前一段時間瘋傳的勒索病毒“WannaCry”，給了國內很多單位、公司的安適辦理當頭一棒。其根來源根基因并不是這個病毒自己多么無堅不摧，更多是由于網絡辦理人員的疏忽或者用戶的僥幸心理。

熟悉網絡的伴侶或許知道基本安適要從業務與運維兩個方面入手，而陪同著虛擬化、SDN等云計算技術的興起，傳統手段雖然也能較大程度地規避安適問題，但往往不能深入云計算內部進行掩護。

以WannaCry病毒為例，其基來源根基理是利用了SMB(Windows文件共享，默認為139、 445 等端口)辦事的一個漏洞(微軟 3 月份已提供此漏洞補丁，且據說作者參考了維基解密“CIA兵器庫”部分算法)，復制并將其傳播至被感染機能夠接觸到的網絡環境中其他存在此漏洞的機器。

了解這個機制后，那么在傳統網絡環境中我們便可進行有效防護，好比最直接地從運維層面禁用 445 端口或者業務層面禁用SMB辦事。好比在這次傳播的重災區——國內校園網，相當數量的教學機器與業務機器都被感染導致無法正常教學，而國內某大學的辦理員則在 3 月份就發現此病毒，快速反應及時隔離被感染機并阻斷端口，從而使得該校的教學與生活幾乎沒有受此病毒影響。

那么問題就來了，由于現在很多網絡環境中都安排了基礎設施虛擬化軟件，好比VMWareESXi，當運行于其中的虛擬機感染了病毒以后，傳統的運維防護辦法由于不能夠封禁虛擬交換中的流量，導致感染很有可能會非常迅速地傳播至其所在的虛擬化網絡環境中，如果此時使用的是WorkStation版本并且開啟了共享文件夾功能的話，那么事態將會進一步惡化。

針對這種情況，即虛擬化軟件不能很好地控制虛擬機之間的通信，且傳統網管辦法也不能及時或者無法深入虛擬交換以禁止 445 端口時，就需要引入更加受控的虛擬化網絡，好比成熟的SDN/NFV方案，或者傳統的代理防護方案。由于代理防護需要在虛擬機中安置額外的代理軟件以控制通信，可能會對業務產生影響，因而不會成為主流方案，那么一般情況下我們就還有SDN/NFV可選。SDN/NFV除了給虛擬機提供基礎網絡辦事外，也可以從功能、流量上限制這些通信，好比防火墻、流控、引流等。

而在VMWare軟件中，此類解決方案需要單獨購買，除價格較高外，往往也需要運維人員較高的網絡水平，比較難以在小型私有云環境中落地。隨著開源社區的技術進步，SDN逐漸在KVM云計算軟件中得到成熟應用，好比OpenStack()、ZStack(http：//www.zstack.io)等，用戶可以以較低成本擁有同樣的軟件功能。但就OpenStack與ZStack的易用性與學習曲線而言，ZStack具有無法相比的優勢。

ZStack()是國內知名的云計算IaaS產品，由云計算領域深耕十多年的專家打造，提出了私有云簡單、健壯、彈性與智能的4S理念，并與阿里云共同推出了混合云解決方案。比擬VMWareEXSi，ZStack作為云計算產品具有一個重要特征——多租戶，即差別用戶之間的網絡可以彼此隔離。好比在實際使用時，我們可以將差別的應用業務劃分至差別租戶網絡中，再通過端口映射對外提供辦事，從而降低單個租戶網絡感染傳播至整個平臺的風險。

ZStack除安置安排的簡易外，在虛擬網絡辦理上擁有比VMWare更易用的功能，好比只需在界面上進行簡單操作即可立即封禁虛擬機之間指定標的目的或端口的網絡流量。

在即將推出的ZStack2. 0 版本中，SDN也會成為NFV之外的增強型虛擬網絡解決方案，屆時針對類似WannaCry病毒的侵襲便可采用更加智能的引流操作，即控制流表更新下發后，所有網絡流量會被清洗后再流通，含有病毒特征的流量會被快速有效隔離，盡可能地減少業務影響。例如現階段已經有互聯網公司在ZStack中集成了onosSDN控制器，在有效管控網絡的同時也必然程度地提升了業務能力。

如果再配合按期快照功能，辦理人員會在病毒來襲之前就會擁有健康備份，從而在發生不測時快速恢復生產環境。

看了今天的分享之后，希望正在使用傳統虛擬化軟件的數據中心可以重新評估，是否需要盡快將現有的系統升級到具有更高級網絡自動化功能的云計算產品上去。當然，信息系統被病毒感染就像人感冒一樣，病好了以后下次就會免疫這種病原體，未嘗不是好事兒。以上的安適解決方案也只是私有云環境安適辦理的可用辦法，我們仍然要養成良好的網管習慣，好比日常漏掃、巡檢、更新等。與此同時，我們的虛擬化基礎設施也應當向“云”邁進一步，使計算、存儲、網絡更加智能、高效，從而盡可能使信息基礎設施更加不變、健康。