云环境下资源池的防护系统设计与实现.docVIP

云环境下资源池的防护系统设计与实现 　　【摘 要】为了解决云环境下的安全防护问题，通过分析传统防护方案存在的不足，并对云环境下资源池的架构进行研究，提出了无代理病毒防护设计、无代理防火墙的设计和无代理入侵检测/防护的设计等关键技术解决方案。经过实际性能测试验证，无代理方案的性能表现明显优于传统防护方案，可为电信运营商在云环境下的资源池提供有效的安全防护。 　　【关键词】云资源池 VMware 无代理 入侵检测系统 入侵防护系统 　　doi：10.3969/j.issn.1006-1010.2016.20.018 中图分类号：TP391 文献标志码：A 文章编号：1006-1010（2016）20-0092-05 　　1 引言 　　随着云计算及虚拟化技术快速演进，大量的数据中心服务器工作负荷将实现虚拟化。通常的部署方式是在单一物理系统中运行多个虚拟机，从而使资源得到更高效的利用，这样就可以大幅削减设备的资本支出、降低与电力和冷却相关的能源成本以及节省物理空间。根据Gartner统计报告，到2016年为止80%的服务器将采用虚拟化部署。 　　虚拟环境下的服务器和虚拟桌面仍然会碰到与传统物理计算机相同的安全性问题，如病毒、蠕虫、木马程序和恶意软件的入侵。并且虚拟环境更加复杂，安全防护需要考虑虚拟机的密度、虚拟机的启动间隙防护、虚拟机之间的攻击、虚拟机的管理复杂性等。由于大量使用了虚拟化技术，使得过去常规的安全手段已经无法有效解决日益突出的安全问题，所以在虚拟环境下的服务器需要考虑如何有效地进行安全防范。 　　2 传统安全防护存在的问题 　　传统的针对病毒防护解决方案都是通过安装代理程序（Agent）到虚拟主机的操作系统中，在服务器虚拟化后，要实现针对病毒的实时防护，同样需要将防病毒客户端即代理程序安装在各个虚拟机中，但是服务器虚拟化的目的是整合资源，最大化地发挥服务器资源的利用率，而传统的防病毒技术需要在每个虚拟主机中安装程序，如1台服务器虚拟5台主机，传统方法需要安装5套，这样在扫描时就需要消耗虚拟主机的计算资源，并且在病毒库更新时带来更多的网络资源消耗。传统的病毒防护解决方案如图1所示： 　　当这些系统被迁移到虚拟环境时，众多虚拟机同时更新病毒特征库或进行按需全盘扫描可能使内存、存储和CPU（Central Processing Unit，中央处理器）使用率出现尖峰，导致这些虚拟机在这段时间内都无法正常提供服务，这种情况通常称为杀毒风暴。同时，由于杀毒风暴的存在，虚拟机的密度也不能太高，比如可以承载50台虚拟机的服务器资源池只能建立30台虚拟机。目前最常见的做法是使按需扫描调度随机化，但这种做法也不理想。 　　3 VMware平台安全架构介绍 　　VMware是一款众所周知的虚拟化软件，该软件通过虚拟化服务器底层硬件以提供用户可在服务器上同时运行不同的操作系统环境。目前虚拟化软件以VMware为主，包括虚拟化软件思杰的Citrix、华为的Fusion、微软的Hyper-V、开源KVM（Kernel-based Virtual Machine，内核级虚拟化技术）等。 　　VMware在平台的安全中，对外开放各种接口方式来实现第三方的安全控制。用户的VMware ESXi主机需要统一接受一个vCenter中心管理，并通过vCenter中心对每台主机分别自动部署vShield Endpoint和安全虚拟机，这些安全虚拟机将在每个物理主机上自动部署。在添加一台物理主机后，当新加VMware ESXi物理主机接受vCenter管理平台管理时，将自动生成部署安全虚拟机和vShield Endpoint。目前采用VMsafe API（Application Programming Interface，应用程序编程接口）和vShield Endpoint的接口，通过在ESXi上部署安全虚拟应用层来实现对虚拟机的安全防护；利用vShield Endpoint实现防病毒及防恶意软件，利用VMsafe API实现网络IDS（Intrusion Detection System，入侵检测系统）/IPS（Intrusion Prevention System，入侵防护系统）。VMware平台安全架构如图2所示： 　　4 云资源池下的防护安全方案 　　通过上述分析可以看出，在云资源时代，目前以VMware为主的虚拟环境中，安全防护面临的是从病毒防护、访问控制到入侵检测/防护的一系列问题，因此本文设计了一套完整的安全防护策略，如图3所示： 　　4.1 无代理病毒防护设计 　　在虚拟化环境中，有代理的防病毒软件存在严重的资源消耗问题，影响服务器的运行。目前可以采用无代理的方式来解决服务器资源问题，通过VMware的虚拟化