数据中心;安全
● 前言
据一项新的研究报告显示,随着高校数据中心全面虚拟化的投资力度加大,将面临着十分急迫的网络运行和安全挑战。
因为在虚拟环境中,虚拟机有移动空间来优化硬件、网络带宽和可用的处理能力,但在提升处理能力的同时,也使管理环境更加复杂。当设定一个具有成本效益且有效的方式来提升数据中心的虚拟化构想时,安全就是一个大问题,在组织中需要专门配置用于检查流入和流出数据的技术虚拟机。而且,物理防火墙通常不能用来处理运行多个虚拟服务器管理程序的流量,因此虚拟机管理程序在调整时所做的保护措施是必要的。
● 安全隐患原因分析
1.资源较高的利用率
虚拟化技术的应用,提高了服务器的利用效率和灵活性,但同时也导致服务器负载过重,运行性能下降。虚拟化后多个应用集中在一台服务器上,当物理服务器出现重大硬件故障时,就是相当严重的风险集中问题。虚拟化的本质是应用只与虚拟层交互,而与真正的硬件隔离,这将导致安全管理人员看不到设备背后的安全风险,服务器变得更加不固定和不稳定。
2.网络架构的改变
虚拟化技术改变了网络结构,引发了新的安全风险。在部署虚拟化技术之前,可在防火墙上建立多个隔离区,对不同的物理服务器采用不同的访问控制规则,可有效保证将攻击限制在一个隔离区内,而在部署虚拟化技术后,一台虚拟机失效,则可能通过网络将安全问题扩散到其他虚拟机。
3.物理安全监管的脱离
一台物理机上可以创建多个虚拟机,且可以随时创建,也可被下载到桌面系统,常驻内存,可以脱离物理安全监管的范畴。很多安全标准是依赖于物理环境发挥作用的,外部的防火墙和异常行为监测等都需要物理服务器的网络流量,有时虚拟化会绕过安全措施。存在异构存储平台的无法统一安全监控和无法将有效资源隔离的风险。
4.虚拟环境
黑客通过控制管理层,可以控制物理服务器上的所有虚拟机,而管理程序上运行的任何操作系统都很难侦测到流氓软件等的威胁。
虚拟机溢出的漏洞能够导致黑客威胁到特定的虚拟机,将黑客攻击从虚拟服务器升级到控制底层的管理程序。
物理服务器上安装多个虚拟机后,每个虚拟服务器都需要定期进行补丁更新、维护,大量的打补丁工作会导致不能及时补漏而产生安全威胁。
● 安全防范体系的建立
为了及时消除虚拟化数据中心的安全隐患,为核心数据提供可靠、便捷的使用环境,建立严格的预防体系势在必行。
1.建立严密的内、外网管理体制
能够严格地按区域划分,不同的租户,不同的应用划分至不同的安全域,使用安全产品进行隔离与保护;部署端到端的安全防御手段,如运行在VM上的安全设备,可以将防御能力部署到每一台物理服务器上;对网络访问行为进行严格管理,通过技术和管理手段规范BYOD行为,对僵尸网络、网络滥用等进行有效防御;使用多功能安全网关来替代传统防火墙。在保护业务流量时,出于性能考虑,可能只会用到防火墙、IPS等功能,但在保护管理流量时,可启用二至七层的多种安全功能。业务流和管理流划分至不同的虚拟设备中,保证各自的独立性。
2.建立全方位防御零日攻击体系
针对系统缺陷的应用攻击已成为数据中心面临的主要威胁。而漏洞发现到被攻击的时间跨度越来越短,使数据中心不能依赖单一功能的安全设备,尤其是仅仅基于特征防御的安全产品。必须集多种安全特性,并结合应用层防御技术(如web应用防护、数据安全等),各项安全技术有机结合,互相保护,时刻监控并防御APT攻击的各种入侵手段,才能打造一个全方位立体安全体系。
传统的基于签名的检测方法对于零日攻击的防护并没有起到很好的效果,可以通过虚拟现实的环境来检查未知恶意软件,对于未知威胁或者零日攻击的防护,借用大数据分析的方式,对行为进行主动识别,将是下一个发展方向。当然,如果要将全部的判断都基于行为是否异常来进行,在建模和大数据的分析上都是难点。
3.构建DDoS分层防御网体系
防火墙与入侵检测IPS通常串行部署在网络下游的网关位置,是基于状态检测的访问控制系统,目前市场上很多厂商的防火墙中都含有Anti-DDoS功能,对于DDoS的防护,必须要使用专用的Anti-DDoS设备或专门的板卡。DDoS防护的最佳实践应该是流量清洗中心与运营商BGP路由调度控制。
从业界统计分析的数据来看,数据中心发生的攻击90%以上不足以造成数据中心出口带宽拥塞,基本是以业务瘫痪型攻击为主,只有不到10%的攻击是将数据中心的链路完全拥塞的。因此,如果是应用型的DDoS攻击,由于流量在本地带宽控制以内,所以本地清洗即可,一旦遇到针对基础设施的大流量拥塞型泛洪攻击,在链路上游的清洗还是必要手段。可以实行分层防御,将数据中心侧和运营商侧进行联动,即运营商侧管道拥塞型攻击,数据中心侧防范业务瘫痪型DDoS攻击。云清洗是DDoS防护的大趋势,DDoS攻击者手法多,变化快,时常需要定制正则语法来清洗,大规模攻击的清洗位置越靠近上游越好。云清洗服务商需要具备自治域AS号进行BGP路由调度控制与DNS全网策略控制能力,才能带来良好的网络服务品质。
● 结束语
在大数据发展的驱动下,未来虚拟化数据中心面临着更大的安全问题,未来防火墙将朝着两个方面快速发展。一是虚拟化数据中心中,用户访问数据中心,以及数据中心直接的访问流量都会使南北向流量继续增长,导致数据中心出口带宽流量由目前的超过200Gbps,到2015年将接近1Tbps的水平。二是数据中心中的应用类型变得越来越多样化。数据中心流量传输不仅会在用户与设备间,也可能存在于用户与用户间,以及设备与设备之间,接入数据中心的设备类型也变得更加多样化。同时,伴随虚拟化的发展,业务模型进一步复杂化了。作为放置在数据中心出口的防火墙,需要适应在更加复杂的应用流量模型下提供更高的处理性能,以适应大数据的发展。
在未来的虚拟化数据中心安全防范中,必须建立起合理的逻辑监管程序,全面化数据处理模型,标准化信息配置,同时加强数据的监管,人员监管与外部智能辨识,做好各个环节的相互支撑与防御。建立一条贯穿整个安全体系的数据通道,要从全面的数据安全系统入手,解决现有痼疾,打造出全新一代安全防御体系。
参考文献:
[1]刘佳,杜雪涛,等.互联网数据中心安全解决方案[J].电信工程技术与标准化,2010(2).
[2]张志国.服务器虚拟化安全风险及其对策研究[J].晋中学院学报,2010(3): 83-85.
[3]谭继安.数字化校园数据中心安全问题研究[J].计算机安全,2011(05) .
[4]赖英旭,胡少龙,杨震.基于虚拟机的安全技术研究[J].中国科学技术大学学报,2011(10).
[5]周晓艳.浅谈数据中心的安全部署[J].科技创新导报,2012(12).
[6]沈平,袁瑛.一种基于虚拟化技术构建的数字化校园方案[J].科技资讯,2012(02).
关键词:虚拟化;数据中心;安全
● 前言
据一项新的研究报告显示,随着高校数据中心全面虚拟化的投资力度加大,将面临着十分急迫的网络运行和安全挑战。
因为在虚拟环境中,虚拟机有移动空间来优化硬件、网络带宽和可用的处理能力,但在提升处理能力的同时,也使管理环境更加复杂。当设定一个具有成本效益且有效的方式来提升数据中心的虚拟化构想时,安全就是一个大问题,在组织中需要专门配置用于检查流入和流出数据的技术虚拟机。而且,物理防火墙通常不能用来处理运行多个虚拟服务器管理程序的流量,因此虚拟机管理程序在调整时所做的保护措施是必要的。
● 安全隐患原因分析
1.资源较高的利用率
虚拟化技术的应用,提高了服务器的利用效率和灵活性,但同时也导致服务器负载过重,运行性能下降。虚拟化后多个应用集中在一台服务器上,当物理服务器出现重大硬件故障时,就是相当严重的风险集中问题。虚拟化的本质是应用只与虚拟层交互,而与真正的硬件隔离,这将导致安全管理人员看不到设备背后的安全风险,服务器变得更加不固定和不稳定。
2.网络架构的改变
虚拟化技术改变了网络结构,引发了新的安全风险。在部署虚拟化技术之前,可在防火墙上建立多个隔离区,对不同的物理服务器采用不同的访问控制规则,可有效保证将攻击限制在一个隔离区内,而在部署虚拟化技术后,一台虚拟机失效,则可能通过网络将安全问题扩散到其他虚拟机。
3.物理安全监管的脱离
一台物理机上可以创建多个虚拟机,且可以随时创建,也可被下载到桌面系统,常驻内存,可以脱离物理安全监管的范畴。很多安全标准是依赖于物理环境发挥作用的,外部的防火墙和异常行为监测等都需要物理服务器的网络流量,有时虚拟化会绕过安全措施。存在异构存储平台的无法统一安全监控和无法将有效资源隔离的风险。
4.虚拟环境
黑客通过控制管理层,可以控制物理服务器上的所有虚拟机,而管理程序上运行的任何操作系统都很难侦测到流氓软件等的威胁。
虚拟机溢出的漏洞能够导致黑客威胁到特定的虚拟机,将黑客攻击从虚拟服务器升级到控制底层的管理程序。
物理服务器上安装多个虚拟机后,每个虚拟服务器都需要定期进行补丁更新、维护,大量的打补丁工作会导致不能及时补漏而产生安全威胁。
● 安全防范体系的建立
为了及时消除虚拟化数据中心的安全隐患,为核心数据提供可靠、便捷的使用环境,建立严格的预防体系势在必行。
1.建立严密的内、外网管理体制
能够严格地按区域划分,不同的租户,不同的应用划分至不同的安全域,使用安全产品进行隔离与保护;部署端到端的安全防御手段,如运行在VM上的安全设备,可以将防御能力部署到每一台物理服务器上;对网络访问行为进行严格管理,通过技术和管理手段规范BYOD行为,对僵尸网络、网络滥用等进行有效防御;使用多功能安全网关来替代传统防火墙。在保护业务流量时,出于性能考虑,可能只会用到防火墙、IPS等功能,但在保护管理流量时,可启用二至七层的多种安全功能。业务流和管理流划分至不同的虚拟设备中,保证各自的独立性。
2.建立全方位防御零日攻击体系
针对系统缺陷的应用攻击已成为数据中心面临的主要威胁。而漏洞发现到被攻击的时间跨度越来越短,使数据中心不能依赖单一功能的安全设备,尤其是仅仅基于特征防御的安全产品。必须集多种安全特性,并结合应用层防御技术(如web应用防护、数据安全等),各项安全技术有机结合,互相保护,时刻监控并防御APT攻击的各种入侵手段,才能打造一个全方位立体安全体系。
传统的基于签名的检测方法对于零日攻击的防护并没有起到很好的效果,可以通过虚拟现实的环境来检查未知恶意软件,对于未知威胁或者零日攻击的防护,借用大数据分析的方式,对行为进行主动识别,将是下一个发展方向。当然,如果要将全部的判断都基于行为是否异常来进行,在建模和大数据的分析上都是难点。
3.构建DDoS分层防御网体系
防火墙与入侵检测IPS通常串行部署在网络下游的网关位置,是基于状态检测的访问控制系统,目前市场上很多厂商的防火墙中都含有Anti-DDoS功能,对于DDoS的防护,必须要使用专用的Anti-DDoS设备或专门的板卡。DDoS防护的最佳实践应该是流量清洗中心与运营商BGP路由调度控制。
从业界统计分析的数据来看,数据中心发生的攻击90%以上不足以造成数据中心出口带宽拥塞,基本是以业务瘫痪型攻击为主,只有不到10%的攻击是将数据中心的链路完全拥塞的。因此,如果是应用型的DDoS攻击,由于流量在本地带宽控制以内,所以本地清洗即可,一旦遇到针对基础设施的大流量拥塞型泛洪攻击,在链路上游的清洗还是必要手段。可以实行分层防御,将数据中心侧和运营商侧进行联动,即运营商侧管道拥塞型攻击,数据中心侧防范业务瘫痪型DDoS攻击。云清洗是DDoS防护的大趋势,DDoS攻击者手法多,变化快,时常需要定制正则语法来清洗,大规模攻击的清洗位置越靠近上游越好。云清洗服务商需要具备自治域AS号进行BGP路由调度控制与DNS全网策略控制能力,才能带来良好的网络服务品质。
● 结束语
在大数据发展的驱动下,未来虚拟化数据中心面临着更大的安全问题,未来防火墙将朝着两个方面快速发展。一是虚拟化数据中心中,用户访问数据中心,以及数据中心直接的访问流量都会使南北向流量继续增长,导致数据中心出口带宽流量由目前的超过200Gbps,到2015年将接近1Tbps的水平。二是数据中心中的应用类型变得越来越多样化。数据中心流量传输不仅会在用户与设备间,也可能存在于用户与用户间,以及设备与设备之间,接入数据中心的设备类型也变得更加多样化。同时,伴随虚拟化的发展,业务模型进一步复杂化了。作为放置在数据中心出口的防火墙,需要适应在更加复杂的应用流量模型下提供更高的处理性能,以适应大数据的发展。
在未来的虚拟化数据中心安全防范中,必须建立起合理的逻辑监管程序,全面化数据处理模型,标准化信息配置,同时加强数据的监管,人员监管与外部智能辨识,做好各个环节的相互支撑与防御。建立一条贯穿整个安全体系的数据通道,要从全面的数据安全系统入手,解决现有痼疾,打造出全新一代安全防御体系。
参考文献:
[1]刘佳,杜雪涛,等.互联网数据中心安全解决方案[J].电信工程技术与标准化,2010(2).
[2]张志国.服务器虚拟化安全风险及其对策研究[J].晋中学院学报,2010(3): 83-85.
[3]谭继安.数字化校园数据中心安全问题研究[J].计算机安全,2011(05) .
[4]赖英旭,胡少龙,杨震.基于虚拟机的安全技术研究[J].中国科学技术大学学报,2011(10).
[5]周晓艳.浅谈数据中心的安全部署[J].科技创新导报,2012(12).
[6]沈平,袁瑛.一种基于虚拟化技术构建的数字化校园方案[J].科技资讯,2012(02).