虛擬DMZ的云配置需要特定的安全策略。專家Dejan Lukan分析了不同種類的虛擬DMZ及它們與物理DMZ的差別。

DMZ，或非軍事區(qū)，是一個主機或小型網(wǎng)絡，主要用來將網(wǎng)絡隔離成多個區(qū)域來加強安全性的設置。這個名詞來源于軍事用語，是指兩個國家之間一塊禁止軍事活動的區(qū)域。DMZ主要用來在對外提供安全的HTTP、FTP、SSH、SMTP等服務的同時將他們保護在內網(wǎng)中。

網(wǎng)絡隔離技術有很多種，包括：

物理網(wǎng)絡隔離：在兩個DMZ之間配置一個網(wǎng)絡，讓其中的通信只能經(jīng)由一個安全裝置實現(xiàn)。在這個安全裝置里面，防火墻及IDS/IPS規(guī)則會監(jiān)控信息包來確認是否接收或拒絕它進入內網(wǎng)。這種技術是最安全但也最昂貴的，因為它需要許多物理設備來將網(wǎng)絡分隔成多個區(qū)塊。

邏輯網(wǎng)絡隔離：這個技術借由虛擬/邏輯設備，而不是物理的設備來隔離不同網(wǎng)段的通信。

虛擬局域網(wǎng)（VLAN）：VLAN工作在第二層，與一個廣播區(qū)域中擁有相同VLAN標簽的接口交互，而一個交換機上的所有接口都默認在同一個廣播區(qū)域。支持VLAN的交換機可以借由使用VLAN標簽的方式將預定義的端口保留在各自的廣播區(qū)域中，從而建立多重的邏輯分隔網(wǎng)絡。

虛擬路由和轉發(fā)：這個技術工作在第三層，允許多個路由表同時共存在同一個路由器上，用一臺設備實現(xiàn)網(wǎng)絡的分區(qū)。

多協(xié)議標簽交換（MPLS）：MPLS工作在第三層，使用標簽而不是保存在路由表里的網(wǎng)絡地址來轉發(fā)數(shù)據(jù)包。標簽是用來辨認數(shù)據(jù)包將被轉發(fā)到的某個遠程節(jié)點。

虛擬交換機：虛擬交換機可以用來將一個網(wǎng)絡與另一個網(wǎng)絡分隔開來。它類似于物理交換機，都是用來轉發(fā)數(shù)據(jù)包，但是用軟件來實現(xiàn)，所以不需要額外的硬件。

虛擬DMZ

VMware的《在VMware基礎架構中實現(xiàn)DMZ虛擬化》白皮書指出，一個虛擬化的DMZ提供了與物理DMZ同樣程度的安全性，從而生成一個同樣安全的虛擬DMZ網(wǎng)絡。在過去幾年中，虛擬化技術的使用有著長足的增長；虛擬機（VM）現(xiàn)在已經(jīng)可以代替物理服務器。同樣的趨勢也發(fā)生在DMZ領域上，為了讓網(wǎng)絡保持正確的隔離及安全性，物理DMZ正在不斷被虛擬DMZ替代著。

《在VMware基礎架構中實現(xiàn)DMZ虛擬化》提供了現(xiàn)今常用的三種典型的虛擬化DMZ配置：

部分緊縮的DMZ加獨立物理信任區(qū)：每一區(qū)都是與別的區(qū)在物理上分隔開，而主機是虛擬機。這個DMZ配置與物理DMZ是一模一樣的，只不過網(wǎng)絡分隔是在物理網(wǎng)絡上實現(xiàn)，而不是在虛擬基礎架構上。

部分緊縮的DMZ加虛擬分隔信任區(qū)：不同區(qū)域是由虛擬化分隔的，但是在同一個物理ESX主機上。每個DMZ使用獨立的虛擬交換機來確保所有連到虛擬交換機上的主機是與其他區(qū)域的主機隔離開的。不同的DMZ之間的通信仍然經(jīng)由連到ESX主機的物理網(wǎng)絡發(fā)生。

完全緊縮的DMZ：在這個場景下，整個DMZ都是虛擬化的，包括虛擬機和交換機，這樣的結果使得不同DMZ之間的通信無法離開ESX主機。

為了保持安全可信的環(huán)境，我們必須解決虛擬DMZ網(wǎng)絡可能存在的各種安全漏洞。以下列舉一些常見的安全漏洞：

管理程序主機入侵：ESX主機上的每個虛擬機都有獨立的虛擬網(wǎng)卡連接到與內網(wǎng)分離的虛擬交換機上。這種類型的配置很安全，不同安全區(qū)域之間是無法通信的，所以被入侵的虛擬機不能被用來轉接一臺內部虛擬機。但易受攻擊的ESX主機卻可以被利用來獲得主機的權限，這讓攻擊者可以直接訪問主機及所有配置的虛擬機。Immunity Inc. 在2008年開發(fā)了一個能夠從突破虛擬機的牢籠并侵入整個主機的Cloudburst攻擊矢量。這種攻擊在過去只發(fā)生過幾次，現(xiàn)在已經(jīng)修復了，但要防備這種攻擊，定期更新虛擬機軟件來達到最高安全級別是很重要的。

虛擬網(wǎng)卡的配置：一個放置在錯誤的虛擬交換機上的網(wǎng)卡可以導致攻擊者取得平常存放在不同且獨立的DMZ中的敏感資訊。為了預防此種錯誤配置，在設置虛擬機時要特別小心。這種錯誤同樣可以輕易的發(fā)生在物理網(wǎng)絡上，當線路被插在錯誤的物理交換機時，所以這個并不是虛擬DMZ環(huán)境所獨有的問題。

訪問服務控制臺/VMkernel：如果一個服務控制臺或VMkernel可以從DMZ網(wǎng)絡訪問的話，攻擊者可以用暴力或字典攻擊來取得密碼，進而取得主機中所有虛擬機的權限。當使用ESX時，管理界面必須要正確的分配在有至少一個專用網(wǎng)卡的專屬虛擬交換機來保持獨立，當然如果有多個專用網(wǎng)卡可以故障轉移就更好。要防止這種攻擊，屬于DMZ里的虛擬機絕對不能和服務控制臺或VMkernel在同一個虛擬交換機上，因為DMZ里被侵入的虛擬機可以被攻擊者用來取得主機里所有虛擬機的權限。

網(wǎng)絡附加存儲（NAS）：網(wǎng)絡附加存儲應該要連接在自己專用的虛擬交換機上，這樣它就無法使DMZ里被入侵的虛擬機訪問。這更進一步的防止網(wǎng)絡被常用在NAS上的ISCSI/NFS協(xié)議的攻擊。

數(shù)據(jù)鏈路層保護：每個虛擬交換機都應該配置成能偵測及抵抗例如MAC欺騙，中間人攻擊和混雜模式的第二層攻擊，這樣能強化整體的網(wǎng)絡安全。

虛擬機資源限制：每個虛擬機都必須有一定的分配資源才能適當?shù)谋Ｗo網(wǎng)絡不受拒絕服務（DoS）攻擊。一個攻擊者如果有了DMZ網(wǎng)絡中一臺虛擬機的權限，他便可以發(fā)出CPU密集操作，占據(jù)大部分的主機資源，使得其他的虛擬機都無法得到資源。這種問題可以很輕易的預防，只要進行適當?shù)馁Y源限制，讓每個虛擬機都有一定比例的可用資源。每個虛擬交換機也應該有多個獨立網(wǎng)卡來對網(wǎng)絡通信進行負載平衡，以避免擁堵。

獨立虛擬交換機上的DMZ：DMZ可以用2種方式創(chuàng)建，一種是將虛擬機放在獨立的虛擬交換機上，另一種是在同一個虛擬交換機上使用多個虛擬局域網(wǎng)。第一種方式是比較好的，因為獨立的虛擬交換機使用分別的獨立網(wǎng)卡，所以物理上將虛擬內網(wǎng)及虛擬外網(wǎng)的通信分開。如果虛擬外網(wǎng)的一個虛擬機想要與內網(wǎng)虛擬機溝通，通信必須經(jīng)由物理路由器和獨立網(wǎng)卡中的防火墻來決定允許或拒絕。

虛擬DMZ配置檢查：虛擬DMZ網(wǎng)絡的每個部分都應該適當?shù)亩ㄆ跈z查來保持最佳的安全實踐。

用戶權限配置：每個管理員都應該屬于不同的用戶組，依照最低權限的原則，這樣能將配置錯誤的影響最小化。

結論

虛擬DMZ安全與物理DMZ安全之間存在一些差異。在配置一個邏輯網(wǎng)絡隔離時有許多技術可以選擇，而每種都會使用虛擬交換機的實現(xiàn)。每種技術隱含著各自的安全問題，這需要用安全的虛擬分隔的DMZ網(wǎng)絡來解決。通過正確的處理針對虛擬DMZ的各種安全擔憂，實現(xiàn)一個與物理DMZ同等安全的虛擬DMZ網(wǎng)絡是完全有可能的。最終，通過使用物理DMZ或者虛擬DMZ，我們可以完成網(wǎng)絡隔離這一項重要的任務。