基于SDS的虛擬化數據中心安全探討

李姍姍，李 濤（中國聯通網絡技術研究院，北京100048）

1 概述

近年來，隨著IT技術的不斷演化與發(fā)展，傳統的數據中心正在逐步向虛擬化數據中心（VDC——Virtual Data Center）轉型。虛擬化數據中心是一種利用云計算架構，將虛擬化技術運用于數據中心的一種新型的數據中心形態(tài)。VDC通過將物理資源抽象整合，動態(tài)地完成資源分配和調度，實現了數據中心的自動化部署，提高了資源的利用率和部署的靈活性，同時極大地降低了數據中心的建設成本。

虛擬化技術的引入，在改變傳統數據中心架構的同時，也給安全防護帶來了新的挑戰(zhàn)，如資源共享引發(fā)的網絡安全邊界模糊、虛擬機之間流量不可見等問題，因此虛擬化安全風險防護是虛擬化數據中心安全的核心所在。近年來，軟件定義安全（SDS——Software Defined Security）不斷發(fā)展，其利用軟件編程的方式對安全資源進行靈活的業(yè)務編排、調度和管理，為虛擬化安全防護技術的發(fā)展注入新活力。

2 虛擬化數據中心簡介

2.1 虛擬化數據中心架構

虛擬化數據中心利用虛擬化技術將計算、存儲和網絡3種資源虛擬化為一個完整的、彈性化的基礎設施資源池，從而實現底層物理設備與邏輯資源的解耦。在該資源池內，物理設備與網絡鏈路不再單獨地存在與使用，而是作為整個資源池內的一部分進行統一動態(tài)的管理與調度，實現數據中心的自動化部署，對用戶實現按需分配與服務，提高了資源交付的靈活性和資源的利用率，降低了數據中心的建設成本。

2.2 虛擬化數據中心面臨安全挑戰(zhàn)

由于虛擬化數據中心采用全新的服務計算模式、動態(tài)虛擬化管理方式和多租戶共享運營模式，所以在傳統安全風險基礎上，面臨更多安全挑戰(zhàn)。

2.2.1 虛擬環(huán)境安全風險

a）逃逸風險：攻擊者突破虛擬機管理器Hypervisor，獲得物理機host的管理權限，并控制host上運行的其他虛擬機，這被稱為VM Escape。攻擊者在獲得物理機管理權限后，既可以攻擊同一host上的其他虛擬機，也可控制所有虛擬機對外發(fā)起攻擊。VM Escape是虛擬化環(huán)境中最嚴重的安全威脅。

b）遷移攻擊：將虛擬機從一臺host遷移到另一臺。在虛擬機遷移的過程中，虛擬磁盤會被重新創(chuàng)建。攻擊者通過改變虛擬機磁盤的源配置文件和相關特性來打破其中的安全措施，如密碼、重要認證等。

c）安全補丁風險：同一host上有多個VM時，每個VM需要對補丁進行定期的更新和維護。若個別VM不能及時補漏，則會成為嚴重的安全漏洞，被攻擊者加以利用。

d）資源搶占風險：由于同一物理機下的虛擬機共享底層硬件資源，若某一臺虛擬機因受到攻擊或被非法利用對host的資源進行惡意搶占，從而使其他虛擬機資源嚴重不足而影響其正常運行。除此之外，資源搶占還會降低同一host下虛擬機的密度，導致成本的增加。

2.2.2 虛擬機軟件自身安全風險

構建虛擬化環(huán)境的軟件是直接運行在裸機上的，提供創(chuàng)建、運行和銷毀虛擬機的能力，但其本身也可能存在安全漏洞；攻擊者利用這些安全漏洞進行攻擊，將會造成不可估量的后果。目前市場上已經出現了多款針對虛擬化層的惡意攻擊軟件，如RedPill、BluePill、SubVirt等。

2.2.3 虛擬化網絡安全風險

在虛擬化網絡環(huán)境下，大二層扁平網絡結構雖然解決了低效路徑、帶寬利用率低等問題，但若配置不當，可能會引起廣播風暴、MAC表劇增等安全問題。同時，由于同一host內VM間的流量對外不可見，傳統的安全防護措施難以監(jiān)控東西向流量，這就導致VM間的攻擊不易被發(fā)現和防范。

2.3 虛擬化數據中心安全防護需求

通過對虛擬化安全風險分析，虛擬化數據中心的安全防護需求應包括以下4個方面。

a）防范來自外部的威脅（如DDoS、SQL注入等）和非授權訪問，即南北向流量安全防護。與傳統南北向流量安全防護相比，在虛擬化環(huán)境下，用戶需求更復雜，對設備的虛擬化程度要求更高，因此對南北向流量防護提出了新的技術要求。

b）防范VM之間的安全威脅和非授權訪問，即在虛擬化環(huán)境下產生的東西向流量安全問題。

c）提供東西向、南北向流量的安全防護措施，相關安全策略可支撐資源的靈活加入、離開或遷移，提升安全管理能力。

d）提供保護虛擬化系統及管理平臺的安全防護能力。

3 虛擬化安全防護技術

3.1 基于Hypervisor的安全防護技術

基于Hypervisor的安全解決方案以虛擬化廠商及傳統防病毒廠商為代表。在虛擬化層Hypervisor引入安全虛擬機，安全虛擬機可以實現防火墻、防病毒等各種安全功能。安全虛擬機通過調用Hypervisor對外開放的API，對虛擬機的數據流量及資源使用情況進行監(jiān)控，從而實現安全防護功能。

基于Hypervisor的安全防護技術不適合多租戶應用場景，同時由于安全虛擬機和被監(jiān)控虛擬機共享host，存在資源性能瓶頸。

3.2 基于網絡虛擬化的安全防護技術

基于網絡虛擬化的安全解決方案以網絡設備/安全設備制造商為代表。將網絡安全硬件設備虛擬化，具有一定軟件可編程能力；同時與底層虛擬交換機進行耦合，通過二層網絡或隧道方式，將被監(jiān)控的虛擬機流量重定向到虛擬化的安全防護產品進行檢測。

基于網絡虛擬化的安全防護技術當前局限于網絡層面的安全防護，4至7層的安全防護還有待提升。

3.3 基于SDS的安全防護技術

SDN和NFV技術的出現為虛擬化安全防護帶來了新的發(fā)展機遇。SDN架構具備的控制與轉發(fā)分離、開放可編程等優(yōu)良特性，使SDN控制器具備了全局視野，可以為各個防護對象和數據流標記各種安全屬性；NFV技術通過對軟硬件解耦，能快速為虛擬化環(huán)境部署各種類型的安全資源。結合SDN和NFV 2種技術優(yōu)勢，業(yè)界提出軟件定義安全即SDS的概念，其原理是利用虛擬化技術，將底層的物理資源抽象成安全能力，形成安全資源池，并通過軟件編程的方式根據業(yè)務需求進行安全服務能力編排和管理，完成定制化的安全功能，從而實現一種彈性、靈活的安全防護。

綜上分析，基于Hypervisor和基于網絡虛擬化的安全防護技術都是通過提升網絡與虛擬化層的安全感知能力，并將安全防護延伸到虛擬化層面，實現更精細化的安全防護，仍屬于傳統安全防護解決方案；而SDS技術及理念的興起，使虛擬化安全防護技術有了全新的突破。

4 基于SDS的虛擬化數據中心安全解決方案

4.1 基于SDS的虛擬化數據中心安全架構

基于SDS的虛擬化數據中心安全架構利用虛擬化技術，將安全資源抽象為安全資源池，依托安全控制管理模塊，借助可編程能力，將安全功能模塊化，并根據用戶的個性化需求，抽象形成虛擬安全服務網關，進行靈活安全控制，最終實現了軟件定義安全的思想，即控制和數據分離，邏輯和實現分離。具體架構如圖1所示。

圖1 基于SDS的虛擬化數據中心安全架構

a）安全控制管理模塊：用于獲取相關安全狀態(tài)，根據用戶的需求定義和維護安全策略，同時對安全策略進行檢測和下發(fā)。

b）虛擬化安全服務網關：利用虛擬化技術，將安全資源池內的相關資源按需抽象為各種類型的安全服務網關，為用戶提供所需的安全防護功能。安全服務網關通過不同的部署方式，對數據中心內外通信的南北向流量和內部通信的東西向流量進行防護。

c）安全資源池：安全資源池提供各種類型的安全資源，為虛擬化安全網關提供相應的物理資源基礎。

d）安全服務：根據實際的資源，為用戶提供多種不同類型的安全服務，使得用戶可以根據自身需求，定制包括業(yè)務識別與控制、安全分析與檢測、身份認證及審計等定制化安全服務。

4.2 基于SDS的虛擬化數據中心安全防護模型

基于SDS的虛擬化數據中心安全架構中，通過調整虛擬化安全服務網關的部署方式，能夠提供可靠、靈活和全面的安全防護。下面針對虛擬化數據中心南北向流量和東西向流量不同的安全防護需求，分別介紹以下2類安全防護模型。

4.2.1 基于SDS的南北向流量防護模型

在南北向流量防護過程中，虛擬化安全服務網關部署在邊界位置。根據租戶需要，可為其創(chuàng)建并分配獨享的虛擬化安全服務網關，也可以多個租戶共享一個虛擬化安全服務網關。不同的虛擬化安全服務網關在邏輯上相互獨立，互不影響。因此，當虛擬安全服務網關為租戶獨享模式時，可以由租戶按需自行管理安全服務網關，自主配置安全策略，這種方式既減輕服務提供商的維護工作量，也滿足了不同租戶的獨立管理需求；當安全服務網關為共享模式時，可以降低服務提供商的成本，從而實現資源的靈活配置和高效利用。南北向流量防護模型如圖2所示。

4.2.2 基于SDS的東西向流量防護模型

隨著SDN和NFV技術的發(fā)展，在虛擬化數據中心東西向流量防護過程中，各個虛機之間的流量不僅局限于同一臺主機內部，更多的是不同主機上虛機之間的通信需求，因此為了提供更完善的東西向流量防護，部署如圖3所示的防護模型。

對基于SDS的東西向流量防護模型進行詳細解析，其防護流程如圖4所示。

a）定義安全防護策略。用戶根據自己的實際需

圖2 基于SDS的南北向流量防護模型

圖3 基于SDS的東西向流量防護模型求，對需要監(jiān)控和檢測的虛擬機之間的流量進行策略定義。可根據IP五元組、MAC地址信息或虛擬機上的屬性（如名字、性能等）進行精細化定義，并根據防護策略，配置東西向流量在經過安全網關時的動作，如accept、drop或reject等。

b）實現引流。當vSwitch在接收到虛擬機生成的第1個數據包后，自動將該包上報至安全控制管理模塊；根據預先定義的安全防護策略，安全控制管理模塊將安全防護策略下發(fā)到vSwitch；vSwitch基于接收到的安全策略，形成相應的安全轉發(fā)規(guī)則；后續(xù)報文將根據安全轉發(fā)規(guī)則決定是否對數據包進行安全檢查。

圖4 基于SDS的東西向流量防護流程

c）實現安全防護。利用NFV技術將安全資源抽象成各種安全能力，用戶根據實際需求，對安全能力靈活編排，形成提供不同安全能力的虛擬化安全網關。當流量經過虛擬化安全網關時，根據安全策略，自動完成各項安全檢查，執(zhí)行相關安全動作；通過安全檢查的流量將被轉發(fā)至目的虛擬機。

d）實現策略遷移。當安全管理模塊檢測到虛擬機遷移后，會自動將以該虛擬機為源或目的節(jié)點的流轉發(fā)策略轉移至新的接入或上行端口，同時自動更新相關安全策略，保證安全防護規(guī)則隨虛機的遷移進行動態(tài)自適應。

5 結束語

隨著云計算的不斷發(fā)展，虛擬化在數據中心中的應用越來越普遍，與之相關的安全防護能力也不斷演進。本文基于SDS理念，提出了一種基于SDS的虛擬化數據中心安全解決方案，給出了基于SDS的虛擬化數據中心安全架構及安全防護模型。該方案基于SDN和NFV技術，形成可定制的安全服務網關，靈活地滿足不同用戶的安全防護需求，具有較好的可擴展性，同時為后續(xù)數據中心安全防護建設提供參考。