一本道理不卡一二三区

您當前的位置:首頁>>新聞中心>>行業新聞 行業新聞

病毒來襲——為什么私有云不能止步于虛擬化
發布時間:2017-06-08 丨 閱讀次數:3264

  前一段時間瘋傳的勒索病毒“WannaCry”,給了國內很多單位、公司的安全管理當頭一棒。其根本原因并不是這個病毒本身多么無堅不摧,更多是由于網絡管理人員的疏忽或者用戶的僥幸心理。

  

20170606061349634.jpg

 

  熟悉網絡的朋友或許知道基本安全要從業務與運維兩個方面入手,而伴隨著虛擬化、SDN等云計算技術的興起,傳統手段雖然也能較大程度地規避安全問題,但往往不能深入云計算內部進行保護。

  以WannaCry病毒為例,其基本原理是利用了SMB(Windows文件共享,默認為139、445等端口)服務的一個漏洞(微軟3月份已提供此漏洞補丁,且據說作者參考了維基解密“CIA武器庫”部分算法),復制并將其傳播至被感染機能夠接觸到的網絡環境中其他存在此漏洞的機器。

  了解這個機制后,那么在傳統網絡環境中我們便可進行有效防護,比如最直接地從運維層面禁用445端口或者業務層面禁用SMB服務。比如在這次傳播的重災區——國內校園網,相當數量的教學機器與業務機器都被感染導致無法正常教學,而國內某大學的管理員則在3月份就發現此病毒,快速反應及時隔離被感染機并阻斷端口,從而使得該校的教學與生活幾乎沒有受此病毒影響。

一本道理不卡一二三区  那么問題就來了,由于現在很多網絡環境中都部署了基礎設施虛擬化軟件,比如VMWareESXi,當運行于其中的虛擬機感染了病毒以后,傳統的運維防護措施由于不能夠封禁虛擬交換中的流量,導致感染很有可能會非常迅速地傳播至其所在的虛擬化網絡環境中,如果此時使用的是WorkStation版本而且開啟了共享文件夾功能的話,那么事態將會進一步惡化。

一本道理不卡一二三区  針對這種情況,即虛擬化軟件不能很好地控制虛擬機之間的通信,且傳統網管措施也不能及時或者無法深入虛擬交換以禁止445端口時,就需要引入更加受控的虛擬化網絡,比如成熟的SDN/NFV方案,或者傳統的代理防護方案。由于代理防護需要在虛擬機中安裝額外的代理軟件以控制通信,可能會對業務產生影響,因而不會成為主流方案,那么一般情況下我們就還有SDN/NFV可選。SDN/NFV除了給虛擬機提供基礎網絡服務外,也可以從功能、流量上限制這些通信,比如防火墻、流控、引流等。

一本道理不卡一二三区  而在VMWare軟件中,此類解決方案需要單獨購買,除價格較高外,往往也需要運維人員較高的網絡水平,比較難以在小型私有云環境中落地。隨著開源社區的技術進步,SDN逐漸在KVM云計算軟件中得到成熟應用,比如OpenStack(http://www.openstack.org/)、ZStack(http://www.zstack.io)等,用戶可以以較低成本擁有同樣的軟件功能。但就OpenStack與ZStack的易用性與學習曲線而言,ZStack具有無法比擬的優勢。

  ZStack(http://www.zstack.io)是國內知名的云計算IaaS產品,由云計算領域深耕十多年的專家打造,提出了私有云簡單、健壯、彈性與智能的4S理念,并與阿里云共同推出了混合云解決方案。相比VMWareEXSi,ZStack作為云計算產品具有一個重要特征——多租戶,即不同用戶之間的網絡可以相互隔離。比如在實際使用時,我們可以將不同的應用業務劃分至不同租戶網絡中,再通過端口映射對外提供服務,從而降低單個租戶網絡感染傳播至整個平臺的風險。


關于我們    |    新聞中心    |    產品中心    |    典型案例    |    聯系我們    |    

一本道理不卡一二三区客服專線:029 - 82481888 - 820    |    傳真:029 - 82493596

客服郵箱:xbfd2008@126.com

一本道理不卡一二三区CopyRight ? 2017 西安時代電力軟件有限責任公司 All Right Reserved

陜ICP備07501321號-5

工作時間:8:30-17:00

一本道理不卡一二三区029 - 82481888 - 820