浅析虚拟化环境下的安全防护

摘 要：虚拟化技术给数据中心的运营带来了很大改变。它提高了业务的可靠性和可用性。但在其带来众多便利的同时，也给数据中心的安全带来了新的挑战。如何为虚拟环境提供完善、可靠的安全防护，是我们需要面对的现实问题。

关键词：虚拟化环境；安全防护

中图分类号：TP393.08

1 研究背景

随着虚拟化技术不断成熟及普及，各行业掀起了数据中心虚拟化改造的热潮。虚拟化技术给数据中心的运营带来了很大的改变，IT部门无需再因为新业务的上线而考虑购置新的设备、计算电力及冷却系统是否能够承载新业务的上线，仅仅只需要从虚拟计算池中划出适合的计算资源构建虚拟服务器即可将新业务上线，提高数据中心计算资源的使用率。虚拟服务器通过与虚拟计算平台中的虚拟交换网络进行连接从而达到他们之间的数据交换的目的，由于数据始终在虚拟计算平台中交互使得数据中心的区域边界变得越发模糊，同时外部物理安全设备无法对数据进行检测分析，导致无法对数据的流向以及内容进行有效的控制，由此带来了数据的不可视、不可控等问题，另外虚拟服务器的故障迁移的随机性使得物理安全设备的策略调整带来非常大的挑战。因此，对于解决虚拟计算环境的边界安全问题，传统网关技术早已束手无策，而此时更需要依靠下一代网关相关技术来提供一套体系化的边界安全解决方案。

2 数据中心虚拟化安全需求

在利用现有成熟安全防护技术解决好当前信息安全存在的普遍性安全威胁后，现阶段虚拟化环境下的安全防护重点主要考虑虚拟机与虚拟机和虚拟机与客户端之间交互流量安全问题。分析虚拟环境下流量的流向，对于虚拟化环境下流量的可视化和管控有重要意义，目前对于虚拟机的数据流向可以分为2类：纵向流量和横向流量。

3 虚拟化环境下纵向流量分析

目前多数数据中心的虚拟化建设都处于单中心虚拟环境阶段，通过引入虚拟化技术建立虚拟计算池，逐步将应用系统迁移至虚拟化平台上，这个阶段初期典型特征就是实体服务器及虚拟服务器共存，先将非重要业务迁移到虚拟平台上，重要业务系统仍部署于实体服务器上，如下图所示：

图1

初期阶段虚拟化平台搭建主要是客户端去访问虚拟环境下的虚拟机。这个阶段虚拟化环境下网络的流量以纵向为主，纵向流量主要是外部客户端到虚拟机的访问请求，以及在同一台宿主机上的不同虚拟机通过物理接入交换机和客户端进行的数据交互。业务服务器通过物理交换机到达安全设备进行过滤，针对虚拟服务器的访问大多需要通过接入层交换机及安全设备，这种模式下的安全防护仍以传统的安全防护方式为主，与传统的数据中心的安全防护相比没有本质区别，可以在业务服务器区域边界部署边界网关类安全产品，同时在数据交互的物理交换机部署网络审计系统或入侵检测系统，对虚拟化环境下的虚拟机做安全防护和审计及病毒检测。

4 虚拟化环境下横向流量分析

完成基础虚拟化平台搭建后，企业大部分业务都迁移到虚拟平台上，由于业务种类的不同，需要在虚拟平台内划分安全域，如下图所示：

图2

虚拟平台承载业务的增加以及安全域划分后，同一层次上不同安全域和同一安全域的虚拟机之间的互访增多，这时网络的流量以横向为主。横向流量安全问题是指在虚拟环境下，虚拟机之间互访流量不可视、不可控所产生的特定问题。在同一台宿主机上的不同虚拟机之间交互，所产生的网络流量，不通过物理接入交换机，导致传统网络安全设备无法对同宿主机上的不同虚拟机之间交互流量进行监控，同时无法对虚拟机与虚拟机之间做安全隔离。一旦同宿主机上的一台虚拟机被黑客入侵取得控制权限，就可以对同宿主机上的其他虚拟机发起攻击，由于同宿主机上的不同虚拟机没有任何安全防护措施，且无法对流量进行监控，黑客很容易在用户不知情情况下获得整个服务器群的控制权。从安全防护角度看需要能够识别横向流量，判断是否符合相关安全策略，且应该能够判断出数据流是否具有攻击特征。

5 虚拟化环境安全防护

虚拟环境下将各种应用均迁移到虚拟计算环境中，出于各种安全需求虚拟计算环境中仍需按照原有架构进行安全域的划分，按照相关安全标准域内及域间的网络流量需要做到可控、可视及可记录，从技术思路与网络防护上主要有以下两种方式：

一种方式是将物理安全网关移植到虚拟平台上，以虚拟安全网关形式接入虚拟计算平台的vSwitch上，接着通过在虚拟平台引入安全接入引擎将所有虚拟系统数据导入虚拟安全网关上进行控制及过滤后再发往相应的目的虚拟系统，主要是配合IEEE 802.1Qbg和802.1BR等标准协议，首先将数据转发到外部网络接口上去，如果服务器内部同一vlan内的VM间通信，数据也需要先转发出去，再从网络转发回服务器内寻找对应的目的VM，从而达到虚拟系统间数据交互的可视、可控及可审计的目的。此方案对数据中心网络的改动较小，能够很好的满足数据中心改造的需求，但其虚拟安全网关也存在需要占用物理服务器计算资源的问题，所以对物理服务器的性能有很高的要求。

另外一种方式是将虚拟系统的数据交换仍然交由物理网络设备执行，安全控制及过滤则由物理安全设备负责，所以这种方式就需要在数据中心中加入一台物理交换机，这台交换机需要给每个虚拟系统流量打个全局唯一的标签，虚拟平台外部物理设备应能够识别这种标签，并能够以虚拟系统为单位执行安全过滤及交互。虚拟机之间的流量都牵引到物理接入交换机上，但由于物理服务器内部交互流量两次通过物理网卡与物理接入交换机之间的链路，部署时需要保证拥有足够的网络带宽余量，所以要求加入数据中心的这台物理交换机要有足够的转发性能，这种方案要求网络基础设备及安全设备需要支持和识别这类标签，因这种方案需要对物理设备进行升级改造，故而这种方案并不适用于已在用数据中心的改造。

6 展望

未来云平台虚拟化的技术将向多中心虚拟环境和数据中心云平台为用户提供按需服务（IaaS、PaaS、SaaS）发展，在云平台发展的三个阶段虚拟平台内部的数据交互有着不同的需要，对安全系统的建设也有不同的要求，本文通过对云平台上现阶段虚拟环境下存在横向流量和纵向流量进行了分析，提出了安全防护需求和安全防护建设的建议，确保传统IT基础架构向虚拟化、云计算架构的平滑迁移。

参考文献：

[1]云计算关键领域安全指南[Z].Cloud Security Alliance，2009.

[2]信息安全技术 信息系统安全等级保护基本要求[Z].

[3]信息安全管理实用规则ISO/IEC27001[Z].

作者单位：同济大学 软件学院，上海 201804