虛擬化網(wǎng)絡(luò)安全分析

程 明

（安徽電信規(guī)劃設(shè)計(jì)有限責(zé)任公司，安徽 合肥 230031）

0 引 言

在云計(jì)算技術(shù)的快速發(fā)展下，以云環(huán)境為基本依托的虛擬化技術(shù)得到了廣泛應(yīng)用。從實(shí)際應(yīng)用情況來(lái)看，虛擬化技術(shù)形式具有環(huán)境隔離、動(dòng)態(tài)配置、底層控制以及接口兼容等多個(gè)方面的特征，在這個(gè)技術(shù)的支持下能夠?yàn)榫W(wǎng)絡(luò)安全監(jiān)督控制提供重要支持，最終有效保證網(wǎng)絡(luò)系統(tǒng)的安全性和穩(wěn)定性。但是從實(shí)際應(yīng)用層面來(lái)看，虛擬化技術(shù)在使用的時(shí)候沒(méi)有從根本上解決傳統(tǒng)計(jì)算環(huán)境所面臨的安全問(wèn)題，且在使用期間對(duì)虛擬化技術(shù)自身也會(huì)帶來(lái)比較多的威脅，這些威脅不僅包含原有網(wǎng)絡(luò)的固有威脅，而且也會(huì)引入新的安全威脅[1]。

1 虛擬化網(wǎng)絡(luò)環(huán)境基本情況分析

1.1 虛擬化網(wǎng)絡(luò)內(nèi)涵

網(wǎng)絡(luò)虛擬化的實(shí)現(xiàn)會(huì)具體落實(shí)在計(jì)算機(jī)節(jié)點(diǎn)、網(wǎng)絡(luò)設(shè)備以及網(wǎng)絡(luò)信息通信層面上。受虛擬化平臺(tái)特點(diǎn)的影響，虛擬化網(wǎng)絡(luò)在運(yùn)行過(guò)程中和以往網(wǎng)絡(luò)相比呈現(xiàn)出來(lái)的特點(diǎn)如下。第一，網(wǎng)絡(luò)系統(tǒng)中的計(jì)算機(jī)實(shí)體會(huì)從物理服務(wù)器轉(zhuǎn)變到虛擬機(jī)械設(shè)備上；第二，在網(wǎng)絡(luò)平臺(tái)上呈現(xiàn)出來(lái)的二元網(wǎng)絡(luò)設(shè)備能夠?yàn)樾畔⒌氖褂锰峁┍匾倪B接服務(wù)支持，這些設(shè)備包含傳統(tǒng)網(wǎng)絡(luò)平臺(tái)上固有的物理網(wǎng)絡(luò)設(shè)備和虛擬化管理設(shè)備[2]；第三，在虛擬化網(wǎng)絡(luò)環(huán)境下，組網(wǎng)方式會(huì)從單純的物理互聯(lián)網(wǎng)轉(zhuǎn)變?yōu)樘摂M網(wǎng)絡(luò)、物理互聯(lián)網(wǎng)共同作用的復(fù)合型網(wǎng)絡(luò)。

1.2 虛擬化網(wǎng)絡(luò)下的信息連接方式

網(wǎng)絡(luò)的形成離不開(kāi)各個(gè)對(duì)象之間的配合，這些網(wǎng)絡(luò)平臺(tái)的特點(diǎn)共同形成了虛擬化網(wǎng)絡(luò)的特點(diǎn)。基于無(wú)線技術(shù)的虛擬化網(wǎng)絡(luò)如圖1所示，在整個(gè)虛擬化網(wǎng)絡(luò)運(yùn)作中，不同對(duì)象之間會(huì)形成一種新關(guān)系的綜合。整合信息資源的情況下使用各個(gè)處理器來(lái)處理數(shù)據(jù)信息，這個(gè)期間所牽扯到的服務(wù)器眾多，各個(gè)設(shè)備和服務(wù)器之間的關(guān)聯(lián)屬性不同，各個(gè)對(duì)象在各類數(shù)據(jù)信息的交互過(guò)程中建立形成新的網(wǎng)絡(luò)環(huán)境，彼此之間的連接關(guān)系如下。第一，外部網(wǎng)絡(luò)連接。外部網(wǎng)絡(luò)的連接廣泛存在于各個(gè)虛擬機(jī)、外部網(wǎng)絡(luò)系統(tǒng)中，整個(gè)連接會(huì)從外部網(wǎng)絡(luò)來(lái)訪問(wèn)各個(gè)虛擬機(jī)的網(wǎng)絡(luò)服務(wù)接口和鏈路[3]。第二，業(yè)務(wù)信息連接。業(yè)務(wù)信息連接廣泛存在于各個(gè)虛擬化環(huán)境中，在其作用下能夠?qū)崿F(xiàn)對(duì)各類信息的交互管理，在信息整合利用之后打造出完善的虛擬化網(wǎng)絡(luò)。第三，物理信息的管理連接。虛擬機(jī)設(shè)備和服務(wù)系統(tǒng)的穩(wěn)定運(yùn)行離不開(kāi)物理層面的管理控制。其中，物理信息連接被人們廣泛使用到遠(yuǎn)程虛擬服務(wù)器的管理上，通過(guò)一系列的物理連接能夠優(yōu)化系統(tǒng)平臺(tái)的作用，合理調(diào)控系統(tǒng)運(yùn)作。第四，虛擬管理連接。虛擬管理連接廣泛存在于管理屬性的虛擬機(jī)械設(shè)備上和監(jiān)控屬性的虛擬機(jī)械設(shè)備上。通過(guò)虛擬管理連接能夠幫助管理者合理優(yōu)化配置各個(gè)虛擬平臺(tái)上的虛擬機(jī)械設(shè)備，從而有效保障各類數(shù)據(jù)信息的安全。第五，受限的虛擬管理連接。受限的虛擬管理連接廣泛存在于管理虛擬機(jī)和虛擬監(jiān)控器上，連接中存在的管理信息通道能夠幫助管理者在某一個(gè)時(shí)刻內(nèi)對(duì)某一個(gè)虛擬機(jī)實(shí)施管理操作。

圖1 基于無(wú)線技術(shù)的虛擬化網(wǎng)絡(luò)

1.3 虛擬化網(wǎng)絡(luò)的特點(diǎn)

1.3.1 信息資源的共享性

在虛擬化網(wǎng)絡(luò)架構(gòu)中，虛擬管理器會(huì)對(duì)各層級(jí)的硬件進(jìn)行管理，根據(jù)需要來(lái)調(diào)度各個(gè)虛擬機(jī)的運(yùn)作，借助虛擬機(jī)來(lái)實(shí)現(xiàn)信息資源的共享應(yīng)用。借助網(wǎng)絡(luò)虛擬化技術(shù)形式能夠有效提升服務(wù)器網(wǎng)絡(luò)的利用效率，強(qiáng)化各類信息的整合應(yīng)用。在虛擬化網(wǎng)絡(luò)平臺(tái)的支持下會(huì)通過(guò)虛擬機(jī)的形式來(lái)實(shí)現(xiàn)對(duì)輕量負(fù)載的合并處理，通過(guò)將信息應(yīng)用在物理機(jī)上來(lái)達(dá)到均衡負(fù)載的目的。

1.3.2 信息技術(shù)的排他性

虛擬網(wǎng)絡(luò)空間中的計(jì)算機(jī)操作系統(tǒng)在一定程度上能夠整合信息，并根據(jù)需要來(lái)為各類信息的使用成立獨(dú)立的地址空間。在這期間，系統(tǒng)內(nèi)部的故障信息會(huì)呈現(xiàn)出獨(dú)立的狀態(tài)，根據(jù)不同環(huán)境的屬性和需要來(lái)予以使用。由此決定了虛擬網(wǎng)絡(luò)系統(tǒng)背景下的信息技術(shù)有著自身的應(yīng)用條件限定，技術(shù)應(yīng)用具有排他性的特點(diǎn)[4]。

1.3.3 信息的隔離性

借助隔離性能能夠全面測(cè)試出一個(gè)虛擬機(jī)出現(xiàn)故障后對(duì)其他虛擬機(jī)所產(chǎn)生的影響。在整個(gè)虛擬化網(wǎng)絡(luò)平臺(tái)中，虛擬中央處理器（Central Processing Unit，CPU）調(diào)度能夠?qū)μ摂M機(jī)的性能產(chǎn)生影響，虛擬機(jī)管理器能夠有效隔離虛擬機(jī)的性能，使得虛擬機(jī)的CPU公平性得到保障。信息隔離能夠有效保障虛擬網(wǎng)絡(luò)系統(tǒng)的安全，即使在一個(gè)虛擬機(jī)器被攻擊后也不影響其他虛擬機(jī)的運(yùn)行[5]。

1.4 虛擬化網(wǎng)絡(luò)的安全問(wèn)題

虛擬化是基礎(chǔ)設(shè)施，也就是服務(wù)云和私有云運(yùn)作的重要影響因素。在信息時(shí)代背景下，虛擬化被人們廣泛應(yīng)用在計(jì)算機(jī)網(wǎng)絡(luò)平臺(tái)上。從實(shí)際操作角度來(lái)看，虛擬化也是公、私有云交付虛擬界面的一種技術(shù)形式。受虛擬化網(wǎng)絡(luò)自身特點(diǎn)的影響，在虛擬化網(wǎng)絡(luò)運(yùn)作的時(shí)候會(huì)出現(xiàn)以下幾個(gè)方面的安全問(wèn)題。

1.4.1 對(duì)物理網(wǎng)和虛擬局域網(wǎng)的威脅

不管是物理層面的劃分，還是虛擬層面的劃分，虛擬化網(wǎng)絡(luò)系統(tǒng)中的每一個(gè)網(wǎng)段都有著各自設(shè)定的目的和需求。在紛繁的信息背景下，為了能夠保障網(wǎng)絡(luò)平臺(tái)的安全，需要做好網(wǎng)段間的隔離工作。

在實(shí)際應(yīng)用操作層面上，所有的網(wǎng)絡(luò)通信都會(huì)進(jìn)入到特定的物理端口中，但是受虛擬網(wǎng)絡(luò)服務(wù)器物理端口限制的影響，不是所有的信息都能夠被有效應(yīng)用。

在虛擬化平臺(tái)的內(nèi)部，虛擬機(jī)不同的虛擬局域網(wǎng)（Virtual Local Area Network，VLAN）流量都可以通過(guò)平臺(tái)上的虛擬交換機(jī)中繼來(lái)匯入到公用物理端口，由此會(huì)為網(wǎng)絡(luò)信息攻擊者從VLAN中逃逸提供網(wǎng)絡(luò)通信支持。和傳統(tǒng)意義上的網(wǎng)絡(luò)一樣，虛擬化網(wǎng)絡(luò)在運(yùn)行的時(shí)候容易出現(xiàn)VLAN跳躍攻擊、CAM/MAC洪泛攻擊、地址解析協(xié)議（Address Resolution Protocol，ARP）欺騙、生成樹(shù)攻擊、拒絕服務(wù)（Denial of Service，DoS）攻擊以及MAC地址欺騙性攻擊等。文章現(xiàn)以VLAN跳躍攻擊作為研究案例來(lái)予以全面分析和說(shuō)明。

攻擊者會(huì)從自己所在的VLAN段中逃離出來(lái)，之后會(huì)攔截和修改其他VLAN流量，在信息流量篡改的過(guò)程中達(dá)到攻擊VLAN段的目的。在具體實(shí)施操作的時(shí)候，VLAN跳躍攻擊是對(duì)動(dòng)態(tài)化協(xié)議的管理。攻擊的過(guò)程中，攻擊者會(huì)創(chuàng)建出具有VLAN標(biāo)識(shí)的流量信息，這種方式會(huì)在虛擬化環(huán)境中得到充體現(xiàn)。

例如，在 VMware ESN/ESXi平臺(tái)中，主機(jī)系統(tǒng)運(yùn)作的時(shí)候能夠支持3個(gè)類型的VLAN標(biāo)識(shí)，這些標(biāo)識(shí)的類型十分豐富多樣，包含外部交換機(jī)標(biāo)識(shí)（External SwitchTagging，EST）、虛擬交換機(jī)標(biāo)識(shí)（Virtual Switch Tagging，VST）以及虛擬客戶標(biāo)識(shí)（Virtual Guest Tagging，VGT）。通過(guò)使用這些標(biāo)識(shí)能夠有效確定VLAN數(shù)據(jù)幀適合使用怎樣的傳播方式，在客戶標(biāo)識(shí)模式的影響下，數(shù)據(jù)信息會(huì)在各個(gè)虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)中進(jìn)行傳遞。這個(gè)過(guò)程中，如果虛擬客戶標(biāo)識(shí)被應(yīng)用到了802.1q中繼中，惡意攻擊系統(tǒng)的VM用戶會(huì)利用機(jī)制作用下的數(shù)據(jù)幀來(lái)制造出虛假的信息。期間，虛擬網(wǎng)絡(luò)系統(tǒng)的攻擊者還可以模擬物理交換機(jī)、虛擬交換機(jī)的中繼協(xié)商模式，從而實(shí)現(xiàn)自身對(duì)VLAN流量信息發(fā)送和接收的自由處理[6]。

1.4.2 虛擬化網(wǎng)絡(luò)的威脅

（1）對(duì)物理管理連接的威脅

對(duì)物理管理網(wǎng)絡(luò)的有序訪問(wèn)會(huì)讓攻擊者獲取一套完整的虛擬化系統(tǒng)，在系統(tǒng)運(yùn)作的時(shí)候，攻擊者會(huì)根據(jù)自己的需要隨意關(guān)閉、啟動(dòng)或操控物理服務(wù)器。

（2）對(duì)虛擬機(jī)遷移連接所產(chǎn)生的威脅

虛擬機(jī)遷移會(huì)牽扯到多個(gè)類型數(shù)據(jù)信息的傳輸，這些信息在遷移的過(guò)程中會(huì)被分割出獨(dú)一無(wú)二的LAN或者VLAN，從而網(wǎng)絡(luò)數(shù)據(jù)的傳輸。如果虛擬機(jī)遷移網(wǎng)絡(luò)遭受到攻擊，則會(huì)嚴(yán)重威脅到系統(tǒng)的運(yùn)行。

（3）虛擬管理連接的威脅

虛擬管理通信實(shí)體會(huì)被放置在一個(gè)單獨(dú)的網(wǎng)段，通過(guò)對(duì)虛擬管理通信信息的訪問(wèn)，攻擊者會(huì)肆意篡改虛擬網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。

（4）對(duì)存儲(chǔ)連接的威脅

虛擬化存儲(chǔ)對(duì)信息的安全屬性有著較高的要求，虛擬化網(wǎng)絡(luò)平臺(tái)中所包含的各類敏感數(shù)據(jù)、帶有攻擊屬性的數(shù)據(jù)會(huì)對(duì)虛擬平臺(tái)帶來(lái)威脅[7]。

2 虛擬化網(wǎng)絡(luò)信息管理使用的安全措施

（1）針對(duì)虛擬機(jī)遷移和虛擬存儲(chǔ)網(wǎng)絡(luò)信息的截取攻擊，相關(guān)人員可以通過(guò)打造相應(yīng)的安全通信通道來(lái)優(yōu)化管理，在管理信息時(shí)所使用的技術(shù)包含安全套接層（Secure Sockets Layer，SSL）技術(shù)和IPsec技術(shù)。（2）傳統(tǒng)意義上的二層網(wǎng)絡(luò)以及節(jié)點(diǎn)存在多個(gè)用來(lái)防御攻擊的措施，但是受軟硬件組件限制的影響，無(wú)法從設(shè)計(jì)層面解決虛擬化網(wǎng)絡(luò)系統(tǒng)所面臨的安全威脅。為此，在進(jìn)行軟件設(shè)計(jì)的時(shí)候要制定出安全的操作程序，并在程序制定完成之后對(duì)程序系統(tǒng)開(kāi)展必要的強(qiáng)化測(cè)試，通過(guò)測(cè)試來(lái)減少漏洞的出現(xiàn)[8]。（3）VLAN跳躍攻擊可以通過(guò)禁止GVT以及配置端口轉(zhuǎn)發(fā)模式來(lái)限制數(shù)據(jù)信息的傳輸，將數(shù)據(jù)信息選擇特定的標(biāo)記來(lái)進(jìn)行傳輸。另外，在內(nèi)部VLAN傳輸關(guān)鍵數(shù)據(jù)信息的時(shí)候要注重使用另外一個(gè)VLAN進(jìn)行控制，在VLAN的支持下將傳輸?shù)男畔⒑推渌畔⑦M(jìn)行隔離，通過(guò)隔離能夠有效防范攻擊者對(duì)端口的操作。（4）對(duì)于生成樹(shù)來(lái)說(shuō)，面對(duì)外界對(duì)生成樹(shù)的攻擊可以通過(guò)一系列傳統(tǒng)措施來(lái)對(duì)整個(gè)系統(tǒng)進(jìn)行防護(hù)處理。（5）為了能夠減少動(dòng)態(tài)主機(jī)配置協(xié)議（Dynamic Host Configuration Protocol，DHCP）地址范圍不足所誘發(fā)的數(shù)據(jù)使用風(fēng)險(xiǎn)，對(duì)物理交換機(jī)和虛擬交換機(jī)的使用來(lái)說(shuō)，要注重采取必要的措施予以防范[9]。例如，在VMware ESX中，管理人員不能夠使用客戶機(jī)來(lái)改變虛擬MAC地址的訪問(wèn)局限，虛擬網(wǎng)絡(luò)更不會(huì)接收到來(lái)自客戶機(jī)的數(shù)據(jù)包。（6）為了能夠減緩?fù)獠扛鱾€(gè)因素變化對(duì)系統(tǒng)運(yùn)作所產(chǎn)生的攻擊，系統(tǒng)管理人員在操作系統(tǒng)的過(guò)程中需要實(shí)現(xiàn)對(duì)存儲(chǔ)流量和其他關(guān)聯(lián)數(shù)據(jù)流量的區(qū)分處理，并使用IPSec技術(shù)和SSL技術(shù)來(lái)保證信息的傳輸安全[10]。（7）加強(qiáng)對(duì)業(yè)務(wù)信息連接的防護(hù)處理，通過(guò)對(duì)業(yè)務(wù)信息連接隔離的方式來(lái)防范外界不良環(huán)境對(duì)信息使用的干擾。在信息使用的時(shí)候，可以借助數(shù)據(jù)管理區(qū)域來(lái)和系統(tǒng)內(nèi)部的網(wǎng)絡(luò)連接在一起，最終實(shí)現(xiàn)對(duì)數(shù)據(jù)信息的有效防護(hù)，減少惡意攻擊用戶行為的發(fā)生[11]。

3 結(jié) 論

文章通過(guò)對(duì)虛擬化網(wǎng)絡(luò)環(huán)境特點(diǎn)的分析來(lái)剖析當(dāng)前網(wǎng)絡(luò)所面臨的安全威脅，通過(guò)打造威脅矩陣來(lái)對(duì)以上風(fēng)險(xiǎn)進(jìn)行全面分析。根據(jù)虛擬網(wǎng)絡(luò)運(yùn)作可能存在的風(fēng)險(xiǎn)來(lái)給出對(duì)應(yīng)的安全措施，在虛擬化的網(wǎng)絡(luò)環(huán)境下來(lái)保證整個(gè)網(wǎng)絡(luò)平臺(tái)信息的安全，做好一系列的網(wǎng)絡(luò)安全防護(hù)工作，從而更好地促進(jìn)現(xiàn)代虛擬網(wǎng)絡(luò)平臺(tái)的建設(shè)發(fā)展。