1.虚拟化安全挑战及防护需求
虚拟化技术的应用,帮助企业实现了资源使用及管理的集约化,有效节省了系统
的资源投入成本和管理维护成本,但虚拟化这种新技术的应用,也不可避免给企业的
安全防护及运维管理带来新的风险及问题。
总结来说,虚拟化技术面临的最大风险及挑战主要来自于这样几个方面:
1.网络及逻辑边界的模糊化,原有的 FW 等网络安全防护技术失去意义
虚拟化技术一个最大的特点就是资源的虚拟化和集中化,将原来分散在不同物理位置、不同网络区域的主机及应用资源集中到了一台或者几台虚拟化平台上,不同的虚拟
化主机间的网络及逻辑边界越来越难于控制及防护,传统方式下的网络防火墙、网络入
侵检测防护等技术都失去了应有的作用。
攻击者可以利用已有的一台虚拟主机使用权限,尝试对该虚拟平台和虚拟网络的
其他虚拟主机进行访问、攻击甚至是嗅探等,因此必须通过基于主机的防火墙或者虚拟
防火墙实现针对统一虚拟平台、虚拟网络下的虚拟主机之间的网络访问控制和隔离。
2.系统结构的变化导致新风险
虚拟化平台在传统的“网络 - 系统 - 应用”系统架构上增加了“ Hypervisor及虚拟网络”层,由于不同的虚拟机主机往往承载于同一虚拟化平台服务器,即使 2 台完全独立的虚拟机主机,也可能由于虚拟平台自身(Hypervisor 层)的某些缺陷及弱点(如虚拟平台本身的一些驱动漏洞),导致安全风险及攻击入侵在不同虚拟机主机之间扩散
同时,单台虚拟机的安全问题,也有可能影响整个虚拟化平台的安全;虚拟机间隔离不当,可非法访问其它 VM,或者窃听 VM间的通信,盗取敏感数据。
因此必须加强针对虚拟平台自身和虚拟机主机自身的安全防护。通过主机入侵检测防护系统,对虚拟平台和虚拟主机正在发生的攻击入侵行为进行实时监测及主动防护,
防止虚拟平台和虚拟主机被恶意攻击及篡改 .
3.资源的共享化,原有安全防护技术面临新挑战
针对虚拟化环境,一台服务器往往需要承载大量的客户端虚拟机系统,因此当所有的主机都同时进行病毒定义更新或扫描时,将形成的更新和扫描风暴势必成为一场
灾难,因此如何有效降低虚拟化环境的病毒定义更新和扫描负载,直接影响到整个虚
拟化平台的使用效率。因此,虚拟机服务器安全防护软件必须引入最新的虚拟机优化
技术对虚拟化平台提供更完善、更可靠的保护。
2.安全建设方案
2.1 安全建设方案概述
虚拟化平台的虚拟网络安全:通过在虚拟机服务器主机上部署基于主机的入侵检测防护系统。实现针对虚拟机服务器主机的网络访问控制及隔离、入侵攻击防护、系
统加固及审计等功能,弥补传统网络防火墙、入侵防护技术在虚拟环境下的防护缺失。满足对虚拟服务器自身防护
虚拟化 Guest 服务器安全:该方案针对虚拟出来的服务器的安全防护同样可以
做到针对虚拟环境中的虚拟物理服务器自身的防护,并且能适应虚拟环境下的架构变化。面对新形势下的安全威胁,无论是网络攻击,内存的缓存溢出攻击,零日威胁,都可以做到实时的安全防护。
虚拟化平台底层架构安全防护:通过对 VMwareESXi 服务器的事件日志的实时收集和分析,实现实时监控虚拟服务器的文件配置改变,针对ESXi 服务器的入侵检测防护能力。通过 VMware加固手册,针对 vCenter 服务器,集成根据该手册定义的安全加固需求的入侵防御,入侵检测策略。由于 vCenter 服务器架构与 Windows服务器
上,因此同时还应该针对 Windows服务器提供足够的服务器级别加固能力,防止通过入侵 Windows而间接控制 vCenter 服务器。通过对 ESXi,vCenter ,Windows服务器的整体安全防护,包括入侵检测,入侵防御,主机加固等,从而实现对整个虚拟化平
台具备全部控制和管理能力的虚拟化平台自身服务器 ESXi 和 vCenter 服务器做到完整的基础架构安全防护能力。
2.2 总体网络部署架构示意图
2.3 虚拟桌面无代理病毒防护
2.3.1 需求概述
针对虚拟化环境,一台服务器往往需要承载大量的虚拟主机,因此当所有的主机
都发起病毒扫描时,将形成的扫描风暴势必成为一场灾难,因此如何有效降低虚拟化
环境的病毒扫描负载,直接影响到整个虚拟化平台的使用效率。
结合 VMWARE最新的 NSX技术架构,赛门铁克数据中心安全防护提供了针对虚拟化服务器及桌面的无代理病毒防护,解决传统有代理防病毒方式无法适应虚拟化架构
的问题,特别是虚拟化防病毒带来的扫描风暴和病毒定义升级风暴问题。
2.3.2 实现方案
SDCS通过提供虚拟安全设备 SVA并于 VMware的软件定义网络平台NSX集成,提供无代理的虚拟化服务器病毒防护,并且通过集成,完成虚拟化架构下的自动安全策
略分配到 NSX定义的组,而无须关心策略分配到那个虚拟机。
SDCS 提供虚拟安全设备SVA 为虚拟服务器提供无代理防病毒
SDCS 提供和 NSX 的自动化安全策略分配到组
2.4 虚拟平台和虚拟服务器安全
2.4.1 需求概述
在虚拟化环境中 , 不同的虚拟化主机间的网络及逻辑边界越来越难于控制及防
护,例如:
–虚拟层的破坏会导致其上所有虚拟桌面主机的破坏
–虚拟桌面主机防护薄弱,可直接影响其他租户的虚拟桌面主机
–虚拟机间隔离不当,可非法访问其它虚拟桌面主机,或者窃听虚拟桌面主机间的通信
这些新问题,通过传统的防火墙及入侵防护技术都不能够很好的解决,因此,必须
加强针对虚拟机主机自身的主机入侵防护及加固,防止某台或某个点的安全风险及威
胁扩散到整个虚拟化服务平台。
symantec 的 DCS-Server Advanced 解决方案,针对虚拟化平台的Hypervisor层及重要的虚拟服务器主机,提供基于主机的入侵检测、防护、系统审计及加固功能,
防止虚拟机服务器被恶意攻击及入侵,提升虚拟机服务器自身的安全防护能力及水
平。
2.4.2 实现方案
2.4.2.1 虚拟架构保护
监视 Hypervisor 底层 server 的方法(支持当前主流的Vmware 平台) :
虚拟平台底层服务器上不安装任何防护软件,可以在一台特定的虚拟桌面虚机上部署
DCS 安全监控代理
DCS 安全监控代理通过命令行或者API 接口访问虚拟平台底层配置文件/ 日志、 VM 配
置文件。
DCS 管理控制台上启用预定义的虚拟平台IDS 策略监视配置 / 日志 / 访问操作
针对虚拟平台配置变更可以生成预定义的监控报告
IDS 策略概要:
命令行接口 (CLI) 登录失败和成功事件
命令行接口 (CLI )命令操作记录
按照各厂商安全加固指南监控虚拟平台服务器底层配置文件变更(谁?时间?操作?变
更?内容?)
按照各厂商安全加固指南监控拟平台管理组件配置文件变更(谁?时间?操作?变更?
内容?)
关键的安全事件日志分析
未授权核心模块加载
USB 设备事件(发现、连接VM )
其他告警
2.4.2.2 虚拟主机( Guest OS)保护
安全锁定 --- 保障系统最小权限的安全运行环境
服务器主机的运行环境通常比较简单和固定,且操作是可以预期的, 如下:仅需要安装、运行和访问特定
计算机环境轻易不进行变更
除必要的业务访问和操作外,不允许访问其他任何资源或进行其它额外操
作
同时,考虑到服务器主机的特殊性(并不能总是及时更新补丁),传统的防病
毒技术(依赖于黑名单:病毒特征库)无法解决一些新型未知攻击和零日漏洞攻击的
威胁,因此,针对关键服务器主机,本次建议采用更严格的基于白名单及行为特征的
系统加固及防护技术。
本次推荐的解决方案为赛门铁克的数据中心安全防护软件DCS_SA( SYMC DATA CENTERSECURITYSERVERADVANCED),DCS_SA是业界领先的基于主机的主机安全保护和加固的解决方案 , 为关键服务器主机,关键业务应用提供持续的,全面的,纵深的
安全防御保护。包括
端口 / 服务管理 ( 网络环境锁定 ) :限制服务器主机上的端口开放和访问情况,
确保服务器上只开放允许的服务端口,并进行细粒度的访问控制管理, 有效控
制恶意代码在网络内部的传播和扩散, 并避免来自于其它设备的恶意攻击及
访问(包括来自于服务器本地和安全域内部其它主机的恶意访问和攻击)
进程白名单(应用环境锁定):通过进程白名单技术,确保服务器主机只允许
业务所需的进程和程序,防止因为软件的随意安装或者程序的运行可能导致
的病毒感染、恶意代码执行风险
漏洞攻击及保护(系统加固及锁定):提供针对服务器主机的系统加固锁定和
攻击保护。包括缓冲区溢出、进程注入等零日漏洞攻击行为的检测及保护能
力,在服务器未及时更新补丁时对服务器进行有效保护。
安全监控及告警功能:通过监控和收集服务器主机操作系统日志和加固及防
护系统日志,及时掌握服务器主机当前面临的威胁及风险状况以及系统任何
细微变化。
网络环境“锁定”
DCS_SA主机防护软件提供了基于主机的防火墙访问控制功能,可以通过策略管理服务器针对终端计算机制定统一的个人主机防火墙规则,并且自动下发到终端进行执行,且不允许终端用户随意修改。可以通过防火墙策略限定终端用户能不能访问某
些特定资源、或者进行特定网络连接(如基于IP 、端口、应用程序等参数)。如下图所示 :
网络环境“锁定”
可以有效控制业务终端恶意代码的传播和感染
限定业务终端应用程序与特有的后台服务器IP 地址和端口进行通讯,确保
网络环境安全
基于 IP地址
基于 TCP、基于进出流
UDP端口的量双向访问的访问控制
访问控制控制基于程序路
径和参数的
访问控制
基于用户、
用户组的访
问控制
25
通过该功能 , 可以限制服务器主机上的端口开放和访问情况,确保服务器上只开
放允许的服务端口,并进行细粒度的访问控制管理, 有效控制恶意代码在网络内部的传播和扩散 , 并避免来自于其它设备的恶意攻击及访问(包括服务器本地和安全域内
部其它主机的恶意访问和攻击), 弥补安全域边界防火墙只能监控阻止来自于安全域外部攻击的不足。
应用环境“锁定”
DCS_SA主机防护软件还提供了基于进程、文件级别的应用程序控制及保护功能,通过系统的自我学习功能, DCS_SA可以自动收集并识别业务终端上运行的业务进程及服务,并根据进程的继承和调用关系,采用进程白名单技术,在确保业务进程和业务
操作正常运行的前提下,阻止可信范围之外的其它应用程序的安装和运行。
采集的应用及进程信息包括程序名称、发布者、签名、信誉度;通过采集的应用
名称和信誉度来添加,应用程序信誉度会自动更新。同时,系统还支持将应用添加到
可信升级程序,这样任何的业务应用升级,系统锁定策略不需要进行任何调整,就能
保证新版本的应用进程能继续稳定可靠运行,且其它安全防护及锁定能力不受影响,
如下图所示:
通过该功能(进程白名单技术),可以确保服务器主机只允许业务所需的进程和
程序,防止因为软件的随意安装或者程序的运行可能导致的病毒感染、恶意代码执行
风险。
系统环境“锁定”
DCS_SA主机防护软件还提供了基于系统的加固和锁定功能,可以限制系统配置设置、文件系统以及对服务器的访问及操作。企业可以利用该功能逐一锁定服务器,并
确保对面向公众和关键任务服务器执行了适当的更改控制。例如:
限制用户或程序对指定目录、文件及其它系统资源的访问及修改(例如可以
禁止终端用户执行任何其它多余系统级或外部命令)
限制各种外设(例如打印、传真、usb 拷贝)等功能使用,例如可以确保只有
通过特定用户或业务进程才能执行打印、usb 拷贝操作,其它用户或进程无法使用相关功能等
除了前文所述系统锁定机制之外, DCS_SA主机防护软件还提供针对操作系统核心运行环境的锁定和保护,可以有效防止进程注入、内存注入等攻击行为,对这两种攻
击的阻止是通过攻击原理及攻击行为来进行识别并阻断,所以无需特征库升级即可阻止已知和未知的攻击行为。
众所周知,操作系统的每项进程、服务或功能都有明确的定义。这些进程每时每刻都一成不变地做着相同的工作。因此,可以将这些进程服务和功能的已知正确行为定义并预包装在服务器加固及防护系统的默认策略中。因为这些保护策略了解系统每个组成部分的正确行为,所以,每个系统调用在执行之前都会由服务器加固及防护系统客户端代理程序评估系统调用并确保其有效性,然后再将其传递给操作系统的执行引擎。
利用 Behavior Control Descriptions (BCDs)技术,针对系统及常见应用服务进程制定基于行为的“虚拟”Shell ,限定每个应用程序允许访问的资源及其访问权限,确保相关应用程序及进程只执行了经过授权及许可的操作,避免应用程序及进程的越权访问及操作带来的系统及业务风险。
此方法的最终结果是,在无需特征或补丁更新的情况下,阻止恶意程序利用零日
漏洞对系统主机进行攻击。可以确保相关应用程序及进程只执行了经过授权及许可的
操作,避免应用程序及进程的越权访问及操作带来的系统及业务风险。
如下图所示:
安全监控 --- 实时监控及告警
安全监控及告警模块还提供了基于主机的安全监控和入侵检测功能,安全监控模块还提供了一个由应该受到监控的最常见安全事件组成的大型知识库,在该库中提供了一些最佳实践监控规则集合。系统维护人员可以从该库中选择一组检测规则应用于
一组服务器,实现针对当前一些常见安全攻击、安全风险及威胁的检测及监控,及时
掌握服务器主机当前面临的威胁及风险情况。比如:
扫描探测攻击
恶意软件检测
SANS 20 大漏洞检测
IIS 或 Apache 易受攻击的脚本检测
Sendmail 漏洞利用检测
UNIX?拒绝的堆栈执行检测
等等
同时,安全监控模块还会对重要的系统变更进行实时监控并告警,防止变更引起的服务器系统及业务故障
比如:
端口 /服务变更监控
关键文件及目录变更篡改
帐号及密码变更
启动选项更改检测
系统安全配置检测
安全监控及告警模块通过监控和收集服务器主机操作系统日志和加固及防护系统日志,对上述风险及威胁行为进行审计记录,并将相关结果上传给管理服务器进行集中呈现和告警管理。
网络基础架构及数据中心规划方案 2016年11月
目录 一.网络建设需求 (3) 1.1 目标架构: (3) 1.2设计目标: (3) 二. 规划方案 (4) 2.1 方案拓扑 (4) 2.2 架构说明 (5) 2.3 为什么选用Vmware虚拟化技术(整个方案的重点) (6) 2.4 VMware方案结构 (7) 2.4.1 基础架构服务层 (7) 2.4.2 应用程序服务层 (9) 2.4.3 虚拟应用程序层 (14) 2.4.4 数据备份 (15) 2.4.5 具体方案陈述 (20) 2.5 VMWARE方案带来的好处 (21) 2.5.1 大大降低TCO (21) 2.5.2 提高运营效率 (23) 2.5.3 提高服务水平 (24) 三. 项目预算 (24) 总述
为推进公司信息化建设,以信息化推动公司业务工作改革与发展,需要在集团总部建设新一代的绿色高效能数据中心网络。 一.网络建设需求 1.1 目标架构: 传统组网观念是根据功能需求的变化实现对应的硬件功能盒子堆砌而构建企业网络的,这是一种较低效率的资源调用方式,而如果能够将整个网络的构建看成是由封装完好、相互耦合松散、但能够被标准化和统一调度的“服务”组成,那么业务层面的变更、物理资源的复用都将是轻而易举的事情。最终形成底层资源对于上层应用就象由服务构成的“资源池”,需要什么服务就自动的会由网络调用相关物理资源来实现。 1.2设计目标: 扩展性: 架构设计能应对集团未来几年的发展以及满足整合分公司资源的需要; 简化管理 使上层业务的变更作用于物理设施的复杂度降低,能够最低限度的减少了物理资源的直接调度,使维护管理的难度和成本大大降低。 高效复用 得物理资源可以按需调度,物理资源得以最大限度的重用,减少建设成本,提高使用效率。即能够实现总硬件资源占用降低了,而每个业务得到的服务反而更有充分的资源保证了。 网络安全:
1项目概述 1.1竹溪县民政局现状 竹溪县民政局机房现有设备运行年限较长,各业务系统相对独立,造成管理难度大,基于这种现状我司推荐竹溪县民政局信息化启动平台化建设。 竹溪县民政局信息化平台是提高健康水平、提高政府服务质量和效率的有力推手,是规范医疗政府服务,方便群众办事,缓解群众看病难问题的主要手段,不仅对推动竹溪县政务整改工作有重要意义,也是当前竹溪县民政局信息化平台工作迫切的需求。 1.2竹溪县民政局信息化平台建设的基本原则 1)顶层设计,统筹协调原则:竹溪县民政局信息化平台建设要按照国家有 关信息化建设的总体部署和要求,结合竹溪县民政局实际,做好顶层设 计,进行信息资源统筹规划,统一建设规范、标准和管理制度,构建竹 溪县民政局信息化平台为建设目标和任务。运用不同机制和措施,因地 制宜、分类指导、分步推进,促进竹溪县民政局信息化平台工作协调发 展。 2)标准化原则:竹溪县民政局信息化平台建设要在统一标准、统一规范指 导原则下开展,相关技术、标准、协议和接口也须遵循国际、国家、部 颁有关标准,没有上述标准要分析研究,制定出适合竹溪县民政局信息 化平台的标准、规范。 3)开放和兼容性原则:竹溪县民政局信息化平台建设不是一个独立系统, 而是搭建一下通用平台,基于平台承载各类应用系统运行,因此,系统 设计应充分考虑其开放性,同时因发展需要,应具有较好的伸缩性,满 足发展需要。 4)先进性原则:采取业界先进系统架构理念和技术,为系统的升级与拓展 打下扎实基础,如在技术上采用业界先进、成熟的软件和开发技术,面
向对象的设计方法,可视化的面向对象的开发工具,支持 Internet/Ineternet网络环境下的分布式应用;客户/应用服务器/数据 服务器体系结构与浏览器/服务器(B/S)体系相结合的先进的网络计算 模式。 5)安全与可靠的原则:作为竹溪县民政局信息化平台,关乎到民生及医疗 数据安全,其数据库硬件平台必须具备最高的安全性及可靠性,可接近 连续可用。平台一旦出现故障可能会导致群体性事件,因此竹溪县民政 局信息化平台需要建立在一个科学稳定的硬件平台上,并达到系统要求 的安全性和可靠性。二是网络安全。在系统架构和网络结构设计上首先 考虑安全性,必须加强领导、落实责任,综合适用技术、经济、制度、 法律等手段强化网络的安全管理。三是信息安全。主要是数据安全即保 证数据的原始性和完整性,运行数据不可被他人修改或访问,记录者的 记录不容抵赖,访问和修改可追踪性等。在系统设计时既考虑系统级的 安全,又考虑应用级的安全。应用系统采用多级认证(系统级认证、模 块认证、数据库认证和表级认证)等措施,采用用户密码的加密技术以 防止用户口令被破解。同时需制定不断完善的信息系统应急处理预案和 合理的数据库备份策略,在灾难时也能快速从灾难中恢复。四是信息化 平台应具有较强数据I/O处理能力,同时系统在设计时必须考虑在大规 模并发,长期运行条件下的系统可靠性,满足竹溪县民政局信息化7× 24小时的服务要求,保证各机构单位数据交换和资源共享的需要。 6)协调合作原则:要求各有关方将以往的行为方式从独立行事向合作共事 转变,从独立决策向共同决策方式转变。各方在合作基础上,应在人力 资源和设备实体方面全力建立更加稳定的信息技术设施。 1.3平台需求 1.3.1硬件需求 竹溪县民政局信息化平台是支撑整个系统安全、稳定运行的硬件设备和网络设施建设,是系统平台的基础设施。主要包括支撑整个系统安全、稳定运行所需
软件学报ISSN 1000-9825, CODEN RUXUEW E-mail: jos@https://www.doczj.com/doc/ae1491014.html, Journal of Software,2012,23(8):2173?2187 [doi: 10.3724/SP.J.1001.2012.04219] https://www.doczj.com/doc/ae1491014.html, +86-10-62562563 ?中国科学院软件研究所版权所有. Tel/Fax: ? 基于虚拟化的安全监控 项国富1+, 金海1, 邹德清1, 陈学广2 1(华中科技大学计算机科学与技术学院,湖北武汉 430074) 2(华中科技大学控制科学与工程系,湖北武汉 430074) Virtualization-Based Security Monitoring XIANG Guo-Fu1+, JIN Hai1, ZOU De-Qing1, CHEN Xue-Guang2 1(School of Computer Science and Technology, Huazhong University of Science and Technology, Wuhan 430074, China) 2(Department of Control Science and Engineering, Huazhong University of Science and Technology, Wuhan 430074, China) + Corresponding author: E-mail: whxgf1984@https://www.doczj.com/doc/ae1491014.html, Xiang GF, Jin H, Zou DQ, Chen XG. Virtualization-Based security monitoring. Journal of Software, 2012, 23(8):2173?2187 (in Chinese). https://www.doczj.com/doc/ae1491014.html,/1000-9825/4219.htm Abstract: In recent years, virtualization technology is the novel trendy of computer architecture, and it provides a solution for security monitoring. Due to the highest privilege and the smaller trusted computing base of virtual machine monitor, security tools, deployed in an isolated virtual machine, can inspect the target virtual machine with the help of virtual machine monitor. This approach can enhance the effectiveness and anti-attack ability of security tools. From the aspect of the implementation technologies, existing research works can be classified into internal monitoring and external monitoring. According to the different targets, the related works about virtualization-based monitoring are introduced in this paper in detail, such as intrusion detection, honeypot, file integrity monitoring, malware detection and analysis, security monitoring architecture and the generality of monitoring. Finally, this paper summarizes the shortcomings of existing works, and presents the future research directions. It is significant for virtualization research and security monitoring research. Key words: virtualization; virtual machine monitor; security monitoring; virtual machine introspection 摘要: 近年来,虚拟化技术成为计算机系统结构的发展趋势,并为安全监控提供了一种解决思路.由于虚拟机管 理器具有更高的权限和更小的可信计算基,利用虚拟机管理器在单独的虚拟机中部署安全工具能够对目标虚拟机 进行检测.这种方法能够保证监控工具的有效性和防攻击性.从技术实现的角度来看,现有的研究工作可以分为内部 监控和外部监控.根据不同的监控目的,详细地介绍了基于虚拟化安全监控的相关工作,例如入侵检测、蜜罐、文件 完整性监控、恶意代码检测与分析、安全监控架构和安全监控通用性.最后总结了现有研究工作的不足,并指出了 未来的研究方向.这对于从事虚拟化研究和安全监控研究都具有重要意义. 关键词: 虚拟化;虚拟机管理器;安全监控;虚拟机自省 中图法分类号: TP316文献标识码: A ?基金项目: 国家自然科学基金(60973038, 61142010); 国家高技术研究发展计划(863)(2012AA012600); 武汉市科技攻关项目 (201010621211); 信息网络安全公安部重点实验室开放课题(C11602) 收稿时间:2011-05-04; 修改时间: 2011-11-02; 定稿时间: 2012-03-23
虚拟化解决方案
虚拟化解决方案 深圳市深信服科技有限公司 11月
第一章需求分析 1.1高昂的运维和支持成本 PC故障往往需要IT管理员亲临现场解决,在PC生命周期当中,主板故障、硬盘损坏、内存没插紧等硬件问题将不断发生,而系统更新、补丁升级、软件部署等软件问题也非常多,对于IT 管理员来说,其维护的工作量将是非常大的。同时,桌面运维工作是非常消耗时间的,而这段时间内将无法正常进行网上工作,因此也会影响到工作效率。最后,从耗电量方面来讲,传统PC+显示器为250W,那么一台电脑将产生高达352元/年【0.25(功耗)*8(每天8小时工作)*0.8(电费,元/千瓦时)*240(工作日)】本机能耗成本,而电脑发热量也比较大,在空间密集的情况下,散热的成本也在逐步上升。 因此,IDC预测,在PC硬件上投资10元,后续的运营开销将高达30元,而这些投资并不能为学校带来业务方面的价值,也即投入越大,浪费越多。 1.2 不便于进行移动办公 传统的PC模式将办公地点固定化,只能在办公室、微机房等固定区域进行办公,大大降低了工作的效率和灵活性,无法适应移动化办公的需求。
1.3数据丢失和泄密风险大 信息化时代,其数据存储和信息安全非常重要,在信息系统中存储着大量的与工作相关的重要信息。可是传统PC将数据分散存储于本地硬盘,PC硬盘故障率较高,系统问题也很多,这使得当出现问题时数据易丢失,同时由于数据的分散化存储,导致数据的备份及恢复工作非常难以展开,这些都是棘手的问题。另外,PC/笔记本上的资料能够自由拷贝,没有任何安全策略的管控,存在严重的数据泄密风险。 综上所述,桌面云解决方案是业界IT创新技术,当前已在众多行业机构得到广泛应用。经过基于服务器计算模式,将操作系统、应用程序和用户数据集中于数据中心,实现统一管控。此方案可经过革新的桌面交付模式,解决当前桌面管理模式中存在的运维难、不安全、灵活性差等问题,实现高效、便捷、防泄密的经济效益。
xxxxxxx客户虚拟化杀毒技术建议书
................................................................................................................................. 1.1.项目背景 (1) 1.2.建设目标 (1) 1.3.设计原则 (2) 1.4.客户价值 (3) ................................................................................................................................. 2.1.安全威胁分析 (3) 2.2.安全必要性分析 (4) 2.3.项目建设需求 (5) ................................................................................................................................. 3.1.防病毒能力设计实现 (6) 防病毒整体设计实现 (6) 防病毒模块设计实现 (7) 3.2.防病毒部署设计实现 (8) 部署设计 (8) 兼容性设计 (9) ..........................................................................................................................
虚拟化平台安全防 护方案
1.虚拟化安全挑战及防护需求 虚拟化技术的应用,帮助企业实现了资源使用及管理的集约化,有效节省了系统的资源投入成本和管理维护成本,但虚拟化这种新技术的应用,也不可避免给企业的安全防护及运维管理带来新的风险及问题。 总结来说,虚拟化技术面临的最大风险及挑战主要来自于这样几个方面: 1.网络及逻辑边界的模糊化,原有的FW等网络安全防护技术失去意 义 虚拟化技术一个最大的特点就是资源的虚拟化和集中化,将原来分散在不同物理位置、不同网络区域的主机及应用资源集中到了一台或者几台虚拟化平台上,不同的虚拟化主机间的网络及逻辑边界越来越难于控制及防护,传统方式下的网络防火墙、网络入侵检测防护等技术都失去了应有的作用。 攻击者能够利用已有的一台虚拟主机使用权限,尝试对该虚拟平台和虚拟网络的其它虚拟主机进行访问、攻击甚至是嗅探等,因此必须经过基于主机的防火墙或者虚拟防火墙实现针对统一虚拟平台、虚拟网络下的虚拟主机之间的网络访问控制和隔离。 2.系统结构的变化导致新风险 虚拟化平台在传统的“网络-系统-应用”系统架构上增加了“Hypervisor及虚拟网络”层,由于不同的虚拟机主机往往承载于同
一虚拟化平台服务器,即使2台完全独立的虚拟机主机,也可能由于虚拟平台自身(Hypervisor层)的某些缺陷及弱点(如虚拟平台本身的一些驱动漏洞),导致安全风险及攻击入侵在不同虚拟机主机之间扩散 同时,单台虚拟机的安全问题,也有可能影响整个虚拟化平台的安全;虚拟机间隔离不当,可非法访问其它VM,或者窃听VM间的通信,盗取敏感数据。 因此必须加强针对虚拟平台自身和虚拟机主机自身的安全防护。经过主机入侵检测防护系统,对虚拟平台和虚拟主机正在发生的攻击入侵行为进行实时监测及主动防护,防止虚拟平台和虚拟主机被恶意攻击及篡改. 3.资源的共享化,原有安全防护技术面临新挑战 针对虚拟化环境,一台服务器往往需要承载大量的客户端虚拟机系统,因此当所有的主机都同时进行病毒定义更新或扫描时,将形成的更新和扫描风暴势必成为一场灾难,因此如何有效降低虚拟化环境的病毒定义更新和扫描负载,直接影响到整个虚拟化平台的使用效率。因此,虚拟机服务器安全防护软件必须引入最新的虚拟机优化技术对虚拟化平台提供更完善、更可靠的保护。 2. 安全建设方案 2.1安全建设方案概述 虚拟化平台的虚拟网络安全:经过在虚拟机服务器主机上部署基
Deep-Security虚拟化安全解决方案
XXX 虚拟化安全解决方案
趋势科技(中国)有限公司 2011年9月
目录 第1章.概述 (3) 第2章.XXX虚拟化安全面临威胁分析 (4) 第3章.XXX虚拟化基础防护必要性 (7) 第4章.趋势科技虚拟化安全解决方案 (8) 第5章.XXX虚拟化安全部署方案 (14) 5.1.VMware平台部署方案 (14) 5.2.趋势虚拟安全方案集中管理 (15) 5.3.XXX虚拟化防护解决方案拓扑 (15) 第6章.趋势科技DeepSecurity介绍 (16) 6.1.DeepSecuirty架构 (16) 6.2.DeepSecuirty部署及整合 (18) 6.3.DeepSecuirty主要优势 (19) 6.4.DeepSecuirty模块 (21)
第1章.概述 XXX内的大量服务器承担着为各个业务部门提供基础设施服务的角色。随着业务的快速发展,数据中心空间、能耗、运维管理压力日趋凸显。应用系统的部署除了购买服务器费用外,还包括数据中心空间的费用、空调电力的费用、监控的费用、人工管理的费用,相当昂贵。如果这些服务器的利用率不高,对企业来说,无疑是一种巨大的浪费。 在XXX,这些关键应用系统已经被使用Vmware服务器虚拟化解决方案。这解决企业信息化建设目前现有的压力,同时又能满足企业响应国家节能减排要求。 而服务器虚拟化使XXX能够获得在效率、成本方面的显著收益以及在综合数据中心更具环保、增加可扩展性和改善资源实施时间方面的附加利益。但同时,数据中心的虚拟系统面临许多与物理服务器相同的安全挑战,从而增加了风险暴露,再加上在保护这些IT资源方面存在大量
凯迈测控服务器虚拟化资源整合建设方案
一、前言 云计算如何让IT 改头换面 在这个必须先发制人、IT 对每个决策都很关键的商业世界,IT 响应能力和敏捷性可为企业带来竞争优势。然而,许多IT 组织却难以作出足够快的反应,这是因为他们的基础架构不但管理成本高昂,而且还由于过于复杂而难以进行调整。 云计算提供了一种更为高效、灵活和经济的方法,可帮助IT 组织满足不断增长的业务需求:IT 即服务。VMware 提供了一种向这种新模式转型的变革性实用方法,采用的解决方案既能够充分利用云计算的强大功能,又能够确保安全并实现对现有技术投资的保值。 VMware 的方法:踏上“你的云”之旅 虚拟化是云计算的基本促进因素。作为虚拟化领域的领导企业,VMware 将这一坚实的基础作为立足之本,其平台和解决方案可为云计算基础架构提供动力、构建并运行强健的云计算应用程序,并将终端用户计算作为基于云的服务提供。 我们的方法具备全面性,但与其他云计算产品不同,它并不试图用一种云满足所有需求。为了实现竞争优势,必须灵活地对云计算进行量身定制和调整以满足您的个性化需要。对于您的企业而言,云可以是内部私有云、利用外部服务的公有云,或二者相结合的混合云。 无论哪个云选项最适合您,都只有VMware 可提供用于构建和管理云的完整解决方案体系,而且VMware 拥有广泛的合作伙伴体系,可以确保其解决方案中的一切均安全、无缝地正常运转。我们不会向所有客户都提供同样的云,我们提供的是“你的云” - 通过促进IT 交付能力来促进您更快取得业务成效。 VMware 的定制方法能通过实现以下方面带来灵活性和安全性,并同时保护您的现有投资: ?通过提高利用率和实现自动化来提高效率 池化资源以及动态优化的自助管理环境可以显著提高IT 性能- 利用现有资源以避 免不必要的基础架构投资和技术锁定。这样可以降低总体拥有成本(TCO)。 ?敏捷性和可控性 云计算旨在加强终端用户的计算能力,同时确保安全性并保留IT 的监督和授权能 力。VMware 解决方案将所有三种云计算环境结合在一起,从而可极大地简化IT 服务调配和部署,同时保持IT 控制力、防护性保护以及合规性。因而,IT 组织可以更加快速安全地响应不断发展的业务需求。 ?自由选择 IT 保留了支持传统系统的能力,并获得了在内部或外部部署传统系统的灵活性,而不必局限于任何一种技术或一家供应商。开发人员可以构建可在通用的管理和安全框架内的混合云、私有云和公有云之间移植的应用程序。
XXX服务器虚拟化安全解决方案范文 录 1、环境概述 42、面临安全威胁 42、1、针对操作系统漏洞的攻击 42、2、针对应用的攻击 42、3、虚拟化带来新的威胁 42、4、统一管理和审计 53、安全防护需求 64、安全防护方案 64、1、架构设计 74、2、方案部署104、3、功能模块105、和传统防护方案的区别1 46、方案价值14 1、环境概述XXX目前对部分应用系统进行了虚拟化,情况概述如下:l4台物理服务器,每台服务器采用4个6核CPUl 每一个虚拟服务器采用3核CPU 标准配置l 总共有32台虚拟服务器 2、面临安全威胁 2、 1、针对操作系统漏洞的攻击海事局目前的虚拟服务器都安装Windows Server操作系统,众所周知,微软操作系统每年都会发现大量的漏洞,利用这些漏洞:l 大量的蠕虫病毒、木马攻击感染,导致系统异常或者是不能正常运行l 黑客利用漏洞进行攻击,窃取机密资料或者是导致系统异常由于服务器应用系统的重要性,通常来讲对于发现的漏洞都没有进行及时的修复,补丁的安装都需要经过严格的测试之后才能够进行部署,但是在实际修复的这段时间内,服务器就会面临大量利用漏洞的攻击。 2、2、针对应用的攻击虚拟服务器操作系统上面构建各种各样的应用及服务,类似Web服务、邮件服务、数据库服务以及一些自己构建的应用系统,这些应用系统都是由大量代码构成的,通常这些服务也都有大量的代码级漏洞,这些漏洞由于被黑客或者是商业间谍等破坏分子利用,窃取应用系统上面的机密数
据,或者是导致应用不能正常对外提供服务。 2、3、虚拟化带来新的威胁当对物理服务器进行虚拟化之后,除了物理服务器所面临的来自恶意程序、黑客攻击之外,虚拟化之后,在部署使用安全软件的时候,会遇到一些新的问题:l 硬件资源利用率受到限制当完成服务器虚拟化之后,为了保护虚拟服务器的安全运行,通常都会在每一个虚拟服务器上面安装安全软件,比如防病毒、防火墙、入侵防护等等,运行这些安全软件需要占用相同的CPU、内存等硬件资源,对于做虚拟化的物理服务器来说,其硬件资源的利用率降低,有相当部分的硬件资源要来运行虚拟服务器的安全软件。l 后台资源冲突每个虚拟服务器操作系统上面单独安装安全软件,会随着虚拟服务器数量增加造成对后端存储的负荷越来越大,最终会影响到虚拟服务器的运行速度。l 物理边界模糊当服务器虚拟化之后,每台物理服务器上面运行了8个虚拟服务器系统,在虚拟化环境里面,使用靠可用性功能之后,这8个系统并不是固定的,而是有可能在几台物理服务器之间进行自动切换。那么当需要对不同的虚拟服务器进行不同的安全防护的时候,以往使用的硬件防火墙、入侵防护就不能满足虚拟环境的要求 2、4、统一管理和审计服务器的管理不仅仅是基本的安全防护,同时也需要进行受到攻击后的追溯以及取证,这就需要根据一些法规要求,对系统以及应用的日志进行统一收集,一旦服务器上面的操作触发了事先设定条件,就上传日志,便于事后管理和审计 3、安全防护需求通过对XXX服务器虚拟环境的了解,以及面临的威胁分析,目前XXX服务器虚拟化存在的安全需求有几下几点: 1、对虚拟化操作系统提供全面的安全防护:防病毒、防火墙、深度数据包检测等 2、检测和拦截外界针对操作系统以及应用程序的漏洞进行的已知和未知攻击 3、针对虚拟化的特色,提供无代理安全防护,节省物理服务器硬件资源,提高虚拟服务器的搭载密度
服务器虚拟化实施方案 (草案) 陕西智维中兴电子科技有限公司 2013年11月
目录 1项目背景 (4) 2需求分析 (5) 2.1系统分析 (5) 2.2整合IT基础服务器 (5) 2.3整合重要应用服务器 (5) 3VMware实施计划 (6) 3.1实施计划 (6) 3.2实施系统拓扑图 (7) 4实施规划 (8) 4.1集群规划 (8) 4.2硬件规划 (9) 4.3网络规划 (9) 4.4相关软件说明 (10) 5安装ESXi server (10) 5.1相关设置规划表 (10) 5.2安装前准备工作 (11) 5.3ESXi安装 (12) 6安装VC (22) 6.1前提条件 (22) 6.2安装DB2 (22) 6.3配置ODBC (32) 6.4安装VC (35) 6.5安装VClient (43) 7创建数据中心 (46) 7.1创建数据中心 (46) 7.2配置主机 (46) 7.2.1添加主机 (46) 7.2.2配置时间和NTP服务 (49) 7.3配置license (51) 7.3.1配置ESX License (51)
7.3.2检查Vmware License (51) 7.3.3配置vCenter Server License (53) 7.4网络设置 (54) 7.4.1VMware 网络介绍 (54) 7.4.2管理网络设置 (55) 7.4.3虚拟机网络设置 (58) 7.4.4VMotion Kernel网络设置 (59) 7.5存储设置 (62) 7.5.1存储和交换机设置 (62) 7.5.2添加存储配置 (62) 7.5.3存储扩容配置 (66) 7.6创建主机群集 (67) 7.6.1配置主机通信 (67) 7.6.2配置网络环境 (67) 7.6.3配置集群 (68) 7.6.4测试 (71) 7.7创建只读用户appmon (72) 8虚拟机部署 (74) 8.1新建虚拟机 (74) 8.1.1创建虚拟机 (74) 8.1.2安装操作系统 (81) 8.1.3设置虚拟机自动启动 (84) 8.2模板部署虚拟机 (86) 8.2.1创建模板 (86) 8.2.2模板部署虚拟机 (89) 8.2.3自定义规则 (91) 8.3克隆部署虚拟机 (98) 9converter 4.3软件使用 (98) 9.1VMware converter standalone软件安装 (99) 9.2P2V 物理服务器至虚拟化架构 (104) 9.2.1热P2V Windows 2003物理服务器 (105) 9.2.2热P2V LINUX物理服务器 (115) 9.2.3冷P2V Windows 2003物理服务器 (124) 9.2.4冷P2V Linux物理服务器 (137)
虚拟化与云安全解决方案 目录 一、项目概述 (2) 1.项目背景 (2) 2.需求分析 (2) 二、总体方案设计 (2) 1.体系架构 (2) 2.方案简述 (3) 三、无代理终端安全解决方案 (4) 1.方案说明 (4) 2.主要优势 (4) 3.产品介绍 (6) 四、网络安全解决方案 (7) 1.方案说明 (7) 2.主要优势 (8) 3.产品介绍 (8) 五、主要/应用安全解决方案 (11) 1.方案说明 (11) 2.主要优势 (12) 3.产品介绍 (12) 六、数据安全解决方案 (15) 1.方案说明 (15) 2.主要优势 (16) 3.产品介绍 (16) 七、附录 (18) 1.vShield产品家族各组件功能比较 (18) 威睿信息技术(中国)有限公司
一、项目概述 1. 项目背景 //// 此处插入项目情况 2. 需求分析 XXXX数据中心部署了大量的x86服务器,承担着为各个业务部门提供基础设施服务的角色。随着业务的快速发展,数据中心在空间占用、能源消耗和运维管理方面的压力越来越大。采购与维护成本也有较大的增长。在没有采用虚拟化技术的情况下,资源调配很不灵活,硬件资源的总体利用率不高,存在较大的浪费。 为了应对上述问题,XXXX开始实施基础架构革新,引入虚拟化与云计算技术,先后将非核心应用与核心应用迁移到了VMware的虚拟化平台,有效降低了成本,提高了资源利用率和可用性,运维效率也得到了较大提升,缓解了信息化建设所面对的诸多压力。 在取得显著效益的同时,现有的基础架构在安全性方面又出现了新的挑战,传统的安全防护手段价格昂贵,对虚拟化平台不具感知能力,使用不够灵活,管理难度大,不能很好地满足新架构的需要,为了更好地满足业务发展的需要,急需采用更有针对性的虚拟化与云安全解决方案来保障虚拟化与云计算平台的安全性问题。 针对用户在安全方面的需求,VMware提供了专为虚拟化与云计算平台所设计的整体安全解决方案,全面涵盖了终端安全,网络安全与数据安全,该方案可以与现有的基础架构紧密集成,简单易用,灵活高效,是目前业界最佳的云安全解决方案。 二、总体方案设计 1. 体系架构 VMware云安全解决方案由vShield产品家族构成,主要包括vShield Edge,vShield App,vShield Data Security和vShield Endpoint四个组成部分,统一通过vShield Manager进行集中管理,与vCenter Server的管理界面集成。这些产品组件均可以部署在VMware的虚拟化平台之上,安装简便,使用灵活,易于维护和管理。
XX服务器 虚 拟 化 方 案
第一章概述 1.1项目背景 XX征信有限公司成立于北京,管理中心坐落于六朝古都南京,是国内早期从事非银行类信贷信息管理的公司之一。专门提供个人征信、企业评级、商家诚信认证等服务,被中国市场学会信用工作委员会授予副理事长单位,同时,聘请XX征信有限公司总经理XX先生为中国市场学会信用工作委员会副理事长。 XX征信在征信系统设计开发、区域信用体系建设、征信管理咨询等方面有着丰富的实践经验。在借鉴了国内外成熟的征信系统和完善的管理机制后,通过自主研发,建立了适应我国经济体制的非金融机构借贷信息共享平台,简称CMS平台。 CMS平台尽最大可能确保了信息主体记录的准确性、完整性、及时性和跨领域的一致性。此外,公司会实时更新录入者的具体信用情况,会员用户可以及时通过CMS平台查询主体信用信息,降低风险、寻找合作项目。。 1.2 项目目标 本着先进、实用的原则,XX利用虚拟化,将现有IT 基础架构转变成基于VMware vSphere,从而让IT 系统能够通过服务级别自动化提高控制力。降低资金成本和运营成本并最大限度提高IT 效益,同时保留选择任何应用程序、操作系统或硬件的自由。 ●通过将现有应用系统移植到虚拟化环境,保证系统的稳定性和可靠性,提高业务系 统的处理性能,提高IT业务效率。 ●通过服务器整合、自动化和高可用性来优化现有IT 基础架构。 ●利用业务连续性和灾难恢复来减少停机并提高可靠性。 ●利用我们的绿色IT 解决方案,通过减少运行的服务器数量和动态关闭未使用的服 务器来提高能效。
●让信息科人员将精力转移到打造具有变革意义的业务解决方案上,而不是放在对硬 件和软件的例行维护上。 ●更充分地利用现有IT资产,使数据中心的资金开销最多降低,大幅降低电力、散热 和占地空间需求,并使资源成本降低。 ●为下一步实现云数据中心提供基础和先决条件。 第二章虚拟化方案设计 2.1系统部署方案 XX征信虚拟化环境预期包含应用和数据库等多套应用,本次项目的主要实施目标是虚拟化环境建设,并将部分现在正在使用中的应用在虚拟化环境中进行部署和使用。 在3台服务器上安装虚拟化系统,组建HA,之后将使用中的核心数据库系统迁移到虚拟化平台上.之后可以根据实际使用情况酌情将其他应用系统迁移到虚拟化服务器上。 2.2 网络拓扑图
360虚拟化安全管理系统 产品白皮书V6.2 ? 2016 360企业安全集团 ■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,所有版权均属360企业安全集团所有,受到有关产权及版权法保护。任何个人、机构 未经360企业安全集团的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录| Contents 一. 引言 ............................................................................................................................................ - 2 - 二. 云计算安全................................................................................................................................. - 2 - 2.1 云计算安全范畴........................................................................................................................... - 2 - 2.2 虚拟化现状与安全挑战............................................................................................................... - 2 - 三. 360虚拟化安全管理系统简介 .................................................................................................... - 3 - 3.1 产品概述....................................................................................................................................... - 3 -3.2 产品架构....................................................................................................................................... - 4 - 3.3 部署拓扑....................................................................................................................................... - 5 - 四. 主要功能 .................................................................................................................................... - 5 - 4.1 多引擎病毒查杀........................................................................................................................... - 5 -4.2 虚拟补丁....................................................................................................................................... - 5 -4.3 虚拟化防火墙............................................................................................................................... - 6 -4.4 威胁情报联动防御....................................................................................................................... - 6 - 4.5 宿主机防护................................................................................................................................... - 6 - 五. 优秀特性 .................................................................................................................................... - 7 - 5.1 强大的跨平台防护能力——Powerful cross-platform protection ability .................................... - 7 -5.2 高效低耗的查杀策略——High efficiency low killing strategy ..................................................... - 7 -5.3 灵活的虚拟机漂移绑定——A flexible virtual machine drift binding .......................................... - 7 -5.4 有效的虚拟机访问控制——Effective virtual machine access control ........................................ - 7 - 5.5 领先的Hypervisor防护——Leading the Hypervisor protection ................................................. - 8 - 六. 客户价值 .................................................................................................................................... - 8 - 6.1 混合环境统一管理....................................................................................................................... - 8 -6.2 完善的立体防御体系................................................................................................................... - 8 -6.3 降低补丁修复成本....................................................................................................................... - 9 - 6.4 全面防护零日漏洞....................................................................................................................... - 9 - 七. 结语 ............................................................................................................................................ - 9 -
下面是目前人们最担心的服务器虚拟化的五大安全问题: 1.管理失败和责任 MacDonald说,虚拟服务器的主要问题是责任。与物理服务器不同,物理服务器是数据中心或者IT经理直接负责的,而虚拟服务器经常被人们遗忘。应该要求业务部门配置虚拟机并且保证其安全吗?IT经理应该更接近物理主机吗?一个集中的主系统管理员应该负责一个企业的全部虚拟化资产吗? MacDonald说,人们不理解这个问题:当你增加虚拟服务器的时候,除了应用程序、操作系统和硬件之外,你又增加了另一层技术。你必须要保证它的安全。 2.补丁与管理 缺少责任可能出现的最明显的风险是跟不上为企业的每一个虚拟机使用补丁、维护和保证安全的不断的、劳动密集型的流程。与虚拟机所处的物理服务器不同,物理服务器是由 IT经理推出和配置的,IT经理还安装了最新的补丁。而虚拟机是由几个星期或者几个月之前创建、设置和使用补丁的服务器镜像创建的。 MacDonald说,大多数企业都保持少量的通用的“黄金”镜像,从这些镜像推出或者重新推出用于许多用途的新的虚拟机。但是,在经过辛苦的设置支持具体的应用程序或者业务需求之后,大多数企业会把数十个或者数百个服务器镜像存储在DVD或者硬盘上。 MacDonald说,你可以对虚拟机拍一个快照,把这个虚拟机写入硬盘,这样,你下一次就不用创建同样的虚拟机,并且可以利用这个虚拟机进行灾难恢复。在需要时,就推出在离线库中存储的许多虚拟机中的一个虚拟机即可。但是,大部分虚拟机都没有最新的杀毒软件特征和补丁。有些人在推出虚拟机的时候应该对虚拟机进行检查。但是,有些人经常不检查,通常也没有进行检查的方法。 微软和VMware都用自己的基本基础设施产品提供了补丁管理的时间表。这两家公司都需要把磁盘镜像存储在库中,以便定期地发布,这样它们就能够使用补丁。 然而,对于拥有数百个虚拟机镜像的库的企业来说,这是一个繁重的流程。这个流程没有解决正在运行的虚拟机的补丁状态问题,或者在几个星期或者几个月的时间里安装新的病毒特征的问题。当然,VMware、惠普和许多新兴企业现在都使用管理产品设法帮助IT实现大都数工作的自动化。 3.可见性和遵守法规 虚拟服务器的设计至少在数据中心中应该是可见的。虚拟机需要的所有的存储、带宽、地面空间或者电力都来自于虚拟机所处的物理服务器。数据中心管理员如果没有监视每一个主机中的虚拟机之间的全部联系记录,这些虚拟机就变成了一个几乎失控的看不见的网络。