福建中醫(yī)藥大學(xué)原名福建中醫(yī)學(xué)院,創(chuàng)建于1958年,是我國(guó)創(chuàng)辦較早的高等中醫(yī)藥院校之一,是福建省重點(diǎn)建設(shè)高校,2010年3月經(jīng)教育部批準(zhǔn)更名為福建中醫(yī)藥大學(xué)。學(xué)校擁有國(guó)家中醫(yī)藥管理局重點(diǎn)學(xué)科20個(gè),福建省重點(diǎn)學(xué)科12個(gè)。
福建中醫(yī)藥大學(xué)校園計(jì)算機(jī)網(wǎng)絡(luò)建于1998年,2002年配合“數(shù)字福建”建設(shè)規(guī)劃,擬定《“數(shù)字福建中醫(yī)學(xué)院”建設(shè)規(guī)劃草案》。2004年制定《福建中醫(yī)學(xué)院數(shù)字化校園建設(shè)總體規(guī)劃》,同年立項(xiàng)建設(shè)。2007年完成數(shù)字化校園建設(shè)招標(biāo),同年10月統(tǒng)一身份認(rèn)證、信息門(mén)戶、數(shù)據(jù)共享和辦公自動(dòng)化系統(tǒng)首先投入使用,隨后其它系統(tǒng)也相繼投入使用至今。
我校校園信息化項(xiàng)目經(jīng)過(guò)多年的建設(shè),現(xiàn)有數(shù)十臺(tái)機(jī)架式服務(wù)器及刀片式服務(wù)器、多套存儲(chǔ)硬件,通過(guò)虛擬化部署,承載數(shù)字化校園、網(wǎng)站群系統(tǒng)等眾多應(yīng)用,數(shù)據(jù)級(jí)容災(zāi)跨兩個(gè)校區(qū),覆蓋Linux/Windows兩大平臺(tái)的數(shù)據(jù)庫(kù)、中間件等等。
近年來(lái),我校加強(qiáng)了數(shù)據(jù)中心的安全防護(hù)建設(shè),先后部署了安全網(wǎng)關(guān)、WEB應(yīng)用防護(hù),防病毒軟件等安全系統(tǒng),基本實(shí)現(xiàn)了物理邊界安全及終端安全。但由于虛擬化系統(tǒng)本身的特性,如何實(shí)現(xiàn)虛擬化系統(tǒng)的主機(jī)漏洞防護(hù)面臨著挑戰(zhàn)。
不管是物理服務(wù)器還是虛擬服務(wù)器,其上的操作系統(tǒng)包括各種數(shù)據(jù)庫(kù)、中間件等等應(yīng)用都可能存在安全漏洞,黑客或者病毒等可以通過(guò)這些漏洞攻擊服務(wù)器。這種攻擊的過(guò)程一般如下圖1所示:
圖1:利用漏洞實(shí)施攻擊流程
針對(duì)服務(wù)器的漏洞,如果用打?qū)嶓w補(bǔ)丁的方法解決,需要與涉及的所有第三方應(yīng)用軟件開(kāi)發(fā)商協(xié)調(diào)及確認(rèn)應(yīng)用軟件的兼容性,且很多補(bǔ)丁修補(bǔ)都需要重啟動(dòng)服務(wù)器。這種做法每年集中做一次兩次可以,但和安全漏洞同步執(zhí)行恐怕不太現(xiàn)實(shí)。目前的現(xiàn)狀是,我們一般會(huì)使用網(wǎng)絡(luò)IPS設(shè)備對(duì)一些重要的安全漏洞做策略阻止。但附加在IPS上的策略數(shù)量過(guò)多的話,IPS性能將不敷使用。實(shí)際上,這種方法也只能針對(duì)有限的幾種安全漏洞設(shè)定策略阻止,相對(duì)于各種操作系統(tǒng)及應(yīng)用軟件存在的幾千種安全漏洞來(lái)說(shuō),無(wú)異于杯水車(chē)薪。針對(duì)這種困境,對(duì)主機(jī)安全有更高要求的使用者一般會(huì)在網(wǎng)絡(luò)IPS以外再實(shí)施主機(jī)防火墻及主機(jī)IPS系統(tǒng),在每臺(tái)服務(wù)器上部署主機(jī)加固軟件,將大部分IPS策略分擔(dān)到各臺(tái)主機(jī)上,這樣的話,由于每臺(tái)獨(dú)立的主機(jī)上的操作系統(tǒng)及應(yīng)用是有限的,其上的主機(jī)IPS需要承載的策略并不會(huì)很多,基本可以滿足安全的需要。
在傳統(tǒng)的機(jī)房中,我們可以用交換機(jī)、路由器、防火墻、IPS等傳統(tǒng)的安全設(shè)備實(shí)現(xiàn)各個(gè)安全功能。但在虛擬化的環(huán)境中,虛擬機(jī)之間的互相通訊直接通過(guò)虛擬化軟件底層的虛擬交換機(jī)進(jìn)行,如果攻擊者使用某一臺(tái)虛擬服務(wù)器攻擊另外的虛擬服務(wù)器的話,我們?cè)谶吔绮渴鸬腎PS、防火墻以及用來(lái)偵測(cè)內(nèi)部攻擊的IDS都將失去作用。
事實(shí)上,針對(duì)虛擬化環(huán)境下的主機(jī)安全,我們需要用“虛擬化”的眼光來(lái)看待和思考。以VMware虛擬化軟件舉例,整個(gè)VMware的虛擬化系統(tǒng)中,所有的虛擬機(jī)VM是通過(guò)vSwitch虛擬交換機(jī)進(jìn)行通訊的,VMware使用兩組API來(lái)承載通信控制。其中VMsafe API負(fù)責(zé)和網(wǎng)絡(luò)相關(guān)的通信,vShield Endpoint API負(fù)責(zé)和內(nèi)容、應(yīng)用相關(guān)的通信。如果我們能讓安全軟件嵌入到VMware的虛擬化軟件底層且能夠直接調(diào)用這兩組API的話,虛擬化環(huán)境本身的安全包括虛擬服務(wù)器的安全不就可以實(shí)現(xiàn)了嗎。
當(dāng)然,我們知道虛擬化環(huán)境下,各虛擬服務(wù)器的資源利用率普遍會(huì)達(dá)到50%以上,這要比物理機(jī)時(shí)代的平均10%左右增加5倍。從這個(gè)角度來(lái)看,如果適用于虛擬化環(huán)境的安全軟件是需要部署于每個(gè)虛擬機(jī)的話,我們需要慎重考慮。畢竟安全軟件本身就是很耗資源且習(xí)慣“爭(zhēng)搶”資源的,而安全軟件的掃描、更新等更是極耗資源。
綜上所述,解決虛擬化環(huán)境下的主機(jī)安全的最好方法是“無(wú)代理安全”,即在虛擬化軟件的底層安裝一個(gè)嵌入式軟件,實(shí)現(xiàn)防火墻及IPS功能。這個(gè)無(wú)代理防火墻、IPS既可以控制各虛擬機(jī)之間及虛擬機(jī)與外界之間的通信,又可以不在各個(gè)虛擬服務(wù)器上安裝代理的前提下對(duì)各個(gè)虛擬機(jī)實(shí)現(xiàn)定制化的IPS及防火墻策略。簡(jiǎn)單的說(shuō),在VMware的ESX上安裝一臺(tái)安全虛擬機(jī),這臺(tái)安全虛擬機(jī)可以針對(duì)ESX上虛擬出來(lái)的不同虛擬服務(wù)器及其上的應(yīng)用實(shí)施不同的漏洞防護(hù)安全策略,同時(shí)也可以阻斷虛擬機(jī)之間可能存在的互相攻擊或者跳板式攻擊。這種安全防護(hù)需要考慮到前文提到的虛擬化系統(tǒng)的資源利用率緊湊的問(wèn)題,不能對(duì)虛擬化系統(tǒng)產(chǎn)生很大的資源負(fù)擔(dān)。更重要的是,這種實(shí)施策略及防護(hù)的過(guò)程不能修改操作系統(tǒng)和數(shù)據(jù)庫(kù)、中間件等應(yīng)用的內(nèi)核,不能產(chǎn)生“兼容性問(wèn)題”,更不能重啟動(dòng)服務(wù)器。
我校目前虛擬化環(huán)境現(xiàn)有服務(wù)器包括九個(gè)UCS刀片、BladeCenter H的9個(gè)刀片。應(yīng)用覆蓋整個(gè)數(shù)字化校園,數(shù)據(jù)庫(kù)采用Oracle,中間件采用IBM WAS。在依據(jù)《國(guó)家發(fā)展改革委辦公廳關(guān)于組織實(shí)施2013年國(guó)家信息安全專(zhuān)項(xiàng)有關(guān)事項(xiàng)的通知》的第2點(diǎn)的(2)提到的“云操作系統(tǒng)安全加固和虛擬機(jī)安全管理產(chǎn)品”的規(guī)范,同時(shí)參考了福建省內(nèi)其他兄弟單位及教育主管單位的實(shí)際案例。我們考察了趨勢(shì)科技及其他幾個(gè)廠商的產(chǎn)品,其中趨勢(shì)科技的DeepSecurity有很大的優(yōu)勢(shì),體現(xiàn)在以下幾個(gè)方面:
1、 產(chǎn)品功能全面,趨勢(shì)科技的DeepSecurity能全面實(shí)現(xiàn)虛擬化環(huán)境的整體安全。
2、 產(chǎn)品相對(duì)成熟, DeepSecurity產(chǎn)品從2006年推出至今,已經(jīng)有很長(zhǎng)的歷史,而其他廠商的相似產(chǎn)品推出大多僅有一年甚至幾個(gè)月。
3、 應(yīng)用案例很多,虛擬化及云計(jì)算的領(lǐng)軍者VMware和Amazon自身也在使用趨勢(shì)科技的DeepSecurity產(chǎn)品。在省內(nèi)的兄弟高校及教育主管單位有成功的應(yīng)用。
趨勢(shì)科技的DeepSecurity以無(wú)代理的方式實(shí)現(xiàn)虛擬化環(huán)境的整體安全。以下是無(wú)代理安全的示意圖:
圖2:無(wú)代理安全示意圖
通過(guò)在虛擬化環(huán)境部署趨勢(shì)科技的DeepSecurity,我們可以在VMware的vCenter中直接調(diào)用DeepSecurity的控制臺(tái),對(duì)虛擬化環(huán)境做一次主機(jī)漏洞掃描,再應(yīng)用DeepSecurity根據(jù)掃描后的結(jié)果給的“虛擬補(bǔ)丁”推薦策略,即可對(duì)整個(gè)虛擬化環(huán)境的主機(jī)漏洞作統(tǒng)一的漏洞防護(hù)。當(dāng)然,我們也可以額外制定自己的防護(hù)策略。以上過(guò)程只需鼠標(biāo)操作,不需要管理員自行編寫(xiě)任何防護(hù)策略,節(jié)約了大量時(shí)間,也不需要過(guò)于專(zhuān)業(yè)的知識(shí)。
IT技術(shù)日新月異,高校信息化建設(shè)的虛擬化時(shí)代的來(lái)臨不可抗拒。如何在新的時(shí)代、新的技術(shù)體系架構(gòu)下考慮高校網(wǎng)絡(luò)的安全是每個(gè)高校IT管理者的責(zé)任。面對(duì)新技術(shù)、新架構(gòu)帶來(lái)的挑戰(zhàn),我們只能在分析并掌握新技術(shù)原理的前提下重新考慮我們的網(wǎng)絡(luò)安全體系,才能面對(duì)最新的網(wǎng)絡(luò)安全威脅,讓信息技術(shù)更好的服務(wù)于高校的建設(shè)與發(fā)展。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:高校虛擬化環(huán)境下的主機(jī)漏洞防護(hù)淺析
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121511935.html