基于服务器虚拟化技术的数据中心网络安全设计

◆金俊玲 王昕

基于服务器虚拟化技术的数据中心网络安全设计

◆金俊玲 王昕

（中国舰船研究设计中心 湖北 430064）

相比于传统架构，服务器虚拟化技术实现了计算、网络和存储资源的统一管理，具有更高的平台投资效费比、简化管理难度及扩展性强等优势，将其应用于党政内网及军工涉密等信息敏感程度高和网络安全重要性强的领域，建设基于服务器虚拟化技术的数据中心，对其网络安全方面提出了更高的挑战。文章通过分析服务器虚拟化涉及的网络安全风险点，提出了选用国产自主可控的安全虚拟化产品、三网分离、安全域划分等网络安全设计思路，在提升数据中心运行效能的前提下，使得数据中心网络更加安全、可靠。

服务器虚拟化；数据中心；网络安全

在新的信息技术不断革新，网络安全形势复杂变化的大背景下，虚拟化技术作为云计算的关键技术，逐渐显现了其在数据集中管控、安全边界收紧、用户策略统一管理等安全优点，并在减少投资、降低管理成本、提高资源利用效率等方面具有优势。将虚拟化技术应用于党政内网及军工涉密等信息敏感程度较高的领域的需求是迫切的，本文在深入分析虚拟化环境下信息系统安全风险的基础上，基于国产自主可控的安全虚拟化产品，从虚拟化资源管理系统安全、身份认证与管理、安全监控与审计、病毒与恶意代码防护、端口及介质管控、管理平台安全等方面进行了安全设计和产品实现，有效控制了网络安全风险。

1 安全风险分析

通过对虚拟化环境下数据中心网络安全风险进行整理及评估，需要重点解决的风险点如表1所示。

表1 风险列表

风险分类风险描述风险分析 虚拟机端口风险没有按照安全规则映射端口传统系统不涉及此风险，但虚拟化环境下的端口由物理服务器映射到虚拟机，虚拟机端口需要按策略映射，限制传输的数据类型 虚拟机内映射的端口被滥用传统系统只需控制计算机端口，但虚拟化环境下还需管控映射到虚拟机的端口，判断其支持的设备是否符合策略，对接口的使用进行控制，管控接口粒度需能判断是哪种设备 通过虚拟机映射的数据端口连接外部网络传统系统只需监控计算机的违规外联，但虚拟化环境下虚拟机也有可能通过端口连接外部网络，并且对虚拟机内也需要进行违规外联监控 恶意代码及病毒风险操作系统存在病毒传统系统主要在物理服务器防护病毒，但虚拟化环境主要防护在虚拟机，物理服务器的病毒防护靠自身保证，其自身系统固件应是安全可信的 虚拟机镜像带有病毒或漏洞传统主机内运行的操作系统安装在本地，但虚拟机镜像由虚拟化平台统一加载，而镜像模板可能自身带有病毒或漏洞，需要保证镜像模板自身的安全，并定期扫描、加固 虚拟机内处理的文件带有病毒传统系统在物理主机防护病毒，但虚拟化环境主要对虚拟机进行防护，需要在虚拟机内采取防病毒措施并定时更新、防病毒措施需要适应虚拟化环境 病毒防护措施引起“杀毒风暴”传统系统的病毒防护在每个主机内进行，主机之间不会相互影响，但虚拟化资源管理系统内虚拟机共用计算资源，需要防止病毒防护措施同时启动，引发“杀毒风暴”对虚拟化性能造成影响 虚拟机间攻击的风险恶意虚拟机通过攻击物理机影响其他虚拟机传统系统中主机互相独立，不存在此风险，而虚拟化环境下由于多个虚拟机运行在同一物理机内，虚拟机有可能对物理机内其他虚拟机实施攻击，需要能够隔离防护这种攻击 虚拟机间的流量绕过监控与审计措施传统系统内主机之间的流量可被传统网络监控审计措施监管，而传统措施无法用于虚拟化环境的监控与审计，需要有技术措施对虚拟化信息系统内的流量进行控制，监控与审计措施能够发现虚拟机之间的攻击行为 用户违规操作的风险用户试图对虚拟机内配置进行修改传统系统内主机内部的操作可被传统审计工具检测，而虚拟化环境下的主要操作在虚拟机，需要采用安全产品对虚拟机内的操作进行审计监控 用户突破安全规则使用虚拟机资源传统系统的用户只能操作本地资源，而虚拟化环境下的主要操作在虚拟机，虚拟机有可能突破规则使用虚拟化信息系统资源，需要保证虚拟机间的资源隔离，并能监控和审计虚拟机使用情况 管理员配置管理的风险管理员拥有过多的虚拟机平台管理权限传统系统管理员拥有的权限主要在于应用系统和管理系统，而虚拟化环境下管理员掌握了所有的虚拟化资源，具有权限较大，需要对管理员严格进行权限划分和制约 管理员对虚拟化管理平台的非法操作或误操作传统系统如果出现管理员非法配置操作一般只会影响业务系统，而虚拟化环境下管理员对虚拟化管理平台的非法操作会影响整个虚拟化信息系统，需要有机制降低管理员的错误配置风险，并监控与审计其操作 系统配置管理日志泄露传统系统也存在此风险，而虚拟化环境下系统日志涉及整个系统的信息安全，对重要管理日志需要加强保护 数据混杂风险不同密级虚拟机共用物理主机传统系统不同密级服务器是分离的计算机设备，数据能够有效隔离，而虚拟化环境下虚拟机可以共用物理主机，网络边界也较模糊，不同虚拟机的数据有可能混杂，用户数据隐私和保密受到挑战 不同密级虚拟机共用存储设备传统系统不同密级服务器的存储是分离的，不涉及此风险，而虚拟化环境下不同密级安全区域可能存在共用存储集群的情况，需要对存储设备进行隔离与访问控制，以保证不同安全域对数据的隔离 数据泄露风险虚拟机迁移时数据被非法复制或挂载传统系统不涉及此风险，而虚拟化环境下虚拟机发生迁移过程中，数据卷可能被非法复制，需要保证迁移时不跨密级并清除原有数据 系统底层漏洞风险虚拟机监控器漏洞传统系统不存在此风险，而虚拟化环境下增加了虚拟机监控器一层，负责物理资源的调度，责任重大，若采用存在后门的国外虚拟机监控器，将会影响整个虚拟化信息系统的数据安全 硬件设备内含有恶意代码传统系统也存在此风险，而虚拟化环境下由于所有虚拟机运行在虚拟化信息系统的硬件内，若硬件底层存在恶意代码，则整个虚拟化信息系统的安全受到威胁，需要技术措施（如TPM芯片技术）保证设备完整可信 机房物理设施风险机房被未授权人员进入传统系统的数据中心规模相对较小，而虚拟化信息系统机房部署了大量核心设备，攻击影响面巨大，需要在机房设施门禁增强鉴别措施 虚拟化信息系统灾难风险重要数据丢失传统系统数据中心面向的用户面较小，而虚拟化信息系统一旦发生灾难会导致所有数据丢失，需要增强备份恢复机制 重要业务被中断传统系统数据中心只运行应用业务，而虚拟化信息系统运行所有虚拟机，发生灾难会导致全部业务终止，应急和恢复需要迅速响应

2 网络安全设计

2.1 选用国产自主可控的安全虚拟化产品

相比于VMware、Citrix等国外虚拟化产品，国产自主可控的安全虚拟化产品具有全自主国产化优势，获得了相关保密资质，更安全可控；符合涉密信息系统分级保护要求，强化了虚拟化内核安全，从结构和全面性上保证了虚拟化环境的体系性安全。

2.2 安全域划分及边界防护

根据系统处理信息的密级、责任单位、业务等将网络划分为不同的安全域，如终端安全域、安全管理服务器安全域、业务应用服务器安全域等。

为了减少虚拟机隐通道攻击的风险，服务器虚拟化系统将隶属于不同安全域的虚拟服务器以独立集群方式建设，位于不同安全域的虚拟服务器所使用的宿主机、存储、交换机等均物理分开，确保不同密级的虚拟服务器不共享计算、存储等物理设备。

数据中心网络拓扑图如图1所示，针对不同的集群，分别划分2个安全域：服务器安全域-虚拟化、服务器虚拟化集群管理安全域。

在安全域边界采用防火墙进行安全域间的访问控制。

2.3 三网分离

如图1所示，服务器虚拟化系统通过隔离网络平面将业务流进行分化，将虚拟化资源管理系统划分为业务网平面、存储网平面和管理网平面，并且三个平面之间是隔离的，避免不同数据流交叉，混杂传输。

业务网平面：为用户提供业务通道，为虚拟机虚拟网卡的通信平面，对外提供业务应用。

存储网平面：为存储设备提供通信平面，并为虚拟机提供存储资源，但不直接与虚拟机通信，而通过虚拟化资源管理系统转化。

管理网平面：负责整个虚拟化系统的管理、业务部署、系统加载等流量的通信。

2.4 物理安全

门控措施：数据中心机房设置双人认证方式的门禁系统，严格落实审批登记管理制度。

设备安放：服务器虚拟化系统的宿主机、集中存储等关键硬件设备所在机柜加锁防护，并确保在摄像头覆盖范围内，24小时视频监控。

设备数据接口：在服务器虚拟化系统的宿主机上安装计算机及移动存储介质管理系统，对光驱、软驱、USB口、并口、串口等进行管控，防止被非授权使用。

设备维修：机房巡检、设备维修维护等，至少2名机房运维管理人员同进同出，外来人员进入机房，机房运维管理人员全程旁站陪同。在对服务器虚拟化系统宿主机、存储等关键硬件设备进行维护时，至少2名机房运维管理人员同时在场方可进行物理设备操作。

2.5 运行安全

（1）备份与恢复

虚拟化资源管理系统的服务器采用双机热备方式部署，出现系统故障时，可实现快速恢复或自动切换。

采用备份系统对虚拟机进行定期自动备份，当虚拟机崩溃或系统异常时对其进行恢复，保证磁盘文件和系统存储的完整性；对应用相关数据（数据库、非结构化业务数据、系统配置文件、日志文件等）进行定期自动备份，当应用相关数据因误删或损坏时对其进行恢复，保证应用数据的完整性。

（2）恶意代码与计算机病毒防治

虚拟化环境下采用轻代理的防病毒方案，在宿主机和虚拟机上安装防病毒软件驱动进行病毒查杀和实时监控。

（3）虚拟机安全监控与审计

在虚拟机中安装审计监控客户端软件，实现虚拟机中的操作行为审计。包括对主机状态、配置信息、账户、进程、服务、主机网络连接、打印、刻录、非授权接入、共享、补丁安装、文件和目录操作、违规以及异常行为进行监控和审计。

将服务器虚拟化系统中的虚拟交换机流量外迁至指定虚拟交换机端口和物理交换机端口，之后再接入入侵检测系统，监控宿主机内各虚拟机之间的网络行为。

利用国产化安全虚拟化产品自身对虚拟资源管理、虚拟机管理、账户管理、策略设置等管理员操作行为和系统事件、资源状况、更新维护等行为进行审计。

（4）端口及介质管控

在宿主机和虚拟机中安装计算机及移动存储介质管理系统客户端，进行违规外联监控，以及端口使用控制、监控和审计，并对违规外联行为进行报警和阻断。

（5）运维安全

设置专门用于服务器虚拟化运维管理的终端，进行地址绑定，专人使用，运维人员对该终端的使用采取视频监控；宿主机的运维管理网络单独组网。

（6）虚拟化资源管理系统安全加固

宿主机的操作系统均采用经过剪裁的Linux系统，在剪裁过程中，仅保留必要的硬件驱动及虚拟化资源管理必要的服务，仅开放虚拟机管理系统进行业务管理必需的网络端口，针对有限的开放端口也进行绑定保护。关闭不必需的多余账户，并对root账户进行加固，禁止使用root账户直接登录，提高账户密码复杂性要求，减少密码错误重试次数，并增大重试错误后的间隔期，提高系统在密码暴力破解面前的安全性。对系统重要组件和文件进行定期文件一致性检查，确保系统的安全性。

（7）虚拟机安全管理

制订虚拟服务器使用管理制度，对虚拟服务器的申请、审批、创建、使用、废止等环节进行全生命周期管控，明确根账号的管理、虚拟服务器管理、镜像模板管理、机房进出、运维管理、备份与恢复、应急演练等。

（8）安全性能检测

采用漏洞扫描系统，定期对服务器虚拟化系统进行漏洞检测、分析和评估，及时发现存在的安全漏洞并进行修复。

2.6 信息安全

（1）物理隔离

服务器虚拟化系统与互联网及其他公共信息网络物理隔离。

（2）虚拟机密级标识

服务器虚拟化系统中，根据虚拟机处理涉密信息的最高密级，标识其虚拟机的密级。密级标识与虚拟机不可分离，并在其全生命周期过程中不得非授权修改。

（3）身份认证

管理员登录虚拟化资源管理系统，业务用户登录应用系统均采用基于双因子身份鉴别方式，如数字证书的USBKey与PIN码相结合的方式进行身份认证。

图1 数据中心网络拓扑图

3 结语

基于服务器虚拟化技术作为数据中心的基础架构，虽然使得数据中心运行更加高效，但其安全隐患也非常多。本文梳理了涉及的各种网络安全风险，提出了相应的安全设计思路，可供各种应用场景进行参考，尤其是政府内网及军工涉密等领域。在保障服务器虚拟化为数据中心提供高效的技术架构的前提下，强化网络安全的研究设计，更好服务于各种应用场景。

[1]苑顺周，姚晓冬，刑羽.基于超融合技术的数据中心网络安全设计[J].网络安全技术与应用，2021.

[2]翟胜军.谈分级保护网络中的安全域划分[J].保密科学技术，2011.

[3]向嵬，王东.计算机技术中虚拟化技术的运用研究[J].计算机工程应用技术，2021.

[4]张玉贺，李陆，续焕超，等.国产服务器虚拟化操作系统的应用与实践[J].网信军民融合，2019.