守卫虚拟核心 浪潮SSR加固某省国土资源厅虚拟主机

随着数据中心服务器虚拟化的盛行，配置一个新的应用服务器只需要简单的管理批准以及管理员的一些鼠标动作。虚拟化技术已经完全改变了数据中心的景观。但是，伴随虚拟化而来的除了高效与便捷，还有更为严峻的安全形式。与传统的物理服务器是一个个单独的点不同，虚拟化场景下vCenter就作为管理节点能够控制和整合属于其域内的虚拟机。也就是说，一旦vCenter被攻破，那么整个虚拟环境的安全将荡然无存。那么，在保护虚拟化环境的问题上，方向就非常明显，一定是虚拟主机优先。日前，在某省国土资源厅信息中心中，通过部署浪潮主机安全增强系统（以下简称：浪潮SSR），实现了虚拟主机服务器的安全加固防护，确保虚拟环境的安全。

跟上IT新趋势却埋下安全隐患

“当初在进行综合电子政务业务规划的时候，我们注意到现在服务器虚拟化的趋势，也希望尝试一下。因为在资源利用率提高和简化系统管理方面确实比传统架构表现出色。”该国土资源厅信息中心负责人表示，“但是没有想到的是，虚拟化的架构带来了新的安全隐患。”

让该国土资源厅发愁的问题是在虚拟环境中，vCenter Server承担了系统中的所有管理和控制功能，一旦出现问题，整个系统都将面临巨大风险。但是目前的安全措施不足以保护vCenter Server的安全。

具体来说，使用vCenter Server可进行大规模的部署。可以使用向导或者模板，借助配置好的虚拟机，在较短的时间内部署大量的系统或主机，并且可以使用vCenter Server update manager对虚拟机和主机进行补丁升级安装管理。使用vCenter Server 可进行动态分配资源，优化可用性和资源分配方式。 vCenter Server 可通过单一界面来配置和管理 vSphere 环境中的实时迁移、负载平衡、高可用性及容错功能。使用vCenter Server 可进行大规模扩展，单个 vCenter Server 实例可管理多达1000 台主机和10 000个虚拟机。

但是，与vCenter Server在系统中的超级权力相比，对它的防护措施却显得不足，传统的安全策略是通过手工加固，保护存储vCenter配置数据的数据库和认证用户身份的Active Directory两个组件，虽然可以起到一定的防护作用，但是弱点明显，主要原因是手工加固基于系统自身管理员来操作配置。系统管理员一权独大，故意或者无意的错误操作都有可能造成系统损失。而且一旦某台虚拟机受到攻击并且把病毒感染给vCenter Server，那么攻击者就可以通过控制vCenter Server在虚拟化环境中为所欲为，所有的安全策略都将失去防护效果。vCenter Server被恶意攻击者控制，虚拟机中搭建的所有业务应用、存储的所有重要数据将被非法获取掌握，甚至可以删除虚拟机，对系统造成毁灭性打击。

“于是，我们开始寻找一套能够保护vCenter Server的产品，希望从源头上确保虚拟环境的安全。”该负责人说，“在考察了多款产品之后，我们发现浪潮SSR能够解决我们的问题。”

浪潮SSR从源头解决虚拟化安全困局

能够解决虚拟主机的安全问题，是因为浪潮SSR基于ROST技术理论从系统层对操作系统进行加固，通过对文件、目录、进程、注册表和服务的强制访问控制，有效的制约和分散原有系统管理员的权限，把普通的操作系统从体系上升级，达到安全系统层级。

针对系统管理员“一权独大”的风险，浪潮SSR采用分权管理的机制，将原系统管理员权限分散为系统操作员、安全管理员和审计管理员，三个权限各司其职，互相制约，确保vCenter权限得到有效保护。

针对虚拟机遭到攻击容易感染vCenter Server的问题，浪潮SSR对虚拟主机的数据库文件进行保护，防止了非法使用数据库、非法修改数据库文件事件的发生，其完整的对比检测机制，可以让非法人员“进不来、拿不走、改不了、赖不掉”。而作为防护重点，虚拟主机中存放的重要数据，严禁拷贝、写入等非法操作。这就为从根本上免疫了目前各种针对操作系统的攻击行为，彻底防止了病毒、蠕虫、黑客攻击等对操作系统和数据库的破坏。

“部署浪潮SSR之后，我们吃了一颗定心丸。”该负责人表示，“浪潮SSR帮我们抓住了虚拟环境的核心，确保了vCenter Server的安全，也就保证了整个虚拟系统不会出现系统性风险。”