近年來,福建中醫藥大學加強了數據中心的安全防護建設,先后部署了安全網關、WEB應用防護,防病毒軟件等安全系統,基本實現了物理邊界安全及終端安全。但由于虛擬化系統本身的特性,如何實現虛擬化系統的主機漏洞防護面臨著挑戰。
福建中醫藥大學原名福建中醫學院,創建于1958年,是我國創辦較早的高等中醫藥院校之一,是福建省重點建設高校,2010年3月經教育部批準更名為福建中醫藥大學。學校擁有國家中醫藥管理局重點學科20個,福建省重點學科12個。
福建中醫藥大學校園計算機網絡建于1998年,2002年配合“數字福建”建設規劃,擬定《“數字福建中醫學院”建設規劃草案》。2004年制定《福建中醫學院數字化校園建設總體規劃》,同年立項建設。2007年完成數字化校園建設招標,同年10月統一身份認證、信息門戶、數據共享和辦公自動化系統首先投入使用,隨后其它系統也相繼投入使用至今。
我校校園信息化項目經過多年的建設,現有數十臺機架式服務器及刀片式服務器、多套存儲硬件,通過虛擬化部署,承載數字化校園、網站群系統等眾多應用,數據級容災跨兩個校區,覆蓋Linux/Windows兩大平臺的數據庫、中間件等等。
近年來,我校加強了數據中心的安全防護建設,先后部署了安全網關、WEB應用防護,防病毒軟件等安全系統,基本實現了物理邊界安全及終端安全。但由于虛擬化系統本身的特性,如何實現虛擬化系統的主機漏洞防護面臨著挑戰。
不管是物理服務器還是虛擬服務器,其上的操作系統包括各種數據庫、中間件等等應用都可能存在安全漏洞,黑客或者病毒等可以通過這些漏洞攻擊服務器。這種攻擊的過程一般如下圖1所示:
圖1:利用漏洞實施攻擊流程
針對服務器的漏洞,如果用打實體補丁的方法解決,需要與涉及的所有第三方應用軟件開發商協調及確認應用軟件的兼容性,且很多補丁修補都需要重啟動服務器。這種做法每年集中做一次兩次可以,但和安全漏洞同步執行恐怕不太現實。目前的現狀是,我們一般會使用網絡IPS設備對一些重要的安全漏洞做策略阻止。但附加在IPS上的策略數量過多的話,IPS性能將不敷使用。實際上,這種方法也只能針對有限的幾種安全漏洞設定策略阻止,相對于各種操作系統及應用軟件存在的幾千種安全漏洞來說,無異于杯水車薪。針對這種困境,對主機安全有更高要求的使用者一般會在網絡IPS以外再實施主機防火墻及主機IPS系統,在每臺服務器上部署主機加固軟件,將大部分IPS策略分擔到各臺主機上,這樣的話,由于每臺獨立的主機上的操作系統及應用是有限的,其上的主機IPS需要承載的策略并不會很多,基本可以滿足安全的需要。
在傳統的機房中,我們可以用交換機、路由器、防火墻、IPS等傳統的安全設備實現各個安全功能。但在虛擬化的環境中,虛擬機之間的互相通訊直接通過虛擬化軟件底層的虛擬交換機進行,如果攻擊者使用某一臺虛擬服務器攻擊另外的虛擬服務器的話,我們在邊界部署的IPS、防火墻以及用來偵測內部攻擊的IDS都將失去作用。
事實上,針對虛擬化環境下的主機安全,我們需要用“虛擬化”的眼光來看待和思考。以VMware虛擬化軟件舉例,整個VMware的虛擬化系統中,所有的虛擬機VM是通過vSwitch虛擬交換機進行通訊的,VMware使用兩組API來承載通信控制。其中VMsafe API負責和網絡相關的通信,vShield Endpoint API負責和內容、應用相關的通信。如果我們能讓安全軟件嵌入到VMware的虛擬化軟件底層且能夠直接調用這兩組API的話,虛擬化環境本身的安全包括虛擬服務器的安全不就可以實現了嗎。
當然,我們知道虛擬化環境下,各虛擬服務器的資源利用率普遍會達到50%以上,這要比物理機時代的平均10%左右增加5倍。從這個角度來看,如果適用于虛擬化環境的安全軟件是需要部署于每個虛擬機的話,我們需要慎重考慮。畢竟安全軟件本身就是很耗資源且習慣“爭搶”資源的,而安全軟件的掃描、更新等更是極耗資源。
綜上所述,解決虛擬化環境下的主機安全的最好方法是“無代理安全”,即在虛擬化軟件的底層安裝一個嵌入式軟件,實現防火墻及IPS功能。這個無代理防火墻、IPS既可以控制各虛擬機之間及虛擬機與外界之間的通信,又可以不在各個虛擬服務器上安裝代理的前提下對各個虛擬機實現定制化的IPS及防火墻策略。簡單的說,在VMware的ESX上安裝一臺安全虛擬機,這臺安全虛擬機可以針對ESX上虛擬出來的不同虛擬服務器及其上的應用實施不同的漏洞防護安全策略,同時也可以阻斷虛擬機之間可能存在的互相攻擊或者跳板式攻擊。這種安全防護需要考慮到前文提到的虛擬化系統的資源利用率緊湊的問題,不能對虛擬化系統產生很大的資源負擔。更重要的是,這種實施策略及防護的過程不能修改操作系統和數據庫、中間件等應用的內核,不能產生“兼容性問題”,更不能重啟動服務器。
我校目前虛擬化環境現有服務器包括九個UCS刀片、BladeCenter H的9個刀片。應用覆蓋整個數字化校園,數據庫采用Oracle,中間件采用IBMWAS。在依據《國家發展改革委辦公廳關于組織實施2013年國家信息安全專項有關事項的通知》的第2點的(2)提到的“云操作系統安全加固和虛擬機安全管理產品”的規范,同時參考了福建省內其他兄弟單位及教育主管單位的實際案例。我們考察了趨勢科技及其他幾個廠商的產品,其中趨勢科技的DeepSecurity有很大的優勢,體現在以下幾個方面:
1、產品功能全面,趨勢科技的DeepSecurity能全面實現虛擬化環境的整體安全。
2、產品相對成熟, DeepSecurity產品從2006年推出至今,已經有很長的歷史,而其他廠商的相似產品推出大多僅有一年甚至幾個月。
3、應用案例很多,虛擬化及云計算的領軍者VMware和Amazon自身也在使用趨勢科技的DeepSecurity產品。在省內的兄弟高校及教育主管單位有成功的應用。
趨勢科技的DeepSecurity以無代理的方式實現虛擬化環境的整體安全。以下是無代理安全的示意圖:
圖2:無代理安全示意圖
通過在虛擬化環境部署趨勢科技的DeepSecurity,我們可以在VMware的vCenter中直接調用DeepSecurity的控制臺,對虛擬化環境做一次主機漏洞掃描,再應用DeepSecurity根據掃描后的結果給的“虛擬補丁”推薦策略,即可對整個虛擬化環境的主機漏洞作統一的漏洞防護。當然,我們也可以額外制定自己的防護策略。以上過程只需鼠標操作,不需要管理員自行編寫任何防護策略,節約了大量時間,也不需要過于專業的知識。
IT技術日新月異,高校信息化建設的虛擬化時代的來臨不可抗拒。如何在新的時代、新的技術體系架構下考慮高校網絡的安全是每個高校IT管理者的責任。面對新技術、新架構帶來的挑戰,我們只能在分析并掌握新技術原理的前提下重新考慮我們的網絡安全體系,才能面對最新的網絡安全威脅,讓信息技術更好的服務于高校的建設與發展。
京公網安備 11010502049343號