虚拟化平台安全防护方案.docx

虚拟化技术的应用，帮助企业实现了资源使用及管理的集约化，有效节省了系统
的资源投入成本和管理维护成本，但虚拟化这种新技术的应用，也不可避免给企业的
安全防护及运维管理带来新的风险及问题。
总结来说，虚拟化技术面临的最大风险及挑战主要来自于这样几个方面：
网络及逻辑边界的模糊化，原有的 FW 等网络安全防护技术失去意义
虚拟化技术一个最大的特点就是资源的虚拟化和集中化， 将原来分散在不同物理
位置、不同网络区域的主机及应用资源集中到了一台或者几台虚拟化平台上，不同的
虚拟化主机间的网络及逻辑边界越来越难于控制及防护，传统方式下的网络防火墙、
网络入侵检测防护等技术都失去了应有的作用。
攻击者可以利用已有的一台虚拟主机使用权限， 尝试对该虚拟平台和虚拟网络的
其他虚拟主机进行访问、攻击甚至是嗅探等，因此必须通过基于主机的防火墙或者虚
拟防火墙实现针对统一虚拟平台、虚拟网络下的虚拟主机之间的网络访问控制和隔
离。
系统结构的变化导致新风险
虚拟化平台在传统的 “网络 - 系统 - 应用” 系统架构上增加了 “ Hypervisor 及虚拟
网络”层，由于不同的虚拟机主机往往承载于同一虚拟化平台服务器，即使 2 台完全
独立的虚拟机主机， 也可能由于虚拟平台自身 （ Hypervisor 层） 的某些缺陷及弱点 （如
虚拟平台本身的一些驱动漏洞），导致安全风险及攻击入侵在不同虚拟机主机之间扩
散
同时 ， 单台 虚拟机 的安 全 问题， 也有可 能影 响整个虚 拟化平 台的 安全 ；
虚拟机间隔离不当，可非法访问其它 VM或者窃听VM司的通信，盗取敏感数据。
因此必须加强针对虚拟平台自身和虚拟机主机自身的安全防护。 通过主机入侵检
测防护系统， 对虚拟平台和虚拟主机正在发生的攻击入侵行为进行实时监测及主动防
护，防止虚拟平台和虚拟主机被恶意攻击及篡改 .
资源的共享化，原有安全防护技术面临新挑战
针对虚拟化环境，一台服务器往往需要承载大量的客户端虚拟机系统，因此当所 有的主机都同时进行病毒定义更新或扫描时， 将形成的更新和扫描风暴势必成为一场 灾难，因此如何有效降低虚拟化环境的病毒定义更新和扫描负载，直接影响到整个虚
拟化平台的使用效率。因此，虚拟机服务器安全防护软件必须引入最新的虚拟机优化
技术对虚拟化平台提供更完善、更可靠的保护。
安全建设方案
安 全 建 设 方 案 概 述
虚拟化平台的虚拟网络安全： 通过在虚拟机服务器主机上部署基于主机的入侵检
测防护系统。实现针对虚拟机服务器主机的网络访问控制及隔离、入侵攻击防护、系
统加固及审计等功能， 弥补传统网络防火墙、 入侵防护技术在虚拟环境下的防护缺失。
满足对虚拟服务器自身防护
虚拟化 Guest 服务器安全： 该方案针对虚拟出来的服务器的安全防护同样可以
做到针对虚拟环境中的虚拟物理服务器自身的防护， 并且能适应虚拟环境下的架构变
化。面对新形势下的安全威胁，无论是网络攻击，内存的缓存溢出攻击，零日威胁，
都可以做到实时的安全防护。
虚拟化平台底层架构安全防护： 通过对VMwareESXi服务器的事件日志的实时收
集和分析，实现实时监控虚拟服务器的文件配置改变，针对 ESXi 服务器的入侵检测
防护能力。通过VMwar劭口固手册，针对vCenter服务器，集成根据该手册定义的安 全加固需求的入侵防御，入侵检测策略。由于 vCenter服务器架构与Windows服务器 上，因此同时还应该针对 Windows服务器提供足够的服务器级别加固能力，防止通过 入彳! Windows而间接控制vCenter服务器。 通过对ESXi, vCenter, Windows服务器
的整体安全防护，包括入侵检测，入侵防御，主机加固等，从而实现对整个虚拟化平
台具备全部控制和管理能力的虚拟化平台自身服务器 ESXi 和 vCenter 服务器做到完
整的基础架构安全防护能力。
总体网络部署架构示意图
业％资舞池2
•网加詈片堂 生机
eu边界物理
a黑量地流
业苏贾舞池M
ML内部站势融展胆漫 国上丽现访闺由制
L中其银征5绅修券・幅量平占*昌喇I班支 至 fRTJUM亭/
2. WmWUM"!U加裁”(V IfftRKHWH AMW，AflffiT MM
虚拟桌面无代理病毒防护
需求概述
针对虚拟化环境，一台服务器往往需要承载大量的虚拟主机，因此当所有的主机 都发起病毒扫描时，将形成的扫描风暴势必成为一场灾难，因此如何有效降低虚拟化 环境的病毒扫描负载，直接影响到整个虚拟化平台的使用效率。
结合VMWARE新的NSX^术架构，赛门铁克数据中心安全