唐建軍 劉帥辰
【摘要】? ? 近年來,虛擬化技術(shù)已普遍應(yīng)用于各運(yùn)營商,尤其是IDC資源應(yīng)用較廣多,但目前虛擬化資源池安全防護(hù)主要靠傳統(tǒng)監(jiān)控與防護(hù)手段,難以發(fā)現(xiàn)云資源池中惡意網(wǎng)絡(luò)行為,缺乏發(fā)現(xiàn)與監(jiān)控可疑行為的能力,同時工信部及國家對運(yùn)營商互聯(lián)網(wǎng)接入業(yè)務(wù)的各種考核要求越來越多。為了有效落實(shí)各項(xiàng)考核要求,有效解決虛擬化安全防護(hù),本文結(jié)合虛擬化系統(tǒng)特點(diǎn),提出了相關(guān)虛擬化導(dǎo)流、虛擬安全產(chǎn)品部署技術(shù)及實(shí)際案例,旨在提升運(yùn)營商安全監(jiān)管能力,進(jìn)一步鞏固和提升用戶占有率。
【關(guān)鍵詞】? ? Hypervisor? ? 云安全? ? 虛擬化導(dǎo)流
引言:隨著云計(jì)算的廣泛應(yīng)用,作為其核心技術(shù)的虛擬化技術(shù)的安全性也成為了業(yè)界關(guān)注的焦點(diǎn)問題。在云環(huán)境下,流量的南北向和東西向較為明顯,傳統(tǒng)的安全設(shè)備可對南北向流量進(jìn)行防護(hù),卻難以對東西向流量起作用。IDC虛擬資源池通常借助于防火墻等傳統(tǒng)安全設(shè)備做出口接入控制和邊界防護(hù),缺乏深入到云內(nèi)的應(yīng)用層安全措施,租戶缺乏安全接入管控和接入業(yè)務(wù)審計(jì),無法有效應(yīng)對來自互聯(lián)網(wǎng)側(cè)和云平臺上不同租戶之間的惡意掃描、DDOS攻擊、SQL注入、病毒木馬、及基于各種漏洞的入侵等行為。
一、防護(hù)方法與技術(shù)
1.1? 虛擬化導(dǎo)流技術(shù)
虛擬化導(dǎo)流技術(shù)包括策略控制中心和導(dǎo)流虛擬機(jī)。策略控制中心是虛擬化網(wǎng)絡(luò)監(jiān)控系統(tǒng)的管理控制中心,也是系統(tǒng)和用戶的交互界面。用戶通過策略控制中提供的交互界面可以從vCenter、ESXi中獲取信息,可以向系統(tǒng)添加和管理網(wǎng)絡(luò)安全設(shè)備;通過策略控制中心還可以劃分和管理虛擬安全域,制定和下方安全域?qū)Я鞑呗?,查看?dǎo)流虛擬機(jī)的統(tǒng)計(jì)信息等。
導(dǎo)流虛擬機(jī)是虛擬化網(wǎng)絡(luò)監(jiān)控系統(tǒng)的數(shù)據(jù)報(bào)文處理組件。導(dǎo)流虛擬機(jī)接收來自策略控制中心下發(fā)的虛擬安全域策略;從虛擬交換機(jī)中抓取網(wǎng)絡(luò)報(bào)文,依據(jù)策略對報(bào)文進(jìn)行過濾,并將報(bào)文轉(zhuǎn)發(fā)到指定的目標(biāo)位置;導(dǎo)流虛擬機(jī)接收策略中心的控制,并向策略中心反饋統(tǒng)計(jì)信息。
(1)通過端口組配置VLAN隔離方式導(dǎo)流
由于虛擬交換機(jī)的VLAN端口組有獨(dú)立的VLAN域,因此不同VLAN端口組在交換機(jī)的二層上是隔離的,即在不同VLAN端口組之間是不能互聯(lián)互通。
(2)通過VDS端口鏡像抓取東西向流量
配置VDS端口鏡像抓取流量時,只需要在配置時選擇要鏡像流量的源虛機(jī)(VM1、VM2…)和目的虛機(jī)端口(VTAP),不需要開啟虛擬交換機(jī)端口組的混雜模式,因此VTAP導(dǎo)流虛機(jī)發(fā)送出去的隧道報(bào)文不會再被抓取回來,不會形成流量環(huán)。
(3)使用VEPA鏡像導(dǎo)流
采用刀框交換板將特定網(wǎng)口流量進(jìn)行鏡像配置,發(fā)送到交換面板另外一個網(wǎng)口,該網(wǎng)口與VEPA控制中心直連,或者該網(wǎng)口直接連接到SDN交換機(jī),通過虛擬化威脅檢測系統(tǒng)進(jìn)行流量獲取并匯總分析。
1.2? 虛擬化安全產(chǎn)品技術(shù)
虛擬化安全產(chǎn)品將傳統(tǒng)安全產(chǎn)品的眾多產(chǎn)品的功能,例如:入侵防御IPS系統(tǒng), WEB應(yīng)用安全網(wǎng)關(guān),數(shù)據(jù)庫審計(jì)系統(tǒng)等,通過虛擬化部署的方式,實(shí)現(xiàn)對虛擬化中數(shù)據(jù)流的安全監(jiān)測、檢測與防護(hù)。在虛擬化安全管理平臺中,可實(shí)現(xiàn)多種類型的檢測產(chǎn)品、審計(jì)產(chǎn)品、網(wǎng)關(guān)產(chǎn)品集中部署與管理。
二、實(shí)施方案
3.1? 建設(shè)思路
(1)建設(shè)獨(dú)立的虛擬化安全平臺
構(gòu)建獨(dú)立的虛擬化安全平臺,將安全能力軟件化,將虛擬化安全構(gòu)建為平臺化。虛擬化安全獨(dú)立于云資源池部署,實(shí)現(xiàn)虛擬化安全與業(yè)務(wù)資源池的弱耦合,保證云平臺升級切換時,安全不受影響。
(2)實(shí)現(xiàn)流量分布式采集
根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)和平臺軟件部署的應(yīng)用特點(diǎn),應(yīng)采用“流量分布式采集、安全虛擬化自主分流”的方式。
(3)實(shí)現(xiàn)虛擬環(huán)境的安全域流量可視化
展現(xiàn)虛擬安全域的網(wǎng)絡(luò)流連接情況,使得網(wǎng)絡(luò)安全管理人員可以從不同層次查看虛擬安全域的IP資產(chǎn)情況,資產(chǎn)之間的實(shí)際流量連接關(guān)系拓?fù)涞取?/p>
(4)實(shí)現(xiàn)虛擬化環(huán)境流量的入侵檢測
對虛擬流量中的病毒、蠕蟲、木馬、DDoS、掃描、SQL注入、XSS、緩沖區(qū)溢出、欺騙劫持等威脅進(jìn)行檢測能力,防止利用虛擬機(jī)被作為攻擊跳板的行為。
(5)實(shí)現(xiàn)虛擬化環(huán)境流量的數(shù)據(jù)庫行為審計(jì)
對虛擬化環(huán)境下的網(wǎng)絡(luò)操作行為和數(shù)據(jù)庫操作行為進(jìn)行解析、分析、記錄、匯報(bào),用來幫助用戶事前規(guī)劃預(yù)防,事中實(shí)時監(jiān)視、違規(guī)行為響應(yīng),事后合規(guī)報(bào)告、事故追蹤溯源,促進(jìn)核心資產(chǎn)數(shù)據(jù)庫、服務(wù)器等的正常運(yùn)營。
3.2? 網(wǎng)絡(luò)實(shí)施
IDC虛擬化安全平臺與云平臺之間采用虛擬導(dǎo)流技術(shù)將流量導(dǎo)出。流量經(jīng)流轉(zhuǎn)發(fā)平臺編排后,以租戶為區(qū)分交付給虛擬化安全里的各類安全單元,由各安全單元對流量進(jìn)行分析處理,實(shí)現(xiàn)東西向流量安全防護(hù)與可視化。部署結(jié)構(gòu)簡化如下圖1。
流轉(zhuǎn)發(fā)平臺的流量交付有兩種模型:流量的負(fù)載分擔(dān)和流量的復(fù)制。流量的負(fù)載分擔(dān),是可將流量基于IP進(jìn)行分流,分配至不同的網(wǎng)絡(luò)接口,通??捎糜趯⒋罅髁糠纸鉃樾×髁浚啥鄠€低性能安全組件共同處理大流量的場景;流量的復(fù)制,是流調(diào)度平臺可將流量復(fù)制多份到多個網(wǎng)絡(luò)接口,通??捎糜趯⒘髁繌?fù)制給多個安全組件,同時進(jìn)行對流量的多維度分析的場景。
3.3? 云資源池流量牽引
通過云導(dǎo)流系統(tǒng)將需要監(jiān)控的流量從虛擬網(wǎng)絡(luò)環(huán)境中導(dǎo)出到物理安全設(shè)備中,具體的安全業(yè)務(wù)邏輯由物理安全設(shè)備來處理。這種方式對用戶業(yè)務(wù)和網(wǎng)絡(luò)影響小;用物理安全設(shè)備處理安全業(yè)務(wù)可以獲取極高的性能,只需要占用少量的虛擬化資源即可。
云導(dǎo)流系統(tǒng)是虛擬化網(wǎng)絡(luò)監(jiān)控系統(tǒng)的數(shù)據(jù)報(bào)文處理組件。云導(dǎo)流系統(tǒng)本質(zhì)是一臺具有特殊功能的虛擬機(jī)。云導(dǎo)流系統(tǒng)接收來自策略控制中心下發(fā)的虛擬安全域策略,從虛擬交換機(jī)中抓取網(wǎng)絡(luò)報(bào)文,依據(jù)策略對報(bào)文進(jìn)行過濾,并將報(bào)文轉(zhuǎn)發(fā)到指定的目標(biāo)位置;云導(dǎo)流系統(tǒng)接收策略中心的控制,并向策略中心反饋統(tǒng)計(jì)信息。當(dāng)有虛擬機(jī)遷移時,與虛機(jī)配套的安全策略將先于虛機(jī)復(fù)制到目的導(dǎo)流虛機(jī)中,保障虛機(jī)遷移前后的策略一致。
通過虛擬導(dǎo)流器,將需要監(jiān)控的流量分流到虛擬化安全平臺中,安全平臺系統(tǒng)部署快捷簡單,需要占用少量的虛擬化資源即可??梢栽诎踩脚_上根據(jù)需求以軟件形態(tài)實(shí)現(xiàn)Floweye、IDS及審計(jì)類等產(chǎn)品。
四、結(jié)束語
目前所有已建的IDC虛擬化資源池,基本上采用物理常規(guī)安全產(chǎn)品,沒有專業(yè)的虛擬化安全檢測、審計(jì)產(chǎn)品,缺乏云資源池實(shí)時監(jiān)控與防護(hù)技術(shù)手段,不能發(fā)現(xiàn)云資源池中惡意網(wǎng)絡(luò)行為,缺乏實(shí)現(xiàn)發(fā)現(xiàn)與監(jiān)控可疑行為的能力。本系統(tǒng)建設(shè)后,有效補(bǔ)充云資源池安全防護(hù)手段,提高發(fā)現(xiàn)和處理能力,對滿足國家三級等保要求,做好網(wǎng)絡(luò)信息安全保障工作有重要意義。
參? 考? 文? 獻(xiàn)
[1] 王笑帝,張?jiān)朴? 劉鏑等. 云計(jì)算虛擬化安全技術(shù)研究[J].電信科學(xué),2015154
[2] 宮月,李超,吳薇. 虛擬化安全技術(shù)研究[J]. 信息網(wǎng)絡(luò)安全,2016(9):73-78.
唐建軍(1980.04.24—),男,漢族,新疆人,研究生(碩士),通信工程師? 現(xiàn)任職務(wù):通信咨詢設(shè)計(jì)師,研究方向:網(wǎng)絡(luò)與信息安全
劉帥辰(1984.03.02—),男,漢族,新疆人,本科,助理工程師? 現(xiàn)任職務(wù):通信咨詢設(shè)計(jì)師,研究方向:IT支撐網(wǎng)、核心網(wǎng)