江门市妇幼保健院：基于虚拟化平台实现东西向流量防护

来源：HIT专家网 作者：曾柏坚、黄超辉、谭家声、黄仲贤、卢嘉伟

江门市妇幼保健院于2018年将全部业务系统迁移至虚拟化平台，虚拟机之间的东西向安全问题日益凸显。根据《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）的相关规定，需对虚拟机之间的通信流量进行检测，即通常所说的“东西向流量”。此类流量往往无法通过传统的南北向防火墙实现有效防护。本文结合实际部署经验，分析虚拟化环境下东西向安全防护面临的挑战，并介绍了基于虚拟化平台的东西向安全防护实施方案。

技术选型

1.面对的困难

将医院信息系统迁移到虚拟化平台后，系统的最小单元从“物理主机”变为“虚拟主机”，用于连接各个单元的不再是网线，而是虚拟接口，主机之间的安全边界逐步消融到虚拟化集群内部。医院部署的防火墙、入侵检测系统（IDS）和入侵防护系统（IPS）主要针对南北向流量，终端安全响应系统（EDR）或者操作系统防火墙配置和管理繁杂，都难以应对虚拟化环境中的东西向流量。此外，虚拟化环境的动态特性使得安全策略的配置和管理变得更为复杂。恶意软件和内部攻击的威胁在虚拟化环境中尤为突出，因为攻击者可以利用虚拟机之间的通信漏洞进行传播。

2.技术选型

目前主流的微分段解决方案是：基于代理（Agent-based）的微分段、基于网络（Network-Based）的微分段和基于虚拟化（Hypervisor-Based）的微分段。基于代理、网络和虚拟化的微分段解决方案的优劣势、适用场景见表1。

目前，我院共部署有4套虚拟化平台，其中包括3套本地私有云及1套运营商私有云虚拟化平台。HIS、LIS、PACS、EMR等核心系统采用微服务架构，部分应用系统实现了容器化部署。基于我院虚拟化平台的实际情况与规模特点，信息网络中心技术小组经过充分论证与综合评估，最终选定采用基于虚拟化环境的微分段技术。该技术可在云内及云间实现对东西向流量的精细化访问控制，有效提升系统整体安全性。在具体实施过程中，将结合虚拟防火墙与微隔离策略，加强对虚拟化平台内部流量的安全防护与管理能力。

实施步骤

我院实施基于虚拟化的微分段的切入点，是使用虚拟化防火墙、微隔离和虚拟化IDS（入侵检测系统，Intrusion Detection System）技术：首先在医院虚拟化平台部署虚拟防火墙，基于虚拟化防火墙上实现微隔离服务，再结合虚拟化IDS进行检测。

值得注意的是，如果微分段技术不是内生于虚拟化平台，则不可避免地成为业务敏捷性的累赘。因为传统访问控制策略是基于IP地址、协议、端口号，甚至扩展的安全策略中可能还包含时间戳和MAC地址。在主流“Web-APP-DB”三层应用架构中（见图1），如果每一层都是由4-5台虚拟化组成，按照基于IP+Port配置的安全策略，无论基于代理还是网络来配置的话，规则可能多达十几条，每当在每一层上增、删、改操作时，都必须调整与之关联的安全策略，操作相当繁杂，并且容易错漏，影响生产业务。

1.部署虚拟防火墙

在虚拟化环境中部署防火墙，负责监测、控制虚拟机之间的流量。通过定义安全策略，虚拟防火墙可以对流量进行过滤，阻止未经授权的访问和恶意流量。在医院环境中，虚拟防火墙可以有效隔离不同安全域内的虚拟机，防止内部攻击和数据泄露。

2.配置微隔离服务

在虚拟化环境中创建微小的安全隔离区域，将每个虚拟机或容器隔离在自己的安全域内。在我院环境中，根据每个具体医疗应用或系统进行安全隔离区域的划分，可以确保每个医疗应用或系统都运行在自己的安全区域内，互不干扰。如HRP、OA、HIS系统等按应用区分，即使某个虚拟机或容器被攻击，也不会影响其他虚拟机或容器的安全。

3.部署虚拟化IDS服务

部署虚拟化IDS（入侵检测系统），通过实时捕获和分析虚拟化环境中的网络流量，补充虚拟化防火墙和微隔离技术的短板，能够有效检测、识别潜在的入侵行为，还可以对高危漏洞进行检测和防护。通过与外部系统的集成和自动响应机制，虚拟化IDS为组织提供了强大的安全防护能力，保障虚拟化环境的安全运行。

应用效果

2023年1月，江门市妇幼保健院基于虚拟化平台部署虚拟化防火墙和虚拟化IDS，在此基础上实现微隔离技术。核心资源池虚拟化服务器共267台，虚拟化防火墙策略共127条，服务标签共29组，IDS策略共9条，日威胁拦截量约500次。

综上所述，将虚拟化防火墙、微隔离和虚拟化IDS技术相结合，形成了东西向的安全防护体系。虚拟化防火墙负责监控和控制虚拟机之间的流量，确保只有符合安全策略的流量才能通过；微隔离技术负责在虚拟化环境中创建安全隔离区域，防止攻击者的横向移动；虚拟化IDS作为补充，实时识别潜在的攻击行为。

【作者简介】

本文由江门市妇幼保健院信息网络中心曾柏坚、黄超辉、谭家声、黄仲贤、卢嘉伟共同完成。

第一作者：曾柏坚，江门市妇幼保健院信息网络中心组长，任职期间推动医院数据中心标准化建设与管理，通过B级数据中心认证；推动医院信息系统第三级信息安全等级保护测评；组织参与省、市级信息安全攻防演练等。

【责任编辑：陈曦 版式：明超】