在云數(shù)據(jù)中心中實(shí)施等級(jí)保護(hù)

責(zé)任編輯:editor004

2014-07-01 11:39:46

摘自:賽迪網(wǎng)

由內(nèi)向內(nèi)的攻擊:云數(shù)據(jù)中心內(nèi)部同一臺(tái)物理服務(wù)器VM(虛擬機(jī))之間的攻擊。但此類方案的缺點(diǎn)在于:安全設(shè)備占用服務(wù)器的資源,且受制于虛擬操作系統(tǒng),因此在靈活性上受到很大的制約。與VEPA技術(shù)方案不同的是,VN-Tag技術(shù)的實(shí)現(xiàn)會(huì)受到服務(wù)器物理網(wǎng)卡和交換設(shè)備硬件支持的制約

當(dāng)用戶進(jìn)行云數(shù)據(jù)中心建設(shè)時(shí),如果同時(shí)需要參考等級(jí)保護(hù)的相關(guān)要求進(jìn)行整改,那么用戶是否會(huì)面對(duì)這樣的痛苦:云數(shù)據(jù)中心在引入虛擬化技術(shù)后,不同業(yè)務(wù)的邊界延伸到服務(wù)器內(nèi)部,這使得分級(jí)分域隔離的等級(jí)保護(hù)建設(shè)思路面臨無法落地的尷尬。為此,筆者提出一個(gè)簡(jiǎn)易可行的辦法,保障用戶在云數(shù)據(jù)中心中依然可以實(shí)施等級(jí)保護(hù)的分級(jí)分域隔離。

對(duì)于云數(shù)據(jù)中心,在實(shí)施等保的過程中,如何防范安全區(qū)域邊界環(huán)境的攻擊往往是難點(diǎn)。有別于傳統(tǒng)的攻擊方式,由于增加了虛擬化層面的部署,邊界受攻擊的范圍也隨之增加。為此,我們必須要考慮三個(gè)方向的攻擊。

一是由外向內(nèi)的攻擊:由外部網(wǎng)絡(luò)向云數(shù)據(jù)中心內(nèi)部發(fā)起的攻擊;

二是由內(nèi)向外的攻擊:由云數(shù)據(jù)中心向外部網(wǎng)絡(luò)發(fā)起的攻擊;

三是由內(nèi)向內(nèi)的攻擊:云數(shù)據(jù)中心內(nèi)部同一臺(tái)物理服務(wù)器VM(虛擬機(jī))之間的攻擊。

對(duì)于“由外向內(nèi)的攻擊”和“由內(nèi)向外的攻擊”,采用傳統(tǒng)網(wǎng)絡(luò)環(huán)境中網(wǎng)絡(luò)設(shè)備、服務(wù)器等物理設(shè)備之間較成熟的邊界安全控制機(jī)制即可實(shí)現(xiàn)(這就是常說的云數(shù)據(jù)中心南北向流量)。

但對(duì)于“由內(nèi)向內(nèi)的攻擊”這種特殊的新環(huán)境(這就是常說的數(shù)據(jù)中心東西向流量),由于在云計(jì)算環(huán)境中同一臺(tái)物理設(shè)備中各VM間的網(wǎng)絡(luò)通信都是采用虛擬以太網(wǎng)交換技術(shù)VEB(Virtual Edge Bridge)在虛擬化平臺(tái)內(nèi)部來處理,各VM之間的網(wǎng)絡(luò)流量不會(huì)經(jīng)過物理網(wǎng)絡(luò)環(huán)境,這就導(dǎo)致在物理網(wǎng)絡(luò)安全設(shè)備上對(duì)這部分不可見網(wǎng)絡(luò)流量的檢測(cè)、分析和控制措施將完全失效。這樣的后果就是在各VM之間可能形成隱蔽信道而被攻擊者利用。因此,如何解決VM之間流量可見性問題,是需要探討的。目前業(yè)界面對(duì)該問題主要有兩類思路。

安全設(shè)備虛擬化

把安全設(shè)備虛擬化,部署到虛擬環(huán)境中,使其在虛擬平臺(tái)內(nèi)部解決流量可視化的問題,在虛擬平臺(tái)內(nèi)部做防護(hù)。對(duì)此,VMware已經(jīng)有了解決思路,它把對(duì)虛擬環(huán)境下安全問題的研究方向集中在了其數(shù)據(jù)中心虛擬化平臺(tái)VMware vSphere的兩個(gè)套件上:VMsafe和vShield。

VMware VMsafe是一組特殊的應(yīng)用程序通用接口組件(API),專門構(gòu)建于VMware ESXi中。利用它可以使合作伙伴或者第三方安全廠商開發(fā)相應(yīng)的虛擬化安全產(chǎn)品(如虛擬化Firewall、虛擬化IDS/IPS等)。這些虛擬化的安全產(chǎn)品直接部署于Hypervisor上的一個(gè)具備特殊權(quán)限的VM中,該VM可以直接訪問Hypervisor中的數(shù)據(jù),因此,可用來監(jiān)視和控制各VM之間接收和發(fā)送的網(wǎng)絡(luò)流量。

VMware vShield是為了保護(hù)虛擬化數(shù)據(jù)中心平臺(tái)VMware vSphere免遭攻擊和誤用而基于VMsafe API開發(fā)的關(guān)鍵安全組件,我們可以理解為保護(hù)VM和分析虛擬平臺(tái)內(nèi)部網(wǎng)絡(luò)流量的虛擬化防火墻。安全管理員可以利用vShield各個(gè)安全模塊部署配置虛擬機(jī)環(huán)境中的各項(xiàng)安全策略。比如: vShield Zones(虛擬防火墻防護(hù))、vShield APP(VM之間入侵防御、流量分析等應(yīng)用層防護(hù))、vShield Edge(VM外圍網(wǎng)絡(luò)安全邊界防御)、vShield agents(虛擬機(jī)掃描終端)等。

另外,Xen虛擬化平臺(tái)也有類似的安全機(jī)制,在Xen Hypervisor上有一個(gè)具備管理接口的特權(quán)VM(Domain 0)。作為Xen Hypervisor的擴(kuò)展,Domain 0可以直接訪問Hypervisor中的數(shù)據(jù),同時(shí)監(jiān)視和控制其它VM實(shí)例(Domain U)之間的網(wǎng)絡(luò)流量。

但此類方案的缺點(diǎn)在于:安全設(shè)備占用服務(wù)器的資源,且受制于虛擬操作系統(tǒng),因此在靈活性上受到很大的制約。

  虛擬環(huán)境內(nèi)部流量牽引至物理網(wǎng)絡(luò)

如果能把虛擬平臺(tái)內(nèi)部的“不可見”流量牽引至物理環(huán)境,那么這部分流量對(duì)于傳統(tǒng)安全防護(hù)設(shè)備來說就“可見”了,就可以采用傳統(tǒng)的安全防護(hù)措施處理虛擬平臺(tái)內(nèi)部的攻擊。而且這樣做的好處是安全設(shè)備不會(huì)占用服務(wù)器自身的計(jì)算資源,且安全設(shè)備有著更高的可擴(kuò)展性,從而實(shí)現(xiàn)更經(jīng)濟(jì)、更有效的安全隔離與防護(hù),這種思路在業(yè)界也已經(jīng)有了多種方案。

1. vSwitch引流方案

在VMware ESX/ESXi環(huán)境下,我們也可以使用內(nèi)置的vSwitch(虛擬交換機(jī))來實(shí)現(xiàn)流量牽引。vSwitch是由VMware ESX/ESXi內(nèi)核提供,是一個(gè)虛擬化的交換機(jī),主要用于同一臺(tái)物理服務(wù)器VM之間互聯(lián)。一個(gè)ESX/ESXi環(huán)境下可以配置多個(gè)vSwitch,每個(gè)vSwitch可以使用一塊或多塊物理服務(wù)器的物理網(wǎng)卡,但是一塊物理網(wǎng)卡只能對(duì)應(yīng)一個(gè)專屬的vSwitch。ESX/ESXi部署后會(huì)默認(rèn)安裝第一臺(tái)虛擬交換機(jī)vSwitch0,用于虛擬機(jī)主控臺(tái)。

利用vSwitch的上述特性,如果為同一個(gè)物理服務(wù)器上的多個(gè)VM分別配置給不同的vSwitch,那么每一個(gè)vSwitch之間的通信流量肯定都是相互隔離的。如圖2所示,如果一個(gè)vSwitch上的VM需要與同一臺(tái)物理服務(wù)器上的另一個(gè)vSwitch上VM通信,那么這部分流量就必須經(jīng)過所對(duì)應(yīng)的物理網(wǎng)卡,從而將流量牽引至物理網(wǎng)絡(luò),這樣就能使用傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)機(jī)制來對(duì)VM之間的流量進(jìn)行監(jiān)控與防護(hù)。

2. VEPA引流方案

利用vSwitch與物理網(wǎng)卡配合的方式可以牽引出虛擬平臺(tái)內(nèi)部不同vSwitch下VM之間流量,那么同一個(gè)vSwitch下各VM之間的網(wǎng)絡(luò)流量如何處理,是否能夠牽引出物理網(wǎng)絡(luò)?這又是一個(gè)新問題。

目前業(yè)界已經(jīng)有了邊緣虛擬橋接EVB(Edge Virtual Bridging)標(biāo)準(zhǔn),即IEEE 802.1Qbg標(biāo)準(zhǔn)。標(biāo)準(zhǔn)中的虛擬以太端口匯聚器VEPA(Virtual Ethernet Port Aggregator)技術(shù)就是解決將VM之間產(chǎn)生的網(wǎng)絡(luò)流量全部牽引至與服務(wù)器外部上聯(lián)的物理交換機(jī)進(jìn)行處理轉(zhuǎn)發(fā)的問題。也就是說在VEPA環(huán)境下,虛擬環(huán)境內(nèi)部VM之間網(wǎng)絡(luò)通信流量不會(huì)再采用VEB(可以理解為vSwitch)機(jī)制在虛擬化平臺(tái)內(nèi)部來處理,而是被強(qiáng)制牽引至服務(wù)器物理網(wǎng)卡外部,由網(wǎng)卡上聯(lián)的VEPA交換機(jī)接收并處理后才轉(zhuǎn)發(fā)回虛擬平臺(tái)內(nèi)部。

與vSwitch技術(shù)方案類似,VEPA牽引流量的方案采用純軟件方式即可實(shí)現(xiàn)。

3. VN-Tag引流方案

除了VEPA技術(shù)之外,思科的私有虛擬化網(wǎng)絡(luò)控制協(xié)議VN-Tag(目前是IEEE 802.1 Qbh)也能夠?qū)崿F(xiàn)將虛擬平臺(tái)內(nèi)部VM之間流量牽引至外部物理交換機(jī)來處理轉(zhuǎn)發(fā),實(shí)現(xiàn)方式主要是在傳統(tǒng)以太網(wǎng)幀基礎(chǔ)上增加VN-Tag幀頭以標(biāo)識(shí)每個(gè)VM所綁定的虛擬接口。但是與VEPA技術(shù)方案不同的是,VN-Tag技術(shù)的實(shí)現(xiàn)會(huì)受到服務(wù)器物理網(wǎng)卡和交換設(shè)備硬件支持的制約。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)