數據中心里的虛擬機(VM)越來越多,VM之間流量交換的安全風險開始成為管理員的新麻煩。而在本文中將探討一下聚焦云時代虛擬化環境下對安全的需求以及相應技術方案的發展。
云計算時代虛擬化環境下的安全需求
虛擬化是目前云計算最為重要的技術支撐,需要整個虛擬化環境中的存儲、計算及網絡安全等資源的支持。在這個方面,基于服務器的虛擬化技術走在了前面,已開始廣泛的部署應用。基于該虛擬化環境,系統的安全威脅和防護要求也產生了新的變化:
傳統風險依舊,防護對象擴大
一方面,一些安全風險并沒有因為虛擬化的產生而規避。盡管單個物理服務器可以劃分成多個虛擬機,但是針對每個虛擬機,其業務承載和服務提供和原有的單臺服務器基本相同,因此傳統模型下的服務器所面臨的問題虛擬機也同樣會遇到,諸如對業務系統的訪問安全、不同業務系統之間的安全隔離、服務器或虛擬機的操作系統和應用程序的漏洞攻擊、業務系統的病毒防護等;另一方面,服務器虛擬化的出現,擴大了需要防護的對象范圍,如IPS入侵防御系統就需要考慮以Hypervisor和vCenter為代表的特殊虛擬化軟件,由于其本身所處的特殊位置和在整個系統中的重要性,任何安全漏洞被利用,都將可能導致整個虛擬化環境的全部服務器的配置混亂或業務中斷。
VM之間產生新安全訪問風險
和傳統的安全防護不同,虛擬機環境下同一個服務器上不同的VM可能屬于同一個物理VLAN內,如果相鄰VM之間的流量交換不通過外部交換機,而是基于服務器內部的虛擬交換網絡解決,此時在不可控的情況下,網絡管理員將面臨兩個新的安全問題(如下圖所示):
VM虛擬機之間的安全風險
1)如何判斷VM之間的二層流量交換是規則允許范圍內的合法訪問還是非法訪問?
2)更進一步,即使不同VM之間的流量允許交換,如何判斷這些流量是否存在諸如針對應用層安全漏洞的網絡攻擊行為?
京公網安備 11010502049343號