当前位置: 手机论文网>工学论文>电信技术>

云环境下资源池的防护系统设计与实现

阅读技巧m.Lw54.com 手机论文网

 【摘 要】为了解决云环境下的安全防护问题,通过分析传统防护方案存在的不足,并对云环境下资源池的架构进行研究,提出了无代理病毒防护设计、无代理防火墙的设计和无代理入侵检测/防护的设计等关键技术解决方案。经过实际性能测试验证,无代理方案的性能表现明显优于传统防护方案,可为电信运营商在云环境下的资源池提供有效的安全防护。
  【关键词】云资源池 VMware 无代理 入侵检测系统 入侵防护系统
  doi:10.3969/j.issn.1006-1010.2016.20.018 中图分类号:TP391 文献标志码:A 文章编号:1006-1010(2016)20-0092-05
  1 引言
  随着云计算及虚拟化技术快速演进,大量的数据中心服务器工作负荷将实现虚拟化。通常的部署方式是在单一物理系统中运行多个虚拟机,从而使资源得到更高效的利用,这样就可以大幅削减设备的资本支出、降低与电力和冷却相关的能源成本以及节省物理空间。根据Gartner统计报告,到2016年为止80%的服务器将采用虚拟化部署。
  虚拟环境下的服务器和虚拟桌面仍然会碰到与传统物理计算机相同的安全性问题,如病毒、蠕虫、木马程序和恶意软件的入侵。并且虚拟环境更加复杂,安全防护需要考虑虚拟机的密度、虚拟机的启动间隙防护、虚拟机之间的攻击、虚拟机的管理复杂性等。由于大量使用了虚拟化技术,使得过去常规的安全手段已经无法有效解决日益突出的安全问题,所以在虚拟环境下的服务器需要考虑如何有效地进行安全防范。
  2 传统安全防护存在的问题
  传统的针对病毒防护解决方案都是通过安装代理程序(Agent)到虚拟主机的操作系统中,在服务器虚拟化后,要实现针对病毒的实时防护,同样需要将防病毒客户端即代理程序安装在各个虚拟机中,但是服务器虚拟化的目的是整合资源,最大化地发挥服务器资源的利用率,而传统的防病毒技术需要在每个虚拟主机中安装程序,如1台服务器虚拟5台主机,传统方法需要安装5套,这样在扫描时就需要消耗虚拟主机的计算资源,并且在病毒库更新时带来更多的网络资源消耗。传统的病毒防护解决方案如图1所示:
  当这些系统被迁移到虚拟环境时,众多虚拟机同时更新病毒特征库或进行按需全盘扫描可能使内存、存储和CPU(Central Processing Unit,中央处理器)使用率出现尖峰,导致这些虚拟机在这段时间内都无法正常提供服务,这种情况通常称为杀毒风暴。同时,由于杀毒风暴的存在,虚拟机的密度也不能太高,比如可以承载50台虚拟机的服务器资源池只能建立30台虚拟机。目前最常见的做法是使按需扫描调度随机化,但这种做法也不理想。
  3 VMware平台安全架构介绍
  VMware是一款众所周知的虚拟化软件,该软件通过虚拟化服务器底层硬件以提供用户可在服务器上同时运行不同的操作系统环境。目前虚拟化软件以VMware为主,包括虚拟化软件思杰的Citrix、华为的Fusion、微软的Hyper-V、开源KVM(Kernel-based Virtual Machine,内核级虚拟化技术)等。
  VMware在平台的安全中,对外开放各种接口方式来实现第三方的安全控制。用户的VMware ESXi主机需要统一接受一个vCenter中心管理,并通过vCenter中心对每台主机分别自动部署vShield Endpoint和安全虚拟机,这些安全虚拟机将在每个物理主机上自动部署。在添加一台物理主机后,当新加VMware ESXi物理主机接受vCenter管理平台管理时,将自动生成部署安全虚拟机和vShield Endpoint。目前采用VMsafe API(Application Programming Interface,应用程序编程接口)和vShield Endpoint的接口,通过在ESXi上部署安全虚拟应用层来实现对虚拟机的安全防护;利用vShield Endpoint实现防病毒及防恶意软件,利用VMsafe API实现网络IDS(Intrusion Detection System,入侵检测系统)/IPS(Intrusion Prevention System,入侵防护系统)。VMware平台安全架构如图2所示:
  4 云资源池下的防护安全方案
  通过上述分析可以看出,在云资源时代,目前以VMware为主的虚拟环境中,安全防护面临的是从病毒防护、访问控制到入侵检测/防护的一系列问题,因此本文设计了一套完整的安全防护策略,如图3所示:
  4.1 无代理病毒防护设计
  在虚拟化环境中,有代理的防病毒软件存在严重的资源消耗问题,影响服务器的运行。目前可以采用无代理的方式来解决服务器资源问题,通过VMware的虚拟化层提供的API接口实现。无代理技术是指在每台VMware ESXi物理服务器上部署一台安全虚拟机,以一台安全虚拟机方式运行而不需要在其它各个业务虚拟机安装任何代理程序,通过该虚拟机来保护所有在VMware ESXi物理服务器上的虚拟主机。同时,当业务虚拟机任意启用运行或者物理服务器切换到时,都不出现防护空档,这一切是传统解决方案无法完成的。
  VMware虚拟系统通过开放VMsafe API和vShield Endpoint的接口,在虚拟化层VMware ESXi上部署安全虚拟机,实现虚拟系统和虚拟主机之间的安全防护,这样避免了在虚拟主机的操作系统中安装代理程序,以无代理方式实现了实时的恶意软件的防护。防毒引擎扫描时不需要消耗网络和处理器的资源,在最大化利用服务器资源的同时提供全面恶意软件的实时防护。
  4.2 无代理防火墙的设计
  传统的防火墙技术通常以硬件形式存在,用于访问控制和安全区域间的划分。计算资源虚拟化后导致边界模糊,很多的信息交换在虚拟系统内部就实现了,而传统防火墙在物理网络层提供访问控制,如何在虚拟系统内部实现访问控制和病毒传播抑制是虚拟系统面临的最基本安全问题。  无代理的防火墙提供全面基于状态检测细粒度的访问控制功能,可以实现针对虚拟交换机基于网口的访问控制和虚拟系统之间的区域逻辑隔离;同时,支持各种泛洪攻击的识别和拦截。通过与底层的紧密集合,以达到对上层虚拟机无代理的防护。
  4.3 无代理入侵检测/防护的设计
  传统环境下的网络安全拓扑图在网络出口处部署网关防护设备,如防火墙、防毒墙等各类安全设备,用来隔离网络之间的攻击和病毒扩散问题,部署IDS监控对服务器的非法访问行为,在服务器上部署防病毒软件,保护核心服务器的安全运行。而在虚拟化环境下,一台物理服务器平台上将运行数个甚至数十个业务虚拟机,这些传统的安全防护措施将不再有效。因此,针对虚拟化环境应该部署针对虚拟化环境的无代理解决方案。
  在主机及网络层面同时进行入侵检测和防护,这在安全基础设施建设是非常必要的,然而在云计算和虚拟化的环境中,由于传统的入侵检测工具需要在每台虚拟机中安装代理程序,当运行在虚拟化的网络或系统中时,会出现和有代理防病毒软件类似的问题。此外,在虚拟环境中,虚拟交换机不支持建立镜像端口、禁止将数据流拷贝至IDS传感器。面对虚拟网络内部流量时,部署在传统物理网区域中的IPS系统无法很好地集成到虚拟环境中,这样会面对多种的技术问题,导致网络入侵检测很难实现。因此,与有代理运行恶意软件一样,基于主机的IDS系统会消耗共享的资源,导致运行资源风暴、密度不够等问题。
  无代理入侵检测/防护在VMware的VMsafe接口可以允许虚拟交换机或端口组以混合模式运行时,虚拟的IDS传感器可以检测到同一虚拟段上的网络流量。无代理IDS/IPS除了提供传统IDS/IPS系统功能外,还提供虚拟环境中基于政策的监控和分析工具,确保虚拟网络的安全性,如网络行为的分析及精确的流量监控、分析、访问控制等。通过无代理方式可以让其在虚拟系统中占用更少的资源,避免过度消耗宿主机的硬件能力。
  4.4 方案优点及问题
  方案优点具体如下:
  (1)简化部署。采用无代理模式,管理员无需在模板机部署和更新代理程序,减少虚拟机的体积和管理工作量。
  (2)避免病毒扫描风暴。在无代理模式下,运行于同一物理服务器上的多台虚拟机的扫描工作统一进行调度,资源占用得到有效控制,避免了病毒扫描风暴的发生。
  (3)减少资源占用。在无代理模式下,不占用主机的CPU、内存和磁盘资源。
  (4)随时保持最新。采用无代理模式,只要保证安全虚拟机随时在线、及时更新,每台虚拟机就不用更新病毒库。
  (5)更高的密度、更低的成本。由于无代理模式可以节省资源占用,消除病毒扫描风暴,因此可以提高部署密度和节省硬件采购成本。
  当然,无代理安全防护方案也存在一些问题。目前该方案主要是针对采用VMware虚拟化软件部署的云环境,因为VMware提供了相应的程序接口。同时,随着VMware新版本的推出,相应的程序接口也在不断地调整,无代理安全防护方案在各种VMware版本下开发设计也不同。此外,如果云环境采用其它虚拟化软件部署,安全接口的标准化程度不如VMware,则设计架构需要调整,且实现难度较大。
  5 性能测试对比分析
  性能测试主要包括验证与传统方式下安全防护在性能和资源占用方面的对比,具体如下:
  (1)CPU资源占用测试:说明此次测试CPU的性能消耗对比传统扫描方式的测试结果。
  (2)内存资源占用功能测试:说明此次测试内存的性能消耗对比传统扫描方式的测试结果。
  (3)磁盘I/O占用测试:说明此次测试磁盘I/O的性能消耗对比传统扫描方式的测试结果。
  (4)网络占用测试:说明此次测试网络消耗对比传统扫描方式的测试结果。
  本次测试开启了10个Windows 7环境虚拟机,测试结果如表1和表2所示:
  本次测试开启了虚拟化安全所必需的虚拟机包括vShield、vCenter和厂家自己配置的负载安全的虚拟机,以及进行性能测试的10个Windows 7环境虚拟机,可以看到,对比CPU使用情况、内存消耗、磁盘读取速度和扫描速度,无代理方案与传统有代理防病毒方案的性能开销差距越突出。而在用户的实际工作和生产环境中,单个主机上能够运行到50至100个虚拟机环境,这种环境下无代理方式在资源和防护方面的优势更加明显。也就是说,单个主机上运行的虚拟机越多,就越能体现无代理方式的优势。而有代理方式进行扫描和更新时,虚拟机越多,主机资源负担就会越重,在这种环境中会因为安全产品的运行而造成资源的浪费。
  6 结束语
  本文分析了传统安全防护方案存在的问题,包括安全防护软件的管理问题及性能问题,研究了云资源下的防护系统,给出了无代理病毒防护设计、无代理防火墙的设计、无代理入侵检测/防护的设计等关键技术,并分析了无代理技术优点及问题。在实际性能测试中,对比传统防病毒软件和虚拟化安全无代理解决方案,当同时进行安全防护时,本文中的无代理方案的性能表现明显优于传统防护方案。
  参考文献
  [1] 张明浩. 计算机病毒防范技术探讨[J]. 科技信息: 学术版, 2007(10): 32-35.
  [2] 王晓刚. 计算机病毒防范的对策与方法[J]. 网络安全技术与应用, 2007(4): 30-31.
  [3] 孙晓南. 防火墙技术与网络安全[J]. 科技信息, 2008(3): 52-54.
  [4] 童晓渝,张云勇,房秉毅,等. 大数据时代电信运营商的机遇[J]. 信息通信技术, 2013(1): 5-9.
  [5] 潘泓. 基于虚拟机的代码保护技术研究[J]. 计算机应用研究, 2013(12): 209-212.
  [6] 金钰,朱华. 运营商云资源池安全防护策略的探讨[J]. 电脑知识与技术, 2015,11(20): 23-25.
  [7] 顾炯,吕鹏,张金漫. 云资源池安全部署方案解析[J]. 电信技术, 2014(10): 46-49.
  [8] 陈杰. 虚拟化资源池的设计与实现[J]. 电信技术, 2012 (5): 53-55.
  [9] 钟肖媛. 商务领航业务云资源池的设计与实现[D]. 兰州: 兰州大学, 2014.
  [10] 王景学. 云计算虚拟机防护系统设计与实现[D]. 西安: 西安电子科技大学, 2014.
  [11] 李蔚. 虚拟化技术在图书馆数据中心建设中的实施策略[J]. 科技情报开发与经济, 2015,25(23): 38-40.

转载请注明来源。原文地址:http://m.lw54.com/20161213/6535157.html