數(shù)據(jù)中心里的虛擬機(jī)(VM)越來(lái)越多,,VM之間流量交換的安全風(fēng)險(xiǎn)開(kāi)始成為管理員的新麻煩,。繼上期闡述安全產(chǎn)品與安全管理平臺(tái)的變化后,,本期聚焦云時(shí)代虛擬化環(huán)境下對(duì)安全的需求以及相應(yīng)技術(shù)方案的發(fā)展,。
一、 云計(jì)算時(shí)代虛擬化環(huán)境下的安全需求
虛擬化是目前云計(jì)算最為重要的技術(shù)支撐,,需要整個(gè)虛擬化環(huán)境中的存儲(chǔ),、計(jì)算及網(wǎng)絡(luò)安全等資源的支持。在這個(gè)方面,,基于服務(wù)器的虛擬化技術(shù)走在了前面,,已開(kāi)始廣泛的部署應(yīng)用?;谠撎摂M化環(huán)境,,系統(tǒng)的安全威脅和防護(hù)要求也產(chǎn)生了新的變化:
傳統(tǒng)風(fēng)險(xiǎn)依舊,防護(hù)對(duì)象擴(kuò)大
一方面,,一些安全風(fēng)險(xiǎn)并沒(méi)有因?yàn)樘摂M化的產(chǎn)生而規(guī)避,。盡管單個(gè)物理服務(wù)器可以劃分成多個(gè)虛擬機(jī),但是針對(duì)每個(gè)虛擬機(jī),,其業(yè)務(wù)承載和服務(wù)提供和原有的單臺(tái)服務(wù)器基本相同,,因此傳統(tǒng)模型下的服務(wù)器所面臨的問(wèn)題虛擬機(jī)也同樣會(huì)遇到,諸如對(duì)業(yè)務(wù)系統(tǒng)的訪問(wèn)安全,、不同業(yè)務(wù)系統(tǒng)之間的安全隔離,、服務(wù)器或虛擬機(jī)的操作系統(tǒng)和應(yīng)用程序的漏洞攻擊、業(yè)務(wù)系統(tǒng)的病毒防護(hù)等,;另一方面,,服務(wù)器虛擬化的出現(xiàn),擴(kuò)大了需要防護(hù)的對(duì)象范圍,,如IPS入侵防御系統(tǒng)就需要考慮以Hypervisor和vCenter為代表的特殊虛擬化軟件,,由于其本身所處的特殊位置和在整個(gè)系統(tǒng)中的重要性,任何安全漏洞被利用,,都將可能導(dǎo)致整個(gè)虛擬化環(huán)境的全部服務(wù)器的配置混亂或業(yè)務(wù)中斷,。
VM之間產(chǎn)生新安全訪問(wèn)風(fēng)險(xiǎn)
和傳統(tǒng)的安全防護(hù)不同,,虛擬機(jī)環(huán)境下同一個(gè)服務(wù)器上不同的VM可能屬于同一個(gè)物理VLAN內(nèi),,如果相鄰VM之間的流量交換不通過(guò)外部交換機(jī),而是基于服務(wù)器內(nèi)部的虛擬交換網(wǎng)絡(luò)解決,,此時(shí)在不可控的情況下,,網(wǎng)絡(luò)管理員將面臨兩個(gè)新的安全問(wèn)題(如圖1所示):
1)如何判斷VM之間的二層流量交換是規(guī)則允許范圍內(nèi)的合法訪問(wèn)還是非法訪問(wèn),?
2)更進(jìn)一步,即使不同VM之間的流量允許交換,,如何判斷這些流量是否存在諸如針對(duì)應(yīng)用層安全漏洞的網(wǎng)絡(luò)攻擊行為,?
圖1 VM虛擬機(jī)之間的安全風(fēng)險(xiǎn)
二,、 虛擬化環(huán)境下安全防護(hù)的方法
在利用現(xiàn)有的經(jīng)驗(yàn)?zāi)P徒鉀Q好當(dāng)前存在的普遍性安全威脅后,現(xiàn)階段虛擬化環(huán)境下的安全防護(hù)還需要重點(diǎn)考慮VM之間的流量安全,。分析流量的轉(zhuǎn)發(fā)路徑,,我們可以將用戶流量劃分成縱向流量和橫向流量?jī)蓚€(gè)維度,并基于每個(gè)維度的安全需求提供有針對(duì)性的解決方案,。
1.縱向流量的安全防護(hù)
這部分縱向流量包括從客戶端到服務(wù)器側(cè)的正常流量訪問(wèn)請(qǐng)求,,以及不同VM之間的三層轉(zhuǎn)發(fā)的流量。這些流量的共同特點(diǎn)是其交換必然經(jīng)過(guò)外置的硬件安全防護(hù)層,,我們也稱之為縱向流量控制層,,流量模型如圖2所示。
圖2 縱向流量模型的主要內(nèi)容
一方面,,這些流量的防護(hù)方式,,和傳統(tǒng)的數(shù)據(jù)中心的安全防護(hù)相比沒(méi)有本質(zhì)區(qū)別,用戶可以直接借鑒原有經(jīng)驗(yàn)進(jìn)行,。如防護(hù)的設(shè)備類型仍然是以防火墻和入侵防御系統(tǒng)等產(chǎn)品為主,,在部署的方式上要求防火墻或入侵防御設(shè)備具備INLINE阻斷安全攻擊的能力,部署的位置可以旁掛在匯聚層或者是串接在核心層和匯聚層之間,,同時(shí)對(duì)于設(shè)備的性能可擴(kuò)展和穩(wěn)定性等常規(guī)指標(biāo)也完全適用,。如圖3所示。
另一方面,,在虛擬化環(huán)境下的云安全部署,,因?yàn)榭赡艽嬖诙嘧鈶?的服務(wù)模型,因此對(duì)于設(shè)備的虛擬化實(shí)現(xiàn)程度又有了更高的要求,,除了常規(guī)的虛擬化實(shí)例進(jìn)行轉(zhuǎn)發(fā)隔離和安全策略獨(dú)立配置外,,還要求實(shí)現(xiàn)對(duì)于不同租戶的獨(dú)立的資源管理配置和策略管理.每個(gè)虛擬實(shí)例的管理員可以隨時(shí)監(jiān)控、調(diào)整本租戶的策略的配置實(shí)現(xiàn)情況等,。這些新的技術(shù)要求,,對(duì)于虛擬化環(huán)境下的縱向流量防護(hù)有著重要的影響。
2. 橫向流量安全防護(hù)
VM之間的橫向流量安全是在虛擬化環(huán)境下產(chǎn)生的特有問(wèn)題,,在這種情況下,,同一個(gè)服務(wù)器的不同VM之間的流量將直接在服務(wù)器內(nèi)部實(shí)現(xiàn)交換,導(dǎo)致外層網(wǎng)絡(luò)安全管理員無(wú)法對(duì)這些流量進(jìn)行監(jiān)控或者實(shí)施各種高級(jí)安全策略如防火墻規(guī)則或者入侵防御規(guī)則,。圖4展示了橫向安全防護(hù)重點(diǎn)關(guān)注的流量模型,。
在服務(wù)器的虛擬化過(guò)程中,以VMware為代表的虛擬化廠商,,通過(guò)在服務(wù)器Hypervisor層集成vSwitch虛擬交換機(jī)特性,,也可以實(shí)現(xiàn)一些基本的訪問(wèn)允許或拒絕規(guī)則,但是并沒(méi)有也很難集成更高級(jí)的安全檢測(cè)防護(hù)引擎,,以實(shí)現(xiàn)VM之間的流量漏洞攻擊的行為檢測(cè),。要做到更深度的安全檢測(cè),,目前主要有兩種技術(shù)方式:基于虛擬機(jī)的安全服務(wù)模型,以及利用EVB技術(shù)實(shí)現(xiàn)流量重定向的安全檢測(cè)模型,,如圖5所示,。
基于虛擬機(jī)的安全防護(hù)
在虛擬化技術(shù)推進(jìn)的過(guò)程中,一些廠商很敏銳的觀察到了VM之間直接交換流量無(wú)法通過(guò)外部防火墻等設(shè)備進(jìn)行檢測(cè),,因此想通過(guò)直接在服務(wù)器內(nèi)部部署虛擬機(jī)安全軟件,,通過(guò)對(duì)VMware開(kāi)放的API接口的利用,,將所有VM之間的流量交換在進(jìn)入到vSwitch之前,,先引入到虛擬機(jī)安全軟件進(jìn)行檢查。此時(shí)可以根據(jù)需求將不同的VM劃分到不同的安全域,,并配置各種安全域間隔離和互訪的策略,。同時(shí),一些技術(shù)能力強(qiáng)的軟件廠商,,還考慮在軟件中集成IPS深度報(bào)文檢測(cè)技術(shù),,判斷VM之間的流量交換是否存在漏洞攻擊。這種方式的優(yōu)點(diǎn)是部署比較簡(jiǎn)單,,只需要在服務(wù)器上開(kāi)辟資源并運(yùn)行虛擬機(jī)軟件運(yùn)行即可,,但是其不足之處也很明顯:
不足一:每個(gè)服務(wù)器需要有專門(mén)的資源來(lái)安裝該軟件,服務(wù)器流量越大,,開(kāi)啟的功能如IPS深度檢測(cè)越多,,對(duì)系統(tǒng)的資源占用就越大,不僅可能影響其它VM的性能,,同時(shí)也導(dǎo)致服務(wù)器投資的增加,;以常見(jiàn)的酷睿2雙核雙CPU服務(wù)器【4核】為例,虛擬化情況下服務(wù)器的CPU利用率得到有效提升,,對(duì)外可以提供的應(yīng)用吞吐量有望達(dá)到800Mbps以上,;同時(shí)根據(jù)現(xiàn)有的經(jīng)驗(yàn),基于雙核CPU處理器的IPS應(yīng)用其吞吐量維持在300Mbps左右,;可以預(yù)見(jiàn):如果利用該服務(wù)器進(jìn)行虛擬化劃分并使能安全虛擬機(jī)軟件的話,,至少需要?jiǎng)澐殖?個(gè)核來(lái)做安全虛擬機(jī),才可以保證對(duì)300M的流量進(jìn)行深度報(bào)文檢測(cè),,而真正的應(yīng)用虛擬機(jī)將只能利用剩余的2個(gè)核,,這也意味著整個(gè)服務(wù)器的吞吐量將下降到300Mbps左右;要達(dá)到原定的應(yīng)用交付性能,,用戶必須部署更多的服務(wù)器才能滿足要求,。
不足二:由于該防護(hù)模型需要安全軟件廠商在Hypervisor層進(jìn)行代碼開(kāi)發(fā),其開(kāi)發(fā)水平的差異將導(dǎo)致Hypervisor出現(xiàn)潛在的安全漏洞,,并危及到整個(gè)虛擬機(jī)的正常運(yùn)轉(zhuǎn),??梢灶A(yù)見(jiàn)虛擬化廠商將不可能完全開(kāi)放該API接口,這也意味著只有很少的廠商才能獲得虛擬化廠商的許可并進(jìn)行嚴(yán)格受控的軟件集成,;目前我們并沒(méi)有看到具有影響力的安全廠商的成熟的虛擬化產(chǎn)品,,整個(gè)生態(tài)系統(tǒng)未來(lái)如何發(fā)展將取決于虛擬機(jī)廠商對(duì)于API的開(kāi)放程度以及安全軟件廠商的成熟的開(kāi)發(fā)能力,這些都存在很大的不確定性,。
既然VM之間的流量交換一直在服務(wù)器內(nèi)部,,不利于安全策略的部署,也不利于管理界限的明晰,,因此正在進(jìn)行標(biāo)準(zhǔn)化EVB技術(shù),,計(jì)劃通過(guò)VEPA等技術(shù)實(shí)現(xiàn)將這些流量引入到外部的交換機(jī)。在接入交換機(jī)轉(zhuǎn)發(fā)這些流量之前,,可以通過(guò)鏡像或者重定向等技術(shù),,將流量先引入到專業(yè)的安全設(shè)備進(jìn)行深度報(bào)文檢查、安全策略配置或是允許/拒絕其訪問(wèn),。
這種實(shí)現(xiàn)方式的優(yōu)點(diǎn)在于外置硬件安全設(shè)備的高性能,,在不損失服務(wù)器能力的情況下,可以使用數(shù)目較少的高端安全設(shè)備來(lái)實(shí)現(xiàn)萬(wàn)兆甚至十萬(wàn)兆的安全檢測(cè)能力,管理員也可以充分利用先前的經(jīng)驗(yàn),,很容易實(shí)現(xiàn)對(duì)這些外置安全設(shè)備的管理維護(hù),。同時(shí)因?yàn)樵摌?biāo)準(zhǔn)的相對(duì)開(kāi)放性,相關(guān)的網(wǎng)絡(luò)安全廠商都可以參與到這個(gè)方案當(dāng)中來(lái),,減少了客戶對(duì)于單一網(wǎng)絡(luò)安全廠商的依賴,。
對(duì)于該方式下安全策略跟隨VM遷移的問(wèn)題,在網(wǎng)絡(luò)管理組件及時(shí)感知到VM虛擬機(jī)遷移時(shí),,通過(guò)內(nèi)部的消息傳送,,安全管理組件可以及時(shí)獲取到此次遷移的相關(guān)參數(shù)如新的接入交換機(jī)ID及端口VLAN等屬性;此時(shí)再比對(duì)自身保存的拓?fù)潢P(guān)系圖定位到新的虛擬機(jī)遷移位置所對(duì)應(yīng)的安全產(chǎn)品ID,,從而實(shí)現(xiàn)虛擬機(jī)的安全策略profile的遷移,,這也是一種簡(jiǎn)單易行的解決方案。如表1對(duì)比了兩種方式的差異,。
三,、結(jié)束語(yǔ)
綜上所述,現(xiàn)階段基于虛擬機(jī)的安全軟件部署方式,,在小型的虛擬化環(huán)境中,,更容易得到較好的用戶體驗(yàn),但是在大規(guī)模高性能的應(yīng)用環(huán)境中,,基于高性能的專業(yè)硬件設(shè)備來(lái)搭建安全防護(hù)層,,更容易滿足對(duì)性能的要求,在總的投資上也更有優(yōu)勢(shì)。未來(lái)一段時(shí)間內(nèi),,這兩種方式將作為主要的技術(shù)方式而存在,,用戶可以根據(jù)自身的實(shí)際應(yīng)用環(huán)境進(jìn)行選擇。