2014年01月29日 星期三
虚拟化环境下需重视主机漏洞防护

    随着虚拟化的广受青睐,由于虚拟化系统本身的特性,如何实现虚拟化系统的主机漏洞防护是用户必须面临的挑战。福建中医药大学是福建省重点建设高校,其信息化项目经过多年的建设,现有数十台机架式服务器及刀片式服务器、多套存储硬件,通过虚拟化部署,承载数字化校园、网站群系统等众多应用,数据级容灾跨两个校区,覆盖Linux/Windows两大平台的数据库、中间件等等。近年来,学校加强了数据中心的安全防护建设,先后部署了安全网关、WEB应用防护,防病毒软件等安全系统,基本实现了物理边界安全及终端安全,主机漏洞防护也成为学校信息化部门面临的挑战。

    针对虚拟化环境下的主机安全,需要用“虚拟化”的眼光来看待和思考。解决虚拟化环境下的主机安全的最好方法是“无代理安全”,即在虚拟化软件的底层安装一个嵌入式软件,实现防火墙及IPS功能。这个无代理防火墙、IPS既可以控制各虚拟机之间及虚拟机与外界之间的通信,又可以不在各个虚拟服务器上安装代理的前提下对各个虚拟机实现定制化的IPS及防火墙策略。这种安全防护需要考虑到前文提到的虚拟化系统的资源利用率紧凑的问题,不能对虚拟化系统产生很大的资源负担。更重要的是,这种实施策略及防护的过程不能修改操作系统和数据库、中间件等应用的内核,不能产生“兼容性问题”,更不能重启动服务器。

    福建中医药大学通过在虚拟化环境部署趋势科技的DeepSecurity,可以在VMware的vCenter中直接调用DeepSecurity的控制台,对虚拟化环境做一次主机漏洞扫描,再应用DeepSecurity根据扫描后的结果给的“虚拟补丁”推荐策略,即可对整个虚拟化环境的主机漏洞作统一的漏洞防护。当然,我们也可以额外制定自己的防护策略。以上过程只需鼠标操作,不需要管理员自行编写任何防护策略,节约了大量时间,也不需要过于专业的知识。

    IT技术日新月异,高校信息化建设的虚拟化时代的来临不可抗拒。如何在新的时代、新的技术体系架构下考虑高校网络的安全是每个高校IT管理者的责任。面对新技术、新架构带来的挑战,只能在分析并掌握新技术原理的前提下重新考虑网络安全体系,才能面对最新的网络安全威胁,让信息技术更好的服务于高校的建设与发展。(陈杰)  

京ICP备06005116