摘 要：虛擬化技術(shù)給數(shù)據(jù)中心的運(yùn)營帶來了很大改變。它提高了業(yè)務(wù)的可靠性和可用性。但在其帶來眾多便利的同時，也給數(shù)據(jù)中心的安全帶來了新的挑戰(zhàn)。如何為虛擬環(huán)境提供完善、可靠的安全防護(hù)，是我們需要面對的現(xiàn)實(shí)問題。

關(guān)鍵詞：虛擬化環(huán)境；安全防護(hù)

中圖分類號：TP393.08

1 研究背景

隨著虛擬化技術(shù)不斷成熟及普及，各行業(yè)掀起了數(shù)據(jù)中心虛擬化改造的熱潮。虛擬化技術(shù)給數(shù)據(jù)中心的運(yùn)營帶來了很大的改變，IT部門無需再因?yàn)樾聵I(yè)務(wù)的上線而考慮購置新的設(shè)備、計算電力及冷卻系統(tǒng)是否能夠承載新業(yè)務(wù)的上線，僅僅只需要從虛擬計算池中劃出適合的計算資源構(gòu)建虛擬服務(wù)器即可將新業(yè)務(wù)上線，提高數(shù)據(jù)中心計算資源的使用率。虛擬服務(wù)器通過與虛擬計算平臺中的虛擬交換網(wǎng)絡(luò)進(jìn)行連接從而達(dá)到他們之間的數(shù)據(jù)交換的目的，由于數(shù)據(jù)始終在虛擬計算平臺中交互使得數(shù)據(jù)中心的區(qū)域邊界變得越發(fā)模糊，同時外部物理安全設(shè)備無法對數(shù)據(jù)進(jìn)行檢測分析，導(dǎo)致無法對數(shù)據(jù)的流向以及內(nèi)容進(jìn)行有效的控制，由此帶來了數(shù)據(jù)的不可視、不可控等問題，另外虛擬服務(wù)器的故障遷移的隨機(jī)性使得物理安全設(shè)備的策略調(diào)整帶來非常大的挑戰(zhàn)。因此，對于解決虛擬計算環(huán)境的邊界安全問題，傳統(tǒng)網(wǎng)關(guān)技術(shù)早已束手無策，而此時更需要依靠下一代網(wǎng)關(guān)相關(guān)技術(shù)來提供一套體系化的邊界安全解決方案。

2 數(shù)據(jù)中心虛擬化安全需求

在利用現(xiàn)有成熟安全防護(hù)技術(shù)解決好當(dāng)前信息安全存在的普遍性安全威脅后，現(xiàn)階段虛擬化環(huán)境下的安全防護(hù)重點(diǎn)主要考慮虛擬機(jī)與虛擬機(jī)和虛擬機(jī)與客戶端之間交互流量安全問題。分析虛擬環(huán)境下流量的流向，對于虛擬化環(huán)境下流量的可視化和管控有重要意義，目前對于虛擬機(jī)的數(shù)據(jù)流向可以分為2類：縱向流量和橫向流量。

3 虛擬化環(huán)境下縱向流量分析

目前多數(shù)數(shù)據(jù)中心的虛擬化建設(shè)都處于單中心虛擬環(huán)境階段，通過引入虛擬化技術(shù)建立虛擬計算池，逐步將應(yīng)用系統(tǒng)遷移至虛擬化平臺上，這個階段初期典型特征就是實(shí)體服務(wù)器及虛擬服務(wù)器共存，先將非重要業(yè)務(wù)遷移到虛擬平臺上，重要業(yè)務(wù)系統(tǒng)仍部署于實(shí)體服務(wù)器上，如下圖所示：

圖1

初期階段虛擬化平臺搭建主要是客戶端去訪問虛擬環(huán)境下的虛擬機(jī)。這個階段虛擬化環(huán)境下網(wǎng)絡(luò)的流量以縱向?yàn)橹?，縱向流量主要是外部客戶端到虛擬機(jī)的訪問請求，以及在同一臺宿主機(jī)上的不同虛擬機(jī)通過物理接入交換機(jī)和客戶端進(jìn)行的數(shù)據(jù)交互。業(yè)務(wù)服務(wù)器通過物理交換機(jī)到達(dá)安全設(shè)備進(jìn)行過濾，針對虛擬服務(wù)器的訪問大多需要通過接入層交換機(jī)及安全設(shè)備，這種模式下的安全防護(hù)仍以傳統(tǒng)的安全防護(hù)方式為主，與傳統(tǒng)的數(shù)據(jù)中心的安全防護(hù)相比沒有本質(zhì)區(qū)別，可以在業(yè)務(wù)服務(wù)器區(qū)域邊界部署邊界網(wǎng)關(guān)類安全產(chǎn)品，同時在數(shù)據(jù)交互的物理交換機(jī)部署網(wǎng)絡(luò)審計系統(tǒng)或入侵檢測系統(tǒng)，對虛擬化環(huán)境下的虛擬機(jī)做安全防護(hù)和審計及病毒檢測。

4 虛擬化環(huán)境下橫向流量分析

完成基礎(chǔ)虛擬化平臺搭建后，企業(yè)大部分業(yè)務(wù)都遷移到虛擬平臺上，由于業(yè)務(wù)種類的不同，需要在虛擬平臺內(nèi)劃分安全域，如下圖所示：

圖2

虛擬平臺承載業(yè)務(wù)的增加以及安全域劃分后，同一層次上不同安全域和同一安全域的虛擬機(jī)之間的互訪增多，這時網(wǎng)絡(luò)的流量以橫向?yàn)橹?。橫向流量安全問題是指在虛擬環(huán)境下，虛擬機(jī)之間互訪流量不可視、不可控所產(chǎn)生的特定問題。在同一臺宿主機(jī)上的不同虛擬機(jī)之間交互，所產(chǎn)生的網(wǎng)絡(luò)流量，不通過物理接入交換機(jī)，導(dǎo)致傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備無法對同宿主機(jī)上的不同虛擬機(jī)之間交互流量進(jìn)行監(jiān)控，同時無法對虛擬機(jī)與虛擬機(jī)之間做安全隔離。一旦同宿主機(jī)上的一臺虛擬機(jī)被黑客入侵取得控制權(quán)限，就可以對同宿主機(jī)上的其他虛擬機(jī)發(fā)起攻擊，由于同宿主機(jī)上的不同虛擬機(jī)沒有任何安全防護(hù)措施，且無法對流量進(jìn)行監(jiān)控，黑客很容易在用戶不知情情況下獲得整個服務(wù)器群的控制權(quán)。從安全防護(hù)角度看需要能夠識別橫向流量，判斷是否符合相關(guān)安全策略，且應(yīng)該能夠判斷出數(shù)據(jù)流是否具有攻擊特征。

5 虛擬化環(huán)境安全防護(hù)

虛擬環(huán)境下將各種應(yīng)用均遷移到虛擬計算環(huán)境中，出于各種安全需求虛擬計算環(huán)境中仍需按照原有架構(gòu)進(jìn)行安全域的劃分，按照相關(guān)安全標(biāo)準(zhǔn)域內(nèi)及域間的網(wǎng)絡(luò)流量需要做到可控、可視及可記錄，從技術(shù)思路與網(wǎng)絡(luò)防護(hù)上主要有以下兩種方式：

一種方式是將物理安全網(wǎng)關(guān)移植到虛擬平臺上，以虛擬安全網(wǎng)關(guān)形式接入虛擬計算平臺的vSwitch上，接著通過在虛擬平臺引入安全接入引擎將所有虛擬系統(tǒng)數(shù)據(jù)導(dǎo)入虛擬安全網(wǎng)關(guān)上進(jìn)行控制及過濾后再發(fā)往相應(yīng)的目的虛擬系統(tǒng)，主要是配合IEEE 802.1Qbg和802.1BR等標(biāo)準(zhǔn)協(xié)議，首先將數(shù)據(jù)轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)接口上去，如果服務(wù)器內(nèi)部同一vlan內(nèi)的VM間通信，數(shù)據(jù)也需要先轉(zhuǎn)發(fā)出去，再從網(wǎng)絡(luò)轉(zhuǎn)發(fā)回服務(wù)器內(nèi)尋找對應(yīng)的目的VM，從而達(dá)到虛擬系統(tǒng)間數(shù)據(jù)交互的可視、可控及可審計的目的。此方案對數(shù)據(jù)中心網(wǎng)絡(luò)的改動較小，能夠很好的滿足數(shù)據(jù)中心改造的需求，但其虛擬安全網(wǎng)關(guān)也存在需要占用物理服務(wù)器計算資源的問題，所以對物理服務(wù)器的性能有很高的要求。

另外一種方式是將虛擬系統(tǒng)的數(shù)據(jù)交換仍然交由物理網(wǎng)絡(luò)設(shè)備執(zhí)行，安全控制及過濾則由物理安全設(shè)備負(fù)責(zé)，所以這種方式就需要在數(shù)據(jù)中心中加入一臺物理交換機(jī)，這臺交換機(jī)需要給每個虛擬系統(tǒng)流量打個全局唯一的標(biāo)簽，虛擬平臺外部物理設(shè)備應(yīng)能夠識別這種標(biāo)簽，并能夠以虛擬系統(tǒng)為單位執(zhí)行安全過濾及交互。虛擬機(jī)之間的流量都牽引到物理接入交換機(jī)上，但由于物理服務(wù)器內(nèi)部交互流量兩次通過物理網(wǎng)卡與物理接入交換機(jī)之間的鏈路，部署時需要保證擁有足夠的網(wǎng)絡(luò)帶寬余量，所以要求加入數(shù)據(jù)中心的這臺物理交換機(jī)要有足夠的轉(zhuǎn)發(fā)性能，這種方案要求網(wǎng)絡(luò)基礎(chǔ)設(shè)備及安全設(shè)備需要支持和識別這類標(biāo)簽，因這種方案需要對物理設(shè)備進(jìn)行升級改造，故而這種方案并不適用于已在用數(shù)據(jù)中心的改造。

6 展望

未來云平臺虛擬化的技術(shù)將向多中心虛擬環(huán)境和數(shù)據(jù)中心云平臺為用戶提供按需服務(wù)（IaaS、PaaS、SaaS）發(fā)展，在云平臺發(fā)展的三個階段虛擬平臺內(nèi)部的數(shù)據(jù)交互有著不同的需要，對安全系統(tǒng)的建設(shè)也有不同的要求，本文通過對云平臺上現(xiàn)階段虛擬環(huán)境下存在橫向流量和縱向流量進(jìn)行了分析，提出了安全防護(hù)需求和安全防護(hù)建設(shè)的建議，確保傳統(tǒng)IT基礎(chǔ)架構(gòu)向虛擬化、云計算架構(gòu)的平滑遷移。

參考文獻(xiàn)：

[1]云計算關(guān)鍵領(lǐng)域安全指南[Z].Cloud Security Alliance，2009.

[2]信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求[Z].

[3]信息安全管理實(shí)用規(guī)則ISO/IEC27001[Z].

作者單位：同濟(jì)大學(xué) 軟件學(xué)院，上海 201804