虚拟化应用安全防护体系建设与思考

韩和平 王刚耀

（人民日报社技术部）

[摘 要] 虚拟化和移动互联技术的应用，为报业信息化建设和发展提供了新的动力，但随之而来的安全问题也越来越引起业界的重视。文章结合人民日报社使用虚拟化应用及无线互联业务的情况，对安全需求进行了分析，提出了多个安全防护措施，为保障和推进应用进行了有益尝试。

[关键词] 网络安全 虚拟化 移动互联

虚拟化技术在资源整合、集中管理、简化操作等方面有着突出的优势，得到了越来越广的应用。人民日报社近年来的信息化建设项目也逐步采用了虚拟化技术，先后在报社技术支撑体系和全媒体资源管理系统建设上进行了尝试。项目建成后，实现了移动化、全天候、多媒体投稿，移动办公和移动编采，契合了移动互联时代的使用需求，提高了工作效率。

就应用而言，系统的易用性和安全性很难兼得。新技术的应用给用户带来方便，对网络安全防护工作也提出了新的课题。通过报社技术支撑体系和全媒体资源管理系统建设，使我们对虚拟化技术的应用和移动互联的安全有了全新的认识，对报社网络安全防护体系建设进行了实践、探究与思考。

图1网络部署架构图

人民日报社从2011年开始尝试使用虚拟化技术，对常见的三种虚拟化技术都有所涉及。桌面虚拟化主要应用于内网业务平台，它是将计算机的桌面进行虚拟化，达到桌面使用的安全性、灵活性，用户可以不受设备种类和地点的限制，在网络上访问属于自己的桌面系统；应用程序虚拟化主要应用于远程接入系统，它是将应用程序与操作系统解耦合，把它对底层系统和硬件的依赖抽象出来，为应用程序提供了一个虚拟的运行环境并发布出来，方便各种设备的访问；服务器虚拟化将有限的物理服务器抽象成更多的虚拟服务器，让中央处理器、内存、磁盘、输入输出设备等硬件变成可以动态管理的“资源池”，从而提高资源的利用率，实现服务器整合，对业务的变化更具适应力。

在项目建设中，为了确保重要设备的稳定性和冗余性，核心层交换机使用两台高端交换机，通过Trunk线连接。在核心交换机上连接有重要的业务应用服务器，如安全中心、DHCP、E-MAIL和WEB服务器等。

图1中，在两台防火墙之间连接有一条心跳线，主要作用是检测两台防火墙的运行状态。两台核心交换机和两台防火墙之间的连接情况，如下所示：

Switch-A Ethernet 1/1 <----> Switch-B Ethernet 1/1

Switch-A Ethernet 3/1 <-----> FW-A GigabitEthernet 1

Switch-B Ethernet 3/1 <-----> FW-B GigabitEthernet 1

接入区交换机和防火墙之间，以及DMZ区交换机和防火墙之间的连接情况如下所示：

SW-A GigabitEthernet 3/1 <-----> FW-A GigabitEthernet 3

SW-B GigabitEthernet 3/1 <-----> FW-B GigabitEthernet 3

DMZ-A GigabitEthernet 1/0/1 <-----> FW-A GigabitEthernet 2

DMZ-B GigabitEthernet 1/0/1 <-----> FW-B GigabitEthernet 2

图1中的核心交换机Switch-A、Switch-B、接入区交换机和DMZ区交换机都是双机热备部署，运行的热备协议都是HSRP（Hot Standby Router Protocol，热备份路由器协议），以下是在核心交换机Switch-A上的相关配置情况：

Switch-A#vlan database

Switch-A(vlan)#vlan 2

Switch-A(vlan)#apply

Switch-A (config)#interface gigabitEthernet 3/1

Switch-A (config-if)#switchport

Switch-A (config-if)#switchport access vlan 2

Switch-A(config)#int vlan 2

Switch-A(config-if)#ip address 172.16.2.252 255.255.255.0

Switch-A(config-if)standby 2 priority 250 preempt

Switch-A(config-if)standby 2 ip 172.16.2.254

其它五台交换机上的HSRP配置和在Switch-A上的配置原理都一样，只是参数不同。

应用程序虚拟化服务面向互联网，所以从安全性上考虑，把它部署到DMZ区。DMZ区交换机、接入区交换机、核心交换机和防火墙设备运行的都是路由模式。记者通过互联网访问内网应用，数据包要经过外网防火墙。在外网防火墙上配置有相应的安全策略，会根据数据包的源和目的IP地址，以及端口号来判断是否对数据包进行路由，放行的数据包才可到达应用程序虚拟化的服务器。应用程序虚拟化服务器就会作为代理服务器，通过核心交换机和内网防火墙，最终访问到报社内部其它服务器上的资源。

桌面虚拟化应用的服务对象是内网的编辑，对网络带宽的要求较高，所以把它部署在内网。编辑部门的客户端通过核心交换机和内网防火墙，经过两跳到达桌面虚拟化服务器。

服务器虚拟化部署在核心服务器区，占用独立的VLAN，有内网防火墙进行防护。内网用户可以直接访问，互联网上的用户要经过DMZ区，间接访问。

在移动互联网时代，用户随时随地获取新闻信息并与媒体进行互动。为顺应这种即时化、移动化、社交化、视频化的新闻传播需求，人民日报社建立了全媒体公共稿库系统。由于部分用户是通过互联网远程接入报社网络，给报社内部信息系统的安全带来前所未有的挑战。这就要求我们采用合理的技术手段与必要的管理措施来应对新的挑战。

从图2的稿件传输过程可看到，应从五个环节做好防护和管理。

图2 稿件传输环节

1、身份安全：身份认证的方式有多种，用户名密码、硬件特征码、数字证书（USB-KEY）、短信认证等。对各种认证方式的比较来看，安全性最高的是USB-Key和动态口令认证方式。

人民日报社目前已部署有完善的PKI认证系统和统一身份认证系统，对内网资源的访问，必须使用基于PKI密码技术体系的强身份认证，确保使用人员身份的合法性及授权访问。过去，由于智能手机、PDA等设备没有USB接口，在使用上受到了限制，现在，这个问题已得到解决。一些产品支持智能SD卡/智能TF卡作为数字证书的存储介质，且智能卡内含密码运算芯片，证书密钥在卡内产生和存储，所有签名操作都在卡内进行，具有良好安全性。同时，该硬件介质还具有防止拷贝、连续多次密码出错即可安全锁定等高安全功能，起到了与USB-Key相同的功能。

2、移动终端安全。为了方便记者使用移动设备投稿，也为顺应BYOD（Bring Your Own Device）趋势，必须做好移动终端的管理，即MDM （Mobile Device Management ）。移动终端本身就是一个完整的系统，其安全问题主要表现在终端硬件、终端操作系统、应用软件这三个方面。通常，MDM的功能包括：硬件资产管理注册、应用合规检查、数据保护和端口管理等功能，以保证移动终端在安全可控的状态下接入内网。

3、传输安全。系统中配备了SSL VPN接入网关，支持第三方认证，使用标准的加密算法保障数据的安全传输。通过安全的VPN隧道加密，保证了数据传递的安全性。

4、应用权限安全。能够针对每个部门、每个用户进行应用、URL级别的授权，并可针对用户终端安全环境、登录时间的不同，进行差别授权和灵活控制。在使用中，我们还启用了VPN独占传输通道的功能，避免用户终端被远程控制，成为跳板入侵内网。

5、审计安全。日志中心能提供详细的报告，作为网络规划的依据，并且具备管理员权限的分级功能，提高管理安全性。

由于基于互联网的应用越来越多，来自互联网的威胁在增加。据国际计算机安全协会ICSA调查结果显示，电子邮件和互联网已成为病毒、蠕虫、木马等恶意代码传播的主要途径。此外，黑客非法入侵成本降低，攻击越来越普遍。所以，加强网络边界防护，是过滤恶意代码，阻止非法入侵的有效手段。

我们在互联网交换机前安装了防病毒网关，过滤通往DMZ区的通信，不仅可以拦截恶意代码，还可以阻断非法扫描和探测。从使用效果来看，安装防病毒网关，切实起到了防护作用，最显著的是每周拦截近5000次针对服务器的口令探测行为。

图3 虚拟机共享防病毒资源示意图

虚拟机的安全加固及恶意代码防护与传统物理机类似，包括对操作系统进行最小化配置、及时升级系统补丁等。虚拟机使用传统恶意代码防护方案时，即在虚拟机上安装防病毒代理，存在资源冲突、资源浪费等问题。例如，虚拟机同时进行防病毒扫描时，会造成物理主机资源使用率瞬时升高，从而严重影响虚拟机的性能。另外，病毒库需要常驻内存，即使各虚拟机的病毒库一样，也需要各自占用内存，导致内存资源紧张。

为解决上述问题，可将防病毒代理下移到虚拟化层，以物理主机为单位进行恶意代码安全防护，虚拟机之间共享安全防护资源，具体如图3所示。由于防病毒软件工作在虚拟化层，虚拟机与外界的所有通信都能被监控，因此虚拟机上不必安装防病毒代理也可实现病毒防护。这种方案的优势主要体现在两个方面：一是虚拟机性能得到提升。由于虚拟机不用安装防病毒代理，相关资源被释放，虚拟机性能相应得到提升；二是防病毒管理得到简化。虚拟机共享安全防护资源，病毒库升级时，只需要对物理主机上的防病毒引擎升级即可，不必在每台虚拟机上进行更新。同时，虚拟机新增时，可以实现随时启动，不必担心安全策略过期。

目前，报社部署的防火墙都是传统的防火墙设备，在性能、带宽和安全性上已远远不能满足虚拟化应用的各项需求，不能够在应用层面上对传输的数据进行拦截和监控。从图1中可以看出，互联网上的用户访问报社内部的虚拟化应用的所有数据，都必须通过两台防火墙设备FW-A和FW-B，所以防火墙设备性能的优劣，将会对虚拟化应用的安全起到决定性作用。

WAF（Web Application Firewall）防火墙增强了允许通过防火墙的数据包的安全性，因为网络安全的真实需求是，既要保证网络安全，也必须保证应用的正常运行。它主要是基于应用层开发的新一代防火墙，与传统防火墙相比它可以针对丰富的应用提供完整的、可视化的内容安全保护方案。解决了传统安全设备在应用可视化、应用管控、应用防护处理方面的巨大不足，并且满足了同时开启所有功能后性能不会大幅下降的要求。它既满足了普遍互联网边界行为管控的要求，同时还满足了在内网数据中心和广域网边界的部署要求，可以识别和控制丰富的内网应用。

在图1所示的网络中部署七层防火墙后，可以识别出互联网上访问虚拟化的各种应用及其应用动作，识别出用户IP地址对应的多种信息，并建立用户分组结构，这将会大大提高报社互联网用户访问虚拟化应用的安全性。

近期，对信息系统安全威胁最大的莫过于APT(Advanced Persistent Threat高级持续性威胁)攻击。A表现技术的高超，比如掌握未知漏洞（0day），编写个性化攻击程序，隐蔽性极强；P表现为攻击者的耐心，通常是利用操作系统或应用程序漏洞长期收集信息，持续时间从几个月到几年；T表现为对目标的选择性和极大的破坏性，即选择政府或重要企业，窃取信息或停止业务服务。

传统的检测和防护产品是依靠已知的恶意行为或代码特征库，通过匹配来检测攻击。而APT往往采用非常规的攻击代码，利用0day漏洞，采用组合攻击手段。在无法预知攻击特征、攻击行为的情况下，传统的安全产品难以防范APT攻击。

我们目前正在测试一种基于“威胁感知系统”的安全产品。它整合静态（特征库）检测和动态分析来发现APT攻击过程。其动态分析主要是通过人工智能的方法构建对未知病毒、未知恶意代码的行为模型；分析待测样本在打开、运行过程中数据内存区域的可执行指令，识别未知漏洞；利用大数据分析技术，对用户网络的海量数据进行分析、学习与建模，进而识别未知攻击。

在试用中，可以很直观地发现扫描和异常行为的路径痕迹，这种行为回溯可方便到地找到行为源，经过分析，把异常行为列入黑名单，便可建立属于自身系统的行为规则，弥补了传统安全设备的不足，有助于提高整体的安全性。

网络安全是相对的。虚拟化技术在改进硬件资源利用率，以及在灵活性方面有着众多的优势，扮演着越来越重要的角色。但是，虚拟化技术本身不仅面临着传统网络已有的安全威胁，还存在着自身的安全问题。这就需要信息化建设单位在部署虚拟化应用时，采取灵活、多样的安全防护措施。

参考文献：

1． 金华敏，沈军等著. 《云计算安全技术与应用》.电子工业出版社.2012年8月

2． 邹德清，金海编著. 《虚拟化技术》.华中科技大学出版社.2009年5月

3． 张巍著.　《企业虚拟化实战》.机械工业出版社.2009年8月

4． 《云端安全之虚拟化篇》. http://tech.ccidnet.com/zt/cloudsecv

韩和平联系方式：

电话：(010)65368803

手机：13521790618

E-mail：hanhp56@163.com