當(dāng)用戶(hù)進(jìn)行云數(shù)據(jù)中心建設(shè)時(shí),如果同時(shí)需要參考等級(jí)保護(hù)的相關(guān)要求進(jìn)行整改,那么用戶(hù)是否會(huì)面對(duì)這樣的痛苦:云數(shù)據(jù)中心在引入虛擬化技術(shù)后,不同業(yè)務(wù)的邊界延伸到服務(wù)器內(nèi)部,這使得分級(jí)分域隔離的等級(jí)保護(hù)建設(shè)思路面臨無(wú)法落地的尷尬。為此,筆者提出一個(gè)簡(jiǎn)易可行的辦法,保障用戶(hù)在云數(shù)據(jù)中心中依然可以實(shí)施等級(jí)保護(hù)的分級(jí)分域隔離。
對(duì)于云數(shù)據(jù)中心,在實(shí)施等保的過(guò)程中,如何防范安全區(qū)域邊界環(huán)境的攻擊往往是難點(diǎn)。有別于傳統(tǒng)的攻擊方式,由于增加了虛擬化層面的部署,邊界受攻擊的范圍也隨之增加。為此,我們必須要考慮三個(gè)方向的攻擊。
一是由外向內(nèi)的攻擊:由外部網(wǎng)絡(luò)向云數(shù)據(jù)中心內(nèi)部發(fā)起的攻擊;
二是由內(nèi)向外的攻擊:由云數(shù)據(jù)中心向外部網(wǎng)絡(luò)發(fā)起的攻擊;
三是由內(nèi)向內(nèi)的攻擊:云數(shù)據(jù)中心內(nèi)部同一臺(tái)物理服務(wù)器VM(虛擬機(jī))之間的攻擊。
對(duì)于“由外向內(nèi)的攻擊”和“由內(nèi)向外的攻擊”,采用傳統(tǒng)網(wǎng)絡(luò)環(huán)境中網(wǎng)絡(luò)設(shè)備、服務(wù)器等物理設(shè)備之間較成熟的邊界安全控制機(jī)制即可實(shí)現(xiàn)(這就是常說(shuō)的云數(shù)據(jù)中心南北向流量)。
但對(duì)于“由內(nèi)向內(nèi)的攻擊”這種特殊的新環(huán)境(這就是常說(shuō)的數(shù)據(jù)中心東西向流量),由于在云計(jì)算環(huán)境中同一臺(tái)物理設(shè)備中各VM間的網(wǎng)絡(luò)通信都是采用虛擬以太網(wǎng)交換技術(shù)VEB(Virtual Edge Bridge)在虛擬化平臺(tái)內(nèi)部來(lái)處理,各VM之間的網(wǎng)絡(luò)流量不會(huì)經(jīng)過(guò)物理網(wǎng)絡(luò)環(huán)境,這就導(dǎo)致在物理網(wǎng)絡(luò)安全設(shè)備上對(duì)這部分不可見(jiàn)網(wǎng)絡(luò)流量的檢測(cè)、分析和控制措施將完全失效。這樣的后果就是在各VM之間可能形成隱蔽信道而被攻擊者利用。因此,如何解決VM之間流量可見(jiàn)性問(wèn)題,是需要探討的。目前業(yè)界面對(duì)該問(wèn)題主要有兩類(lèi)思路。
安全設(shè)備虛擬化
把安全設(shè)備虛擬化,部署到虛擬環(huán)境中,使其在虛擬平臺(tái)內(nèi)部解決流量可視化的問(wèn)題,在虛擬平臺(tái)內(nèi)部做防護(hù)。對(duì)此,VMware已經(jīng)有了解決思路,它把對(duì)虛擬環(huán)境下安全問(wèn)題的研究方向集中在了其數(shù)據(jù)中心虛擬化平臺(tái)VMware vSphere的兩個(gè)套件上:VMsafe和vShield。
VMware VMsafe是一組特殊的應(yīng)用程序通用接口組件(API),專(zhuān)門(mén)構(gòu)建于VMware ESXi中。利用它可以使合作伙伴或者第三方安全廠商開(kāi)發(fā)相應(yīng)的虛擬化安全產(chǎn)品(如虛擬化Firewall、虛擬化IDS/IPS等)。這些虛擬化的安全產(chǎn)品直接部署于Hypervisor上的一個(gè)具備特殊權(quán)限的VM中,該VM可以直接訪問(wèn)Hypervisor中的數(shù)據(jù),因此,可用來(lái)監(jiān)視和控制各VM之間接收和發(fā)送的網(wǎng)絡(luò)流量。
VMware vShield是為了保護(hù)虛擬化數(shù)據(jù)中心平臺(tái)VMware vSphere免遭攻擊和誤用而基于VMsafe API開(kāi)發(fā)的關(guān)鍵安全組件,我們可以理解為保護(hù)VM和分析虛擬平臺(tái)內(nèi)部網(wǎng)絡(luò)流量的虛擬化防火墻。安全管理員可以利用vShield各個(gè)安全模塊部署配置虛擬機(jī)環(huán)境中的各項(xiàng)安全策略。比如: vShield Zones(虛擬防火墻防護(hù))、vShield APP(VM之間入侵防御、流量分析等應(yīng)用層防護(hù))、vShield Edge(VM外圍網(wǎng)絡(luò)安全邊界防御)、vShield agents(虛擬機(jī)掃描終端)等。
另外,Xen虛擬化平臺(tái)也有類(lèi)似的安全機(jī)制,在Xen Hypervisor上有一個(gè)具備管理接口的特權(quán)VM(Domain 0)。作為Xen Hypervisor的擴(kuò)展,Domain 0可以直接訪問(wèn)Hypervisor中的數(shù)據(jù),同時(shí)監(jiān)視和控制其它VM實(shí)例(Domain U)之間的網(wǎng)絡(luò)流量。
但此類(lèi)方案的缺點(diǎn)在于:安全設(shè)備占用服務(wù)器的資源,且受制于虛擬操作系統(tǒng),因此在靈活性上受到很大的制約。
虛擬環(huán)境內(nèi)部流量牽引至物理網(wǎng)絡(luò)
如果能把虛擬平臺(tái)內(nèi)部的“不可見(jiàn)”流量牽引至物理環(huán)境,那么這部分流量對(duì)于傳統(tǒng)安全防護(hù)設(shè)備來(lái)說(shuō)就“可見(jiàn)”了,就可以采用傳統(tǒng)的安全防護(hù)措施處理虛擬平臺(tái)內(nèi)部的攻擊。而且這樣做的好處是安全設(shè)備不會(huì)占用服務(wù)器自身的計(jì)算資源,且安全設(shè)備有著更高的可擴(kuò)展性,從而實(shí)現(xiàn)更經(jīng)濟(jì)、更有效的安全隔離與防護(hù),這種思路在業(yè)界也已經(jīng)有了多種方案。
1. vSwitch引流方案
在VMware ESX/ESXi環(huán)境下,我們也可以使用內(nèi)置的vSwitch(虛擬交換機(jī))來(lái)實(shí)現(xiàn)流量牽引。vSwitch是由VMware ESX/ESXi內(nèi)核提供,是一個(gè)虛擬化的交換機(jī),主要用于同一臺(tái)物理服務(wù)器VM之間互聯(lián)。一個(gè)ESX/ESXi環(huán)境下可以配置多個(gè)vSwitch,每個(gè)vSwitch可以使用一塊或多塊物理服務(wù)器的物理網(wǎng)卡,但是一塊物理網(wǎng)卡只能對(duì)應(yīng)一個(gè)專(zhuān)屬的vSwitch。ESX/ESXi部署后會(huì)默認(rèn)安裝第一臺(tái)虛擬交換機(jī)vSwitch0,用于虛擬機(jī)主控臺(tái)。
利用vSwitch的上述特性,如果為同一個(gè)物理服務(wù)器上的多個(gè)VM分別配置給不同的vSwitch,那么每一個(gè)vSwitch之間的通信流量肯定都是相互隔離的。如圖2所示,如果一個(gè)vSwitch上的VM需要與同一臺(tái)物理服務(wù)器上的另一個(gè)vSwitch上VM通信,那么這部分流量就必須經(jīng)過(guò)所對(duì)應(yīng)的物理網(wǎng)卡,從而將流量牽引至物理網(wǎng)絡(luò),這樣就能使用傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)機(jī)制來(lái)對(duì)VM之間的流量進(jìn)行監(jiān)控與防護(hù)。
2. VEPA引流方案
利用vSwitch與物理網(wǎng)卡配合的方式可以牽引出虛擬平臺(tái)內(nèi)部不同vSwitch下VM之間流量,那么同一個(gè)vSwitch下各VM之間的網(wǎng)絡(luò)流量如何處理,是否能夠牽引出物理網(wǎng)絡(luò)?這又是一個(gè)新問(wèn)題。
目前業(yè)界已經(jīng)有了邊緣虛擬橋接EVB(Edge Virtual Bridging)標(biāo)準(zhǔn),即IEEE 802.1Qbg標(biāo)準(zhǔn)。標(biāo)準(zhǔn)中的虛擬以太端口匯聚器VEPA(Virtual Ethernet Port Aggregator)技術(shù)就是解決將VM之間產(chǎn)生的網(wǎng)絡(luò)流量全部牽引至與服務(wù)器外部上聯(lián)的物理交換機(jī)進(jìn)行處理轉(zhuǎn)發(fā)的問(wèn)題。也就是說(shuō)在VEPA環(huán)境下,虛擬環(huán)境內(nèi)部VM之間網(wǎng)絡(luò)通信流量不會(huì)再采用VEB(可以理解為vSwitch)機(jī)制在虛擬化平臺(tái)內(nèi)部來(lái)處理,而是被強(qiáng)制牽引至服務(wù)器物理網(wǎng)卡外部,由網(wǎng)卡上聯(lián)的VEPA交換機(jī)接收并處理后才轉(zhuǎn)發(fā)回虛擬平臺(tái)內(nèi)部。
與vSwitch技術(shù)方案類(lèi)似,VEPA牽引流量的方案采用純軟件方式即可實(shí)現(xiàn)。
3. VN-Tag引流方案
除了VEPA技術(shù)之外,思科的私有虛擬化網(wǎng)絡(luò)控制協(xié)議VN-Tag(目前是IEEE 802.1 Qbh)也能夠?qū)崿F(xiàn)將虛擬平臺(tái)內(nèi)部VM之間流量牽引至外部物理交換機(jī)來(lái)處理轉(zhuǎn)發(fā),實(shí)現(xiàn)方式主要是在傳統(tǒng)以太網(wǎng)幀基礎(chǔ)上增加VN-Tag幀頭以標(biāo)識(shí)每個(gè)VM所綁定的虛擬接口。但是與VEPA技術(shù)方案不同的是,VN-Tag技術(shù)的實(shí)現(xiàn)會(huì)受到服務(wù)器物理網(wǎng)卡和交換設(shè)備硬件支持的制約。
京公網(wǎng)安備 11010502049343號(hào)