http://security.ctocio.com.cn/74/12818074.shtml
福建中医药大学原名福建中医学院,创建于1958年,是我国创办较早的高等中医药院校之一,是福建省重点建设高校,2010年3月经教育部批准更名为福建中医药大学。学校拥有国家中医药管理局重点学科20个,福建省重点学科12个。
福建中医药大学校园计算机网络建于1998年,2002年配合“数字福建”建设规划,拟定《“数字福建中医学院”建设规划草案》。2004年制定《福建中医学院数字化校园建设总体规划》,同年立项建设。2007年完成数字化校园建设招标,同年10月统一身份认证、信息门户、数据共享和办公自动化系统首先投入使用,随后其它系统也相继投入使用至今。
我校校园信息化项目经过多年的建设,现有数十台机架式服务器及刀片式服务器、多套存储硬件,通过虚拟化部署,承载数字化校园、网站群系统等众多应用,数据级容灾跨两个校区,覆盖Linux/Windows两大平台的数据库、中间件等等。
近年来,我校加强了数据中心的安全防护建设,先后部署了安全网关、WEB应用防护,防病毒软件等安全系统,基本实现了物理边界安全及终端安全。但由于虚拟化系统本身的特性,如何实现虚拟化系统的主机漏洞防护面临着挑战。
不管是物理服务器还是虚拟服务器,其上的操作系统包括各种数据库、中间件等等应用都可能存在安全漏洞,黑客或者病毒等可以通过这些漏洞攻击服务器。这种攻击的过程一般如下图1所示:
高校虚拟化环境下的主机漏洞防护浅析
图1:利用漏洞实施攻击流程
针对服务器的漏洞,如果用打实体补丁的方法解决,需要与涉及的所有第三方应用软件开发商协调及确认应用软件的兼容性,且很多补丁修补都需要重启动服务器。这种做法每年集中做一次两次可以,但和安全漏洞同步执行恐怕不太现实。目前的现状是,我们一般会使用网络IPS设备对一些重要的安全漏洞做策略阻止。但附加在IPS上的策略数量过多的话,IPS性能将不敷使用。实际上,这种方法也只能针对有限的几种安全漏洞设定策略阻止,相对于各种操作系统及应用软件存在的几千种安全漏洞来说,无异于杯水车薪。针对这种困境,对主机安全有更高要求的使用者一般会在网络IPS以外再实施主机防火墙及主机IPS系统,在每台服务器上部署主机加固软件,将大部分IPS策略分担到各台主机上,这样的话,由于每台独立的主机上的操作系统及应用是有限的,其上的主机IPS需要承载的策略并不会很多,基本可以满足安全的需要。
在传统的机房中,我们可以用交换机、路由器、防火墙、IPS等传统的安全设备实现各个安全功能。
但在虚拟化的环境中,虚拟机之间的互相通讯直接通过虚拟化软件底层的虚拟交换机进行,如果攻击者使用某一台虚拟服务器攻击另外的虚拟服务器的话,我们在边界部署的IPS、防火墙以及用来侦测内部攻击的IDS都将失去作用。
事实上,针对虚拟化环境下的主机安全,我们需要用“虚拟化”的眼光来看待和思考。以VMware虚拟化软件举例,整个VMware的虚拟化系统中,所有的虚拟机VM是通过vSwitch虚拟交换机进行通讯的,VMware使用两组API来承载通信控制。其中VMsafe API负责和网络相关的通信,vShield Endpoint API负责和内容、应用相关的通信。如果我们能让安全软件嵌入到VMware的虚拟化软件底层且能够直接调用这两组API的话,虚拟化环境本身的安全包括虚拟服务器的安全不就可以实现了吗。
当然,我们知道虚拟化环境下,各虚拟服务器的资源利用率普遍会达到50%以上,这要比物理机时代的平均10%左右增加5倍。从这个角度来看,如果适用于虚拟化环境的安全软件是需要部署于每个虚拟机的话,我们需要慎重考虑。毕竟安全软件本身就是很耗资源且习惯“争抢”资源的,而安全软件的扫描、更新等更是极耗资源。
综上所述,解决虚拟化环境下的主机安全的最好方法是“无代理安全”,即在虚拟化软件的底层安装一个嵌入式软件,实现防火墙及IPS功能。这个无代理防火墙、IPS既可以控制各虚拟机之间及虚拟机与外界之间的通信,又可以不在各个虚拟服务器上安装代理的前提下对各个虚拟机实现定制化的IPS及防火墙策略。
简单的说,在VMware的ESX上安装一台安全虚拟机,这台安全虚拟机可以针对ESX上虚拟出来的不同虚拟服务器及其上的应用实施不同的漏洞防护安全策略,同时也可以阻断虚拟机之间可能存在的互相攻击或者跳板式攻击。这种安全防护需要考虑到前文提到的虚拟化系统的资源利用率紧凑的问题,不能对虚拟化系统产生很大的资源负担。更重要的是,这种实施策略及防护的过程不能修改操作系统和数据库、中间件等应用的内核,不能产生“兼容性问题”,更不能重启动服务器。
。。。
