IDC虛擬化安全防護(hù)技術(shù)應(yīng)用研究

唐建軍 劉帥辰

【摘要】? ? 近年來，虛擬化技術(shù)已普遍應(yīng)用于各運(yùn)營商，尤其是IDC資源應(yīng)用較廣多，但目前虛擬化資源池安全防護(hù)主要靠傳統(tǒng)監(jiān)控與防護(hù)手段，難以發(fā)現(xiàn)云資源池中惡意網(wǎng)絡(luò)行為，缺乏發(fā)現(xiàn)與監(jiān)控可疑行為的能力，同時工信部及國家對運(yùn)營商互聯(lián)網(wǎng)接入業(yè)務(wù)的各種考核要求越來越多。為了有效落實(shí)各項(xiàng)考核要求，有效解決虛擬化安全防護(hù)，本文結(jié)合虛擬化系統(tǒng)特點(diǎn)，提出了相關(guān)虛擬化導(dǎo)流、虛擬安全產(chǎn)品部署技術(shù)及實(shí)際案例，旨在提升運(yùn)營商安全監(jiān)管能力，進(jìn)一步鞏固和提升用戶占有率。

【關(guān)鍵詞】? ? Hypervisor? ? 云安全? ? 虛擬化導(dǎo)流

引言：隨著云計(jì)算的廣泛應(yīng)用，作為其核心技術(shù)的虛擬化技術(shù)的安全性也成為了業(yè)界關(guān)注的焦點(diǎn)問題。在云環(huán)境下，流量的南北向和東西向較為明顯，傳統(tǒng)的安全設(shè)備可對南北向流量進(jìn)行防護(hù)，卻難以對東西向流量起作用。IDC虛擬資源池通常借助于防火墻等傳統(tǒng)安全設(shè)備做出口接入控制和邊界防護(hù)，缺乏深入到云內(nèi)的應(yīng)用層安全措施，租戶缺乏安全接入管控和接入業(yè)務(wù)審計(jì)，無法有效應(yīng)對來自互聯(lián)網(wǎng)側(cè)和云平臺上不同租戶之間的惡意掃描、DDOS攻擊、SQL注入、病毒木馬、及基于各種漏洞的入侵等行為。

一、防護(hù)方法與技術(shù)

1.1? 虛擬化導(dǎo)流技術(shù)

虛擬化導(dǎo)流技術(shù)包括策略控制中心和導(dǎo)流虛擬機(jī)。策略控制中心是虛擬化網(wǎng)絡(luò)監(jiān)控系統(tǒng)的管理控制中心，也是系統(tǒng)和用戶的交互界面。用戶通過策略控制中提供的交互界面可以從vCenter、ESXi中獲取信息，可以向系統(tǒng)添加和管理網(wǎng)絡(luò)安全設(shè)備;通過策略控制中心還可以劃分和管理虛擬安全域，制定和下方安全域?qū)Я鞑呗?，查看?dǎo)流虛擬機(jī)的統(tǒng)計(jì)信息等。

導(dǎo)流虛擬機(jī)是虛擬化網(wǎng)絡(luò)監(jiān)控系統(tǒng)的數(shù)據(jù)報(bào)文處理組件。導(dǎo)流虛擬機(jī)接收來自策略控制中心下發(fā)的虛擬安全域策略;從虛擬交換機(jī)中抓取網(wǎng)絡(luò)報(bào)文，依據(jù)策略對報(bào)文進(jìn)行過濾，并將報(bào)文轉(zhuǎn)發(fā)到指定的目標(biāo)位置;導(dǎo)流虛擬機(jī)接收策略中心的控制，并向策略中心反饋統(tǒng)計(jì)信息。

（1）通過端口組配置VLAN隔離方式導(dǎo)流

由于虛擬交換機(jī)的VLAN端口組有獨(dú)立的VLAN域，因此不同VLAN端口組在交換機(jī)的二層上是隔離的，即在不同VLAN端口組之間是不能互聯(lián)互通。

（2）通過VDS端口鏡像抓取東西向流量

配置VDS端口鏡像抓取流量時，只需要在配置時選擇要鏡像流量的源虛機(jī)（VM1、VM2…）和目的虛機(jī)端口（VTAP），不需要開啟虛擬交換機(jī)端口組的混雜模式，因此VTAP導(dǎo)流虛機(jī)發(fā)送出去的隧道報(bào)文不會再被抓取回來，不會形成流量環(huán)。

（3）使用VEPA鏡像導(dǎo)流

采用刀框交換板將特定網(wǎng)口流量進(jìn)行鏡像配置，發(fā)送到交換面板另外一個網(wǎng)口，該網(wǎng)口與VEPA控制中心直連，或者該網(wǎng)口直接連接到SDN交換機(jī)，通過虛擬化威脅檢測系統(tǒng)進(jìn)行流量獲取并匯總分析。

1.2? 虛擬化安全產(chǎn)品技術(shù)

虛擬化安全產(chǎn)品將傳統(tǒng)安全產(chǎn)品的眾多產(chǎn)品的功能，例如：入侵防御IPS系統(tǒng)， WEB應(yīng)用安全網(wǎng)關(guān)，數(shù)據(jù)庫審計(jì)系統(tǒng)等，通過虛擬化部署的方式，實(shí)現(xiàn)對虛擬化中數(shù)據(jù)流的安全監(jiān)測、檢測與防護(hù)。在虛擬化安全管理平臺中，可實(shí)現(xiàn)多種類型的檢測產(chǎn)品、審計(jì)產(chǎn)品、網(wǎng)關(guān)產(chǎn)品集中部署與管理。

二、實(shí)施方案

3.1? 建設(shè)思路

（1）建設(shè)獨(dú)立的虛擬化安全平臺

構(gòu)建獨(dú)立的虛擬化安全平臺，將安全能力軟件化，將虛擬化安全構(gòu)建為平臺化。虛擬化安全獨(dú)立于云資源池部署，實(shí)現(xiàn)虛擬化安全與業(yè)務(wù)資源池的弱耦合，保證云平臺升級切換時，安全不受影響。

（2）實(shí)現(xiàn)流量分布式采集

根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)和平臺軟件部署的應(yīng)用特點(diǎn)，應(yīng)采用“流量分布式采集、安全虛擬化自主分流”的方式。

（3）實(shí)現(xiàn)虛擬環(huán)境的安全域流量可視化

展現(xiàn)虛擬安全域的網(wǎng)絡(luò)流連接情況，使得網(wǎng)絡(luò)安全管理人員可以從不同層次查看虛擬安全域的IP資產(chǎn)情況，資產(chǎn)之間的實(shí)際流量連接關(guān)系拓?fù)涞取?/p>

（4）實(shí)現(xiàn)虛擬化環(huán)境流量的入侵檢測

對虛擬流量中的病毒、蠕蟲、木馬、DDoS、掃描、SQL注入、XSS、緩沖區(qū)溢出、欺騙劫持等威脅進(jìn)行檢測能力，防止利用虛擬機(jī)被作為攻擊跳板的行為。

（5）實(shí)現(xiàn)虛擬化環(huán)境流量的數(shù)據(jù)庫行為審計(jì)

對虛擬化環(huán)境下的網(wǎng)絡(luò)操作行為和數(shù)據(jù)庫操作行為進(jìn)行解析、分析、記錄、匯報(bào)，用來幫助用戶事前規(guī)劃預(yù)防，事中實(shí)時監(jiān)視、違規(guī)行為響應(yīng)，事后合規(guī)報(bào)告、事故追蹤溯源，促進(jìn)核心資產(chǎn)數(shù)據(jù)庫、服務(wù)器等的正常運(yùn)營。

3.2? 網(wǎng)絡(luò)實(shí)施

IDC虛擬化安全平臺與云平臺之間采用虛擬導(dǎo)流技術(shù)將流量導(dǎo)出。流量經(jīng)流轉(zhuǎn)發(fā)平臺編排后，以租戶為區(qū)分交付給虛擬化安全里的各類安全單元，由各安全單元對流量進(jìn)行分析處理，實(shí)現(xiàn)東西向流量安全防護(hù)與可視化。部署結(jié)構(gòu)簡化如下圖1。

流轉(zhuǎn)發(fā)平臺的流量交付有兩種模型：流量的負(fù)載分擔(dān)和流量的復(fù)制。流量的負(fù)載分擔(dān)，是可將流量基于IP進(jìn)行分流，分配至不同的網(wǎng)絡(luò)接口，通?？捎糜趯⒋罅髁糠纸鉃樾×髁浚啥鄠€低性能安全組件共同處理大流量的場景;流量的復(fù)制，是流調(diào)度平臺可將流量復(fù)制多份到多個網(wǎng)絡(luò)接口，通?？捎糜趯⒘髁繌?fù)制給多個安全組件，同時進(jìn)行對流量的多維度分析的場景。

3.3? 云資源池流量牽引

通過云導(dǎo)流系統(tǒng)將需要監(jiān)控的流量從虛擬網(wǎng)絡(luò)環(huán)境中導(dǎo)出到物理安全設(shè)備中，具體的安全業(yè)務(wù)邏輯由物理安全設(shè)備來處理。這種方式對用戶業(yè)務(wù)和網(wǎng)絡(luò)影響小;用物理安全設(shè)備處理安全業(yè)務(wù)可以獲取極高的性能，只需要占用少量的虛擬化資源即可。

云導(dǎo)流系統(tǒng)是虛擬化網(wǎng)絡(luò)監(jiān)控系統(tǒng)的數(shù)據(jù)報(bào)文處理組件。云導(dǎo)流系統(tǒng)本質(zhì)是一臺具有特殊功能的虛擬機(jī)。云導(dǎo)流系統(tǒng)接收來自策略控制中心下發(fā)的虛擬安全域策略，從虛擬交換機(jī)中抓取網(wǎng)絡(luò)報(bào)文，依據(jù)策略對報(bào)文進(jìn)行過濾，并將報(bào)文轉(zhuǎn)發(fā)到指定的目標(biāo)位置;云導(dǎo)流系統(tǒng)接收策略中心的控制，并向策略中心反饋統(tǒng)計(jì)信息。當(dāng)有虛擬機(jī)遷移時，與虛機(jī)配套的安全策略將先于虛機(jī)復(fù)制到目的導(dǎo)流虛機(jī)中，保障虛機(jī)遷移前后的策略一致。

通過虛擬導(dǎo)流器，將需要監(jiān)控的流量分流到虛擬化安全平臺中，安全平臺系統(tǒng)部署快捷簡單，需要占用少量的虛擬化資源即可?？梢栽诎踩脚_上根據(jù)需求以軟件形態(tài)實(shí)現(xiàn)Floweye、IDS及審計(jì)類等產(chǎn)品。

四、結(jié)束語

目前所有已建的IDC虛擬化資源池，基本上采用物理常規(guī)安全產(chǎn)品，沒有專業(yè)的虛擬化安全檢測、審計(jì)產(chǎn)品，缺乏云資源池實(shí)時監(jiān)控與防護(hù)技術(shù)手段，不能發(fā)現(xiàn)云資源池中惡意網(wǎng)絡(luò)行為，缺乏實(shí)現(xiàn)發(fā)現(xiàn)與監(jiān)控可疑行為的能力。本系統(tǒng)建設(shè)后，有效補(bǔ)充云資源池安全防護(hù)手段，提高發(fā)現(xiàn)和處理能力，對滿足國家三級等保要求，做好網(wǎng)絡(luò)信息安全保障工作有重要意義。

參? 考? 文? 獻(xiàn)

[1] 王笑帝，張?jiān)朴? 劉鏑等. 云計(jì)算虛擬化安全技術(shù)研究[J].電信科學(xué)，2015154

[2] 宮月，李超，吳薇. 虛擬化安全技術(shù)研究[J]. 信息網(wǎng)絡(luò)安全，2016（9）：73-78.

唐建軍（1980.04.24—），男，漢族，新疆人，研究生（碩士），通信工程師? 現(xiàn)任職務(wù)：通信咨詢設(shè)計(jì)師，研究方向：網(wǎng)絡(luò)與信息安全

劉帥辰（1984.03.02—），男，漢族，新疆人，本科，助理工程師? 現(xiàn)任職務(wù)：通信咨詢設(shè)計(jì)師，研究方向：IT支撐網(wǎng)、核心網(wǎng)