隨著虛擬化的廣受青睞,由于虛擬化系統(tǒng)本身的特性,如何實(shí)現(xiàn)虛擬化系統(tǒng)的主機(jī)漏洞防護(hù)是用戶必須面臨的挑戰(zhàn)。福建中醫(yī)藥大學(xué)是福建省重點(diǎn)建設(shè)高校,其信息化項(xiàng)目經(jīng)過多年的建設(shè),現(xiàn)有數(shù)十臺(tái)機(jī)架式服務(wù)器及刀片式服務(wù)器、多套存儲(chǔ)硬件,通過虛擬化部署,承載數(shù)字化校園、網(wǎng)站群系統(tǒng)等眾多應(yīng)用,數(shù)據(jù)級(jí)容災(zāi)跨兩個(gè)校區(qū),覆蓋Linux/Windows兩大平臺(tái)的數(shù)據(jù)庫、中間件等等。近年來,學(xué)校加強(qiáng)了數(shù)據(jù)中心的安全防護(hù)建設(shè),先后部署了安全網(wǎng)關(guān)、WEB應(yīng)用防護(hù),防病毒軟件等安全系統(tǒng),基本實(shí)現(xiàn)了物理邊界安全及終端安全,主機(jī)漏洞防護(hù)也成為學(xué)校信息化部門面臨的挑戰(zhàn)。
針對虛擬化環(huán)境下的主機(jī)安全,需要用“虛擬化”的眼光來看待和思考。解決虛擬化環(huán)境下的主機(jī)安全的最好方法是“無代理安全”,即在虛擬化軟件的底層安裝一個(gè)嵌入式軟件,實(shí)現(xiàn)防火墻及IPS功能。這個(gè)無代理防火墻、IPS既可以控制各虛擬機(jī)之間及虛擬機(jī)與外界之間的通信,又可以不在各個(gè)虛擬服務(wù)器上安裝代理的前提下對各個(gè)虛擬機(jī)實(shí)現(xiàn)定制化的IPS及防火墻策略。這種安全防護(hù)需要考慮到前文提到的虛擬化系統(tǒng)的資源利用率緊湊的問題,不能對虛擬化系統(tǒng)產(chǎn)生很大的資源負(fù)擔(dān)。更重要的是,這種實(shí)施策略及防護(hù)的過程不能修改操作系統(tǒng)和數(shù)據(jù)庫、中間件等應(yīng)用的內(nèi)核,不能產(chǎn)生“兼容性問題”,更不能重啟動(dòng)服務(wù)器。
福建中醫(yī)藥大學(xué)通過在虛擬化環(huán)境部署趨勢科技的DeepSecurity,可以在VMware的vCenter中直接調(diào)用DeepSecurity的控制臺(tái),對虛擬化環(huán)境做一次主機(jī)漏洞掃描,再應(yīng)用DeepSecurity根據(jù)掃描后的結(jié)果給的“虛擬補(bǔ)丁”推薦策略,即可對整個(gè)虛擬化環(huán)境的主機(jī)漏洞作統(tǒng)一的漏洞防護(hù)。當(dāng)然,我們也可以額外制定自己的防護(hù)策略。以上過程只需鼠標(biāo)操作,不需要管理員自行編寫任何防護(hù)策略,節(jié)約了大量時(shí)間,也不需要過于專業(yè)的知識(shí)。
IT技術(shù)日新月異,高校信息化建設(shè)的虛擬化時(shí)代的來臨不可抗拒。如何在新的時(shí)代、新的技術(shù)體系架構(gòu)下考慮高校網(wǎng)絡(luò)的安全是每個(gè)高校IT管理者的責(zé)任。面對新技術(shù)、新架構(gòu)帶來的挑戰(zhàn),只能在分析并掌握新技術(shù)原理的前提下重新考慮網(wǎng)絡(luò)安全體系,才能面對最新的網(wǎng)絡(luò)安全威脅,讓信息技術(shù)更好的服務(wù)于高校的建設(shè)與發(fā)展。