基于服务器虚拟化技术的数据中心网络安全设计

　　摘要：相比于传统架构，服务器虚拟化技术实现了计算、网络和存储资源的统一管理，具有更高的平台投资效费比、简化管理难度及扩展性强等优势，将其应用于党政内网及军工涉密等信息敏感程度高和网络安全重要性强的领域，建设基于服务器虚拟化技术的数据中心，对其网络安全方面提出了更高的挑战。文章通过分析服务器虚拟化涉及的网络安全风险点，提出了选用国产自主可控的安全虚拟化产品、三网分离、安全域划分等网络安全设计思路，在提升数据中心运行效能的前提下，使得数据中心网络更加安全、可靠。

　　关键词：服务器虚拟化;数据中心;网络安全

　　在新的信息技术不断革新，网络安全形势复杂变化的大背景下，虚拟化技术作为云计算的关键技术，逐渐显现了其在数据集中管控、安全边界收紧、用户策略统一管理等安全优点，并在减少投资、降低管理成本、提高资源利用效率等方面具有优势。将虚拟化技术应用于党政内网及军工涉密等信息敏感程度较高的领域的需求是迫切的，本文在深入分析虚拟化环境下信息系统安全风险的基础上，基于国产自主可控的安全虚拟化产品，从虚拟化资源管理系统安全、身份认证与管理、安全监控与审计、病毒与恶意代码防护、端口及介质管控、管理平台安全等方面进行了安全设计和产品实现，有效控制了网络安全风险。

　　1 安全风险分析通过对虚拟化环境下数据中心网络安全风险进行整理及评估。

　　虚拟机间攻击的风险恶意虚拟机通过攻击物理机影响其他虚拟机传统系统中主机互相独立，不存在此风险，而虚拟化环境下由于多个虚拟机运行在同一物理机内，虚拟机有可能对物理机内其他虚拟机实施攻击，需要能够隔离防护这种攻击虚拟机间的流量绕过监控与审计措施传统系统内主机之间的流量可被传统网络监控审计措施监管，而传统措施无法用于虚拟化环境的监控与审计，需要有技术措施对虚拟化信息系统内的流量进行控制，监控与审计措施能够发现虚拟机之间的攻击行为用户违规操作的风险用户试图对虚拟机内配置进行修改传统系统内主机内部的操作可被传统审计工具检测，而虚拟化环境下的主要操作在虚拟机，需要采用安全产品对虚拟机内的操作进行审计监控用户突破安全规则使用虚拟机资源传统系统的用户只能操作本地资源，而虚拟化环境下的主要操作在虚拟机。

　　虚拟机有可能突破规则使用虚拟化信息系统资源，需要保证虚拟机间的资源隔离，并能监控和审计虚拟机使用情况管理员配置管理的风险管理员拥有过多的虚拟机平台管理权限传统系统管理员拥有的权限主要在于应用系统和管理系统，而虚拟化环境下管理员掌握了所有的虚拟化资源，具有权限较大，需要对管理员严格进行权限划分和制约管理员对虚拟化管理平台的非法操作或误操作传统系统如果出现管理员非法配置操作一般只会影响业务系统，而虚拟化环境下管理员对虚拟化管理平台的非法操作会影响整个虚拟化信息系统。

　　需要有机制降低管理员的错误配置风险，并监控与审计其操作系统配置管理日志泄露 传统系统也存在此风险，而虚拟化环境下系统日志涉及整个系统的信息安全，对重要管理日志需要加强保护数据混杂风险不同密级虚拟机共用物理主机传统系统不同密级服务器是分离的计算机设备，数据能够有效隔离，而虚拟化环境下虚拟机可以共用物理主机，网络边界也较模糊，不同虚拟机的数据有可能混杂，用户数据隐私和保密受到挑战不同密级虚拟机共用存储设备传统系统不同密级服务器的存储是分离的，不涉及此风险，而虚拟化环境下不同密级安全区域可能存在共用存储集群的情况，需要对存储设备进行隔离与访问控制，以保证不同安全域对数据的隔离数据泄露风险虚拟机迁移时数据被非法复制或挂载传统系统不涉及此风险，而虚拟化环境下虚拟机发生迁移过程中，数据卷可能被非法复制，需要保证迁移时不跨密级并清除原有数据系统底层漏洞风险虚拟机监控器漏洞 传统系统不存在此风险，而虚拟化环境下增加了虚拟机监控器一层，负责物理资源的调度，责任重大。

　　若采用存在后门的国外虚拟机监控器，将会影响整个虚拟化信息系统的数据安全硬件设备内含有恶意代码传统系统也存在此风险，而虚拟化环境下由于所有虚拟机运行在虚拟化信息系统的硬件内，若硬件底层存在恶意代码，则整个虚拟化信息系统的安全受到威胁，需要技术措施(如 TPM 芯片技术)保证设备完整可信机房物理设施风险 机房被未授权人员进入 传统系统的数据中心规模相对较小，而虚拟化信息系统机房部署了大量核心设备，攻击影响面巨大，需要在机房设施门禁增强鉴别措施虚拟化信息系统灾难风险重要数据丢失 传统系统数据中心面向的用户面较小，而虚拟化信息系统一旦发生灾难会导致所有数据丢失，需要增强备份恢复机制重要业务被中断 传统系统数据中心只运行应用业务，而虚拟化信息系统运行所有虚拟机，发生灾难会导致全部业务终止，应急和恢复需要迅速响应。

　　2 网络安全设计

　　2.1 选用国产自主可控的安全虚拟化产品相比于 VMware、Citrix 等国外虚拟化产品，国产自主可控的安全虚拟化产品具有全自主国产化优势，获得了相关保密资质，更安全可控;符合涉密信息系统分级保护要求，强化了虚拟化内核安全，从结构和全面性上保证了虚拟化环境的体系性安全。

　　2.2 安全域划分及边界防护

　　根据系统处理信息的密级、责任单位、业务等将网络划分为不同的安全域，如终端安全域、安全管理服务器安全域、业务应用服务器安全域等。为了减少虚拟机隐通道攻击的风险，服务器虚拟化系统将隶属于不同安全域的虚拟服务器以独立集群方式建设，位于不同安全域的虚拟服务器所使用的宿主机、存储、交换机等均物理分开，确保不同密级的虚拟服务器不共享计算、存储等物理设备。针对不同的集群，分别划分 2个安全域：服务器安全域-虚拟化、服务器虚拟化集群管理安全域。在安全域边界采用防火墙进行安全域间的访问控制。

　　2.3 三网分离

　　服务器虚拟化系统通过隔离网络平面将业务流进行分化，将虚拟化资源管理系统划分为业务网平面、存储网平面和管理网平面，并且三个平面之间是隔离的，避免不同数据流交叉，混杂传输。业务网平面：为用户提供业务通道，为虚拟机虚拟网卡的通信平面，对外提供业务应用。存储网平面：为存储设备提供通信平面，并为虚拟机提供存储资源，但不直接与虚拟机通信，而通过虚拟化资源管理系统转化。管理网平面：负责整个虚拟化系统的管理、业务部署、系统加载等流量的通信。

　　2.4 物理安全门控措施：

　　数据中心机房设置双人认证方式的门禁系统，严格落实审批登记管理制度。设备安放：服务器虚拟化系统的宿主机、集中存储等关键硬件设备所在机柜加锁防护，并确保在摄像头覆盖范围内，24 小时视频监控。设备数据接口：在服务器虚拟化系统的宿主机上安装计算机及移动存储介质管理系统，对光驱、软驱、USB 口、并口、串口等进行管控，防止被非授权使用。设备维修：机房巡检、设备维修维护等，至少 2 名机房运维管理人员同进同出，外来人员进入机房，机房运维管理人员全程旁站陪同。在对服务器虚拟化系统宿主机、存储等关键硬件设备进行维护时，至少 2 名机房运维管理人员同时在场方可进行物理设备操作。

　　2.5 运行安全

　　(1)备份与恢复虚拟化资源管理系统的服务器采用双机热备方式部署，出现系统故障时，可实现快速恢复或自动切换。采用备份系统对虚拟机进行定期自动备份，当虚拟机崩溃或系统异常时对其进行恢复，保证磁盘文件和系统存储的完整性;对应用相关数据(数据库、非结构化业务数据、系统配置文件、日志文件等)进行定期自动备份，当应用相关数据因误删或损坏时对其进行恢复，保证应用数据的完整性。(2)恶意代码与计算机病毒防治虚拟化环境下采用轻代理的防病毒方案，在宿主机和虚拟机上安装防病毒软件驱动进行病毒查杀和实时监控。

　　(3)虚拟机安全监控与审计在虚拟机中安装审计监控客户端软件，实现虚拟机中的操作行为审计。包括对主机状态、配置信息、账户、进程、服务、主机网络连接、打印、刻录、非授权接入、共享、补丁安装、文件和目录操作、违规以及异常行为进行监控和审计。将服务器虚拟化系统中的虚拟交换机流量外迁至指定虚拟交换机端口和物理交换机端口，之后再接入入侵检测系统，监控宿主机内各虚拟机之间的网络行为。利用国产化安全虚拟化产品自身对虚拟资源管理、虚拟机管理、账户管理、策略设置等管理员操作行为和系统事件、资源状况、更新维护等行为进行审计。(4)端口及介质管控在宿主机和虚拟机中安装计算机及移动存储介质管理系统客户端，进行违规外联监控，以及端口使用控制、监控和审计，并对违规外联行为进行报警和阻断。(5)运维安全设置专门用于服务器虚拟化运维管理的终端，进行地址绑定，专人使用，运维人员对该终端的使用采取视频监控;宿主机的运维管理网络单独组网。

　　(6)虚拟化资源管理系统安全加固宿主机的操作系统均采用经过剪裁的 Linux 系统，在剪裁过程中，仅保留必要的硬件驱动及虚拟化资源管理必要的服务，仅开放虚拟机管理系统进行业务管理必需的网络端口，针对有限的开放端口也进行绑定保护。关闭不必需的多余账户，并对 root 账户进行加固，禁止使用 root 账户直接登录，提高账户密码复杂性要求，减少密码错误重试次数，并增大重试错误后的间隔期，提高系统在密码暴力破解面前的安全性。对系统重要组件和文件进行定期文件一致性检查，确保系统的安全性。(7)虚拟机安全管理制订虚拟服务器使用管理制度，对虚拟服务器的申请、审批、创建、使用、废止等环节进行全生命周期管控，明确根账号的管理、虚拟服务器管理、镜像模板管理、机房进出、运维管理、备份与恢复、应急演练等。(8)安全性能检测采用漏洞扫描系统，定期对服务器虚拟化系统进行漏洞检测、分析和评估，及时发现存在的安全漏洞并进行修复。

　　2.6 信息安全

　　(1)物理隔离服务器虚拟化系统与互联网及其他公共信息网络物理隔离。(2)虚拟机密级标识服务器虚拟化系统中，根据虚拟机处理涉密信息的最高密级，标识其虚拟机的密级。密级标识与虚拟机不可分离，并在其全生命周期过程中不得非授权修改。(3)身份认证管理员登录虚拟化资源管理系统，业务用户登录应用系统均采用基于双因子身份鉴别方式，如数字证书的 USBKey 与 PIN 码相结合的方式进行身份认证。

　　3 结语

　　基于服务器虚拟化技术作为数据中心的基础架构，虽然使得数据中心运行更加高效，但其安全隐患也非常多。本文梳理了涉及的各种网络安全风险，提出了相应的安全设计思路，可供各种应用场景进行参考，尤其是政府内网及军工涉密等领域。在保障服务器虚拟化为数据中心提供高效的技术架构的前提下，强化网络安全的研究设计，更好服务于各种应用场景。

　　参考文献：

　　[1]苑顺周，姚晓冬，刑羽.基于超融合技术的数据中心网络安全设计[J].网络安全技术与应用，2021.

　　[2]翟胜军.谈分级保护网络中的安全域划分[J].保密科学技术，2011.

　　[3]向嵬，王东.计算机技术中虚拟化技术的运用研究[J].计算机工程应用技术，2021.

　　[4]张玉贺，李陆，续焕超，等.国产服务器虚拟化操作系统的应用与实践[J].网信军民融合，2019.

　　作者：金俊玲 王昕