前一段時(shí)間瘋傳的勒索病毒“WannaCry”�����,給了國內(nèi)很多單位、公司的安適辦理當(dāng)頭一棒���。其根來源根基因并不是這個(gè)病毒自己多么無堅(jiān)不摧��,更多是由于網(wǎng)絡(luò)辦理人員的疏忽或者用戶的僥幸心理�。
熟悉網(wǎng)絡(luò)的伴侶或許知道基本安適要從業(yè)務(wù)與運(yùn)維兩個(gè)方面入手��,而陪同著虛擬化�����、SDN等云計(jì)算技術(shù)的興起����,傳統(tǒng)手段雖然也能較大程度地規(guī)避安適問題��,但往往不能深入云計(jì)算內(nèi)部進(jìn)行掩護(hù)�。
以WannaCry病毒為例,其基來源根基理是利用了SMB(Windows文件共享���,默認(rèn)為139�����、 445 等端口)辦事的一個(gè)漏洞(微軟 3 月份已提供此漏洞補(bǔ)丁����,且據(jù)說作者參考了維基解密“CIA兵器庫”部分算法),復(fù)制并將其傳播至被感染機(jī)能夠接觸到的網(wǎng)絡(luò)環(huán)境中其他存在此漏洞的機(jī)器��。
了解這個(gè)機(jī)制后���,那么在傳統(tǒng)網(wǎng)絡(luò)環(huán)境中我們便可進(jìn)行有效防護(hù)�,好比最直接地從運(yùn)維層面禁用 445 端口或者業(yè)務(wù)層面禁用SMB辦事����。好比在這次傳播的重災(zāi)區(qū)——國內(nèi)校園網(wǎng),相當(dāng)數(shù)量的教學(xué)機(jī)器與業(yè)務(wù)機(jī)器都被感染導(dǎo)致無法正常教學(xué),而國內(nèi)某大學(xué)的辦理員則在 3 月份就發(fā)現(xiàn)此病毒,快速反應(yīng)及時(shí)隔離被感染機(jī)并阻斷端口���,從而使得該校的教學(xué)與生活幾乎沒有受此病毒影響�。
那么問題就來了,由于現(xiàn)在很多網(wǎng)絡(luò)環(huán)境中都安排了基礎(chǔ)設(shè)施虛擬化軟件���,好比VMWareESXi�,當(dāng)運(yùn)行于其中的虛擬機(jī)感染了病毒以后�����,傳統(tǒng)的運(yùn)維防護(hù)辦法由于不能夠封禁虛擬交換中的流量,導(dǎo)致感染很有可能會(huì)非常迅速地傳播至其所在的虛擬化網(wǎng)絡(luò)環(huán)境中��,如果此時(shí)使用的是WorkStation版本并且開啟了共享文件夾功能的話�����,那么事態(tài)將會(huì)進(jìn)一步惡化����。
針對(duì)這種情況,即虛擬化軟件不能很好地控制虛擬機(jī)之間的通信�,且傳統(tǒng)網(wǎng)管辦法也不能及時(shí)或者無法深入虛擬交換以禁止 445 端口時(shí)�,就需要引入更加受控的虛擬化網(wǎng)絡(luò),好比成熟的SDN/NFV方案��,或者傳統(tǒng)的代理防護(hù)方案�。由于代理防護(hù)需要在虛擬機(jī)中安置額外的代理軟件以控制通信,可能會(huì)對(duì)業(yè)務(wù)產(chǎn)生影響�����,因而不會(huì)成為主流方案�����,那么一般情況下我們就還有SDN/NFV可選。SDN/NFV除了給虛擬機(jī)提供基礎(chǔ)網(wǎng)絡(luò)辦事外�,也可以從功能、流量上限制這些通信�,好比防火墻、流控�����、引流等����。
而在VMWare軟件中,此類解決方案需要單獨(dú)購買��,除價(jià)格較高外��,往往也需要運(yùn)維人員較高的網(wǎng)絡(luò)水平�����,比較難以在小型私有云環(huán)境中落地��。隨著開源社區(qū)的技術(shù)進(jìn)步���,SDN逐漸在KVM云計(jì)算軟件中得到成熟應(yīng)用�,好比OpenStack()、ZStack(http://www.zstack.io)等����,用戶可以以較低成本擁有同樣的軟件功能。但就OpenStack與ZStack的易用性與學(xué)習(xí)曲線而言����,ZStack具有無法相比的優(yōu)勢(shì)。
ZStack()是國內(nèi)知名的云計(jì)算IaaS產(chǎn)品����,由云計(jì)算領(lǐng)域深耕十多年的專家打造,提出了私有云簡單���、健壯、彈性與智能的4S理念����,并與阿里云共同推出了混合云解決方案。比擬VMWareEXSi���,ZStack作為云計(jì)算產(chǎn)品具有一個(gè)重要特征——多租戶�����,即差別用戶之間的網(wǎng)絡(luò)可以彼此隔離��。好比在實(shí)際使用時(shí)�,我們可以將差別的應(yīng)用業(yè)務(wù)劃分至差別租戶網(wǎng)絡(luò)中,再通過端口映射對(duì)外提供辦事���,從而降低單個(gè)租戶網(wǎng)絡(luò)感染傳播至整個(gè)平臺(tái)的風(fēng)險(xiǎn)��。
ZStack除安置安排的簡易外�����,在虛擬網(wǎng)絡(luò)辦理上擁有比VMWare更易用的功能�,好比只需在界面上進(jìn)行簡單操作即可立即封禁虛擬機(jī)之間指定標(biāo)的目的或端口的網(wǎng)絡(luò)流量�����。
在即將推出的ZStack2. 0 版本中�����,SDN也會(huì)成為NFV之外的增強(qiáng)型虛擬網(wǎng)絡(luò)解決方案���,屆時(shí)針對(duì)類似WannaCry病毒的侵襲便可采用更加智能的引流操作�,即控制流表更新下發(fā)后,所有網(wǎng)絡(luò)流量會(huì)被清洗后再流通�,含有病毒特征的流量會(huì)被快速有效隔離,盡可能地減少業(yè)務(wù)影響���。例如現(xiàn)階段已經(jīng)有互聯(lián)網(wǎng)公司在ZStack中集成了onosSDN控制器����,在有效管控網(wǎng)絡(luò)的同時(shí)也必然程度地提升了業(yè)務(wù)能力�����。
如果再配合按期快照功能�����,辦理人員會(huì)在病毒來襲之前就會(huì)擁有健康備份��,從而在發(fā)生不測(cè)時(shí)快速恢復(fù)生產(chǎn)環(huán)境����。
看了今天的分享之后�����,希望正在使用傳統(tǒng)虛擬化軟件的數(shù)據(jù)中心可以重新評(píng)估,是否需要盡快將現(xiàn)有的系統(tǒng)升級(jí)到具有更高級(jí)網(wǎng)絡(luò)自動(dòng)化功能的云計(jì)算產(chǎn)品上去�����。當(dāng)然�����,信息系統(tǒng)被病毒感染就像人感冒一樣����,病好了以后下次就會(huì)免疫這種病原體,未嘗不是好事兒�����。以上的安適解決方案也只是私有云環(huán)境安適辦理的可用辦法�,我們?nèi)匀灰B(yǎng)成良好的網(wǎng)管習(xí)慣,好比日常漏掃�、巡檢、更新等���。與此同時(shí)��,我們的虛擬化基礎(chǔ)設(shè)施也應(yīng)當(dāng)向“云”邁進(jìn)一步����,使計(jì)算、存儲(chǔ)����、網(wǎng)絡(luò)更加智能、高效����,從而盡可能使信息基礎(chǔ)設(shè)施更加不變、健康�����。
