您当前的位置:首页>>新闻中心>>行业新闻 行业新闻

病毒来袭——为什么私有云不能止步于虚拟化
发布时间:2017-06-08 丨 阅读次数:2583

  前一段时间疯传的勒索病毒“WannaCry”,给了国内很多单位、公司的安全管理当头一棒。其根本原因并不是这个病毒本身多么无坚不摧,更多是由于网络管理人员的疏忽或者用户的侥幸心理。

  

20170606061349634.jpg

 

  熟悉网络的朋友或许知道基本安全要从业务与运维两个方面入手,而伴随着虚拟化、SDN等云计算技术的兴起,传统手段虽然也能较大程度地规避安全问题,但往往不能深入云计算内部进行保护。

  以WannaCry病毒为例,其基本原理是利用了SMB(Windows文件共享,默认为139、445等端口)服务的一个漏洞(微软3月份已提供此漏洞补丁,且据说作者参考了维基解密“CIA武器库”部分算法),复制并将其传播至被感染机能够接触到的网络环境中其他存在此漏洞的机器。

  了解这个机制后,那么在传统网络环境中我们便可进行有效防护,比如最直接地从运维层面禁用445端口或者业务层面禁用SMB服务。比如在这次传播的重灾区——国内校园网,相当数量的教学机器与业务机器都被感染导致无法正常教学,而国内某大学的管理员则在3月份就发现此病毒,快速反应及时隔离被感染机并阻断端口,从而使得该校的教学与生活几乎没有受此病毒影响。

  那么问题就来了,由于现在很多网络环境中都部署了基础设施虚拟化软件,比如VMWareESXi,当运行于其中的虚拟机感染了病毒以后,传统的运维防护措施由于不能够封禁虚拟交换中的流量,导致感染很有可能会非常迅速地传播至其所在的虚拟化网络环境中,如果此时使用的是WorkStation版本而且开启了共享文件夹功能的话,那么事态将会进一步恶化。

  针对这种情况,即虚拟化软件不能很好地控制虚拟机之间的通信,且传统网管措施也不能及时或者无法深入虚拟交换以禁止445端口时,就需要引入更加受控的虚拟化网络,比如成熟的SDN/NFV方案,或者传统的代理防护方案。由于代理防护需要在虚拟机中安装额外的代理软件以控制通信,可能会对业务产生影响,因而不会成为主流方案,那么一般情况下我们就还有SDN/NFV可选。SDN/NFV除了给虚拟机提供基础网络服务外,也可以从功能、流量上限制这些通信,比如防火墙、流控、引流等。

  而在VMWare软件中,此类解决方案需要单独购买,除价格较高外,往往也需要运维人员较高的网络水平,比较难以在小型私有云环境中落地。随着开源社区的技术进步,SDN逐渐在KVM云计算软件中得到成熟应用,比如OpenStack(http://www.openstack.org/)、ZStack(http://www.zstack.io)等,用户可以以较低成本拥有同样的软件功能。但就OpenStack与ZStack的易用性与学习曲线而言,ZStack具有无法比拟的优势。

  ZStack(http://www.zstack.io)是国内知名的云计算IaaS产品,由云计算领域深耕十多年的专家打造,提出了私有云简单、健壮、弹性与智能的4S理念,并与阿里云共同推出了混合云解决方案。相比VMWareEXSi,ZStack作为云计算产品具有一个重要特征——多租户,即不同用户之间的网络可以相互隔离。比如在实际使用时,我们可以将不同的应用业务划分至不同租户网络中,再通过端口映射对外提供服务,从而降低单个租户网络感染传播至整个平台的风险。


关于我们    |    新闻中心    |    产品中心    |    典型案例    |    联系我们    |    

客服专线:029 - 82481888 - 820    |    传真:029 - 82493596

客服邮箱:xbfd2008@126.com

CopyRight © 2017 西安时代电力软件有限责任公司 All Right Reserved

陕ICP备07501321号

工作时间:8:30-17:00

029 - 82481888 - 820