病毒来袭——为什么私有云不能止步于虚拟化

病毒来袭——为什么私有云不能止步于虚拟化

前段时间疯传的勒索病毒“WannaCry”给了国内很多企业和企业的安全工作一个打击。直接原因不是病毒感染自己有多无敌，而是网络技术人员的粗心大意或者客户的侥幸心理。

了解网络的朋友可能从业务流程和运维管理两个层面了解基础安全。随着虚拟化、SDN等云计算技术的盛行，传统方式可以在很大程度上规避潜在的安全风险，但通常无法在深度云计算内部进行维护。

根据对WannaCry病毒感染特征的分析，其基本概念是利用SMB(Windows共享文件)的一个系统漏洞，默认设置是端口号139、445等。)服务项目(微软公司在3月份展示了这个漏洞修复，听说创建者参考了维基解密“中情局军械库”的一部分优化算法)，在被感染机器可以接触到的自然网络环境中，复制并传播到其他有这个系统漏洞的设备上。

人们在掌握了这个系统之后，就可以在传统的网络自然环境中进行合理的安全防护，比如在运维管理中禁止使用445端口，或者在业务流程中立即禁止使用SMB服务项。例如，在中国的校园宽带，这种传播的高发区，非常大量的课堂教学设备和业务流程设备被感染，这使得所有正常的课堂教学无法进行。但国内某学校的管理员在3月份就发现了病毒感染，危机管理立即对感染的机器进行了保护，并封锁了端口号，从而促使学校的课堂教学和日常生活基本免受病毒感染。

那么问题来了，因为现在很多网络自然环境都配备了虚拟化软件进行基础设施建设，比如vmWareESXi。当运行在其中的虚拟机感染病毒时，传统的运维管理保护措施无法阻挡虚拟交换中的总流量，可能会导致舆情很快蔓延到自身的虚拟网络自然环境中。如果应用了工作站版本号，并且此时打开了共享文件夹，情况可能会进一步恶化。

对于这种情况，即虚拟化软件不能很好地 *** 纵vm虚拟机之间的通信，传统网络管理员的对策不能立即或深度互换禁止445端口，就需要引入更可控的虚拟化网络，如完善的SDN/NFV方案或传统的代理安全保护方案。由于代理安全防护必须在vm虚拟机中安装额外的代理ip软件来 *** 纵通信，会对业务流程造成危害，所以不容易成为流行的方案，所以一般来说大家都有SDN/NFV可以选择。SDN/NFV不仅可以向vm虚拟机展示基本的网络服务项目，还可以在功能和总流量方面对这类通信进行限制，比如服务器防火墙、流量控制、引流方式等。

但是在VMWare手机软件中，这种解决方案必须独立购买。除了价格高之外，通常还需要运维管理人员具备较高的网络水平，这使得他们很难在中小型私有云的自然环境中立足。随着开源社区的技术发展，SDN逐渐在KVM云计算手机软件中得到应用，如openstack(http://www.openstack.org/)、ZStack(http://www.zstack.io)等。客户可以用更低的成本拥有和手机软件一样的功能。但就OpenStack和ZStack的便捷性和学习性而言，ZStack有着不可比拟的优势。

ZStack(http://www.zstack.io)是国内著名的云计算IaaS商品。由云计算行业权威专家历时十余年打造。明确提出了私有云的简单性、健壮性、可扩展性和智能性的4S核心理念，发布了搭载阿里云服务器的It混合云解决方案。与VMWareEXSi相比，ZStack作为云计算商品，有一个关键特性——多租户，即不同客户之间的网络可以互相保护。比如在具体应用中，我们可以将不同的业务流程划分到不同的租户网络中，然后根据端口映射对外开放服务项，从而降低单个租户网络感知扩散到所有服务平台的风险。

除了安装和部署简单之外，ZStack在虚拟网络管理中的作用比vmWare更实际。例如，您只需在页面上执行简单实用的 *** 作，就可以立即阻止VM虚拟机中间特定位置或端口号的总网络流量。

在即将发布的ZStack2.0版本号中，SDN也将成为NFV之外的增强虚拟网络解决方案。那时，对于类似WannaCry病毒感染的侵蚀，可以使用更智能的引流方法。即控制流表升级发布后，网络总流量全部清理后再流通，对具有病毒特征的总流量进行快速合理的保护，将业务流程的危害降到最低。比如目前互联网公司已经在ZStack中集成了onosSDN控制板，在合理监管网络的同时，一定程度上提高了业务水平。

如果我们互相配合，按时更新快照，技术人员在病毒来袭前就有了一个健康的备份文件，然后在发生意外时迅速恢复自然的生产环境。

看完今天的分享，期待已经应用了传统虚拟化软件的大数据中心重新评估一下，是否有必要尽快将目前的系统更新为网络自动化技术更先进的云计算产品。自然，信息管理系统被病毒感染，就像人发烧感冒一样。一旦他们好了，下次就会对这种致病菌免疫。这从来都不是一件好事。以上安全解决方案只是私有云环境安全管理方法的可用对策，我们仍需培养优秀的网络管理员习惯，如漏检、安全巡逻、升级等。此外，人人的虚拟化基础设施建设也要向“云”迈出一步，让计算、存储、网络更加智能、高效，进而努力让信息内容基础设施建设更加稳定、身心健康。

作者简介:帝江，KVM私有云架构设计与实践创造者，虚拟化基础架构建设杰出技术工程师，云计算技术社区权威专家，ZStack卓越售前服务权威专家，擅长KVM云平台架构分析和虚拟化POC，有长期一线开发、设计和交付经验。