论文部分内容阅读
[摘 要]企业利用VMware虚拟化技术,实现了应用的高可用性、高可靠性,可为业务生产提供优质的服务,但虚拟化平台的安全问题凸显,基于此,本文探讨如何对虚拟化平台进行安全防护。
[关键词]虚拟化平台;企业;安全
doi:10.3969/j.issn.1673 - 0194.2017.14.029
[中图分类号]TP393.09;TP309 [文献标识码]A [文章编号]1673-0194(2017)14-00-02
企业现已利用虚拟化技术,包括服务器虚拟化、桌面虚拟化,实现了信息系统建设和日常办公。然而,在虚拟化技术大规模应用的同时,安全与合规一直是企业从实体机迁移到虚拟化过程中最关切的问题,也是信息管理部门推广、应用云环境的一个急需解决的问题。
1 乌鲁木齐石化公司虚拟化安全问题的解决方法
乌鲁木齐石化公司(简称“乌石化”)是中国石油下属的地区公司。其利用VMware虚拟化技术实现了合理部署与规划的数据中心,在用虚拟桌面大约有500个,而服务器虚拟化的虚机有200个左右,目前的安全方式主要受制于物理基础设施,需要依赖物理安全设备,如网络防火墙、传统的防病毒软件。虚拟平台所拥有的动态特性,即每个虚拟级的应用和服务都是可移动的,为了解决虚拟化的安全问题,其采用VMware vShield系列产品来改进安全模式。
1.1 VMware vShield
乌石化采用了vShield的产品,包括vShield App、vShield Edge和vShield Endpoint。这些组件提供了可感知的虚拟化防护功能,同时发挥了现有虚拟平台的云计算能力,并降低了乌石化安全基础部署的成本,进而加速了乌石化IT合规的进程。
VMware vShield是一套产品的总称,它提供了一个安全防护框架,可以将企业的安全防护设施进行整合,极大程度地减少了防护软件、安全策略以及安全设备的安装和部署。
VMware vShield是一套安全防护的管理程序。它是一个感知应用的防火墙,并以虚拟机的方式安装在每个ESXi的主机上,同时可以根据策略的不同,创建和实施一套符合逻辑,且是动态的应用程序边界,即可信区,而不是一个纯粹的物理边界。VMware vShield还引入了数据安全的功能,这是为了改善整个云环境安全性而设置的。数据安全能够让企业发现虚拟机内部存在的敏感数据,并对这些数据进行分类,数据安全暂时还未在乌石化应用。图1是乌石化现有虚拟化安全防护架构示意图。
借助VMware vShield App,整个虚拟化平台可以对应用程序和数据进行保护,免受外部网络的威胁,这个功能是通过提高分组能力、创建和管理更复杂、更细致的可信区来实现的。此外,VMware vShield App还能实现二层网络防火墙的功能,同时还支持第三方的入侵防护系统(IPS)。这个功能可以监控入侵,同时可自动隔离任何有问题的虚拟机。vShield Endpoint这个组件可以与病毒防护和恶意程序防护相集成。
乌石化虚拟化安全防护的特点:①利用vShield工具,从底层对虚拟化平台安全进行防护,避免每台虚拟机安装防护软件,占用虚拟资源;②高可用、负载均衡的设计,提高了防护平台的安全性和稳定性。
1.2 乌石化虚拟化安全防护系统的建设过程
乌石化虚拟化安全防护平台从建设到投用,总共经历了3个过程。
(1)截至2014年,乌石化完成了虚拟化平台的整体建设工作,但由于处在虚拟化使用的开始阶段,其没有搭建安全防护平台。
(2)2015年开始,由于虚拟应用大面积推广,出现了按传统PC机安装防护软件的方式,导致虚拟资源占用过大,同时所有虚拟机扫描病毒时形成了扫描风暴,致使虚拟机运行过慢等。
(3)2016年,乌石化开始搭建VMware vShield底层防护平台并投用。
2 虚拟化安全防护平台搭建过程中遇到的问题和解决方法
在安全防护系统搭建过程中,乌石化遇难到了一些问题。
2.1 平台的选择
针对VMware虚拟平台,其选择了VMware自己的vShield平台和趋势的Trend Micro Deep Security平臺,通过对两种平台的搭建和测试。在选择时的考虑:第一,由于vShield除了底层防护的功能还有虚拟交换机的功能,这能为乌石化虚拟桌面DHCP所用;第二,具体操作的运维人员对现有虚拟平台更加熟悉,更有利于运维工作的开展。最后乌石化还是选择了vShield平台。
2.2 用户理念的转变
安全防护平台虽然解决了企业对虚拟平台的关切,但与以往实体计算机在安全防护的操作习惯上还是不尽相同。传统实体计算机在安全防护上通常是安装防护软件进行实现,而对于虚拟平台所有安全防护软件的安装,在同一时间扫描病毒时,会对虚拟平台形成病毒扫描风暴,会造成虚拟机运行缓慢甚至瘫痪的问题。这就需要卸载传统意义上的安全防护软件,通过虚拟化底层来实现安全防护。为了让用户转变理念,乌石化做了以下工作:①通过宣传,使管理层对新技术、新应用进行认识;②提升虚拟平台运维人员安全防护的技术水平;③加大宣传力度,提高所有使用人员对新技术、新应用的认识。
3 结 语
VMware vShield套件的部署和应用,对乌石化现有的虚拟平台700多台虚机提供了底层安全防护,解决了企业迁移到云计算过程中最关切的问题。
主要参考文献
[1]百度文库.VMware vShield App 产品手册[EB/OL].(2011-07-28)
[2017-05-01].https://wenku.baidu.com/view/80cc2a21192e45361066f5ea.html.
[2]IT168文库.VMware vShield Zones组件及其工作原理[EB/OL].(2012-02-24)[2017-05-01].http://wenku.it168.com/d_128048.shtml.
[3]赵晟杰,罗海涛,覃琳.云计算网络安全现状与思考[C]//广西计算机学会2014年学术年会论文集,2014.
[4]张松,林树顺.基于云平台的安全移动应用研究与实践[C]//软件定义 面向未来——2014电力行业信息化年会论文集, 2014.
[5]陈红,任怡,刘晓建.云计算平台下计费机制研究[C]//CCF NCSC 2011——第二届中国计算机学会服务计算学术会议论文集, 2011.
[6]李焕,刘树吉,赵永彬,郭昊.电力企业云计算信息安全风险评估研究[C]// 2012年电力通信管理暨智能电网通信技术论坛论文集,2013.
[7]杨永艳,杨宁,冯鹏.大型企业云计算管理运营平台服务模式与技术架构研究[C]// 2013电力行业信息化年会论文集, 2013.
[8]王骞,邹联.企业信息系统云计算平台实施过程经验探讨[C]// 2013电力行业信息化年会论文集,2013.
[关键词]虚拟化平台;企业;安全
doi:10.3969/j.issn.1673 - 0194.2017.14.029
[中图分类号]TP393.09;TP309 [文献标识码]A [文章编号]1673-0194(2017)14-00-02
企业现已利用虚拟化技术,包括服务器虚拟化、桌面虚拟化,实现了信息系统建设和日常办公。然而,在虚拟化技术大规模应用的同时,安全与合规一直是企业从实体机迁移到虚拟化过程中最关切的问题,也是信息管理部门推广、应用云环境的一个急需解决的问题。
1 乌鲁木齐石化公司虚拟化安全问题的解决方法
乌鲁木齐石化公司(简称“乌石化”)是中国石油下属的地区公司。其利用VMware虚拟化技术实现了合理部署与规划的数据中心,在用虚拟桌面大约有500个,而服务器虚拟化的虚机有200个左右,目前的安全方式主要受制于物理基础设施,需要依赖物理安全设备,如网络防火墙、传统的防病毒软件。虚拟平台所拥有的动态特性,即每个虚拟级的应用和服务都是可移动的,为了解决虚拟化的安全问题,其采用VMware vShield系列产品来改进安全模式。
1.1 VMware vShield
乌石化采用了vShield的产品,包括vShield App、vShield Edge和vShield Endpoint。这些组件提供了可感知的虚拟化防护功能,同时发挥了现有虚拟平台的云计算能力,并降低了乌石化安全基础部署的成本,进而加速了乌石化IT合规的进程。
VMware vShield是一套产品的总称,它提供了一个安全防护框架,可以将企业的安全防护设施进行整合,极大程度地减少了防护软件、安全策略以及安全设备的安装和部署。
VMware vShield是一套安全防护的管理程序。它是一个感知应用的防火墙,并以虚拟机的方式安装在每个ESXi的主机上,同时可以根据策略的不同,创建和实施一套符合逻辑,且是动态的应用程序边界,即可信区,而不是一个纯粹的物理边界。VMware vShield还引入了数据安全的功能,这是为了改善整个云环境安全性而设置的。数据安全能够让企业发现虚拟机内部存在的敏感数据,并对这些数据进行分类,数据安全暂时还未在乌石化应用。图1是乌石化现有虚拟化安全防护架构示意图。
借助VMware vShield App,整个虚拟化平台可以对应用程序和数据进行保护,免受外部网络的威胁,这个功能是通过提高分组能力、创建和管理更复杂、更细致的可信区来实现的。此外,VMware vShield App还能实现二层网络防火墙的功能,同时还支持第三方的入侵防护系统(IPS)。这个功能可以监控入侵,同时可自动隔离任何有问题的虚拟机。vShield Endpoint这个组件可以与病毒防护和恶意程序防护相集成。
乌石化虚拟化安全防护的特点:①利用vShield工具,从底层对虚拟化平台安全进行防护,避免每台虚拟机安装防护软件,占用虚拟资源;②高可用、负载均衡的设计,提高了防护平台的安全性和稳定性。
1.2 乌石化虚拟化安全防护系统的建设过程
乌石化虚拟化安全防护平台从建设到投用,总共经历了3个过程。
(1)截至2014年,乌石化完成了虚拟化平台的整体建设工作,但由于处在虚拟化使用的开始阶段,其没有搭建安全防护平台。
(2)2015年开始,由于虚拟应用大面积推广,出现了按传统PC机安装防护软件的方式,导致虚拟资源占用过大,同时所有虚拟机扫描病毒时形成了扫描风暴,致使虚拟机运行过慢等。
(3)2016年,乌石化开始搭建VMware vShield底层防护平台并投用。
2 虚拟化安全防护平台搭建过程中遇到的问题和解决方法
在安全防护系统搭建过程中,乌石化遇难到了一些问题。
2.1 平台的选择
针对VMware虚拟平台,其选择了VMware自己的vShield平台和趋势的Trend Micro Deep Security平臺,通过对两种平台的搭建和测试。在选择时的考虑:第一,由于vShield除了底层防护的功能还有虚拟交换机的功能,这能为乌石化虚拟桌面DHCP所用;第二,具体操作的运维人员对现有虚拟平台更加熟悉,更有利于运维工作的开展。最后乌石化还是选择了vShield平台。
2.2 用户理念的转变
安全防护平台虽然解决了企业对虚拟平台的关切,但与以往实体计算机在安全防护的操作习惯上还是不尽相同。传统实体计算机在安全防护上通常是安装防护软件进行实现,而对于虚拟平台所有安全防护软件的安装,在同一时间扫描病毒时,会对虚拟平台形成病毒扫描风暴,会造成虚拟机运行缓慢甚至瘫痪的问题。这就需要卸载传统意义上的安全防护软件,通过虚拟化底层来实现安全防护。为了让用户转变理念,乌石化做了以下工作:①通过宣传,使管理层对新技术、新应用进行认识;②提升虚拟平台运维人员安全防护的技术水平;③加大宣传力度,提高所有使用人员对新技术、新应用的认识。
3 结 语
VMware vShield套件的部署和应用,对乌石化现有的虚拟平台700多台虚机提供了底层安全防护,解决了企业迁移到云计算过程中最关切的问题。
主要参考文献
[1]百度文库.VMware vShield App 产品手册[EB/OL].(2011-07-28)
[2017-05-01].https://wenku.baidu.com/view/80cc2a21192e45361066f5ea.html.
[2]IT168文库.VMware vShield Zones组件及其工作原理[EB/OL].(2012-02-24)[2017-05-01].http://wenku.it168.com/d_128048.shtml.
[3]赵晟杰,罗海涛,覃琳.云计算网络安全现状与思考[C]//广西计算机学会2014年学术年会论文集,2014.
[4]张松,林树顺.基于云平台的安全移动应用研究与实践[C]//软件定义 面向未来——2014电力行业信息化年会论文集, 2014.
[5]陈红,任怡,刘晓建.云计算平台下计费机制研究[C]//CCF NCSC 2011——第二届中国计算机学会服务计算学术会议论文集, 2011.
[6]李焕,刘树吉,赵永彬,郭昊.电力企业云计算信息安全风险评估研究[C]// 2012年电力通信管理暨智能电网通信技术论坛论文集,2013.
[7]杨永艳,杨宁,冯鹏.大型企业云计算管理运营平台服务模式与技术架构研究[C]// 2013电力行业信息化年会论文集, 2013.
[8]王骞,邹联.企业信息系统云计算平台实施过程经验探讨[C]// 2013电力行业信息化年会论文集,2013.