我想，是该深夜来一波了！

“夜色”越来越深，是该谈谈安全感了！...

寂静的夜里,弹掉指尖的烟灰，抬头仰望星空,当看到一轮圆圆的明月时,会情不自禁的感叹：哎，格局变了，虚拟化扑天盖地来袭，又该如何应对随之而来的安全？？？

于是乎，小编陷入了沉思～

然而集美貌与智慧于一身的小编，灵感瞬间爆棚，在这样美妙的夜色里来秀一波！

OK，模式开启： 虚拟化下安全需求背景

虚拟化实现了软硬件资源的解耦，满足了用户“按需部署”的需求，不仅灵活可靠，也极大地降低了成本，代表了IT发展的趋势。然而虚拟化以后内部资源动态性、业务集中性、流量不可视、安全不可控等特点，也导致了诸多新的安全风险。

虚拟化下安全需求分析

传统数据中心为了保障安全，不仅在边界部署专门的安全防护设备，还会在内部业务系统服务器前端部署专业的安全设备，不同的业务通过安全设备分置在不同安全区域内，跨区域的业务通信会首先经过安全设备的检测和防护。而数据中心虚拟化以后，单台服务器被虚拟成多台虚拟机并承载不同的业务应用，整个虚拟化集群是大二层环境，不同的业务仅能通过VLAN进行简单的隔离，不同安全等级的业务没有专业的安全隔离和控制措施，某项业务带来的安全风险将很容易造成横向渗透；即使在数据中心物理边界部署了专业的安全防护设备，也无法实现100%的安全，黑客一旦绕过物理边界设备控制了低等级的服务器或虚拟机以后，还会通过横向攻击来窃取高价值服务器/虚拟机上的敏感数据；并且在虚拟化环境下，虚拟机之间的通信大多数直接在虚拟化环境内部完成，因此这些通信流量也无法镜像到外部的物理网络进行安全检查，造成黑洞流量和安全盲区；此外，虚拟机在正常工作过程中也会由于突发情况触发自动漂移，虚机漂移以后，它的物理位置等信息将发生变化，原有安全策略将可能失效，由此导致弱防护或无防护的不安全间隙；同时，Hypervisor本身是新引入的操作系统，会带来新的安全漏洞，这些漏洞被黑客利用的话，将可能导致整个平台沦陷。

所以，深信服认为数据中心在虚拟化环境下，需要解决以下的安全问题：

1. 虚拟网络内部的区域划分和安全管控，确保不同安全等级的业务隔离和访问控制，防止虚拟化数据中心内部成为黑客的“跑马场”，避免业务风险交叉感染；

2. 虚机机之间的安全隔离、流量可视和风险可控，保障东西向的安全，实现对虚机风险的持续监测和防护，避免风险横向传播；

3. 安全防护体系能够跟随虚机动态漂移，避免出现无防护或弱防护的安全防护间隙问题；

4. 有效识别和防护虚拟化平台系统Hypervisor的漏洞，防止新系统漏洞引入的风险，避免整个平台的沦陷。

SO，深信服数据中心虚拟化安全可视可控解决方案强势来袭！！！

深信服针对数据中心虚拟化安全需求，专门研发推出了VSS（Virtualization Security System）虚拟化安全系统。VSS的防护系统提供了全面的安全能力，能够有效检测和防护虚拟化环境内的安全风险，专业、高效的解决数据中心虚拟化安全问题，帮助用户打造安全可视可控的虚拟化数据中心。

透明部署，无缝兼容Vmware平台

VSS系统是透明模式部署在VMware环境中，通过和VMsafe接口的联动，在hypervisor底层引流，实现安全检测和防御，整个部署的过程中，不会对原有的网络结构做任何的更改，良好满足易用性需求；

软件定义安全，资源弹性扩展

深信服VSS产品以软件定义安全，安全防护功能和性能可以按需选配、弹性扩展，只需轻点鼠标几分钟就能实现安全资源的随需交付，避免硬件设备冗长的上线流程及后续扩展性不足等问题；

VSS系统可以按需灵活调度，当您需要对新加入的host设备提供安全保护，您只需要通过管理系统下发一套防护系统到这台host设备即可。防护系统可以灵活适配不同规格的计算资源，当您需要保护的业务量比较大的时候，您可以通过给分配更多的计算资源来提升防护系统的防护性能。

集中运维管理，简单方便易用

VSS系统主要由管理系统和防护系统构成，管理系统能够集中统一管理防护系统，比如统一下发、集中管理、统一运维集群内部所有的防护系统，VSS是分布式架构，每一个受保护的Host上都会部署一套防护系统，并由管理系统分布式集中管理。

VSS系统统一的运维管理系统使用起来非常方便，IT管理员只需要在一个节点即可实现防护策略的统一分发、安全日志集中分析、安全风险集中展示，从而降低运维难度，减少运维人员工作量。

自动bypass，确保0业务中断

当出现防护系统性能不够等极限情况时，VSS自动启用bypass机制，实时停止从VMsafe接口引流，流量将按照原有的机制转发而不经过VSS系统，从而保障业务服务0中断。

虚拟网络区域划分和访问控制

VSS可以对虚拟化平台内的所有虚拟机按业务类型或其他安全要求进行区域划分，将不同安全要求的虚拟机完全隔离，比如WEB业务的虚拟机可以访问DB数据库的虚拟机，但是DB虚拟机不能访问WEB虚拟机，通过设置严格的访问控制策略，进而保持各业务系统的独立性，控制风险的全网传播。

VSS提供了持续的安全检测服务，通过VSS系统能够清晰看到不同区域间的流量和风险状况。VSS还提供了针对关键资产的标记服务，核心资产可以通过VSS系统重点标记出来，在区域内部还可以清晰看到核心资产的风险现状，出现安全问题的时候可以快速完成攻击追溯和问题定位，满足IT管理人员清晰透视和快速响应虚拟化数据中心安全问题的需求。

基于零信任关系的虚拟机微隔离

VSS可以实现任意虚机之间的隔离，即使是在同一个VLAN或区域的内部虚机，VSS也能实现这些虚机之间的微隔离效果。这种隔离是通过东西向控制策略实现的，任意东西向虚机之间的通信都需要匹配预置的安全策略，策略不允许的虚机将无法建立连接，这样做可以做到不受信任的虚机之间彼此隔离，符合虚拟化环境下的0信任原则。

东西向流量和风险可视化

VSS防护系统能够实时的检测和分析虚拟化网络中的流量，并将相应的流量和风险信息数据汇总到VSS管理系统，由管理系统进行统计分析后可视化呈现出来，从而实现网络流量可视。VSS防护系统提供了漏洞扫描、入侵检测、WEB应用安全、僵尸网络、APT攻击等多种威胁检测和防护手段，全面识别和防御业务、用户、数据中潜藏的安全风险，保障虚拟化数据中心安全。

安全策略跟随虚机动态自动迁移

在虚拟化环境里，虚机存在不断漂移的可能，如果安全防护策略不能实时跟随到漂移的虚机，将会出现防护间隙，从而给了黑客入侵和威胁蔓延的机会。VSS系统是分布式架构，在虚拟化集群内部，每一个防护组件都会同步相同的配置，一旦受保护的虚拟机漂移在另外一台host上，部署于该host设备上的防护系统会实时接管这台虚机的防护任务，确保安全策略的实时跟随，避免出现防护间隙。

防止Hypervisor底层漏洞风险

VSS防护系统内嵌于虚拟化底层，所有进入Hypervicor的流量，都会经过防护系统，因此可以有效的防护针对虚拟化底层平台的漏洞攻击。目前VSS防护系统已经内置了数十个Vmware系统的漏洞防护特征。此外，深信服拥有强大的漏洞挖掘团队和广泛的漏洞信息收集网络，先后取得了数十项CNVD批准的原创漏洞，同时经过”CVE”兼容性认证。深信服是”MAPP”成员，保持了和微软等软件厂商的深度合作，可以获得第一手的软件漏洞信息，确保可以及时发布针对软件漏洞的防护特征。

虚拟化下安全方案优势

可视：数据中心虚拟化安全可视

VSS提供了对数据中心虚拟化内多种安全要素的全面检测和深度关联分析，智能挖掘出潜藏的安全风险，快速识别出绕过防御体系的黑客行为，以便信息安全人员能够快速精准的响应处置，避免信息资产被进一步泄露或危害，并提供管理视角呈现的安全价值，帮助用户看清、看透虚拟化数据中心的安全态势和网络安全建设的决策依据。

可控：持续检测和响应数据中心虚拟化安全问题

VSS提供对虚拟化数据中心内部各类安全风险的持续检测，包括对已发生的安全事件的持续检测、对未知威胁进行持续检测、对业务系统的漏洞进行持续检测，同时提供更及时的获取安全事件的信息通道，并通过更简单的工具化的响应方式，提升用户快速响应安全问题的能力。

简单：无缝集成，集中化管理，非常简单易用

VSS能够无缝兼容Vmware虚拟化平台，只需轻点鼠标几分钟就能实现透明部署上线，整个过程对原有的业务0影响，实现最简单的部署交付；

VSS采用集中化管理方案，所有的安全配置、运维、风险报表输出、问题定位、问题处理等操作均可以在一个平台下完成，使用非常方便，提升安全运维的效率。

虚拟化下安全典型案例

安徽移动虚拟化数据中心安全方案：

安徽移动采用VMware技术构建统一业务云平台，承载校讯通、集团短号等业务系统。由于云平台环境内部东西向的流量内容无法可视、安全风险无法有效管控，降低了用户的信赖度，也达不到集团公司对业务系统的安全要求，因此公开寻求专业的云安全解决方案。

经过对多家产品的综合测试对比，安徽移动最终选择深信服的VSS产品对云平台网络和业务提供保障，不仅实现了任意虚拟机之间的隔离和流量可视，还根据业务系统逻辑对虚拟机进行区域划分，提供L2-L7层的安全防护，不仅满足集团下发的业务安全要求，也获得了客户对业务安全的信赖。同时，深信服VSS虚拟化安全解决方案以软件定义安全的特点，满足安徽移动对安全资源灵活选择、快速上线和弹性扩展的需求，得到客户充分肯定！

四川警察学院虚拟化数据中心安全方案：

四川警察学院通过对业务系统服务器资源进行虚拟化整合，进而来大幅提升资源利用率。但同一套虚拟化底层同时承载涉密系统和非涉密系统，虚拟平台内部仅通过VLAN隔离，不同虚机和业务系统没有专门安全隔离措施，达不到保密局对涉密系统的防护要求，存在很多安全隐患。

通过采用深信服的VSS产品，四川警察学院为不同的业务系统构建了强大的安全防护，并提供基于单个虚机级别的防火墙、入侵防护、WEB安全、APT防护等安全能力。VSS产品部署过程对警察学院原有的业务架构没有任何更改，同时可以在虚拟机动态漂移时满足安全策略自动跟随，在极限情况下VSS系统能够自动Bypass业务流量，保障业务的连续性，帮助警察学院满足业务合规性的同时，实现最大的安全性、易用性和可靠性！