當(dāng)用戶進(jìn)行云數(shù)據(jù)中心建設(shè)時(shí)，如果同時(shí)需要參考等級保護(hù)的相關(guān)要求進(jìn)行整改，那么用戶是否會(huì)面對這樣的痛苦：云數(shù)據(jù)中心在引入虛擬化技術(shù)后，不同業(yè)務(wù)的邊界延伸到服務(wù)器內(nèi)部，這使得分級分域隔離的等級保護(hù)建設(shè)思路面臨無法落地的尷尬。為此，筆者提出一個(gè)簡易可行的辦法，保障用戶在云數(shù)據(jù)中心中依然可以實(shí)施等級保護(hù)的分級分域隔離。

防范安全區(qū)域邊界環(huán)境攻擊是難點(diǎn)

對于云數(shù)據(jù)中心，在實(shí)施等保的過程中，如何防范安全區(qū)域邊界環(huán)境的攻擊往往是難點(diǎn)。有別于傳統(tǒng)的攻擊方式，由于增加了虛擬化層面的部署，邊界受攻擊的范圍也隨之增加。為此，我們必須要考慮三個(gè)方向的攻擊。

一是由外向內(nèi)的攻擊：由外部網(wǎng)絡(luò)向云數(shù)據(jù)中心內(nèi)部發(fā)起的攻擊;二是由內(nèi)向外的攻擊：由云數(shù)據(jù)中心向外部網(wǎng)絡(luò)發(fā)起的攻擊;三是由內(nèi)向內(nèi)的攻擊：云數(shù)據(jù)中心內(nèi)部同一臺物理服務(wù)器VM(虛擬機(jī))之間的攻擊。

對于“由外向內(nèi)的攻擊”和“由內(nèi)向外的攻擊”，采用傳統(tǒng)網(wǎng)絡(luò)環(huán)境中網(wǎng)絡(luò)設(shè)備、服務(wù)器等物理設(shè)備之間較成熟的邊界安全控制機(jī)制即可實(shí)現(xiàn)(這就是常說的云數(shù)據(jù)中心南北向流量)。

但對于“由內(nèi)向內(nèi)的攻擊”這種特殊的新環(huán)境(這就是常說的數(shù)據(jù)中心東西向流量)，由于在云計(jì)算環(huán)境中同一臺物理設(shè)備中各VM間的網(wǎng)絡(luò)通信都是采用虛擬以太網(wǎng)交換技術(shù)VEB(Virtual Edge Bridge)在虛擬化平臺內(nèi)部來處理，各VM之間的網(wǎng)絡(luò)流量不會(huì)經(jīng)過物理網(wǎng)絡(luò)環(huán)境，這就導(dǎo)致在物理網(wǎng)絡(luò)安全設(shè)備上對這部分不可見網(wǎng)絡(luò)流量的檢測、分析和控制措施將完全失效。這樣的后果就是在各VM之間可能形成隱蔽信道而被攻擊者利用。因此，如何解決VM之間流量可見性問題，是需要探討的。目前業(yè)界面對該問題主要有兩類思路。

安全設(shè)備虛擬化

把安全設(shè)備虛擬化，部署到虛擬環(huán)境中，使其在虛擬平臺內(nèi)部解決流量可視化的問題，在虛擬平臺內(nèi)部做防護(hù)。對此，VMware已經(jīng)有了解決思路，它把對虛擬環(huán)境下安全問題的研究方向集中在了其數(shù)據(jù)中心虛擬化平臺VMware vSphere的兩個(gè)套件上：VMsafe和vShield。

VMware VMsafe是一組特殊的應(yīng)用程序通用接口組件(API)，專門構(gòu)建于VMware ESXi中。利用它可以使合作伙伴或者第三方安全廠商開發(fā)相應(yīng)的虛擬化安全產(chǎn)品(如虛擬化Firewall、虛擬化IDS/IPS等)。這些虛擬化的安全產(chǎn)品直接部署于Hypervisor上的一個(gè)具備特殊權(quán)限的VM中，該VM可以直接訪問Hypervisor中的數(shù)據(jù)，因此，可用來監(jiān)視和控制各VM之間接收和發(fā)送的網(wǎng)絡(luò)流量。

VMware vShield是為了保護(hù)虛擬化數(shù)據(jù)中心平臺VMware vSphere免遭攻擊和誤用而基于VMsafe API開發(fā)的關(guān)鍵安全組件，我們可以理解為保護(hù)VM和分析虛擬平臺內(nèi)部網(wǎng)絡(luò)流量的虛擬化防火墻。安全管理員可以利用vShield各個(gè)安全模塊部署配置虛擬機(jī)環(huán)境中的各項(xiàng)安全策略。比如： vShield Zones(虛擬防火墻防護(hù))、vShield APP(VM之間入侵防御、流量分析等應(yīng)用層防護(hù))、vShield Edge(VM外圍網(wǎng)絡(luò)安全邊界防御)、vShield agents(虛擬機(jī)掃描終端)等。

另外，Xen虛擬化平臺也有類似的安全機(jī)制，在Xen Hypervisor上有一個(gè)具備管理接口的特權(quán)VM(Domain 0)。作為Xen Hypervisor的擴(kuò)展，Domain 0可以直接訪問Hypervisor中的數(shù)據(jù)，同時(shí)監(jiān)視和控制其它VM實(shí)例(Domain U)之間的網(wǎng)絡(luò)流量。

但此類方案的缺點(diǎn)在于：安全設(shè)備占用服務(wù)器的資源，且受制于虛擬操作系統(tǒng)，因此在靈活性上受到很大的制約。

虛擬環(huán)境內(nèi)部流量牽引至物理網(wǎng)絡(luò)

如果能把虛擬平臺內(nèi)部的“不可見”流量牽引至物理環(huán)境，那么這部分流量對于傳統(tǒng)安全防護(hù)設(shè)備來說就“可見”了，就可以采用傳統(tǒng)的安全防護(hù)措施處理虛擬平臺內(nèi)部的攻擊。而且這樣做的好處是安全設(shè)備不會(huì)占用服務(wù)器自身的計(jì)算資源，且安全設(shè)備有著更高的可擴(kuò)展性，從而實(shí)現(xiàn)更經(jīng)濟(jì)、更有效的安全隔離與防護(hù)，這種思路在業(yè)界也已經(jīng)有了多種方案。

1. vSwitch引流方案

在VMware ESX/ESXi環(huán)境下，我們也可以使用內(nèi)置的vSwitch(虛擬交換機(jī))來實(shí)現(xiàn)流量牽引。vSwitch是由VMware ESX/ESXi內(nèi)核提供，是一個(gè)虛擬化的交換機(jī)，主要用于同一臺物理服務(wù)器VM之間互聯(lián)。一個(gè)ESX/ESXi環(huán)境下可以配置多個(gè)vSwitch，每個(gè)vSwitch可以使用一塊或多塊物理服務(wù)器的物理網(wǎng)卡，但是一塊物理網(wǎng)卡只能對應(yīng)一個(gè)專屬的vSwitch。ESX/ESXi部署后會(huì)默認(rèn)安裝第一臺虛擬交換機(jī)vSwitch0，用于虛擬機(jī)主控臺。

利用vSwitch的上述特性，如果為同一個(gè)物理服務(wù)器上的多個(gè)VM分別配置給不同的vSwitch，那么每一個(gè)vSwitch之間的通信流量肯定都是相互隔離的。如圖2所示，如果一個(gè)vSwitch上的VM需要與同一臺物理服務(wù)器上的另一個(gè)vSwitch上VM通信，那么這部分流量就必須經(jīng)過所對應(yīng)的物理網(wǎng)卡，從而將流量牽引至物理網(wǎng)絡(luò)，這樣就能使用傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)機(jī)制來對VM之間的流量進(jìn)行監(jiān)控與防護(hù)。

2. VEPA引流方案

利用vSwitch與物理網(wǎng)卡配合的方式可以牽引出虛擬平臺內(nèi)部不同vSwitch下VM之間流量，那么同一個(gè)vSwitch下各VM之間的網(wǎng)絡(luò)流量如何處理，是否能夠牽引出物理網(wǎng)絡(luò)?這又是一個(gè)新問題。

目前業(yè)界已經(jīng)有了邊緣虛擬橋接EVB(Edge Virtual Bridging)標(biāo)準(zhǔn)，即IEEE 802.1Qbg標(biāo)準(zhǔn)。標(biāo)準(zhǔn)中的虛擬以太端口匯聚器VEPA(Virtual Ethernet Port Aggregator)技術(shù)就是解決將VM之間產(chǎn)生的網(wǎng)絡(luò)流量全部牽引至與服務(wù)器外部上聯(lián)的物理交換機(jī)進(jìn)行處理轉(zhuǎn)發(fā)的問題。也就是說在VEPA環(huán)境下，虛擬環(huán)境內(nèi)部VM之間網(wǎng)絡(luò)通信流量不會(huì)再采用VEB(可以理解為vSwitch)機(jī)制在虛擬化平臺內(nèi)部來處理，而是被強(qiáng)制牽引至服務(wù)器物理網(wǎng)卡外部，由網(wǎng)卡上聯(lián)的VEPA交換機(jī)接收并處理后才轉(zhuǎn)發(fā)回虛擬平臺內(nèi)部。

與vSwitch技術(shù)方案類似，VEPA牽引流量的方案采用純軟件方式即可實(shí)現(xiàn)。

3. VN-Tag引流方案

除了VEPA技術(shù)之外，思科的私有虛擬化網(wǎng)絡(luò)控制協(xié)議VN-Tag(目前是IEEE 802.1 Qbh)也能夠?qū)崿F(xiàn)將虛擬平臺內(nèi)部VM之間流量牽引至外部物理交換機(jī)來處理轉(zhuǎn)發(fā)，實(shí)現(xiàn)方式主要是在傳統(tǒng)以太網(wǎng)幀基礎(chǔ)上增加VN-Tag幀頭以標(biāo)識每個(gè)VM所綁定的虛擬接口。但是與VEPA技術(shù)方案不同的是，VN-Tag技術(shù)的實(shí)現(xiàn)會(huì)受到服務(wù)器物理網(wǎng)卡和交換設(shè)備硬件支持的制約。

河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年，專注服務(wù)器托管租用，是國家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù)，另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù)，使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話：0371-60135900
虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話：0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報(bào)電話：0371-60135995
服務(wù)熱線：0371-60135900