前一段時(shí)間瘋傳的勒索病毒“WannaCry”�����,給了國(guó)內(nèi)很多單位��、公司的安適辦理當(dāng)頭一棒。其根來源根基因并不是這個(gè)病毒自己多么無堅(jiān)不摧�,更多是由于網(wǎng)絡(luò)辦理人員的疏忽或者用戶的僥幸心理。
熟悉網(wǎng)絡(luò)的伴侶或許知道基本安適要從業(yè)務(wù)與運(yùn)維兩個(gè)方面入手��,而陪同著虛擬化���、SDN等云計(jì)算技術(shù)的興起��,傳統(tǒng)手段雖然也能較大程度地規(guī)避安適問題��,但往往不能深入云計(jì)算內(nèi)部進(jìn)行掩護(hù)��。
以WannaCry病毒為例�����,其基來源根基理是利用了SMB(Windows文件共享,默認(rèn)為139��、 445 等端口)辦事的一個(gè)漏洞(微軟 3 月份已提供此漏洞補(bǔ)丁���,且據(jù)說作者參考了維基解密“CIA兵器庫(kù)”部分算法)�����,復(fù)制并將其傳播至被感染機(jī)能夠接觸到的網(wǎng)絡(luò)環(huán)境中其他存在此漏洞的機(jī)器��。
了解這個(gè)機(jī)制后���,那么在傳統(tǒng)網(wǎng)絡(luò)環(huán)境中我們便可進(jìn)行有效防護(hù)�����,好比最直接地從運(yùn)維層面禁用 445 端口或者業(yè)務(wù)層面禁用SMB辦事����。好比在這次傳播的重災(zāi)區(qū)——國(guó)內(nèi)校園網(wǎng)����,相當(dāng)數(shù)量的教學(xué)機(jī)器與業(yè)務(wù)機(jī)器都被感染導(dǎo)致無法正常教學(xué),而國(guó)內(nèi)某大學(xué)的辦理員則在 3 月份就發(fā)現(xiàn)此病毒��,快速反應(yīng)及時(shí)隔離被感染機(jī)并阻斷端口���,從而使得該校的教學(xué)與生活幾乎沒有受此病毒影響��。
那么問題就來了���,由于現(xiàn)在很多網(wǎng)絡(luò)環(huán)境中都安排了基礎(chǔ)設(shè)施虛擬化軟件��,好比VMWareESXi���,當(dāng)運(yùn)行于其中的虛擬機(jī)感染了病毒以后,傳統(tǒng)的運(yùn)維防護(hù)辦法由于不能夠封禁虛擬交換中的流量�����,導(dǎo)致感染很有可能會(huì)非常迅速地傳播至其所在的虛擬化網(wǎng)絡(luò)環(huán)境中����,如果此時(shí)使用的是WorkStation版本并且開啟了共享文件夾功能的話,那么事態(tài)將會(huì)進(jìn)一步惡化�。
針對(duì)這種情況,即虛擬化軟件不能很好地控制虛擬機(jī)之間的通信�,且傳統(tǒng)網(wǎng)管辦法也不能及時(shí)或者無法深入虛擬交換以禁止 445 端口時(shí),就需要引入更加受控的虛擬化網(wǎng)絡(luò)�����,好比成熟的SDN/NFV方案�����,或者傳統(tǒng)的代理防護(hù)方案�����。由于代理防護(hù)需要在虛擬機(jī)中安置額外的代理軟件以控制通信���,可能會(huì)對(duì)業(yè)務(wù)產(chǎn)生影響�����,因而不會(huì)成為主流方案���,那么一般情況下我們就還有SDN/NFV可選。SDN/NFV除了給虛擬機(jī)提供基礎(chǔ)網(wǎng)絡(luò)辦事外����,也可以從功能、流量上限制這些通信���,好比防火墻�、流控���、引流等���。
而在VMWare軟件中�,此類解決方案需要單獨(dú)購(gòu)買��,除價(jià)格較高外���,往往也需要運(yùn)維人員較高的網(wǎng)絡(luò)水平��,比較難以在小型私有云環(huán)境中落地���。隨著開源社區(qū)的技術(shù)進(jìn)步,SDN逐漸在KVM云計(jì)算軟件中得到成熟應(yīng)用����,好比OpenStack()、ZStack(http://www.zstack.io)等����,用戶可以以較低成本擁有同樣的軟件功能。但就OpenStack與ZStack的易用性與學(xué)習(xí)曲線而言�����,ZStack具有無法相比的優(yōu)勢(shì)�。
ZStack()是國(guó)內(nèi)知名的云計(jì)算IaaS產(chǎn)品���,由云計(jì)算領(lǐng)域深耕十多年的專家打造�����,提出了私有云簡(jiǎn)單���、健壯�、彈性與智能的4S理念�����,并與阿里云共同推出了混合云解決方案���。比擬VMWareEXSi�,ZStack作為云計(jì)算產(chǎn)品具有一個(gè)重要特征——多租戶���,即差別用戶之間的網(wǎng)絡(luò)可以彼此隔離���。好比在實(shí)際使用時(shí),我們可以將差別的應(yīng)用業(yè)務(wù)劃分至差別租戶網(wǎng)絡(luò)中�����,再通過端口映射對(duì)外提供辦事,從而降低單個(gè)租戶網(wǎng)絡(luò)感染傳播至整個(gè)平臺(tái)的風(fēng)險(xiǎn)�����。
ZStack除安置安排的簡(jiǎn)易外�,在虛擬網(wǎng)絡(luò)辦理上擁有比VMWare更易用的功能,好比只需在界面上進(jìn)行簡(jiǎn)單操作即可立即封禁虛擬機(jī)之間指定標(biāo)的目的或端口的網(wǎng)絡(luò)流量�����。
在即將推出的ZStack2. 0 版本中�,SDN也會(huì)成為NFV之外的增強(qiáng)型虛擬網(wǎng)絡(luò)解決方案,屆時(shí)針對(duì)類似WannaCry病毒的侵襲便可采用更加智能的引流操作��,即控制流表更新下發(fā)后�����,所有網(wǎng)絡(luò)流量會(huì)被清洗后再流通�,含有病毒特征的流量會(huì)被快速有效隔離,盡可能地減少業(yè)務(wù)影響�����。例如現(xiàn)階段已經(jīng)有互聯(lián)網(wǎng)公司在ZStack中集成了onosSDN控制器,在有效管控網(wǎng)絡(luò)的同時(shí)也必然程度地提升了業(yè)務(wù)能力���。
如果再配合按期快照功能,辦理人員會(huì)在病毒來襲之前就會(huì)擁有健康備份�,從而在發(fā)生不測(cè)時(shí)快速恢復(fù)生產(chǎn)環(huán)境。
看了今天的分享之后�����,希望正在使用傳統(tǒng)虛擬化軟件的數(shù)據(jù)中心可以重新評(píng)估��,是否需要盡快將現(xiàn)有的系統(tǒng)升級(jí)到具有更高級(jí)網(wǎng)絡(luò)自動(dòng)化功能的云計(jì)算產(chǎn)品上去�。當(dāng)然,信息系統(tǒng)被病毒感染就像人感冒一樣�����,病好了以后下次就會(huì)免疫這種病原體����,未嘗不是好事兒。以上的安適解決方案也只是私有云環(huán)境安適辦理的可用辦法�,我們?nèi)匀灰B(yǎng)成良好的網(wǎng)管習(xí)慣,好比日常漏掃�����、巡檢、更新等����。與此同時(shí),我們的虛擬化基礎(chǔ)設(shè)施也應(yīng)當(dāng)向“云”邁進(jìn)一步�,使計(jì)算、存儲(chǔ)�����、網(wǎng)絡(luò)更加智能�、高效,從而盡可能使信息基礎(chǔ)設(shè)施更加不變���、健康�。
