高教虚拟化安全
解决方案
白皮书
IT技术中心
2014年3月
版本V1.2
高教虚拟化安全解决方案
一、服务器虚拟化的风险隐患
服务器虚拟化正在成为系统和数据中心设计的重要组成部分。然而,有许多人说,虚拟化为已经很复杂的安全环境增加了额外的风险。这是真的吗?虚拟化会增加机构的风险吗?如果会增加风险的话,虚拟化增加的价值是不是值得冒这个小的风险?
服务器虚拟化的好处包括:硬件汇集,也就是让多个虚拟服务器共享一个硬件平台的资源,实现机构投资利用的最大化;解决硬件利用率不足的问题;安全记录,就是管理程序或虚拟机记录底层客户环境中的事件;安全测试,为服务器和网络行为建立一些标准是安全管理的重要组成部分。
同任何新技术一样,虚拟化要求我们改变管理我们信息基础设施的方法。IT经理必要要解决潜在的虚拟化风险:虚拟服务器激增;网络基线不断改变;回滚安全漏洞,安全风险等。
1)针对操作系统漏洞的攻击
目前的大部分高校的虚拟服务器都安装Windows Server操作系统,众所周知,微软操作系统每年都会发现大量的漏洞,利用这些漏洞:
大量的蠕虫病毒、木马攻击感染,导致系统异常或者是不能正常运行 黑客利用漏洞进行攻击,窃取机密资料或者是导致系统异常
由于服务器应用系统的重要性,通常来讲对于发现的漏洞都没有进行及时的修复,补丁的安装都需要经过严格的测试之后才能够进行部署,但是在实际修复的这段时间内,服务器就会面临大量利用漏洞的攻击。
2)针对应用的攻击
高校的虚拟服务器操作系统上面构建各种各样的应用及服务,类似Web服务、邮件服务、数据库服务以及一些自己构建的想JAVA、.NET等这样的应用系统,都是由大量代码构成的,通常这些服务也都有大量的代码级漏洞,这些漏洞由于被黑客或者是商业间谍等破坏分子利用,窃取应用系统上面的机密数据,或者是导致应用不能正常对外提供服务。
3)虚拟化带来新的威胁
当对物理服务器进行虚拟化之后,除了物理服务器所面临的来自恶意程序、黑客攻击之外,虚拟化之后,在部署使用安全软件的时候,会遇到一些新的问题: 硬件资源利用率受到限制
当完成服务器虚拟化之后,为了保护虚拟服务器的安全运行,通常都会在每一个虚拟服务器上面安装安全软件,比如防病毒、防火墙、入侵防护等等,运行这些安全软件需要占用相同的CPU、内存等硬件资源,对于做虚拟化的物理服务器来说,其硬件资源的利用率降低,有相当部分的硬件资源要来运行虚拟服务器的安全软件。
后台资源冲突
每个虚拟服务器操作系统上面单独安装安全软件,会随着虚拟服务器数量增加造成对后端存储的负荷越来越大,最终会影响到虚拟服务器的运行速度。
物理边界模糊
例如当服务器虚拟化之后,每台物理服务器上面运行了8
个虚拟服务器系
统,在虚拟化环境里面,使用靠可用性功能之后,这8个系统并不是固定的,而是有可能在几台物理服务器之间进行自动切换。那么当需要对不同的虚拟服务器进行不同的安全防护的时候,以往使用的硬件防火墙、入侵防护就不能满足虚拟环境的要求
4)统一管理和审计
服务器的管理不仅仅是基本的安全防护,同时也需要进行受到攻击后的追溯以及取证,这就需要根据一些法规要求,对系统以及应用的日志进行统一收集,一旦服务器上面的操作触发了事先设定条件,就上传日志,便于事后管理和审计
二、校园主要信息化应用需求分析
大学信息化对服务器的需求主要来自“通用信息服务”、“数字化校园应用”、“主机托管服务”等方面应用,每种应用的部署对硬件服务器有着不同的需求:
1)通用信息服务
“通用信息服务”指的是传统的Internet服务,如电子邮件、门户网站与管理信息系统等,这些系统往往集中部署在校园数据中心机房,每个信息系统的部署需要独立的服务器系统进行部署,一般可以根据不同的软件系统对服务器计算能力的不同需求,选择配置相当的PC服务器担任,服务器平台建成后应当为管理员提供简易、有效的管理手段。
2)数字化校园应用
“数字化校园应用”指的是“教学”、“办公”、“财务”等方面的校园业务综合应用系统,主要包含“数字化校园信息平台(信息门户、统一身份认证、共享数据库等)”以及“数字化校园应用(教务、办公自动化、财务等)”软件系统,“数字化校园应用”的部署对硬件服务器有着高密度、高性能、高可靠等方面的部署需求,而且需要提供强有效的集中管理手段。“数字化校园应用服务器平台”
的建设不仅要能满足应用系统部署的基本要求,还要充分考虑到学校未来3-5年的发展需求,要求系统具备一定的扩展性,最大限度地保护既有的投资,减少对系统的维护和未来开发的成本,保证系统在技术上、经济上的可持续性发展。
3)主机托管服务
“主机托管服务”指的是由校园数据中心统一为校内教学、科研、党政管理等单位提供服务器资源共享方面的服务。为了满足不同托管单位不同的应用需求,同时由于托管服务器由托管单位自行远程登录控制和维护, 所以托管服务器应当具备高密度、高安全等方面的特征,同时应当具备可灵活划分和调配硬件资源的。
三、典型应用安全需求分析
结合校园信息化应用以及虚拟化应用技术分析,校园信息化系统中大多数应用于虚拟化的部署,并且对安全的渴求可以简单归纳如下表:
一个典型的高教虚拟化平台如下图,通过上面的叙述,我们可以知道一整套系统包含了虚拟化平台服务支撑,网络支持,还有数据存储、备份、容灾、安全防护
四、解决方案典型应用
通过对典型的服务器虚拟环境的了解,以及面临的威胁分析,对目前高校服务器虚拟化存在的安全需求有几下几点:
1、对虚拟化操作系统提供全面的安全防护:防病毒、防火墙、深度数据包检测
等
2、检测和拦截外界针对操作系统以及应用程序的漏洞进行的已知和未知攻击
3、针对虚拟化的特色,提供无代理安全防护,节省物理服务器硬件资源,提高
虚拟服务器的搭载密度
4、对Windows服务器进行系统、应用的日志审计
5、能够及时备份虚拟化环境的重要数据和服务,并且可以考虑部署异地灾备中
心
6、还要充分考虑不同高校的承受能力
典型应用方案:
一、性价比虚拟化安全方案
本方案包含的产品:
本方案亮点:
※ 适合已经组建小型虚拟化服务平台的,预算吃紧的高校
※ 通过赛门铁克的安全防范软件Data Center Security,实现对虚拟化平台
的充分保护
※ 通过定期快照,来备份重要的服务和数据,适合数据量不多的高校或者院
校
※ 安全防范软件可以部署在其中一台虚拟机上,节省高校IT资源
二、实用虚拟化安全方案
本方案包含的产品:
本方案亮点:
※ 适合预算较为充裕的高校
※ 通过赛门铁克的安全防范软件Data Center Security,实现对虚拟化平台
的充分保护
※ 可通过赛门铁克的BE2012,来备份所有虚拟机的业务,保证意外情况发
生后,可以恢复
※ 同时考虑的异地灾备,通过BE3600来异地备份最核心的业务,能够在中
心机房出现意外,能够短时间恢复像网站,教务系统、邮件服务器这样的核心业务。
高教虚拟化安全
解决方案
白皮书
IT技术中心
2014年3月
版本V1.2
高教虚拟化安全解决方案
一、服务器虚拟化的风险隐患
服务器虚拟化正在成为系统和数据中心设计的重要组成部分。然而,有许多人说,虚拟化为已经很复杂的安全环境增加了额外的风险。这是真的吗?虚拟化会增加机构的风险吗?如果会增加风险的话,虚拟化增加的价值是不是值得冒这个小的风险?
服务器虚拟化的好处包括:硬件汇集,也就是让多个虚拟服务器共享一个硬件平台的资源,实现机构投资利用的最大化;解决硬件利用率不足的问题;安全记录,就是管理程序或虚拟机记录底层客户环境中的事件;安全测试,为服务器和网络行为建立一些标准是安全管理的重要组成部分。
同任何新技术一样,虚拟化要求我们改变管理我们信息基础设施的方法。IT经理必要要解决潜在的虚拟化风险:虚拟服务器激增;网络基线不断改变;回滚安全漏洞,安全风险等。
1)针对操作系统漏洞的攻击
目前的大部分高校的虚拟服务器都安装Windows Server操作系统,众所周知,微软操作系统每年都会发现大量的漏洞,利用这些漏洞:
大量的蠕虫病毒、木马攻击感染,导致系统异常或者是不能正常运行 黑客利用漏洞进行攻击,窃取机密资料或者是导致系统异常
由于服务器应用系统的重要性,通常来讲对于发现的漏洞都没有进行及时的修复,补丁的安装都需要经过严格的测试之后才能够进行部署,但是在实际修复的这段时间内,服务器就会面临大量利用漏洞的攻击。
2)针对应用的攻击
高校的虚拟服务器操作系统上面构建各种各样的应用及服务,类似Web服务、邮件服务、数据库服务以及一些自己构建的想JAVA、.NET等这样的应用系统,都是由大量代码构成的,通常这些服务也都有大量的代码级漏洞,这些漏洞由于被黑客或者是商业间谍等破坏分子利用,窃取应用系统上面的机密数据,或者是导致应用不能正常对外提供服务。
3)虚拟化带来新的威胁
当对物理服务器进行虚拟化之后,除了物理服务器所面临的来自恶意程序、黑客攻击之外,虚拟化之后,在部署使用安全软件的时候,会遇到一些新的问题: 硬件资源利用率受到限制
当完成服务器虚拟化之后,为了保护虚拟服务器的安全运行,通常都会在每一个虚拟服务器上面安装安全软件,比如防病毒、防火墙、入侵防护等等,运行这些安全软件需要占用相同的CPU、内存等硬件资源,对于做虚拟化的物理服务器来说,其硬件资源的利用率降低,有相当部分的硬件资源要来运行虚拟服务器的安全软件。
后台资源冲突
每个虚拟服务器操作系统上面单独安装安全软件,会随着虚拟服务器数量增加造成对后端存储的负荷越来越大,最终会影响到虚拟服务器的运行速度。
物理边界模糊
例如当服务器虚拟化之后,每台物理服务器上面运行了8
个虚拟服务器系
统,在虚拟化环境里面,使用靠可用性功能之后,这8个系统并不是固定的,而是有可能在几台物理服务器之间进行自动切换。那么当需要对不同的虚拟服务器进行不同的安全防护的时候,以往使用的硬件防火墙、入侵防护就不能满足虚拟环境的要求
4)统一管理和审计
服务器的管理不仅仅是基本的安全防护,同时也需要进行受到攻击后的追溯以及取证,这就需要根据一些法规要求,对系统以及应用的日志进行统一收集,一旦服务器上面的操作触发了事先设定条件,就上传日志,便于事后管理和审计
二、校园主要信息化应用需求分析
大学信息化对服务器的需求主要来自“通用信息服务”、“数字化校园应用”、“主机托管服务”等方面应用,每种应用的部署对硬件服务器有着不同的需求:
1)通用信息服务
“通用信息服务”指的是传统的Internet服务,如电子邮件、门户网站与管理信息系统等,这些系统往往集中部署在校园数据中心机房,每个信息系统的部署需要独立的服务器系统进行部署,一般可以根据不同的软件系统对服务器计算能力的不同需求,选择配置相当的PC服务器担任,服务器平台建成后应当为管理员提供简易、有效的管理手段。
2)数字化校园应用
“数字化校园应用”指的是“教学”、“办公”、“财务”等方面的校园业务综合应用系统,主要包含“数字化校园信息平台(信息门户、统一身份认证、共享数据库等)”以及“数字化校园应用(教务、办公自动化、财务等)”软件系统,“数字化校园应用”的部署对硬件服务器有着高密度、高性能、高可靠等方面的部署需求,而且需要提供强有效的集中管理手段。“数字化校园应用服务器平台”
的建设不仅要能满足应用系统部署的基本要求,还要充分考虑到学校未来3-5年的发展需求,要求系统具备一定的扩展性,最大限度地保护既有的投资,减少对系统的维护和未来开发的成本,保证系统在技术上、经济上的可持续性发展。
3)主机托管服务
“主机托管服务”指的是由校园数据中心统一为校内教学、科研、党政管理等单位提供服务器资源共享方面的服务。为了满足不同托管单位不同的应用需求,同时由于托管服务器由托管单位自行远程登录控制和维护, 所以托管服务器应当具备高密度、高安全等方面的特征,同时应当具备可灵活划分和调配硬件资源的。
三、典型应用安全需求分析
结合校园信息化应用以及虚拟化应用技术分析,校园信息化系统中大多数应用于虚拟化的部署,并且对安全的渴求可以简单归纳如下表:
一个典型的高教虚拟化平台如下图,通过上面的叙述,我们可以知道一整套系统包含了虚拟化平台服务支撑,网络支持,还有数据存储、备份、容灾、安全防护
四、解决方案典型应用
通过对典型的服务器虚拟环境的了解,以及面临的威胁分析,对目前高校服务器虚拟化存在的安全需求有几下几点:
1、对虚拟化操作系统提供全面的安全防护:防病毒、防火墙、深度数据包检测
等
2、检测和拦截外界针对操作系统以及应用程序的漏洞进行的已知和未知攻击
3、针对虚拟化的特色,提供无代理安全防护,节省物理服务器硬件资源,提高
虚拟服务器的搭载密度
4、对Windows服务器进行系统、应用的日志审计
5、能够及时备份虚拟化环境的重要数据和服务,并且可以考虑部署异地灾备中
心
6、还要充分考虑不同高校的承受能力
典型应用方案:
一、性价比虚拟化安全方案
本方案包含的产品:
本方案亮点:
※ 适合已经组建小型虚拟化服务平台的,预算吃紧的高校
※ 通过赛门铁克的安全防范软件Data Center Security,实现对虚拟化平台
的充分保护
※ 通过定期快照,来备份重要的服务和数据,适合数据量不多的高校或者院
校
※ 安全防范软件可以部署在其中一台虚拟机上,节省高校IT资源
二、实用虚拟化安全方案
本方案包含的产品:
本方案亮点:
※ 适合预算较为充裕的高校
※ 通过赛门铁克的安全防范软件Data Center Security,实现对虚拟化平台
的充分保护
※ 可通过赛门铁克的BE2012,来备份所有虚拟机的业务,保证意外情况发
生后,可以恢复
※ 同时考虑的异地灾备,通过BE3600来异地备份最核心的业务,能够在中
心机房出现意外,能够短时间恢复像网站,教务系统、邮件服务器这样的核心业务。