基于企业虚拟化平台的安全防护

中国科技纵横 / 2018年10月25日 22:55

互联网+

中小企业如何防范与管理虚拟化安全

冷宝剑

摘 要:随着虚拟化平台的建设及应用部署的普及,虚拟化平台的安全防护问题日趋迫切。本文从虚拟化平台的边界网络、终端、应用等角度构建虚拟化平台的安全防护,通过这些安全防护技术的实施,搭建成了一套虚拟化平台的安全防护体系,实现平台的安全。

關键词:虚拟化;安全防护;边界网络;终端安全;应用安全

中图分类号:TP309 文献标识码:A 文章编号:1671-2064(2018)10-0035-01

随着虚拟化技术在企业基础架构环境中的广泛应用,越来越多的企业应用开始搭建在私有的虚拟化平台上,这些应用既有单纯内部使用的系统,如企业办公自动化(OA)、生产制造执行系统(MES),又有对外提供服务的应用,如企业门户网站、物联网平台等。企业虚拟化平台在提供便捷服务的同时,对于保证基于虚拟化平台的系统的安全也带来了新的挑战。

1 企业虚拟化平台构成

河钢唐钢的虚拟化平台采用VMware vSphere技术作为基础架构,由18台高性能的X86服务器、2台8Gb的光纤SAN交换机、1台高扩展存储阵列组成。平台的虚拟化资源总包括:672核CPU、6TB内存容量、92TB存储容量。利用VMware vSphere虚拟化技术将计算、存储和网络等基础硬件资源,以逻辑方式形成基础资源池,进而形成一个个面向用户的虚拟服务器,目前河钢唐钢的虚拟化平台有200多个虚拟机,主要运行的应用有企业OA、MES系统、企业门户网站、物流管控系统等。

2 企业虚拟化平台安全防护技术

虚拟化平台的安全包括边界网络安全、终端安全防护、业务应用防护等,河钢唐钢虚拟化平台通过部署保证边界高安全性的访问控制及恶意代码防护的下一代防火墙,保障网络高可控性的网络行为管理系统,保障核心业务系统高可信性的数据库审计系统,实现对虚拟化平台的安全防护。

2.1 边界网络安全防护

在网络边界部署访问控制设备,启用访问控制功能,对进出网络的信息内容进行过滤,实现对应用HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制,在会话处于非活跃一定时间或会话结束后终止网络连接,对网络边界处的恶意代码进行检测和清除。

防火墙作为安全隔离和访问控制设备,可以有效防止来自外部的安全威胁,保证内网的安全可靠运行,保障内部资源受控合法的使用。河钢唐钢虚拟化平台在外网出口部署了2台任子行SURF-NGSA-S3603R下一代防火墙,并通过HA形成双机热备集群,任子行SURF-NGSA下一代防火墙所集成的访问控制、入侵防御、病毒过滤、恶意网址过滤、僵尸网络防护、数据安全等多方面的功能建立一道从网络层到应用层的攻击防御体系,实现基于应用的精细化访问控制和带宽管理,通过防火墙的数据包进行病毒、恶意网站、僵尸网络、网络攻击、数据安全等多方面的深度内容过滤。

2.1.1 病毒过滤和防护

对往来的HTTP、FTP、POP3、SMTP数据进行病毒扫描,过滤来自于互联网的病毒,防止病毒进入内部网络;对所有HTTP请求进行恶意网址检查,防止病毒自动与网络连接,切断病毒源头。

2.1.2 入侵防御

任子行SURF-NGSA下一代防火墙中的入侵防御功能对往来的数据进行3-7层的协议分析和识别,防止DOS攻击、端口扫描、操作系统和协议漏洞利用、WEB应用攻击等各种网络攻击,保证办公区域设备的安全,防止被黑客入侵和控制。一方面在网关处检测和屏蔽僵尸网络的指令与外联信息,防止终端设备成为僵尸成员,被不法分子利用进行各种恶意网络活动;另一方面阻断病毒、木马、后门程序将收集到的信息回传到僵尸网络服务器,防止内部数据的丢失与泄露。

2.2 终端安全防护

2.2.1 网络链路负载均衡

终端安全防护方面,河钢唐钢虚拟化平台在出口互联区部署两台任子行SURF-AD-H3003链路负载均衡设备,两台设备之间通过HA形成双机热备集群。任子行SURF-AD支持服务器负载、防火墙/VPN负载、智能链路负载、集群服务器负载以及全局负载多种方式的负载均衡设置,进行4/7层交换,内容交换。当流量进入链路负载均衡设备后,链路负载均衡设备会根据访问流量的目的IP地址进行逐一匹配。在匹配的过程中该地址如果命中某一运营商的IP地址,链路负载均衡设备则将流量引导向该运营商所对应的接口,从而将流量成功的进行分流引导。为了抵御外部攻击,设备支持如DoS攻击、SYN攻击、洪水攻击、7层过滤等先进的安全功能,以确保系统应用程序和数据的安全性。

2.2.2 网络行为管理

河钢唐钢虚拟化平台网络行为管理采用2台任天行SURF-RAG-H8108网络安全管理系统进行管理。该系统以 DPI(Deep Packet Inspect深度包检测)技术为核心,结合基于报文内容及基于行为特征的技术,实现网络中应用的自动识别和智能分类。该设备提供了细致的上网行为管理方案,对用户的上网行为进行细致而灵活的管理,进而提高员工的工作效率,避免机密信息的泄漏。

当用户在使用网络应用与服务时,会在系统中留下痕迹,包括网络流量、日志记录、审计跟踪记录等。通过监测网络流量,关注网络流量异常和偏离正常操作的行为,检测网络攻击、网络异常、高级威胁和不良行为,实现对网络的分析和持续自动评估,进而增强网络安全性。

2.2.3 终端防病毒

河钢唐钢虚拟化平台终端防病毒采用趋势科技防毒墙套装进行终端防护,包括趋势科技防毒墙网络版、趋势科技防毒墙控管中心、INTERSCAN网关防病毒、SCANMAIL for DOMINO、趋势科技防毒墙服务器版、趋势科技防毒墙网络版客户端、趋势科技防毒墙服务器版等。支持云安全扫描和传统病毒码扫描两种运行方式,实时扫描、侦测并移除文件及压缩文件中的病毒。在病毒到达终端用户之前即予以封锁,防止其扩散到整个网络。

2.3 应用防护

一个安全的系统需要数据库的安全、操作系统的安全、网络的安全、应用系统自身的安全共同完成。只有通过综合有关安全的各个环节,才能确保高度安全的系统。

2.3.1 数据库审计

河钢唐钢数据库审计系统采用任子行SURF-DBA-H2500数据库防火墙。针对数据库和业务系统的重要性以及面临的风险,提供数据库实时攻击检测、实时监控和审计等功能,提升数据库和业务系统的整体安全水平。具体包括:对访问数据库的数据流和用户进行采集、分析、识别、屏蔽、替换、阻断、授权、身份验证和身份识别等操作,并对访问数据库的相关行为、发送和接收的相关内容进行存储,分析和查询等功能。河钢唐钢虚拟化平台的数据库审计系统能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断,提高数据资产安全。

2.3.2 WAF防护

Web应用防护系统(Web Application Firewall, 简称:WAF)工作在应用层,用以解决Web应用安全问题。河钢唐钢虚拟化平台WAF防护采用下一代防火墙中集成的WAF防护功能。基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。

3 结语

本文介绍了基于河钢唐钢虚拟化平台的安全防护技术的实现。通过这些安全防护技术,形成了一套基于虚拟化平台的安全防护体系,为企业的应用安全提供了支撑,能较好的应对虚拟化平台的风险。

1.环球科技网遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.环球科技网的原创文章,请转载时务必注明文章作者和"来源:环球科技网",不尊重原创的行为环球科技网或将追究责任;3.作者投稿可能会经环球科技网编辑修改或补充。