行业背景

随着云计算的飞速发展，运营商越来越多业务系统迁入云的运营模式，而云计算的根本在于虚拟化。随着虚拟化技术的逐步成熟，针对虚拟化的安全事件不断发生，使得云计算运营者不得不开始考虑数据中心虚拟化后的安全建设。%和77%。

在一次关于“您认为云计算模式的挑战和问题是什么？”的调查中，问卷调查安全以74.6%的比率位居榜首，可见安全是人们对云计算最大的担心。实际上，处于云时代的企业，其自身的业务应用和云环境高度关联，哪怕是短短一分钟的停机，对于依赖“云应用”的企业而言，其后果都是灾难性的。由于虚拟化技术是云计算的核心支撑技术，那么企业在考虑云计算安全时，首先要关注的就是底层的虚拟化安全。

虚拟化的引入，IT环境发生了巨变，在带来诸多优点的同时也带来了虚拟化环境下独有的安全问题，如宿主机安全、安全域混乱、三大风暴等，因此河北联通在开始向云迁移核心数据和系统之前首先要解决虚拟化环境中遇到的各种问题。

客户需求

• 解决病毒、木马的泛滥问题。
• 降低安全软件过度消耗虚拟机资源问题。
• 通过有效手段实现宿主机安全。
• 维持虚拟机漂移后的安全域稳定。
• 虚拟机相互攻击问题。
• 支持跨资源池、跨平台的统一管理。

解决方案

方案内容

360虚拟化安全管理系统是一款针对于云数据中心的虚拟化安全管理系统，可对物理资源池、虚拟资源池、云资源池进行统一的安全防护与集中管理，对宿主机、虚拟机、虚拟机应用提供三层防护安全架构，具备对混合虚拟化平台、混合操作系统、混合系统应用环境的兼容防护能力。在虚拟化环境中出现的病毒风暴、安全域混乱、宿主机安全、虚拟机之间攻击等问题，360虚拟化安全管理系统都可提供行之有效的解决办法。最终为用户提供一套可跨多种平台、防护无死角的综合虚拟化安全解决方案。

360虚拟化安全管理系统主要由360管控中心、安全虚拟机及轻型代理客户端组成，产品架构图如下图所示：

多引擎病毒查杀

360依靠多年在杀毒领域的技术积累，自主开发出了QVM人工智能引擎、云查杀引擎、AVE文件修复引擎、QEX宏病毒检测引擎四大杀毒引擎，进行病毒的安全防御。四大杀毒引擎在运行时可进行数据交互，对虚拟机及服务器进行扫描结果缓存共享，在整个数据中心进行增量扫描从而提高扫描效率。

分析平台

威胁态势感知分析平台用于存储传感器提交的流量日志和文件威胁鉴定器提交的告警日志，可对所有数据进行快速的处理并为检索提供支持，同时可与威胁情报或其他告警进行关联帮助进一步分析，对攻击进行有效地回溯定位。

低耗的查杀策略

资源的高利用率是虚拟化的一大优势，传统的安全软件由于其复杂的功能以及查杀的不灵活造成资源风暴，影响业务的稳定性。360虚拟化安全管理系统采用轻代理的部署方式，轻代理根植与虚拟机当中，在轻代理的启动和查杀时，会通过管理控中心对轻代理进行“排队”，避免启动风暴和查杀风暴。另外，360虚拟化安全管理系统在更新时可以设置内、外网限速，避免网络拥塞的出现。/IPv6网络环境下，支持 HTTP （网页）、SMTP/POP3（邮件）等主流协议的高性能分析。

宿主机安全防护

当前业界安全厂商都将安全防护的核心聚焦虚拟机安全，随着互联网的飞速发展，越来越多的企业开始将注意力集中在提供虚拟化服务的Hypervisor层，360结合多年的安全防护经验，并深入研究Hypervisor层系统架构与脆弱性分析，大胆提出在Hypervisor层中植入轻型代理的方式来防护宿主机安全，为虚拟化环境提供自上而下，由内而外的整体安全防护方案。/IPv6网络环境下，支持 HTTP （网页）、SMTP/POP3（邮件）等主流协议的高性能分析。

灵活的虚拟机漂移绑定

在虚拟化资源池中由于虚拟机资源的弹性可变，因此经常发生由于资源枯竭等原因导致的虚拟机从不同的安全域之间反复漂移的情况，而使用无代理方式无法保障整体资源池中都部署安全防护策略，因此无法保障在漂移后的虚拟机安全策略随虚拟机绑定。360虚拟化管理系统采用独有的轻代理部署方式，在虚拟机中植入轻型代理，轻代理安全策略和虚拟机无缝绑定，无论虚拟机漂移至虚拟化资源池中的任何宿主机均可保证虚拟机防护策略稳定有效，提供虚拟机对虚拟机之间的攻击防护能力。

有效的虚拟机访问控制

企业在虚拟化的过程中，得到了一个高效资源利用率的IT环境，这依靠的是虚拟机漂移这一优质特性，但是，客户原本的安全域划分将随着虚拟机漂移将被完全打破，而传统的安全设备无法对这一问题束手无策。360虚拟化安全管理系统具有虚拟防火墙功能，它根植于轻代理中，可依据用户业务的需要，制定防火墙访问控制策略，根据安全域规格批量下发给虚拟主机后，无论虚拟机漂移到任何位置，虚拟机访问控制策略不变，原有安全域稳定继承，极大方便了业务主机的安全管控工作。

强大的跨平台防护能力

360虚拟化安全管理系统支持VMware vSphere、Microsoft Hyper-V、H3C CAS、Huawei FusionCompute、Citrix XenServer、Redhat Enterprise Virtualization等多种国内、国外虚拟化平台，并可以对虚拟资源池以外的物理资源池或者云端资源池进行统一的安全管理，形成威胁统一管理平台，简化运维成本，提高安全运维水平。

客户收益

• 多引擎病毒查杀能力，保护虚拟化环境安全可控；
• 低消耗查杀策略能力，减少安全系统对资源消耗；
• 宿主机安全防护能力，全方面防护云计算系统；
• 虚拟机漂移绑定能力，保证安全策略不失效；
• 虚拟机补丁修复能力，大大降低运维难度；
• 统一的安全管理能力，降低企业维护成本。

应用场景

互联网络部署方案

360虚拟化安全管理系统部署架构如下图所示：