你知道怎样维护虚拟化的安全吗？

作者:课课家教育更新于： 2017-05-10 10:49:41

　　虚拟化平台正在面临安全问题，虚拟化平台增加了额外的一层安全要求。向数据中心的虚拟机迁移需要重新设计安全计划和架构，可能引起的潜在问题包括：事件反应、虚拟化基础设施、隔离区设计。事实上，与虚拟平台本身有关的风险仍然是不清楚的，因为目前对于内部管理程序和平台安全还没有大量的解决方案。认真看看这篇文章，相信你一定可以学到你需要的。

　　在“云”大行其道的时代，虚拟化正在成为企业IT基础架构管理的标配。然而，凡事有一利必有一弊，云计算与虚拟化并非完美无缺的技术，虚拟化的“另一面”，是新的安全威胁。如今网络上的恶意代码数量呈现几何倍数的增长，平均1秒钟就会有一个新的网络安全威胁产生，每5分钟就会发生一起网络入侵行为，高级威胁随时都可能感染数据中心平台。根据市场调研机构Gartner报告显示，虚拟化数据中心面临比传统数据中心更大的安全挑战!

　　虚拟化

　　虚拟化是一个广义的术语，是指计算元件在虚拟的基础上而不是真实的基础上运行，是一个为了简化管理，优化资源的解决方案。如同空旷、通透的写字楼，整个楼层没有固定的墙壁，用户可以用同样的成本构建出更加自主适用的办公空间，进而节省成本，发挥空间最大利用率。这种把有限的固定的资源根据不同需求进行重新规划以达到最大利用率的思路，在IT领域就叫做虚拟化技术。虚拟化技术可以扩大硬件的容量，简化软件的重新配置过程。CPU的虚拟化技术可以单CPU模拟多CPU并行，允许一个平台同时运行多个操作系统，并且应用程序都可以在相互独立的空间内运行而互不影响，从而显著提高计算机的工作效率。虚拟化技术与多任务以及超线程技术是完全不同的。多任务是指在一个操作系统中多个程序同时并行运行，而在虚拟化技术中，则可以同时运行多个操作系统，而且每一个操作系统中都有多个程序运行，每一个操作系统都运行在一个虚拟的CPU或者是虚拟主机上;而超线程技术只是单CPU模拟双CPU来平衡程序运行性能，这两个模拟出来的CPU是不能分离的，只能协同工作。

　　云计算

　　云计算 (cloud computing)是基于互联网的相关服务的增加、使用和交付模式，通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。云是网络、互联网的一种比喻说法。过去在图中往往用云来表示电信网，后来也用来表示互联网和底层基础设施的抽象。因此，云计算甚至可以让你体验每秒10万亿次的运算能力，拥有这么强大的计算能力可以模拟核爆炸、预测气候变化和市场发展趋势。用户通过电脑、笔记本、手机等方式接入数据中心，按自己的需求进行运算。 对云计算的定义有多种说法。对于到底什么是云计算，至少可以找到100种解释。 现阶段广为接受的是美国国家标准与技术研究院(NIST)定义：云计算是一种按使用量付费的模式，这种模式提供可用的、便捷的、按需的网络访问， 进入可配置的计算资源共享池(资源包括网络，服务器，存储，应用软件，服务)，这些资源能够被快速提供，只需投入很少的管理工作，或与服务供应商进行很少的交互。

　　虚拟化给安全带来重重挑战

　　挑战一：防病毒系统资源消耗严重

　　传统防病毒软件采用有代理的模式进行安全防护，即每台虚拟机都需要安装一个防病毒客户端软件，当客户端同时进行杀毒扫描或者病毒库更新时，对系统的资源消耗非常大，严重时可能导致服务器宕机。

　　挑战二：来自虚拟机间的相互攻击

　　传统的安全防护边界位于物理主机的边缘，通过访问控制和安全区域间的划分来实现安全防护，而资源虚拟化后导致防护边界模糊，很多数据转发直接通过主机内部的虚拟交换机实现。因此，如何在虚拟化系统内部预防虚拟机间的相互攻击和病毒传播抑制，是虚拟系统面临的最基本安全问题。

　　挑战三：系统安全补丁安装风险多多

　　随着新的漏洞不断出现，用户在为系统打补丁上疲于应付。原因之一是操作系统及应用厂商针对一些版本不提供漏洞的补丁，或者发布补丁的时间严重滞后;原因之二是无法确保安装补丁是否会对在线生产业务造成影响，更重要的是，如果IT人员的配备不足，时间又不充裕，那么在审查、测试和安装官方补丁更新期间很容易陷入风险。

　　新华三联手亚信安全实现虚拟化多维安全防护

　　针对上述挑战，新华三联手亚信安全共同推出虚拟化安全套件。作为双方合作的核心成果，亚信安全Deep Security深度安全防护系统经过深入的对接开发及验证测试，成为H3Cloud CAS虚拟化软件的Hypervisor层的标准化安全模块，通过病毒防护、访问控制、入侵检测/入侵防护、虚拟补丁等功能，实现宿主机和虚拟机的全面防护，从而构建CAS虚拟化平台的全方位综合防护，并满足信息系统合规性审计要求。

　　优势一：无代理防病毒

　　亚信安全 Deep Security for CAS深度集成对接了CAS的网络安全接口，CAS平台上的所有虚拟机无需安装任何客户端软件就能对病毒、间谍软件、木马等威胁进行查杀，最大化利用计算资源的同时，提供全面的实时病毒防护。其次，无代理的部署方式有效降低了虚拟机并发全盘扫描及病毒库更新时产生的大量资源消耗，避免了防病毒风暴;

　　优势二：二到七层的安全防护

　　亚信安全DeepSecurity for CAS提供全面的基于状态检测细粒度访问控制功能，CAS的Hypervisor层直接集成亚信安全网络安全引擎，实现针对虚拟交换机基于网口的访问控制和虚拟系统之间的区域逻辑隔离，支持各种泛洪攻击的识别和拦截，检查所有传入及传出通信，进而防止已知攻击和零日攻击的入侵;

　　优势三：虚拟补丁防护

　　亚信安全DeepSecurityfor CAS通过虚拟补丁技术对超过100 种应用程序(包括数据库、Web、电子邮件和 FTP 服务器)提供开箱即用的漏洞防护,从而在操作系统和企业应用程序安装补丁之前对其漏洞进行防护。亚信安全DeepSecurity的虚拟补丁功能既不需要停机安装，也不需要进行广泛的应用程序测试，从而消除紧急修补、频繁安装补丁和代价不菲的系统停机等不愉快的操作体验。

　　综上所述，虚拟化在给用户带来诸多好处的同时，也让用户面临着新的意想不到的风险：巨大的系统资源消耗、虚拟机间的相互攻击、安全补丁安装风险重重……这些都严重威胁着云数据中心的安全运行。不过，面对虚拟化的“另一面”，您无需惊慌，也无需忙乱，新华三与亚信安全联手推出的虚拟化安全套件凭借无代理防病毒、二到七层的安全防护和虚拟补丁防护等诸多先进技术，将为您的云数据中心提供强悍的多维立体防护，让安全不再成为云的痛点!

　　如果还想看这方面的文章，就请来课课家吧。