隨著數據中心服務器虛擬化的盛行，配置一個新的應用服務器只需要簡單的管理批準以及管理員的一些鼠標動作。虛擬化技術已經完全改變了數據中心的景觀。但是，伴隨虛擬化而來的除了高效與便捷，還有更為嚴峻的安全形式。與傳統的物理服務器是一個個單獨的點不同，虛擬化場景下vCenter就作為管理節點能夠控制和整合屬于其域內的虛擬機。也就是說，一旦vCenter被攻破，那么整個虛擬環境的安全將蕩然無存。那么，在保護虛擬化環境的問題上，方向就非常明顯，一定是虛擬主機優先。日前，在某省國土資源廳信息中心中，通過部署浪潮主機安全增強系統（以下簡稱：浪潮SSR），實現了虛擬主機服務器的安全加固防護，確保虛擬環境的安全。

跟上IT新趨勢卻埋下安全隱患

“當初在進行綜合電子政務業務規劃的時候，我們注意到現在服務器虛擬化的趨勢，也希望嘗試一下。因為在資源利用率提高和簡化系統管理方面確實比傳統架構表現出色。”該國土資源廳信息中心負責人表示，“但是沒有想到的是，虛擬化的架構帶來了新的安全隱患。”

讓該國土資源廳發愁的問題是在虛擬環境中，vCenter Server承擔了系統中的所有管理和控制功能，一旦出現問題，整個系統都將面臨巨大風險。但是目前的安全措施不足以保護vCenter Server的安全。

具體來說，使用vCenter Server可進行大規模的部署。可以使用向導或者模板，借助配置好的虛擬機，在較短的時間內部署大量的系統或主機，并且可以使用vCenter Server update manager對虛擬機和主機進行補丁升級安裝管理。使用vCenter Server 可進行動態分配資源，優化可用性和資源分配方式。 vCenter Server 可通過單一界面來配置和管理 vSphere 環境中的實時遷移、負載平衡、高可用性及容錯功能。使用vCenter Server 可進行大規模擴展，單個 vCenter Server 實例可管理多達1000 臺主機和10 000個虛擬機。

但是，與vCenter Server在系統中的超級權力相比，對它的防護措施卻顯得不足，傳統的安全策略是通過手工加固，保護存儲vCenter配置數據的數據庫和認證用戶身份的Active Directory兩個組件，雖然可以起到一定的防護作用，但是弱點明顯，主要原因是手工加固基于系統自身管理員來操作配置。系統管理員一權獨大，故意或者無意的錯誤操作都有可能造成系統損失。而且一旦某臺虛擬機受到攻擊并且把病毒感染給vCenter Server，那么攻擊者就可以通過控制vCenter Server在虛擬化環境中為所欲為，所有的安全策略都將失去防護效果。vCenter Server被惡意攻擊者控制，虛擬機中搭建的所有業務應用、存儲的所有重要數據將被非法獲取掌握，甚至可以刪除虛擬機，對系統造成毀滅性打擊。

“于是，我們開始尋找一套能夠保護vCenter Server的產品，希望從源頭上確保虛擬環境的安全。”該負責人說，“在考察了多款產品之后，我們發現浪潮SSR能夠解決我們的問題。”

浪潮SSR從源頭解決虛擬化安全困局

能夠解決虛擬主機的安全問題，是因為浪潮SSR基于ROST技術理論從系統層對操作系統進行加固，通過對文件、目錄、進程、注冊表和服務的強制訪問控制，有效的制約和分散原有系統管理員的權限，把普通的操作系統從體系上升級，達到安全系統層級。

針對系統管理員“一權獨大”的風險，浪潮SSR采用分權管理的機制，將原系統管理員權限分散為系統操作員、安全管理員和審計管理員，三個權限各司其職，互相制約，確保vCenter權限得到有效保護。

針對虛擬機遭到攻擊容易感染vCenter Server的問題，浪潮SSR對虛擬主機的數據庫文件進行保護，防止了非法使用數據庫、非法修改數據庫文件事件的發生，其完整的對比檢測機制，可以讓非法人員“進不來、拿不走、改不了、賴不掉”。而作為防護重點，虛擬主機中存放的重要數據，嚴禁拷貝、寫入等非法操作。這就為從根本上免疫了目前各種針對操作系統的攻擊行為，徹底防止了病毒、蠕蟲、黑客攻擊等對操作系統和數據庫的破壞。

“部署浪潮SSR之后，我們吃了一顆定心丸。”該負責人表示，“浪潮SSR幫我們抓住了虛擬環境的核心，確保了vCenter Server的安全，也就保證了整個虛擬系統不會出現系統性風險。”