前一段時間瘋傳的勒索病毒“WannaCry”，給了國內很多單位、公司的安全管理當頭一棒。其根本原因並不是這個病毒本身多麽無堅不摧，更多是由於網絡管理人員的疏忽或者用戶的僥幸心理。

熟悉網絡的朋友或許知道基本安全要從業務與運維兩個方面入手，而伴隨著虛擬化、SDN等雲計算技術的興起，傳統手段雖然也能較大程度地規避安全問題，但往往不能深入雲計算內部進行保護。

以WannaCry病毒為例，其基本原理是利用了SMB（Windows文件共享，默認為139、445等端口）服務的一個漏洞（微軟3月份已提供此漏洞補丁，且據說作者參考了維基解密“CIA武器庫”部分算法），復制並將其傳播至被感染機能夠接觸到的網絡環境中其他存在此漏洞的機器。

了解這個機制後，那麽在傳統網絡環境中我們便可進行有效防護，比如最直接地從運維層面禁用445端口或者業務層面禁用SMB服務。比如在這次傳播的重災區——國內校園網，相當數量的教學機器與業務機器都被感染導致無法正常教學，而國內某大學的管理員則在3月份就發現此病毒，快速反應及時隔離被感染機並阻斷端口，從而使得該校的教學與生活幾乎沒有受此病毒影響。

那麽問題就來了，由於現在很多網絡環境中都部署了基礎設施虛擬化軟件，比如VMWare ESXi，當運行於其中的虛擬機感染了病毒以後，傳統的運維防護措施由於不能夠封禁虛擬交換中的流量，導致感染很有可能會非常迅速地傳播至其所在的虛擬化網絡環境中，如果此時使用的是

針對這種情況，即虛擬化軟件不能很好地控制虛擬機之間的通信，且傳統網管措施也不能及時或者無法深入虛擬交換以禁止445端口時，就需要引入更加受控的虛擬化網絡，比如成熟的SDN/NFV方案，或者傳統的代理防護方案。由於代理防護需要在虛擬機中安裝額外的代理軟件以控制通信，可能會對業務產生影響，因而不會成為主流方案，那麽一般情況下我們就還有SDN/NFV可選。SDN/NFV除了給虛擬機提供基礎網絡服務外，也可以從功能、流量上限制這些通信，比如防火墻、流控、引流等。

而在VMWare軟件中，此類解決方案需要單獨購買，除價格較高外，往往也需要運維人員較高的網絡水平，比較難以在小型

ZStack（http://www.zstack.io）是國內知名的雲計算IaaS產品，由雲計算領域深耕十多年的專家打造，提出了私有雲簡單、健壯、彈性與智能的4S理念，並與阿裏雲共同推出了混合雲解決方案。相比VMWare EXSi，ZStack作為雲計算產品具有一個重要特征——多租戶，即不同用戶之間的網絡可以相互隔離。比如在實際使用時，我們可以將不同的應用業務劃分至不同租戶網絡中，再通過端口映射對外提供服務，從而降低單個租戶網絡感染傳播至整個平臺的風險。

ZStack除安裝部署的簡易外，在虛擬網絡管理上擁有比VMWare更易用的功能，比如只需在界面上進行簡單操作即可立即封禁虛擬機之間指定方向或端口的網絡流量。

在即將推出的ZStack 2.0版本中，SDN也會成為NFV之外的增強型虛擬網絡解決方案，屆時針對類似WannaCry病毒的侵襲便可采用更加智能的引流操作，即控制流表更新下發後，所有網絡流量會被清洗後再流通，含有病毒特征的流量會被快速有效隔離，盡可能地減少業務影響。例如現階段已經有互聯網公司在ZStack中集成了onos SDN控制器，在有效管控網絡的同時也一定程度地提升了業務能力。

如果再配合定期快照功能，管理人員會在病毒來襲之前就會擁有健康備份，從而在發生意外時快速恢復生產環境。

看了今天的分享之後，希望正在使用傳統虛擬化軟件的數據中心可以重新評估，是否需要盡快將現有的系統升級到具有更高級網絡自動化功能的雲計算產品上去。當然，信息系統被病毒感染就像人感冒一樣，病好了以後下次就會免疫這種病原體，未嘗不是好事兒。以上的安全解決方案也只是私有雲環境安全管理的可用措施，我們仍然要養成良好的網管習慣，比如日常漏掃、巡檢、更新等。與此同時，我們的虛擬化基礎設施也應當向“雲”邁進一步，使計算、存儲、網絡更加智能、高效，從而盡可能使信息基礎設施更加穩定、健康。

作者簡介：蔣迪，《KVM私有雲架構設計與實踐》作者，資深虛擬化基礎設施工程師，雲技術社區專家，ZStack資深售前專家，擅長KVM雲平臺架構解析與虛擬化POC，具有長期一線開發與交付經驗。

病毒來襲——為什麽私有雲不能止步於虛擬化