浅谈高校虚拟化数据中心安全隐患和规避.docVIP

浅谈高校虚拟化数据中心安全隐患和规避 　　摘要：随着教育信息化的飞速发展，数据中心的虚拟化建设已成为高校信息化的工作重点和核心，本文就虚拟化数据中心的安全防范方面进行研究和探索。 关键词：虚拟化；数据中心；安全 ● 前言 据一项新的研究报告显示，随着高校数据中心全面虚拟化的投资力度加大，将面临着十分急迫的网络运行和安全挑战。 因为在虚拟环境中，虚拟机有移动空间来优化硬件、网络带宽和可用的处理能力，但在提升处理能力的同时，也使管理环境更加复杂。当设定一个具有成本效益且有效的方式来提升数据中心的虚拟化构想时，安全就是一个大问题，在组织中需要专门配置用于检查流入和流出数据的技术虚拟机。而且，物理防火墙通常不能用来处理运行多个虚拟服务器管理程序的流量，因此虚拟机管理程序在调整时所做的保护措施是必要的。 ● 安全隐患原因分析 1.资源较高的利用率 虚拟化技术的应用，提高了服务器的利用效率和灵活性，但同时也导致服务器负载过重，运行性能下降。虚拟化后多个应用集中在一台服务器上，当物理服务器出现重大硬件故障时，就是相当严重的风险集中问题。虚拟化的本质是应用只与虚拟层交互，而与真正的硬件隔离，这将导致安全管理人员看不到设备背后的安全风险，服务器变得更加不固定和不稳定。 2.网络架构的改变 虚拟化技术改变了网络结构，引发了新的安全风险。在部署虚拟化技术之前，可在防火墙上建立多个隔离区，对不同的物理服务器采用不同的访问控制规则，可有效保证将攻击限制在一个隔离区内，而在部署虚拟化技术后，一台虚拟机失效，则可能通过网络将安全问题扩散到其他虚拟机。 3.物理安全监管的脱离 一台物理机上可以创建多个虚拟机，且可以随时创建，也可被下载到桌面系统，常驻内存，可以脱离物理安全监管的范畴。很多安全标准是依赖于物理环境发挥作用的，外部的防火墙和异常行为监测等都需要物理服务器的网络流量，有时虚拟化会绕过安全措施。存在异构存储平台的无法统一安全监控和无法将有效资源隔离的风险。 4.虚拟环境 黑客通过控制管理层，可以控制物理服务器上的所有虚拟机，而管理程序上运行的任何操作系统都很难侦测到流氓软件等的威胁。 虚拟机溢出的漏洞能够导致黑客威胁到特定的虚拟机，将黑客攻击从虚拟服务器升级到控制底层的管理程序。 物理服务器上安装多个虚拟机后，每个虚拟服务器都需要定期进行补丁更新、维护，大量的打补丁工作会导致不能及时补漏而产生安全威胁。 ● 安全防范体系的建立 为了及时消除虚拟化数据中心的安全隐患，为核心数据提供可靠、便捷的使用环境，建立严格的预防体系势在必行。 1.建立严密的内、外网管理体制 能够严格地按区域划分，不同的租户，不同的应用划分至不同的安全域，使用安全产品进行隔离与保护；部署端到端的安全防御手段，如运行在VM上的安全设备，可以将防御能力部署到每一台物理服务器上；对网络访问行为进行严格管理，通过技术和管理手段规范BYOD行为，对僵尸网络、网络滥用等进行有效防御；使用多功能安全网关来替代传统防火墙。在保护业务流量时，出于性能考虑，可能只会用到防火墙、IPS等功能，但在保护管理流量时，可启用二至七层的多种安全功能。业务流和管理流划分至不同的虚拟设备中，保证各自的独立性。 2.建立全方位防御零日攻击体系 针对系统缺陷的应用攻击已成为数据中心面临的主要威胁。而漏洞发现到被攻击的时间跨度越来越短，使数据中心不能依赖单一功能的安全设备，尤其是仅仅基于特征防御的安全产品。必须集多种安全特性，并结合应用层防御技术（如web应用防护、数据安全等），各项安全技术有机结合，互相保护，时刻监控并防御APT攻击的各种入侵手段，才能打造一个全方位立体安全体系。 传统的基于签名的检测方法对于零日攻击的防护并没有起到很好的效果，可以通过虚拟现实的环境来检查未知恶意软件，对于未知威胁或者零日攻击的防护，借用大数据分析的方式，对行为进行主动识别，将是下一个发展方向。当然，如果要将全部的判断都基于行为是否异常来进行，在建模和大数据的分析上都是难点。 3.构建DDoS分层防御网体系 防火墙与入侵检测IPS通常串行部署在网络下游的网关位置，是基于状态检测的访问控制系统，目前市场上很多厂商的防火墙中都含有Anti-DDoS功能，对于DDoS的防护，必须要使用专用的Anti-DDoS设备或专门的板卡。DDoS防护的最佳实践应该是流量清洗中心与运营商BGP路由调度控制。 从业界统计分析的数据来看，数据中心发生的攻击90%以上不足以造成数据中心出口带宽拥塞，基本是以业务瘫痪型攻击为主，只有不到10%的攻击是将数据中心的链路完全拥塞的。因此，如果是应用型的DDoS攻