返回
云环境下资源池的防护系统设计与实现

云环境下资源池的防护系统设计与实现

ID:9384854

大小:32.00 KB

页数:10页

时间:2018-04-29

云环境下资源池的防护系统设计与实现_第1页
云环境下资源池的防护系统设计与实现_第2页
云环境下资源池的防护系统设计与实现_第3页
云环境下资源池的防护系统设计与实现_第4页
云环境下资源池的防护系统设计与实现_第5页
资源描述:

《云环境下资源池的防护系统设计与实现》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、云环境下资源池的防护系统设计与实现  【摘要】为了解决云环境下的安全防护问题,通过分析传统防护方案存在的不足,并对云环境下资源池的架构进行研究,提出了无代理病毒防护设计、无代理防火墙的设计和无代理入侵检测/防护的设计等关键技术解决方案。经过实际性能测试验证,无代理方案的性能表现明显优于传统防护方案,可为电信运营商在云环境下的资源池提供有效的安全防护【关键词】云资源池VMware无代理入侵检测系统入侵防护系统doi:10.3969/j.issn.1006-1010.2016.20.018中图分类号:TP391文献标志码:A文章编号:1006-1010(2016)20-0

2、092-051引言随着云计算及虚拟化技术快速演进,大量的数据中心服务器工作负荷将实现虚拟化。通常的部署方式是在单一物理系统中运行多个虚拟机,从而使资源得到更高效的利用,这样就可以大幅削减设备的资本支出、降低与电力和冷却相关的能源成本以及节省物理空间。根据Gartner统计报告,到2016年为止80%的服务器将采用虚拟化部署虚拟环境下的服务器和虚拟桌面仍然会碰到与传统物理计算机相同的安全性问题,如病毒、蠕虫、木马程序和恶意软件的入侵。并且虚拟环境更加复杂,安全防护需要考虑虚拟机的密度、虚拟机的启动间隙防护、虚拟机之间的攻击、虚拟机的管理复杂性等。由于大量使用了虚拟化技术

3、,使得过去常规的安全手段已经无法有效解决日益突出的安全问题,所以在虚拟环境下的服务器需要考虑如何有效地进行安全防范2传统安全防护存在的问题传统的针对病毒防护解决方案都是通过安装代理程序(Agent)到虚拟主机的操作系统中,在服务器虚拟化后,要实现针对病毒的实时防护,同样需要将防病毒客户端即代理程序安装在各个虚拟机中,但是服务器虚拟化的目的是整合资源,最大化地发挥服务器资源的利用率,而传统的防病毒技术需要在每个虚拟主机中安装程序,如1台服务器虚拟5台主机,传统方法需要安装5套,这样在扫描时就需要消耗虚拟主机的计算资源,并且在病毒库更新时带来更多的网络资源消耗。传统的病毒

4、防护解决方案如图1所示:当这些系统被迁移到虚拟环境时,众多虚拟机同时更新病毒特征库或进行按需全盘扫描可能使内存、存储和CPU(CentralProcessingUnit,中央处理器)使用率出现尖峰,导致这些虚拟机在这段时间内都无法正常提供服务,这种情况通常称为杀毒风暴。同时,由于杀毒风暴的存在,虚拟机的密度也不能太高,比如可以承载50台虚拟机的服务器资源池只能建立30台虚拟机。目前最常见的做法是使按需扫描调度随机化,但这种做法也不理想3VMware平台安全架构介绍VMware是一款众所周知的虚拟化软件,该软件通过虚拟化服务器底层硬件以提供用户可在服务器上同时运行不同的

5、操作系统环境。目前虚拟化软件以VMware为主,包括虚拟化软件思杰的Citrix、华为的Fusion、微软的Hyper-V、开源KVM(Kernel-basedVirtualMachine,内核级虚拟化技术)等VMware在平台的安全中,对外开放各种接口方式来实现第三方的安全控制。用户的VMwareESXi主机需要统一接受一个vCenter中心管理,并通过vCenter中心对每台主机分别自动部署vShieldEndpoint和安全虚拟机,这些安全虚拟机将在每个物理主机上自动部署。在添加一台物理主机后,当新加VMwareESXi物理主机接受vCenter管理平台管理时,

6、将自动生成部署安全虚拟机和vShieldEndpoint。目前采用VMsafeAPI(ApplicationProgrammingInterface,应用程序编程接口)和vShieldEndpoint的接口,通过在ESXi上部署安全虚拟应用层来实现对虚拟机的安全防护;利用vShieldEndpoint实现防病毒及防恶意软件,利用VMsafeAPI实现网络IDS(IntrusionDetectionSystem,入侵检测系统)/IPS(IntrusionPreventionSystem,入侵防护系统)。VMware平台安全架构如图2所示:4云资源池下的防护安全方案通过上

7、述分析可以看出,在云资源时代,目前以VMware为主的虚拟环境中,安全防护面临的是从病毒防护、访问控制到入侵检测/防护的一系列问题,因此本文设计了一套完整的安全防护策略,如图3所示:4.1无代理病毒防护设计在虚拟化环境中,有代理的防病毒软件存在严重的资源消耗问题,影响服务器的运行。目前可以采用无代理的方式来解决服务器资源问题,通过VMware的虚拟化层提供的API接口实现。无代理技术是指在每台VMwareESXi物理服务器上部署一台安全虚拟机,以一台安全虚拟机方式运行而不需要在其它各个业务虚拟机安装任何代理程序,通过该虚拟机来保护所有在VMwareE

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。