1、浪潮如何用虚拟化解决数据安全问题鸡蛋与篮子 虚拟普及的拦路石虚拟化技术自诞生之日起,即被 IT 业界广泛肯定,但在虚拟化被广泛认同并高呼虚拟化时代来临的今天,我们看到除了部分系统的集中使用外,仍然是“吆喝的响,卖的少” ,人们疑虑集中在“鸡蛋与蓝子”的讨论上,也就是虚拟机的安全问题。安全问题其实自计算机诞生之日起就一直存在,比如数据安全、系统安全、应用安全、人文安全等等,而我们可以通过应用 RAID、双机、负载均衡、安全策略等技术来改善安全环境,其中备份,系统分散冗余都是安全的重要措施。而虚拟化技术的出现,恰恰是系统集中部署于一个平台上,也就是多个鸡蛋在一个篮子里,大家难免把目光的焦点都集中在
2、虚拟化技术与安全的对立面上,自然系统平台这个“蓝子”就表现得无比重要;那为什么不能把虚拟化技术与安全措施结合,使用户在大幅提高投资回报率的同时,得到更高的可靠性呢?浪潮的研究发现,在系统安全的方面,大多数客户认为服务器的双机热备方案是一个最好的选择,对于建立一个稳定、可靠的信息系统是非常重要的。如果系统中没有什么重要应用,当然不用采用双机系统。如果应用停止五钟都会影响工作,那么双机热备就是必须的。其实许多客户认为每一个上线运转的应用都是非常重要的,有部署双机的需求,而传统的双机热备方案复杂的配置过程、昂贵的设备投资往往让客户望而却步,但是在此种情况下,客户之能忍痛割爱,舍而求其次。浪潮虚拟双机
3、,破解鸡蛋篮子难题做为服务器业界领先厂商的浪潮,一直致力于虚拟化方案的研究和推广,安全问题自然也是困扰浪潮在该方向前进速度的一个制约因素,业界虚拟化技术的领先者亦都将解决解决虚拟机的安全问题作为一个主要课题;因此浪潮从系统厂商的角度出发,以研究客户的应用为基础,致力于利用虚拟化技术与系统应用策略的整合应用,使虚拟化技术成为安全的一个有效组成部分而非制约因素,来实现”利用虚拟化技术以最小化的成本实现客户应用安全最大化”的目标。为此浪潮选择在 IDF 大会上与大家一起分享这一业界领先的厂商级服务器系统虚拟化安全解决方案。浪潮本次展示的方案是虚拟化技术结合双机热备技术的一个应用方案,简单而言,就是利
4、用虚拟化技术在一台物理机器上创建多个虚拟机,与多个运转不同应用的物理机实现双机热备,从而达到一对多的系统安全热备方案,同时亦可实现对创建在不同物理机上的虚拟机之间的虚拟机热备方案。图 1 演示方案逻辑图本次展示的方案中,使用了一台配置 6 刀片的浪潮 NX660D 刀片服务器作为物理机,分为三台一组,共计两组来分别运行 windows 与 linux 操作系统及应用; 在两台浪潮四路服务器 NF560D2 与 NF520D2 两台物理机上分别创建 6 个虚拟机,每台服务器中创建的三个虚拟机与 NX660D 刀片服务器中三个刀片进行一对一热备; 通过外置的数据共享存储来实现业务的连续性;其他创建
5、的虚拟机分别执行不同的任务,如图 1 所示。其配置结构如图 2 所示,心跳线使用千兆网卡直接使用网线连接配置成私有网络。刀片和服务器通过网线连接到共享存储浪潮 AS300 上。外网和内网同时监测的好处是避免了心跳线的单点故障,从而不会导致因心跳线故障而带来的误切换。当主机通过“心跳监测”一旦监测到主机出现故障时,备机将在线接管故障主机的所有工作包括在 RAID 共享存储上的数据,不会中断正常的网络服务。共享存储自带 RAID 控制器,能实现 RAID0,1,5 等 RAID 级别,用户可以选择适当的级别RAID 提高共享存储中数据的可用性和性能。图 2 方案配置图如图 3 所描述的那样,NF5
6、60D 和 NX660D 都通过网线与共享存储( 浪潮 As300Storage)连接。在 NX660D 刀片服务器上,每一个刀片都安装了 Windows server 2003系统作为物理主机运行主要的业务。在 NF560D2 上利用虚拟化技术在服务器上同时分出多个 VPE(虚拟主机环境),每个 VPE 同样是运行 Windows server 2003 系统。同时将存储AS300 中的一个 LUN (LUN1)同时分给其中一个刀片,如 Blade1 和 NF560D2 上一个虚拟主机 VPE1 ,这样做的目的是为了保证双机的存储数据共享。图 3 虚拟机互备示意图这里的双机热备份是刀片(NX
7、660D)中的每个刀片为物理主机(Primary Server),另一台服务器(NF560D2)中的多个虚拟主机环境(VPE)作为备份机(Standby Server),在系统正常情况下,工作机为应用系统提供服务,备份机(VPE)监视工作机的运行情况 (工作机同时也在检测备份机是否正常),当工作机出现异常,不能支持应用系统运营时,备份机(VM1)主动接管(Take Over)工作机的工作,继续支持关键应用服务,保证系统不间断的运行(Non-Stop) 。实现的功能:l 服务器电源故障时,能实现自动切换l 服务器的硬盘、CPU、RAM 发生故障时,实现自动切换l 网络连接发生故障时(如网卡、网线
8、故障),实现自动切换l 操作系统、数据库或应用程序发生故障时,应能实现自动切换l 提供手动切换功能,使系统管理员可以在主机负载过大时或其它适l 当的时候,实现手动切换。l 安全完成切换多次。在这个演示方案中不但实现了 Linux 系统下的虚拟双机技术,而且还有 windows 下的虚拟双机技术。由于虚拟化技术的产生、发展,改变了传统的双机模式,不再需要两台对等的物理机做双机,可以采用虚拟化技术,用虚拟机跟物理机做双机,也可以很好的解决同类问题;采用虚拟机加物理机的方案,在某些系统资源过剩的环境下,可以充分利用这些空歇的资源,做到充分利用这些资源,这是虚拟化的一个益处所在。采用虚拟机跟物理机的双
9、机方案,由于一台物理机器上可以安装多个虚拟机,不但充分利用了现有资源,而且从某种意义上来说降低了成本,并且也能达到实际环境的要求,做到最小成本的无间断服务。虚拟双机 价值无限浪潮虚拟双机方案,打破了安全与投资回报不可兼得的“鸡蛋篮子”悖论,具有极大的客户价值。l 创新思路,将虚拟化技术与安全策略结合,充分发掘虚拟化技术在安全应用方面的价值点,迅速拿出应用解决方案,使客户的投资基本不增加的情况下,信息化应用系统安全性的到全面保障。l 驱动价值,本方案与传统的双机方案不同的地方在于:传统的双机是在两台物理服务器之间进行双机配置,而本方案是在将多台物理主机与另外一台物理主机上运行的虚拟机进行双机配置
10、,从而实现虚拟主机对物理主机的双机配置,大大节约客户硬件资源,还有浪潮虚拟双机部署维护十分简单,轻点鼠标就可完成。l 这对于想提高现有系统的安全等级,又想节省投资的客户来说是个好消息,这个方案不需要改变现有的系统架构,更不需要系统迁移等高难度工作,较少投资,简单易行。点评虚拟化本身所具有的巨大价值,决定了其走入寻常客户只是时间问题。现在虚拟化“叫好不叫座”主要是客户的认知问题,虽然在 07 年包括在 Intel 在内中国厂商都在大力推广,但是由于缺乏解决方案及切身体验,客户“耳听为虚“,无法”眼见为实” ,具有浓重的观望情绪。浪潮作为一个服务器厂商,大力推广虚拟化解决方案,进行客户体验活动,不
11、仅切中问题要害,也符合其自身的企业定位,应该具有良好的前景。如何正确使用虚拟化技术来保护系统安全我们都知道,虚拟化能够为企业节省资金和简化 IT 资源管理。但是,虚拟化还能够用来增强我们的系统和网络的安全吗?从虚拟蜜罐和虚拟蜜网的创建到使用微软的 Hyper-V 技术隔离服务器的任务、使用最新版本 VMWareWorkstation 无缝地使用沙箱技术保护应用程序等许多技术方面看,答案是肯定的。本文将介绍一些使用虚拟化工具提高 Windows 环境安全的一些方法。虚拟化安全与为安全实施的虚拟化我们听说过虚拟化环境产生的许多安全问题。大多数问题似乎都集中在如何保护虚拟机的安全上。虚拟化技术确实能
12、够引起一些安全问题。然而,当正确使用虚拟化技术时,虚拟化还能够提供与安全有关的好处。控制是保证系统安全的重要因素,它包括机构内部的控制和从外部访问你的网络资源的那些控制(如远程用户使用的便携式计算机和移动设备 )。应用程序虚拟化为你提供了集中控制最终用户访问的方法。桌面虚拟化允许你为潜在的有害的应用程序和网站创建安全的和隔离的计算环境。数据集中化使保护数据的安全更加容易。基于服务器的虚拟化技术意味着敏感的数据不存储在台式电脑或者更容易丢失的笔记本电脑中。这是非常重要的。沙箱技术沙箱是一种隔离的技术,能够用来运行一些可能对操作系统、其它应用程序或者网络构成威胁的应用程序。虚拟机不能直接访问主机资
13、源。因此,它制作了这个完美的沙箱。如果你的一个应用程序是不稳定的,有安全漏洞的,或者是没有经过测试和未知的,你可以把这个应用程序安装在虚拟机中,这样,如果这个应用程序崩溃或者被攻破,它不会影响到主机系统的其它部分。因为网络浏览器通常是恶意软件和攻击的通道,一个好的安全做法是在虚拟机上运行浏览器软件。你也可以在虚拟机上运行其它互联网应用程序,如电子邮件客户端软件、聊天软件和 P2P 文件共享程序。这个虚拟机可以访问互联网,但是不能访问企业的局域网。这可以保护访问本地资源的主机操作系统和商业应用程序不会受到通过互联网连接接入的虚拟机的攻击。另一个好处是如果虚拟机被攻破,你能够很容易恢复这个虚拟机。
14、虚拟机软件提供了在一个特定时间点上对虚拟机进行“快照”的功能。在这个虚拟机被攻破的时候,退回到原来“快照”时的状态是很容易的。用 VMWareWorkstation 6.5 实现无缝的虚拟应用程序和丰富的桌面体验最新版本的 VMWare Workstation6.5 用“Unity”功能提供了迄今为止最集成的桌面体验。这个功能允许你从你的主机桌面的虚拟机查看单个的应用程序,就像这些应用程序在主机操作系统上运行一样。对于用户来说,这将使虚拟应用程序更无缝地集成在一起,从而提供更满意的用户体验。由于你能够在虚拟机和主机之间进行拖放或者拷贝和粘贴操作,用户几乎不知道这个应用程序是在虚拟机上运行的。在
15、对虚拟机中的网络浏览器等应用程序应用沙箱技术时,不会再出现任何“麻烦因素” 。这个新的软件还能够让你建立一个虚拟机,以便扩展到多个监视器。这个功能在你需要在虚拟机中并列地运行多个应用程序时是有用的。你还可以建立不同的虚拟机以便在不同的显示器上显示每一个应用程序,让你更方便地跟踪你在指定的时间正在哪一个虚拟计算机上工作。你还可以在后台运行虚拟机,不用使用工作站用户界面。服务器隔离服务器整合是许多企业使用虚拟化技术的主要目的。当然,不使用虚拟化技术你也可以在一台服务器上执行多个服务器任务。你的重要控制器可以作为 DNS 服务器、DHCP 服务器、RRAS 服务器等等。但是,一台服务器执行多个任务,
16、特别是在一个域名控制器上执行多个任务,会有巨大的安全风险。虚拟化能够让你在同一个物理服务器上运行上述同样的任务,同时让服务器相互隔离,因为他们在运行不同的虚拟机。微软设计了 Hyper-V 技术旨在防止单个虚拟机之间非授权的通讯。每一个虚拟机都在母分区中的一个单个的工作流程中运行,并且以用户模式的有限权限运行。这有助保护母分区和管理程序。其它旨在隔离虚拟机的安全机制包括单独的虚拟设备、每一个虚拟机连接到母分区的虚拟机总线和虚拟机之间不共享内存。总结适当地使用虚拟化技术能够为你的网络上的机器提供额外的一层安全保护。对于最佳安全做法来说,在虚拟机上运行的操作系统和应用程序应该像在物理服务器运行一样
17、得到同样的安全保护。虚拟化应该仅仅是你的安全武器库中的许多工具之一。如何降低虚拟化系统的安全风险“虚拟化技术并非天生就不安全。然而,大多数虚拟化的工作负载其部署方式却是不安全的。“Gartner 公司的分析师 Neil MacDonald 今年早些时候在一份名为应对数据中心虚拟化项目中最常见的安全风险的报告中这样写道。 虚拟化项目方面的规划应该总是让信息安全团队参与进来;但是根据 Gartner 的调查数据显示,40%的虚拟化项目在安全团队没有参与初期架构和规划阶段的情况下就仓促上马了。MacDonald 指出,由于虚拟机管理程序统管在物理服务器上运行的所有工作负载,因此某一威胁“可能导致在上
18、面处理的所有工作负载受到危及。“ 在传统架构中,一台服务器受到威胁只会使该服务器上的工作负载面临险境,而在虚拟化数据中心中情况就不是这样了。虚拟机管理程序本身还加大了受攻击面(attack surface)。比如说, VMware 正在改造自己的虚拟化架构,以便摆脱基于 Linux 的服务控制台,目的就是为了将受攻击面从约 2GB 缩小至 100MB。尽管这改善了安全性,但是客户在安全方面仍需要引起重视。Gartner 建议用户应该从安全和管理的角度,将虚拟化平台视作“你数据中心中最重要的 IT 平台“ 。Gartner 认为, IT 部门需要制定有关合并不同信任级别的工作负载的策略,并且在评
19、估新的安全和管理工具时,“应偏爱那些涵盖物理环境和虚拟环境,使用统一管理、策略和报告框架的工具。“报告还指出,IT 部门必须关注在虚拟机管理程序层安装的任何代码所存在的安全漏洞,包括驱动程序、插件和第三方工具,并且确保一切都是最新版本,并打上了补丁。就算虚拟化层与之前的物理架构一样安全,但用户往往配置更多的虚拟机意味着,你的覆盖面更大了,“一旦你的覆盖面扩大,面临的安全风险就会随之加大。“Turner 正在关注几款系统管理工具,比如 Cfengine、Puppet Labs 和 Chef,目的是为了使验证补丁、删除过期用户帐户等过程实现自动化,并且确保配置文件没有遭到篡改。在服务器进行虚拟化之
20、后,即使像运行反病毒软件这类相对简单的任务也可能变得更复杂。Harper 指出,他的员工不得不手工修改每周扫瞄 Windows Server 实例的时间,因为要是不这么做,这些扫瞄就会同时执行,从而导致输入/输出负载过大。Harper 表示,客户们需要结合新的产品和流程,才能防止虚拟化带来麻烦,因为把虚拟机当作物理裸机那样来管理根本行不通。不过,Harper 和 Sabre 公司的高级 IT 专家 Jim Brewster 对虚拟世界的安全性持乐观态度。Brewster 表示,对安全区实行物理隔离正在让位于基于软件的安全区; 而且有了虚拟化管理工具,胡作非为的 IT 管理员就很难在其操作不被日
21、志记录的情况下篡改系统。微软和 VMware 为多少进程应留在操作系统中、多少进程应推向虚拟机管理程序层争辩不休。但是 Brewster 盼望着安全功能进入到虚拟机管理程序。Brewster 说:“我认为,到时你可以更清楚地了解、更有效地控制出现的情况,摸清虚拟机里面谁在和谁联系的情况。“如何缓解企业虚拟化系统中的安全风险?“虚拟化并不是天生就是不安全的,然而,很多虚拟化的工作负载正在被不安全地部署, ”Gartner 研究公司分析师 Neil MacDonald 表示。对虚拟化项目进行规划通常都应该包括信息安全团队,但是根据 Gartner 公司的调查数据显示,40%的虚拟化项目的初步架构和
22、规划阶段是在没有安全团队的参与下进行的。因为系统管理程序对所有在物理服务器上运行的工作负载进行监管,因此管理程序受到攻击的话,可能会导致所有托管的工作负载的破坏,MacDonald 表示。在传统的架构中,对一台服务器的威胁只会对一部分工作负载带来风险,但是在虚拟化数据中心却不只是这样。管理程序本身同样也可能成为攻击对象。例如,Vmware 正在修复其自身的虚拟化架构来去掉基于 Linux 的服务控制台以将攻击面从 2GB 减少到 100MB。虽然这是一种改进,但用户们仍然有很多安全问题需要考虑。Gartner 公司建议,从安全和管理角度,将虚拟化平台当作是你的数据中心内最重要的 IT 平台Ga
23、rtner 建议,IT 部门需要建立关于不同信任级别的工作负载整合的政策,并且在评估新安全和管理工具时,选择那些在物理环境和虚拟环境拥有相同管理、政策和报告标准的工具。IT 部门必须关注安装在管理程序层的所有代码的漏洞情况,包括驱动器、插件和第三方工具等,保持所有这些的最新更新以及补丁修复。即使当虚拟化层与之前的物理架构一样安全,提供更多的虚拟机的趋势意味着你的足迹扩大,也就是安全风险扩大。Turner 正在寻找一些系统管理工具,例如 Cfengine、Puppet Labs 和 Chef,来将检查补丁修复、移除旧的用户帐户和确保配置文件没有被篡改的程序自动化。即使是相对简单的工作,例如运行杀
24、毒软件,在系统被虚拟化后,都可能变得更加复杂。Harper 指出,他的工作人员必须手动更改所有 Windows Server 每周扫描的时间,因为否则会立即造成过高的 I/O 负载。Harper 表示,客户既需要新产品,也需要防止虚拟化出现问题的程序,因为将虚拟机当作裸金属机来管理根本行不通。不过,Harper 和 Sabre 公司的高级 IT 专家 Jim Brewster 对于虚拟世界的安全性都感到十分乐观。对安全区域的物理分隔被基于软件的安全区取代,虚拟化管理工具可能会让捣乱的 IT 管理员难以改变系统,在不对他们的行为进行日志记录的情况下。微软和 Vmware 一直都在争论在操作系统中保留多少进程以及多少进程应该推到系统管理程序层的问题,但是 Brewster 表示,期待更多的安全功能转移到管理程序层。“我觉得对于虚拟空间正在发生的事情有更好的能见度和更多的控制将是件好事, ”Brewster 表示。
