淺析虛擬化環(huán)境下的安全防護(hù)

摘 要：虛擬化技術(shù)給數(shù)據(jù)中心的運(yùn)營(yíng)帶來(lái)了很大改變。它提高了業(yè)務(wù)的可靠性和可用性。但在其帶來(lái)眾多便利的同時(shí)，也給數(shù)據(jù)中心的安全帶來(lái)了新的挑戰(zhàn)。如何為虛擬環(huán)境提供完善、可靠的安全防護(hù)，是我們需要面對(duì)的現(xiàn)實(shí)問(wèn)題。

關(guān)鍵詞：虛擬化環(huán)境；安全防護(hù)

中圖分類號(hào)：TP393.08

1 研究背景

隨著虛擬化技術(shù)不斷成熟及普及，各行業(yè)掀起了數(shù)據(jù)中心虛擬化改造的熱潮。虛擬化技術(shù)給數(shù)據(jù)中心的運(yùn)營(yíng)帶來(lái)了很大的改變，IT部門(mén)無(wú)需再因?yàn)樾聵I(yè)務(wù)的上線而考慮購(gòu)置新的設(shè)備、計(jì)算電力及冷卻系統(tǒng)是否能夠承載新業(yè)務(wù)的上線，僅僅只需要從虛擬計(jì)算池中劃出適合的計(jì)算資源構(gòu)建虛擬服務(wù)器即可將新業(yè)務(wù)上線，提高數(shù)據(jù)中心計(jì)算資源的使用率。虛擬服務(wù)器通過(guò)與虛擬計(jì)算平臺(tái)中的虛擬交換網(wǎng)絡(luò)進(jìn)行連接從而達(dá)到他們之間的數(shù)據(jù)交換的目的，由于數(shù)據(jù)始終在虛擬計(jì)算平臺(tái)中交互使得數(shù)據(jù)中心的區(qū)域邊界變得越發(fā)模糊，同時(shí)外部物理安全設(shè)備無(wú)法對(duì)數(shù)據(jù)進(jìn)行檢測(cè)分析，導(dǎo)致無(wú)法對(duì)數(shù)據(jù)的流向以及內(nèi)容進(jìn)行有效的控制，由此帶來(lái)了數(shù)據(jù)的不可視、不可控等問(wèn)題，另外虛擬服務(wù)器的故障遷移的隨機(jī)性使得物理安全設(shè)備的策略調(diào)整帶來(lái)非常大的挑戰(zhàn)。因此，對(duì)于解決虛擬計(jì)算環(huán)境的邊界安全問(wèn)題，傳統(tǒng)網(wǎng)關(guān)技術(shù)早已束手無(wú)策，而此時(shí)更需要依靠下一代網(wǎng)關(guān)相關(guān)技術(shù)來(lái)提供一套體系化的邊界安全解決方案。

2 數(shù)據(jù)中心虛擬化安全需求

在利用現(xiàn)有成熟安全防護(hù)技術(shù)解決好當(dāng)前信息安全存在的普遍性安全威脅后，現(xiàn)階段虛擬化環(huán)境下的安全防護(hù)重點(diǎn)主要考慮虛擬機(jī)與虛擬機(jī)和虛擬機(jī)與客戶端之間交互流量安全問(wèn)題。分析虛擬環(huán)境下流量的流向，對(duì)于虛擬化環(huán)境下流量的可視化和管控有重要意義，目前對(duì)于虛擬機(jī)的數(shù)據(jù)流向可以分為2類：縱向流量和橫向流量。

3 虛擬化環(huán)境下縱向流量分析

目前多數(shù)數(shù)據(jù)中心的虛擬化建設(shè)都處于單中心虛擬環(huán)境階段，通過(guò)引入虛擬化技術(shù)建立虛擬計(jì)算池，逐步將應(yīng)用系統(tǒng)遷移至虛擬化平臺(tái)上，這個(gè)階段初期典型特征就是實(shí)體服務(wù)器及虛擬服務(wù)器共存，先將非重要業(yè)務(wù)遷移到虛擬平臺(tái)上，重要業(yè)務(wù)系統(tǒng)仍部署于實(shí)體服務(wù)器上，如下圖所示：

圖1

初期階段虛擬化平臺(tái)搭建主要是客戶端去訪問(wèn)虛擬環(huán)境下的虛擬機(jī)。這個(gè)階段虛擬化環(huán)境下網(wǎng)絡(luò)的流量以縱向?yàn)橹鳎v向流量主要是外部客戶端到虛擬機(jī)的訪問(wèn)請(qǐng)求，以及在同一臺(tái)宿主機(jī)上的不同虛擬機(jī)通過(guò)物理接入交換機(jī)和客戶端進(jìn)行的數(shù)據(jù)交互。業(yè)務(wù)服務(wù)器通過(guò)物理交換機(jī)到達(dá)安全設(shè)備進(jìn)行過(guò)濾，針對(duì)虛擬服務(wù)器的訪問(wèn)大多需要通過(guò)接入層交換機(jī)及安全設(shè)備，這種模式下的安全防護(hù)仍以傳統(tǒng)的安全防護(hù)方式為主，與傳統(tǒng)的數(shù)據(jù)中心的安全防護(hù)相比沒(méi)有本質(zhì)區(qū)別，可以在業(yè)務(wù)服務(wù)器區(qū)域邊界部署邊界網(wǎng)關(guān)類安全產(chǎn)品，同時(shí)在數(shù)據(jù)交互的物理交換機(jī)部署網(wǎng)絡(luò)審計(jì)系統(tǒng)或入侵檢測(cè)系統(tǒng)，對(duì)虛擬化環(huán)境下的虛擬機(jī)做安全防護(hù)和審計(jì)及病毒檢測(cè)。

4 虛擬化環(huán)境下橫向流量分析

完成基礎(chǔ)虛擬化平臺(tái)搭建后，企業(yè)大部分業(yè)務(wù)都遷移到虛擬平臺(tái)上，由于業(yè)務(wù)種類的不同，需要在虛擬平臺(tái)內(nèi)劃分安全域，如下圖所示：

圖2

虛擬平臺(tái)承載業(yè)務(wù)的增加以及安全域劃分后，同一層次上不同安全域和同一安全域的虛擬機(jī)之間的互訪增多，這時(shí)網(wǎng)絡(luò)的流量以橫向?yàn)橹?。橫向流量安全問(wèn)題是指在虛擬環(huán)境下，虛擬機(jī)之間互訪流量不可視、不可控所產(chǎn)生的特定問(wèn)題。在同一臺(tái)宿主機(jī)上的不同虛擬機(jī)之間交互，所產(chǎn)生的網(wǎng)絡(luò)流量，不通過(guò)物理接入交換機(jī)，導(dǎo)致傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備無(wú)法對(duì)同宿主機(jī)上的不同虛擬機(jī)之間交互流量進(jìn)行監(jiān)控，同時(shí)無(wú)法對(duì)虛擬機(jī)與虛擬機(jī)之間做安全隔離。一旦同宿主機(jī)上的一臺(tái)虛擬機(jī)被黑客入侵取得控制權(quán)限，就可以對(duì)同宿主機(jī)上的其他虛擬機(jī)發(fā)起攻擊，由于同宿主機(jī)上的不同虛擬機(jī)沒(méi)有任何安全防護(hù)措施，且無(wú)法對(duì)流量進(jìn)行監(jiān)控，黑客很容易在用戶不知情情況下獲得整個(gè)服務(wù)器群的控制權(quán)。從安全防護(hù)角度看需要能夠識(shí)別橫向流量，判斷是否符合相關(guān)安全策略，且應(yīng)該能夠判斷出數(shù)據(jù)流是否具有攻擊特征。

5 虛擬化環(huán)境安全防護(hù)

虛擬環(huán)境下將各種應(yīng)用均遷移到虛擬計(jì)算環(huán)境中，出于各種安全需求虛擬計(jì)算環(huán)境中仍需按照原有架構(gòu)進(jìn)行安全域的劃分，按照相關(guān)安全標(biāo)準(zhǔn)域內(nèi)及域間的網(wǎng)絡(luò)流量需要做到可控、可視及可記錄，從技術(shù)思路與網(wǎng)絡(luò)防護(hù)上主要有以下兩種方式：

一種方式是將物理安全網(wǎng)關(guān)移植到虛擬平臺(tái)上，以虛擬安全網(wǎng)關(guān)形式接入虛擬計(jì)算平臺(tái)的vSwitch上，接著通過(guò)在虛擬平臺(tái)引入安全接入引擎將所有虛擬系統(tǒng)數(shù)據(jù)導(dǎo)入虛擬安全網(wǎng)關(guān)上進(jìn)行控制及過(guò)濾后再發(fā)往相應(yīng)的目的虛擬系統(tǒng)，主要是配合IEEE 802.1Qbg和802.1BR等標(biāo)準(zhǔn)協(xié)議，首先將數(shù)據(jù)轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)接口上去，如果服務(wù)器內(nèi)部同一vlan內(nèi)的VM間通信，數(shù)據(jù)也需要先轉(zhuǎn)發(fā)出去，再?gòu)木W(wǎng)絡(luò)轉(zhuǎn)發(fā)回服務(wù)器內(nèi)尋找對(duì)應(yīng)的目的VM，從而達(dá)到虛擬系統(tǒng)間數(shù)據(jù)交互的可視、可控及可審計(jì)的目的。此方案對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)的改動(dòng)較小，能夠很好的滿足數(shù)據(jù)中心改造的需求，但其虛擬安全網(wǎng)關(guān)也存在需要占用物理服務(wù)器計(jì)算資源的問(wèn)題，所以對(duì)物理服務(wù)器的性能有很高的要求。

另外一種方式是將虛擬系統(tǒng)的數(shù)據(jù)交換仍然交由物理網(wǎng)絡(luò)設(shè)備執(zhí)行，安全控制及過(guò)濾則由物理安全設(shè)備負(fù)責(zé)，所以這種方式就需要在數(shù)據(jù)中心中加入一臺(tái)物理交換機(jī)，這臺(tái)交換機(jī)需要給每個(gè)虛擬系統(tǒng)流量打個(gè)全局唯一的標(biāo)簽，虛擬平臺(tái)外部物理設(shè)備應(yīng)能夠識(shí)別這種標(biāo)簽，并能夠以虛擬系統(tǒng)為單位執(zhí)行安全過(guò)濾及交互。虛擬機(jī)之間的流量都牽引到物理接入交換機(jī)上，但由于物理服務(wù)器內(nèi)部交互流量?jī)纱瓮ㄟ^(guò)物理網(wǎng)卡與物理接入交換機(jī)之間的鏈路，部署時(shí)需要保證擁有足夠的網(wǎng)絡(luò)帶寬余量，所以要求加入數(shù)據(jù)中心的這臺(tái)物理交換機(jī)要有足夠的轉(zhuǎn)發(fā)性能，這種方案要求網(wǎng)絡(luò)基礎(chǔ)設(shè)備及安全設(shè)備需要支持和識(shí)別這類標(biāo)簽，因這種方案需要對(duì)物理設(shè)備進(jìn)行升級(jí)改造，故而這種方案并不適用于已在用數(shù)據(jù)中心的改造。

6 展望

未來(lái)云平臺(tái)虛擬化的技術(shù)將向多中心虛擬環(huán)境和數(shù)據(jù)中心云平臺(tái)為用戶提供按需服務(wù)（IaaS、PaaS、SaaS）發(fā)展，在云平臺(tái)發(fā)展的三個(gè)階段虛擬平臺(tái)內(nèi)部的數(shù)據(jù)交互有著不同的需要，對(duì)安全系統(tǒng)的建設(shè)也有不同的要求，本文通過(guò)對(duì)云平臺(tái)上現(xiàn)階段虛擬環(huán)境下存在橫向流量和縱向流量進(jìn)行了分析，提出了安全防護(hù)需求和安全防護(hù)建設(shè)的建議，確保傳統(tǒng)IT基礎(chǔ)架構(gòu)向虛擬化、云計(jì)算架構(gòu)的平滑遷移。

參考文獻(xiàn)：

[1]云計(jì)算關(guān)鍵領(lǐng)域安全指南[Z].Cloud Security Alliance，2009.

[2]信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求[Z].

[3]信息安全管理實(shí)用規(guī)則ISO/IEC27001[Z].

作者單位：同濟(jì)大學(xué) 軟件學(xué)院，上海 201804