张龙

[摘 要]企业利用VMware虚拟化技术，实现了应用的高可用性、高可靠性，可为业务生产提供优质的服务，但虚拟化平台的安全问题凸显，基于此，本文探讨如何对虚拟化平台进行安全防护。

[关键词]虚拟化平台；企业；安全

doi：10.3969/j.issn.1673 - 0194.2017.14.029

[中图分类号]TP393.09；TP309 [文献标识码]A [文章编号]1673-0194（2017）14-00-02

企业现已利用虚拟化技术，包括服务器虚拟化、桌面虚拟化，实现了信息系统建设和日常办公。然而，在虚拟化技术大规模应用的同时，安全与合规一直是企业从实体机迁移到虚拟化过程中最关切的问题，也是信息管理部门推广、应用云环境的一个急需解决的问题。

1 乌鲁木齐石化公司虚拟化安全问题的解决方法

乌鲁木齐石化公司（简称“乌石化”）是中国石油下属的地区公司。其利用VMware虚拟化技术实现了合理部署与规划的数据中心，在用虚拟桌面大约有500个，而服务器虚拟化的虚机有200个左右，目前的安全方式主要受制于物理基础设施，需要依赖物理安全设备，如网络防火墙、传统的防病毒软件。虚拟平台所拥有的动态特性，即每个虚拟级的应用和服务都是可移动的，为了解决虚拟化的安全问题，其采用VMware vShield系列产品来改进安全模式。

1.1 VMware vShield

乌石化采用了vShield的产品，包括vShield App、vShield Edge和vShield Endpoint。这些组件提供了可感知的虚拟化防护功能，同时发挥了现有虚拟平台的云计算能力，并降低了乌石化安全基础部署的成本，进而加速了乌石化IT合规的进程。

VMware vShield是一套产品的总称，它提供了一个安全防护框架，可以将企业的安全防护设施进行整合，极大程度地减少了防护软件、安全策略以及安全设备的安装和部署。

VMware vShield是一套安全防护的管理程序。它是一个感知应用的防火墙，并以虚拟机的方式安装在每个ESXi的主机上，同时可以根据策略的不同，创建和实施一套符合逻辑，且是动态的应用程序边界，即可信区，而不是一个纯粹的物理边界。VMware vShield还引入了数据安全的功能，这是为了改善整个云环境安全性而设置的。数据安全能够让企业发现虚拟机内部存在的敏感数据，并对这些数据进行分类，数据安全暂时还未在乌石化应用。图1是乌石化现有虚拟化安全防护架构示意图。

借助VMware vShield App，整个虚拟化平台可以对应用程序和数据进行保护，免受外部网络的威胁，这个功能是通过提高分组能力、创建和管理更复杂、更细致的可信区来实现的。此外，VMware vShield App还能实现二层网络防火墙的功能，同时还支持第三方的入侵防护系统（IPS）。这个功能可以监控入侵，同时可自动隔离任何有问题的虚拟机。vShield Endpoint这个组件可以与病毒防护和恶意程序防护相集成。

乌石化虚拟化安全防护的特点：①利用vShield工具，从底层对虚拟化平台安全进行防护，避免每台虚拟机安装防护软件，占用虚拟资源；②高可用、负载均衡的设计，提高了防护平台的安全性和稳定性。

1.2 乌石化虚拟化安全防护系统的建设过程

乌石化虚拟化安全防护平台从建设到投用，总共经历了3个过程。

（1）截至2014年，乌石化完成了虚拟化平台的整体建设工作，但由于处在虚拟化使用的开始阶段，其没有搭建安全防护平台。

（2）2015年开始，由于虚拟应用大面积推广，出现了按传统PC机安装防护软件的方式，导致虚拟资源占用过大，同时所有虚拟机扫描病毒时形成了扫描风暴，致使虚拟机运行过慢等。

（3）2016年，乌石化开始搭建VMware vShield底层防护平台并投用。

2 虚拟化安全防护平台搭建过程中遇到的问题和解决方法

在安全防护系统搭建过程中，乌石化遇难到了一些问题。

2.1 平台的选择

针对VMware虚拟平台，其选择了VMware自己的vShield平台和趋势的Trend Micro Deep Security平臺，通过对两种平台的搭建和测试。在选择时的考虑：第一，由于vShield除了底层防护的功能还有虚拟交换机的功能，这能为乌石化虚拟桌面DHCP所用；第二，具体操作的运维人员对现有虚拟平台更加熟悉，更有利于运维工作的开展。最后乌石化还是选择了vShield平台。

2.2 用户理念的转变

安全防护平台虽然解决了企业对虚拟平台的关切，但与以往实体计算机在安全防护的操作习惯上还是不尽相同。传统实体计算机在安全防护上通常是安装防护软件进行实现，而对于虚拟平台所有安全防护软件的安装，在同一时间扫描病毒时，会对虚拟平台形成病毒扫描风暴，会造成虚拟机运行缓慢甚至瘫痪的问题。这就需要卸载传统意义上的安全防护软件，通过虚拟化底层来实现安全防护。为了让用户转变理念，乌石化做了以下工作：①通过宣传，使管理层对新技术、新应用进行认识；②提升虚拟平台运维人员安全防护的技术水平；③加大宣传力度，提高所有使用人员对新技术、新应用的认识。

3 结 语

VMware vShield套件的部署和应用，对乌石化现有的虚拟平台700多台虚机提供了底层安全防护，解决了企业迁移到云计算过程中最关切的问题。

主要参考文献

[1]百度文库.VMware vShield App 产品手册[EB/OL].（2011-07-28）

[2017-05-01].https：//wenku.baidu.com/view/80cc2a21192e45361066f5ea.html.

[2]IT168文库.VMware vShield Zones组件及其工作原理[EB/OL].（2012-02-24）[2017-05-01].http：//wenku.it168.com/d_128048.shtml.

[3]赵晟杰，罗海涛，覃琳.云计算网络安全现状与思考[C]//广西计算机学会2014年学术年会论文集，2014.

[4]张松，林树顺.基于云平台的安全移动应用研究与实践[C]//软件定义 面向未来——2014电力行业信息化年会论文集， 2014.

[5]陈红，任怡，刘晓建.云计算平台下计费机制研究[C]//CCF NCSC 2011——第二届中国计算机学会服务计算学术会议论文集， 2011.

[6]李焕，刘树吉，赵永彬，郭昊.电力企业云计算信息安全风险评估研究[C]// 2012年电力通信管理暨智能电网通信技术论坛论文集，2013.

[7]杨永艳，杨宁，冯鹏.大型企业云计算管理运营平台服务模式与技术架构研究[C]// 2013电力行业信息化年会论文集， 2013.

[8]王骞，邹联.企业信息系统云计算平台实施过程经验探讨[C]// 2013电力行业信息化年会论文集，2013.endprint