文/東方有線網(wǎng)絡(luò)有限公司網(wǎng)管中心 王遠(yuǎn)偉

虛擬化安全解決方案

文/東方有線網(wǎng)絡(luò)有限公司網(wǎng)管中心 王遠(yuǎn)偉

1.背景

在云計(jì)算進(jìn)行得如火如荼的今天，其安全問題日益突出。眾所周知云計(jì)算的典型特征是將IT的各類資源進(jìn)行池化，并以可度量的服務(wù)形式提供或交付給用戶。虛擬化技術(shù)是實(shí)現(xiàn)資源池化的基礎(chǔ)，其實(shí)現(xiàn)了物理資源的邏輯抽象和統(tǒng)一表示。通過虛擬化技術(shù)可以提高資源的利用率，并能根據(jù)用戶業(yè)務(wù)需求的變化，快速、靈活地進(jìn)行自由部署。要建設(shè)一個成熟的云平臺，必須實(shí)現(xiàn)服務(wù)器虛擬化、網(wǎng)絡(luò)虛擬化、存儲虛擬化三大關(guān)鍵技術(shù)?？梢哉f是虛擬化為我們帶來了“云”，同時也是云計(jì)算區(qū)別于傳統(tǒng)計(jì)算模式的重要標(biāo)志。

2.虛擬化引起的安全挑戰(zhàn)

虛擬化的目的就是虛擬化出一個或多個租戶相互隔離的執(zhí)行環(huán)境，用于運(yùn)行操作系統(tǒng)及應(yīng)用或者進(jìn)行數(shù)據(jù)通訊。然而，由于虛擬化技術(shù)大規(guī)模的應(yīng)用，打破了傳統(tǒng)的網(wǎng)絡(luò)邊界的劃分方式，網(wǎng)絡(luò)邊界變的模糊和動態(tài)，特別是虛擬機(jī)的網(wǎng)絡(luò)通信方式發(fā)生了徹底的改變。這些都給傳統(tǒng)安全帶來了挑戰(zhàn)，具體如下：

VM通訊流量不可視：同一物理機(jī)內(nèi)部的虛擬機(jī)之間進(jìn)行數(shù)據(jù)交換時并不經(jīng)過傳統(tǒng)的網(wǎng)絡(luò)接入層交換機(jī)，直接導(dǎo)致虛擬機(jī)之間的流量不可視，無法實(shí)現(xiàn)虛擬機(jī)之間的隔離控制，無法做到流量數(shù)據(jù)監(jiān)控和審計(jì)等。

網(wǎng)絡(luò)邊界不固定：分布式資源調(diào)度或者虛擬機(jī)遷移造成邊界動態(tài)變化，VM新遷移的運(yùn)行環(huán)境可能存在安全風(fēng)險。同時虛擬化的網(wǎng)絡(luò)結(jié)構(gòu)，使得傳統(tǒng)的分區(qū)分域防護(hù)變得難以實(shí)現(xiàn)。

資源惡意競爭：多虛擬機(jī)共享同一硬件環(huán)境，經(jīng)常出現(xiàn)惡意搶占資源，例如一臺VM對另一臺VM發(fā)起DDOS攻擊，影響服務(wù)水平。

虛擬機(jī)間無法隔離：同一臺服務(wù)器上不同租戶間的VM之間無法做到有效的隔離，因?yàn)楸姸嘧鈶舻膽?yīng)用和數(shù)據(jù)共享同一套虛擬化軟件和基礎(chǔ)設(shè)施。

虛擬化平臺自身安全：因虛擬化平臺自身存在漏洞，因此由虛擬機(jī)做為跳板通過網(wǎng)絡(luò)攻擊虛擬化平臺管理API接口或由虛擬機(jī)通過漏洞直接攻擊底層的虛擬化平臺，將導(dǎo)致整個云平臺癱瘓。

管理員權(quán)限過度集中：在傳統(tǒng)數(shù)據(jù)中心，服務(wù)器、網(wǎng)絡(luò)、存儲與數(shù)據(jù)等通常分別由不同管理員進(jìn)行管理，但在虛擬化環(huán)境管理，往往都由同一管理員負(fù)責(zé)，并缺少對管理員的權(quán)限控制，操作審計(jì)以及合規(guī)性檢查。

基于主機(jī)安全技術(shù)手段無法應(yīng)用：目前傳統(tǒng)的安全措施和工具都是基于物理機(jī)開發(fā)的，在虛擬機(jī)環(huán)境下針對單個VM并不適用。

虛擬機(jī)安全管理復(fù)雜：要管理同一時刻上千臺的虛擬機(jī)的安全狀態(tài)和策略，無論是管理難度和強(qiáng)度都是巨大的。

3.虛擬化安全解決方案

因此在深入分析由于虛擬化軟件和服務(wù)器虛擬化引起的各類安全問題基礎(chǔ)上，并結(jié)合分析當(dāng)前主流的虛擬化安全解決思路，在傳統(tǒng)安全防護(hù)的基礎(chǔ)上，應(yīng)深入hypervisor層增加安全控制手段，直接將安全網(wǎng)關(guān)虛擬化以軟件的形式安裝在hypervisor層的三層防御體系思路，從網(wǎng)絡(luò)層面，系統(tǒng)層面，管理層面三個層面對虛擬化環(huán)境進(jìn)行安全保護(hù)。重點(diǎn)解決不同虛擬機(jī)之間的網(wǎng)絡(luò)訪問控制層面上的安全防護(hù)和hypervisor層的安全。

防御體系思路上通過部署虛擬安全網(wǎng)關(guān)，該網(wǎng)關(guān)具備相關(guān)物理硬件設(shè)備的一切安全功能，由集中管理平臺、虛擬化安全網(wǎng)關(guān)vGate、客戶系統(tǒng)內(nèi)安全代理、虛擬化平臺接入引擎四個組件構(gòu)成，并以虛擬機(jī)形式安裝和運(yùn)行。通過接入引擎將需要進(jìn)行安全檢查的流量指向VGate，由Vgate實(shí)現(xiàn)對所有虛擬機(jī)之間以及虛擬化平臺本身的網(wǎng)絡(luò)通信進(jìn)行掃描、防護(hù)和控制。從而做到安全檢查和流量監(jiān)控審計(jì)等，虛擬安全網(wǎng)關(guān)不僅能提供高效的安全處理，還能通過集中管理平臺實(shí)現(xiàn)虛擬機(jī)策略的集中管理，并提供靈活的策略和網(wǎng)絡(luò)配置。

4.方案效果

1.實(shí)現(xiàn)全面的安全防護(hù)：基于安全高效的虛擬化安全網(wǎng)關(guān)實(shí)現(xiàn)了對管理層、系統(tǒng)層、網(wǎng)絡(luò)層的安全防護(hù)，徹底解決了主機(jī)虛擬化和網(wǎng)絡(luò)虛擬化產(chǎn)生的安全問題，同時加強(qiáng)了對hypervisor層的監(jiān)控。

2.實(shí)現(xiàn)全景安全監(jiān)控：采用集中管理平臺對全網(wǎng)安全事件以及虛擬機(jī)運(yùn)行狀態(tài)集中監(jiān)控和報(bào)警。

3.實(shí)現(xiàn)高效虛擬機(jī)安全管理： 通過TP實(shí)現(xiàn)對單個虛擬機(jī)的安全策略配置，并自動實(shí)現(xiàn)相應(yīng)的策略部署、動態(tài)遷移等。提升管理和維護(hù)效率，降低用戶管理成本。

4.實(shí)現(xiàn)安全服務(wù)虛擬化：虛擬安全網(wǎng)關(guān)系統(tǒng)支持虛擬化功能，在邏輯上分為多個虛擬網(wǎng)關(guān)系統(tǒng)，具備獨(dú)立的管理員和策略配置系統(tǒng)，可以為多租戶的應(yīng)用提供獨(dú)立的安全服務(wù)。