李富宇 大連外國(guó)語(yǔ)大學(xué)

高校云安全解決方案初探

李富宇 大連外國(guó)語(yǔ)大學(xué)

1 虛擬化帶來的變與不變

隨著高校越來越多的業(yè)務(wù)和數(shù)據(jù)從分散部署模式逐步走向大集中模式。與此同時(shí)，實(shí)現(xiàn)業(yè)務(wù)計(jì)算集中模式的數(shù)據(jù)中心，也必然成為攻擊者關(guān)注的焦點(diǎn)，或者成為影響業(yè)務(wù)安全穩(wěn)定運(yùn)行的核心如何使數(shù)據(jù)中心運(yùn)行在安全的環(huán)境下，使其免受黑客攻擊、病毒、木馬、惡意程序的入侵，已成為高校業(yè)務(wù)連續(xù)性運(yùn)行的重要前提。

高校數(shù)據(jù)中心安全建設(shè)，在現(xiàn)階段應(yīng)當(dāng)以數(shù)據(jù)中心平臺(tái)和云資源池平臺(tái)為重點(diǎn)，采用合適的安全技術(shù)和進(jìn)行制度化的安全管理，保障信息與網(wǎng)絡(luò)系統(tǒng)穩(wěn)定可靠地運(yùn)行、信息與網(wǎng)絡(luò)資源受控合法地使用。數(shù)據(jù)中心虛擬化后，帶來的最大變化是虛擬機(jī)之間的物理邊界消失，這使得對(duì)虛擬機(jī)的安全控制變得困難。不變的是對(duì)業(yè)務(wù)的安全防護(hù)。

2 常見的解決方案分析

虛擬化安全可以采用以下5種架構(gòu)，用于虛擬化環(huán)境中網(wǎng)絡(luò)安全控制的實(shí)現(xiàn)：

2.1 在每個(gè)虛擬機(jī)上部署主機(jī)代理

網(wǎng)絡(luò)安全控制可以在每個(gè)終端上實(shí)現(xiàn)，從而替代網(wǎng)絡(luò)基礎(chǔ)設(shè)施的實(shí)現(xiàn)方案。主機(jī)代理程序借助主機(jī)防火墻和加密封裝的能力，來對(duì)進(jìn)出虛擬機(jī)的流量執(zhí)行策略控制。這樣的策略可以被提升至應(yīng)用層級(jí)別（取決于所選的特定產(chǎn)品）—這意味著，代理程序可對(duì)應(yīng)用程序的收發(fā)流量，以及收發(fā)流量的類型執(zhí)行控制。這是非常細(xì)粒度的控制，比通常的網(wǎng)絡(luò)安全設(shè)備所提供的功能效果更精準(zhǔn)。

一些主機(jī)代理能對(duì)網(wǎng)絡(luò)流量做更多的控制，它們能提供基于主機(jī)的入侵防御能力，以及應(yīng)用程序控制和反惡意軟件的功能。

主機(jī)代理允許管理員在必要的時(shí)候遷移虛擬機(jī)，對(duì)應(yīng)的安全策略也將跟隨虛擬機(jī)一同遷移。然而，學(xué)校必須為主機(jī)代理選擇合適的虛擬機(jī)操作系統(tǒng)，這一要求限制了操作系統(tǒng)方面的選擇。一般情況下，這些產(chǎn)品可適用于Windows和Linux系統(tǒng)，而對(duì)其他操作系統(tǒng)的支持就有所局限了。主機(jī)代理必須在每個(gè)虛擬機(jī)上安裝部署，因此，安全機(jī)制是依賴于系統(tǒng)管理員（或由負(fù)責(zé)虛擬機(jī)創(chuàng)建者）執(zhí)行安裝任務(wù)。主機(jī)代理的管理是獨(dú)立于虛擬化環(huán)境以及其它網(wǎng)絡(luò)的安全機(jī)制。

2.2 利用交換機(jī)的能力

如同在物理基礎(chǔ)設(shè)施的環(huán)境下，虛擬交換機(jī)可以被用來執(zhí)行網(wǎng)絡(luò)安全策略。如圖1所示，虛擬交換機(jī)可將終端劃分到端口組或虛擬局域網(wǎng)（VLAN）內(nèi)。流量可以在同一個(gè)端口組內(nèi)或VLAN內(nèi)傳輸，此外則不允許訪問（而無需事先通過其他一些規(guī)則限制或路由機(jī)制）。策略可以對(duì)每個(gè)終端進(jìn)行控制，甚至是對(duì)每個(gè)終端的TCP端口進(jìn)行控制，但交換機(jī)僅能針對(duì)數(shù)據(jù)包報(bào)頭信息進(jìn)行控制，而無法基于數(shù)據(jù)內(nèi)容控制。若是協(xié)議封裝或SDN的應(yīng)用場(chǎng)景中（見控制部分），實(shí)際的機(jī)制又有所不同。

圖1 利用虛擬交換機(jī)來做網(wǎng)絡(luò)安全控制

虛擬交換機(jī)的策略執(zhí)行能力，在很大程度上依賴于配置和管理系統(tǒng)。這些往往是由虛擬化環(huán)境管理員的能力所決定，這意味著，在這種架構(gòu)中，策略的執(zhí)行是與虛擬化環(huán)境正確的管理聯(lián)系在一起的。策略與虛擬機(jī)一起遷移，是由于虛擬交換機(jī)將相關(guān)策略關(guān)聯(lián)在了虛擬機(jī)的虛擬網(wǎng)卡上。

虛擬交換機(jī)本身不提供監(jiān)控機(jī)制，但是支持監(jiān)控網(wǎng)絡(luò)傳輸。在SDN環(huán)境，虛擬交換機(jī)可以提供一個(gè)監(jiān)控接口，提供流量數(shù)據(jù)，或者復(fù)制流量并且轉(zhuǎn)發(fā)到監(jiān)控系統(tǒng)。

2.3 使用基于Hypervisor的控制

在一個(gè)虛擬化環(huán)境中，Hypervisor控制流量如何從一個(gè)虛擬機(jī)傳輸?shù)搅硪粋€(gè)虛擬機(jī)。Hypervisor內(nèi)部的嵌入式網(wǎng)絡(luò)安全控制允許在傳輸上應(yīng)用細(xì)粒度策略控制。虛擬化廠商們提供API來允許應(yīng)用可以在Hypervisor中實(shí)施策略或者監(jiān)控傳輸流量。一般來講，有兩部分給到應(yīng)用：可以攔截監(jiān)聽傳輸?shù)腍ypervisor核心模塊和運(yùn)行在虛擬機(jī)中可以細(xì)粒度檢查的應(yīng)用（參見圖2）。在虛擬化環(huán)境中虛擬機(jī)應(yīng)用可能需要存在于每個(gè)物理服務(wù)器上。基于這種方式的變種也存在。例如，它可能要在核心模塊中增加很多細(xì)粒度的監(jiān)控功能。

圖2 基于Hypervisor的網(wǎng)絡(luò)安全控制

因?yàn)榫W(wǎng)絡(luò)安全控制是建立在Hypervisor里的，所以策略可以非常精細(xì)化并且可以為每個(gè)獨(dú)立的虛擬機(jī)在虛擬機(jī)網(wǎng)卡級(jí)別執(zhí)行。依靠安裝在檢測(cè)應(yīng)用的功能，不論是執(zhí)行還是監(jiān)控，策略都是可以生效的。

因?yàn)榭刂剖墙壎ǖ紿ypervisor的，虛擬化環(huán)境管理員必須配合安裝和操作這些控制。雖然基于Hypervisor的控制可以提供策略執(zhí)行和監(jiān)控（包括通過使用不同管理系統(tǒng)的不同控制），如果擔(dān)心惡意環(huán)境，可以使用基于Hypervisor的控制需要一種或者另一種，但不是兩個(gè)都使用，除非環(huán)境確實(shí)是良性的，并且是通過其他控制證實(shí)。

2.4 使用非基于Hypervisor的網(wǎng)絡(luò)安全控制

網(wǎng)絡(luò)安全控制可以不通過安裝在Hypervisor里來添加到虛擬環(huán)境中。在這種構(gòu)架中，二層應(yīng)用（類似入侵防御設(shè)備）或者三層應(yīng)用（類似防火墻）可以用來執(zhí)行策略或者監(jiān)控網(wǎng)絡(luò)傳輸。這類安全應(yīng)用可以是安裝在虛擬機(jī)里的軟件（參見圖3）。網(wǎng)絡(luò)傳輸采用類似現(xiàn)在物理網(wǎng)絡(luò)的方式路由到控制器：每個(gè)虛擬機(jī)的默認(rèn)網(wǎng)關(guān)設(shè)置到網(wǎng)絡(luò)防火墻上，SDN控制器可以為將特別的網(wǎng)絡(luò)傳輸路由到監(jiān)控或者策略執(zhí)行控制，來設(shè)置對(duì)應(yīng)的流表?xiàng)l目。虛擬網(wǎng)絡(luò)配置可以用來路由VLAN之間的傳輸?shù)綄?duì)應(yīng)的網(wǎng)關(guān)。

圖3 在虛擬機(jī)里裝軟件的基于非Hypervisor的網(wǎng)絡(luò)安全控制

策略執(zhí)行控制（類似防火墻，數(shù)據(jù)防泄露系統(tǒng)和Web應(yīng)用防火墻）和監(jiān)控機(jī)制（類似入侵檢測(cè)系統(tǒng)或者網(wǎng)絡(luò)行為分析收集器）都可以通過策略部署。策略在路由到控制機(jī)制的傳輸上執(zhí)行。策略可以基于指定的虛擬機(jī)（特別是在用SDN的時(shí)候）但是更像是基于一個(gè)網(wǎng)段或者子網(wǎng)。這種構(gòu)架除了可被使用外，也可用在增加基于交換的控制。

2.5 利用云自身網(wǎng)絡(luò)層機(jī)制實(shí)現(xiàn)網(wǎng)絡(luò)安全控制

網(wǎng)絡(luò)安全控制可以不通過安裝在Hypervisor里來添加到虛擬環(huán)境中，也無需借助SDN方式實(shí)現(xiàn)流量牽引。

這種架構(gòu)借助云平臺(tái)自身的網(wǎng)絡(luò)通信機(jī)制實(shí)現(xiàn)，通過vlan標(biāo)簽轉(zhuǎn)換技術(shù)實(shí)現(xiàn)流量牽引，僅將管理員關(guān)心的業(yè)務(wù)虛擬機(jī)的流量進(jìn)行牽引，管理員不關(guān)心的業(yè)務(wù)虛擬機(jī)流量不被牽引（參見圖4）。借助云平臺(tái)提供的虛擬交換機(jī)：創(chuàng)建一個(gè)引流專用的虛擬交換機(jī)，并在該交換機(jī)上創(chuàng)建一個(gè)私有vlan（僅在本地生效）；將希望被保護(hù)的業(yè)務(wù)虛擬機(jī)接到引流虛擬交換機(jī)的私有vlan中；虛擬防火墻通過trunk與引流交換機(jī)相連；虛擬防火墻將檢測(cè)后的流量通過trunk鏈路發(fā)送給被保護(hù)業(yè)務(wù)虛擬機(jī)原來所在的虛擬交換機(jī)。

圖4 利用云平臺(tái)自身網(wǎng)絡(luò)層機(jī)制實(shí)現(xiàn)流量牽引

因?yàn)樵摷軜?gòu)沒有借助云平臺(tái)自身的API接口，而是通過云平臺(tái)提供的虛擬交換機(jī)進(jìn)行流量牽引，因此需要額外創(chuàng)建引流用交換機(jī)。

3 總結(jié)

上述五種安全架構(gòu)都從一定程度解決了虛擬化安全問題，然而其側(cè)重點(diǎn)并不相同，有的側(cè)重于終端安全防護(hù)，有的側(cè)重網(wǎng)絡(luò)層安全防護(hù)。高校可根據(jù)自身建設(shè)方向選擇相應(yīng)的架構(gòu)，或同時(shí)采用多種架構(gòu)。

李富宇，大連外國(guó)語(yǔ)大學(xué)，副教授，研究方向：網(wǎng)絡(luò)安全、大數(shù)據(jù)。

本論文是2016年遼寧省教育廳一般項(xiàng)目《基于微隔離技術(shù)的云計(jì)算安全研究》（項(xiàng)目編號(hào)2016JYT02）的研究成果。