论文部分内容阅读
摘 要:本文通过文献研究法和经验总结法对虚拟云桌面机房基础设施安全问题进行归纳分析,主要从物理安全机制、网络安全机制、主机安全机制、虚拟机安全机制等四个方面对云计算机房基础设施安全保护机制进行论述,并加以实践、总结。提出可从配置基础设施安全保障机制与利用先进的防火墙技术和设备两个方面来提升虚拟云桌面机房系统的安全性能。
关键词:虚拟云桌面;安全保障机制;虚拟机安全;主机安全;网络安全
中图分类号:TP309.1 文献标识码:A
目前,国内只有少数几所高校和几家企业建设有云计算机房,并且大多用于搞研发,少数用于教学。我院于2014年年底建设了5个基于虚拟云桌面技术的实训室,共200台机器,并于2015年投入使用。就云计算安全技术而言,国内外各类云计算安全产品与方案不断涌现,如SUN、EMC、Intel、VMware等公司都有云计算安全产品,这类产品与技术已比较成熟。云计算安全问题包括云计算基础设施安全、云计算环境下的数据安全、IaaS、PaaS、SaaS服务安全、云计算安全运营治理、云计算业务连续性保障云计算的合规性等。
就虚拟云计算机房而言,其安全性主要是指云计算基础设施安全,这就需要配置好云计算基础设施系统安全保护机制,进而提升系统的安全性能。那么如何配置云计算基础设施系统安全保护机制呢?作者认为可从两个方面来提升虚拟云桌面机房系统的安全性能:1)利用基于集成VMsafe的VM vSphere技术,配置基础设施安全保障机制,包括主机安全、网络安全、虚拟机安全、存储安全等,保障系统内部安全。2)利用先进的防火墙技术和设备,抵挡外部攻击,提高防御能力,提升虚拟云桌面系统的安全性能。本文写作是就VM vSphere 5.1版本而言。
1 云计算机房基础设施安全保护机制的配置
云计算机房基础设施是实现其他一切云计算技术、服务、管理等项目的基础和必备条件,没有基础设施的安全,其他的一切则是空中楼阁。云计算机房基础设施安全保护机制分为物理安全机制、网络安全机制、主机安全机制、虚拟机安全机制等安全保护机制,下面将一一介绍。
1.1 物理安全保护机制
所谓物理安全就是在物理环境上要实施防盗、防损、防非法入侵等安全防护措施。这就对云计算机房设备控制中心的位置选择提出了要求,应选择防火、防水、防盗的区域,需安装防火、防盗设施。需要制定相应的安全管理制度与安全策略并严格执行,云计算机房设备控制中心安全性要符合SAS 70合格性认证要求。
1.2 网络安全保护机制
在云计算坏境下,网络包括三个层面,即数据中心网络、跨数据中心的互联网络、云用户接入网络。本文中指的网络是数据中心网络。云计算机房设备控制中心网络安全包括两个方面:一是传统的网络安全,二是网络虚拟化的网络安全。
1.2.1传统的网络安全保护机制
针对传统的网络安全问题,目前市场上主流网络安全产品大致分为三类:
1)基于包过滤策略的基础防火墙类;
2)入侵检测和防御类;
3)針对特殊协议的主动安全类,如Web应用防火墙WAF、数据库应用防火墙DAF。我校采用的防火墙是绿盟下一代防火墙NSFOCUS NF,NSFOCUS NF具有上述三类传统防火墙的主要功能和特性,包括路由、交换、访问控制、流量管理、SNAT/DNAT、ISP负载均衡、DDoS防护、VPN、HA、日志报表等,使用户原有成熟的安全解决方案可以无更改,平滑的过渡到NSFOCUS NF下一代防火墙安全解决方案上来。将NSFOCUS NF防火墙部署在云计算机房与校园网之间,具体如图1所示。
1.2.2网络虚拟化的网络安全保护机制
无论是横向整合还是纵向分割的网络虚拟化技术,它提升了网络服务的安全性、可靠性、及可用性,同时也给基于此技术部署的云计算环境网络带来新的挑战,需要正确配置、管理虚拟交换机和虚拟防火墙。
对于采用VMware虚拟化技术进行网络虚拟化,采用基于集成VMsafe的VM vSphere技术管理的虚拟化网络环境中,可在下列三种情况下部署和配置虚拟防火墙:
1)物理机和物理机之间(如vCenter Server系统和 ESXi 主机之间);
2)虚拟机与虚拟机之间(如作为外部 Web 服务器的虚拟机与连接公司内部网络的虚拟机之间);
3)物理机与虚拟机之间(如在物理网络适配器卡和虚拟机之间)。
虚拟防火墙在 ESXi 配置中的使用方式取决于系统管理员打算如何使用网络以及如何为给定的组件提供所需的安全。例如,如果虚拟网络中的每个虚拟机专用于运行同一部门的不同基准测试套件,那么从一个虚拟机对另一个虚拟机进行不利访问的风险极小。因此,虚拟防火墙存在于虚拟机之间的配置不是必需的。但是,为了防止干扰外部主机的测试运行,可对所用配置进行设置,以便在虚拟网络的入口点设有防火墙来保护整组虚拟机。我校根据实际情况需要,采用第3)种方式配置虚拟防火墙,保护虚拟主机的安全。
虚拟网络通过虚拟交换机来连接,它跟物理网络一样,也需要安全保护。可以通过划分VLAN的方式将整个虚拟网络分成若干网段,设置各网段之间的通信方式,尽量减少各网段间的干扰,以保网络安全。我校根据实际情况,将这200个虚拟机划分成5个网段,分配给5个机房,各机房相互独立。
1.3 主机安全保护机制
在云计算中心机房,主机是指那些用来实现云平台部署的服务器,从硬件方面讲,要采用基于可信计算技术设计、生产的企业级服务器。从软件和管理上讲,我们可以通过如下方法来提高主机安全性:
1)使用VM vSphere中“管理ESXi日志文件”,启用持久日志记录功能,并配置有效的syslong服务器来提高主机安全性; 2)配置pam_paswdqc.so文件,更改密码复杂度和强度参数;
3)禁止匿名用户的shell访问;
4)限制锁定模式下 DCUI 访问权限;
5)禁用 Managed Object Browser (MOB);
6)禁用授权 (SSH) 密钥等。
当然上述只是列出了部分方法,应根据实际情况选择使用。
1.4 虚拟机安全保护机制
虚拟机中运行的客户机操作系统与物理系统一样,会遭遇相同的安全风险,需要跟保护物理机一样来保障虚拟机的安全。在虚拟机系统中,常用的安全措施有:
1)启用防病毒软件;
2)禁用虚拟机中不必要的功能;
3)限制未授权用户在虚拟机内运行命令;
4)限制信息性消息从虚拟机流向 VMX 文件;
5)防止虚拟磁盘压缩;
6)防止用户监视远程控制台会话;
7)配置客户机操作系统的日志记录级别;
8)限制公开复制到剪贴板中的敏感数据;
9)禁用未公开的功能;
10)限制客户机操作系统写入主机内存;
11)移除不必要的硬件设备;
12)阻止虚拟机用户或进程与设备断开连接等。
2 总结
本文从物理安全机制、网络安全机制、主机安全机制、虚拟机安全机制等四个方面对云计算机房基础设施安全保护机制进行论述,并加以实践、总结,作者认为可从配置基础设施安全保障机制与利用先进的防火墙技术和设备两个方面来提升虚拟云桌面机房系统的安全性能,给大家提供一点借鉴。云计算机房安全保护方面的问题还有很多,比如中间件安全问题、数据安全问题、存储安全問题等,都需要去研究和讨论。
参考文献:
[1] Vmware软件公司vSphere 5.1安全性指南.2015,6,18.
[2] 陈赤榕.云计算服务运营管理与技术架构.清华大学出版社,2014,8.
[3] 绿盟下一代防火墙产品白皮书.绿盟科技,2016,6,25.
[4] 云计算对软件开发与测试的影响.中国云计算,2014,02,27.
[5] 十种方法保持云中数据安全.TechTarget云计算,2013,08,23.
作者简介:
马新年(1974-),男,江苏泰兴人,江苏工程职业技术学院商学院讲师,网络工程师,主要从事实验室建设和管理工作。
关键词:虚拟云桌面;安全保障机制;虚拟机安全;主机安全;网络安全
中图分类号:TP309.1 文献标识码:A
目前,国内只有少数几所高校和几家企业建设有云计算机房,并且大多用于搞研发,少数用于教学。我院于2014年年底建设了5个基于虚拟云桌面技术的实训室,共200台机器,并于2015年投入使用。就云计算安全技术而言,国内外各类云计算安全产品与方案不断涌现,如SUN、EMC、Intel、VMware等公司都有云计算安全产品,这类产品与技术已比较成熟。云计算安全问题包括云计算基础设施安全、云计算环境下的数据安全、IaaS、PaaS、SaaS服务安全、云计算安全运营治理、云计算业务连续性保障云计算的合规性等。
就虚拟云计算机房而言,其安全性主要是指云计算基础设施安全,这就需要配置好云计算基础设施系统安全保护机制,进而提升系统的安全性能。那么如何配置云计算基础设施系统安全保护机制呢?作者认为可从两个方面来提升虚拟云桌面机房系统的安全性能:1)利用基于集成VMsafe的VM vSphere技术,配置基础设施安全保障机制,包括主机安全、网络安全、虚拟机安全、存储安全等,保障系统内部安全。2)利用先进的防火墙技术和设备,抵挡外部攻击,提高防御能力,提升虚拟云桌面系统的安全性能。本文写作是就VM vSphere 5.1版本而言。
1 云计算机房基础设施安全保护机制的配置
云计算机房基础设施是实现其他一切云计算技术、服务、管理等项目的基础和必备条件,没有基础设施的安全,其他的一切则是空中楼阁。云计算机房基础设施安全保护机制分为物理安全机制、网络安全机制、主机安全机制、虚拟机安全机制等安全保护机制,下面将一一介绍。
1.1 物理安全保护机制
所谓物理安全就是在物理环境上要实施防盗、防损、防非法入侵等安全防护措施。这就对云计算机房设备控制中心的位置选择提出了要求,应选择防火、防水、防盗的区域,需安装防火、防盗设施。需要制定相应的安全管理制度与安全策略并严格执行,云计算机房设备控制中心安全性要符合SAS 70合格性认证要求。
1.2 网络安全保护机制
在云计算坏境下,网络包括三个层面,即数据中心网络、跨数据中心的互联网络、云用户接入网络。本文中指的网络是数据中心网络。云计算机房设备控制中心网络安全包括两个方面:一是传统的网络安全,二是网络虚拟化的网络安全。
1.2.1传统的网络安全保护机制
针对传统的网络安全问题,目前市场上主流网络安全产品大致分为三类:
1)基于包过滤策略的基础防火墙类;
2)入侵检测和防御类;
3)針对特殊协议的主动安全类,如Web应用防火墙WAF、数据库应用防火墙DAF。我校采用的防火墙是绿盟下一代防火墙NSFOCUS NF,NSFOCUS NF具有上述三类传统防火墙的主要功能和特性,包括路由、交换、访问控制、流量管理、SNAT/DNAT、ISP负载均衡、DDoS防护、VPN、HA、日志报表等,使用户原有成熟的安全解决方案可以无更改,平滑的过渡到NSFOCUS NF下一代防火墙安全解决方案上来。将NSFOCUS NF防火墙部署在云计算机房与校园网之间,具体如图1所示。
1.2.2网络虚拟化的网络安全保护机制
无论是横向整合还是纵向分割的网络虚拟化技术,它提升了网络服务的安全性、可靠性、及可用性,同时也给基于此技术部署的云计算环境网络带来新的挑战,需要正确配置、管理虚拟交换机和虚拟防火墙。
对于采用VMware虚拟化技术进行网络虚拟化,采用基于集成VMsafe的VM vSphere技术管理的虚拟化网络环境中,可在下列三种情况下部署和配置虚拟防火墙:
1)物理机和物理机之间(如vCenter Server系统和 ESXi 主机之间);
2)虚拟机与虚拟机之间(如作为外部 Web 服务器的虚拟机与连接公司内部网络的虚拟机之间);
3)物理机与虚拟机之间(如在物理网络适配器卡和虚拟机之间)。
虚拟防火墙在 ESXi 配置中的使用方式取决于系统管理员打算如何使用网络以及如何为给定的组件提供所需的安全。例如,如果虚拟网络中的每个虚拟机专用于运行同一部门的不同基准测试套件,那么从一个虚拟机对另一个虚拟机进行不利访问的风险极小。因此,虚拟防火墙存在于虚拟机之间的配置不是必需的。但是,为了防止干扰外部主机的测试运行,可对所用配置进行设置,以便在虚拟网络的入口点设有防火墙来保护整组虚拟机。我校根据实际情况需要,采用第3)种方式配置虚拟防火墙,保护虚拟主机的安全。
虚拟网络通过虚拟交换机来连接,它跟物理网络一样,也需要安全保护。可以通过划分VLAN的方式将整个虚拟网络分成若干网段,设置各网段之间的通信方式,尽量减少各网段间的干扰,以保网络安全。我校根据实际情况,将这200个虚拟机划分成5个网段,分配给5个机房,各机房相互独立。
1.3 主机安全保护机制
在云计算中心机房,主机是指那些用来实现云平台部署的服务器,从硬件方面讲,要采用基于可信计算技术设计、生产的企业级服务器。从软件和管理上讲,我们可以通过如下方法来提高主机安全性:
1)使用VM vSphere中“管理ESXi日志文件”,启用持久日志记录功能,并配置有效的syslong服务器来提高主机安全性; 2)配置pam_paswdqc.so文件,更改密码复杂度和强度参数;
3)禁止匿名用户的shell访问;
4)限制锁定模式下 DCUI 访问权限;
5)禁用 Managed Object Browser (MOB);
6)禁用授权 (SSH) 密钥等。
当然上述只是列出了部分方法,应根据实际情况选择使用。
1.4 虚拟机安全保护机制
虚拟机中运行的客户机操作系统与物理系统一样,会遭遇相同的安全风险,需要跟保护物理机一样来保障虚拟机的安全。在虚拟机系统中,常用的安全措施有:
1)启用防病毒软件;
2)禁用虚拟机中不必要的功能;
3)限制未授权用户在虚拟机内运行命令;
4)限制信息性消息从虚拟机流向 VMX 文件;
5)防止虚拟磁盘压缩;
6)防止用户监视远程控制台会话;
7)配置客户机操作系统的日志记录级别;
8)限制公开复制到剪贴板中的敏感数据;
9)禁用未公开的功能;
10)限制客户机操作系统写入主机内存;
11)移除不必要的硬件设备;
12)阻止虚拟机用户或进程与设备断开连接等。
2 总结
本文从物理安全机制、网络安全机制、主机安全机制、虚拟机安全机制等四个方面对云计算机房基础设施安全保护机制进行论述,并加以实践、总结,作者认为可从配置基础设施安全保障机制与利用先进的防火墙技术和设备两个方面来提升虚拟云桌面机房系统的安全性能,给大家提供一点借鉴。云计算机房安全保护方面的问题还有很多,比如中间件安全问题、数据安全问题、存储安全問题等,都需要去研究和讨论。
参考文献:
[1] Vmware软件公司vSphere 5.1安全性指南.2015,6,18.
[2] 陈赤榕.云计算服务运营管理与技术架构.清华大学出版社,2014,8.
[3] 绿盟下一代防火墙产品白皮书.绿盟科技,2016,6,25.
[4] 云计算对软件开发与测试的影响.中国云计算,2014,02,27.
[5] 十种方法保持云中数据安全.TechTarget云计算,2013,08,23.
作者简介:
马新年(1974-),男,江苏泰兴人,江苏工程职业技术学院商学院讲师,网络工程师,主要从事实验室建设和管理工作。