對于云數(shù)據(jù)中心,在實施等保的過程中,如何防范安全區(qū)域邊界環(huán)境的攻擊往往是難點。有別于傳統(tǒng)的攻擊方式,由于增加了虛擬化層面的部署,邊界受攻擊的范圍也隨之增加。為此,我們必須要考慮三個方向的攻擊。
當(dāng)用戶進(jìn)行云數(shù)據(jù)中心建設(shè)時,如果同時需要參考等級保護(hù)的相關(guān)要求進(jìn)行整改,那么用戶是否會面對這樣的痛苦:云數(shù)據(jù)中心在引入虛擬化技術(shù)后,不同業(yè)務(wù)的邊界延伸到服務(wù)器內(nèi)部,這使得分級分域隔離的等級保護(hù)建設(shè)思路面臨無法落地的尷尬。為此,筆者提出一個簡易可行的辦法,保障用戶在云數(shù)據(jù)中心中依然可以實施等級保護(hù)的分級分域隔離。
防范安全區(qū)域邊界環(huán)境攻擊是難點
對于云數(shù)據(jù)中心,在實施等保的過程中,如何防范安全區(qū)域邊界環(huán)境的攻擊往往是難點。有別于傳統(tǒng)的攻擊方式,由于增加了虛擬化層面的部署,邊界受攻擊的范圍也隨之增加。為此,我們必須要考慮三個方向的攻擊。
一是由外向內(nèi)的攻擊:由外部網(wǎng)絡(luò)向云數(shù)據(jù)中心內(nèi)部發(fā)起的攻擊;二是由內(nèi)向外的攻擊:由云數(shù)據(jù)中心向外部網(wǎng)絡(luò)發(fā)起的攻擊;三是由內(nèi)向內(nèi)的攻擊:云數(shù)據(jù)中心內(nèi)部同一臺物理服務(wù)器VM(虛擬機(jī))之間的攻擊。
對于“由外向內(nèi)的攻擊”和“由內(nèi)向外的攻擊”,采用傳統(tǒng)網(wǎng)絡(luò)環(huán)境中網(wǎng)絡(luò)設(shè)備、服務(wù)器等物理設(shè)備之間較成熟的邊界安全控制機(jī)制即可實現(xiàn)(這就是常說的云數(shù)據(jù)中心南北向流量)。
但對于“由內(nèi)向內(nèi)的攻擊”這種特殊的新環(huán)境(這就是常說的數(shù)據(jù)中心東西向流量),由于在云計算環(huán)境中同一臺物理設(shè)備中各VM間的網(wǎng)絡(luò)通信都是采用虛擬以太網(wǎng)交換技術(shù)VEB(Virtual Edge Bridge)在虛擬化平臺內(nèi)部來處理,各VM之間的網(wǎng)絡(luò)流量不會經(jīng)過物理網(wǎng)絡(luò)環(huán)境,這就導(dǎo)致在物理網(wǎng)絡(luò)安全設(shè)備上對這部分不可見網(wǎng)絡(luò)流量的檢測、分析和控制措施將完全失效。這樣的后果就是在各VM之間可能形成隱蔽信道而被攻擊者利用。因此,如何解決VM之間流量可見性問題,是需要探討的。目前業(yè)界面對該問題主要有兩類思路。
安全設(shè)備虛擬化
把安全設(shè)備虛擬化,部署到虛擬環(huán)境中,使其在虛擬平臺內(nèi)部解決流量可視化的問題,在虛擬平臺內(nèi)部做防護(hù)。對此,VMware已經(jīng)有了解決思路,它把對虛擬環(huán)境下安全問題的研究方向集中在了其數(shù)據(jù)中心虛擬化平臺VMware vSphere的兩個套件上:VMsafe和vShield。
VMware VMsafe是一組特殊的應(yīng)用程序通用接口組件(API),專門構(gòu)建于VMware ESXi中。利用它可以使合作伙伴或者第三方安全廠商開發(fā)相應(yīng)的虛擬化安全產(chǎn)品(如虛擬化Firewall、虛擬化IDS/IPS等)。這些虛擬化的安全產(chǎn)品直接部署于Hypervisor上的一個具備特殊權(quán)限的VM中,該VM可以直接訪問Hypervisor中的數(shù)據(jù),因此,可用來監(jiān)視和控制各VM之間接收和發(fā)送的網(wǎng)絡(luò)流量。
VMware vShield是為了保護(hù)虛擬化數(shù)據(jù)中心平臺VMware vSphere免遭攻擊和誤用而基于VMsafe API開發(fā)的關(guān)鍵安全組件,我們可以理解為保護(hù)VM和分析虛擬平臺內(nèi)部網(wǎng)絡(luò)流量的虛擬化防火墻。安全管理員可以利用vShield各個安全模塊部署配置虛擬機(jī)環(huán)境中的各項安全策略。比如: vShield Zones(虛擬防火墻防護(hù))、vShield APP(VM之間入侵防御、流量分析等應(yīng)用層防護(hù))、vShield Edge(VM外圍網(wǎng)絡(luò)安全邊界防御)、vShield agents(虛擬機(jī)掃描終端)等。
另外,Xen虛擬化平臺也有類似的安全機(jī)制,在Xen Hypervisor上有一個具備管理接口的特權(quán)VM(Domain 0)。作為Xen Hypervisor的擴(kuò)展,Domain 0可以直接訪問Hypervisor中的數(shù)據(jù),同時監(jiān)視和控制其它VM實例(Domain U)之間的網(wǎng)絡(luò)流量。
但此類方案的缺點在于:安全設(shè)備占用服務(wù)器的資源,且受制于虛擬操作系統(tǒng),因此在靈活性上受到很大的制約。
虛擬環(huán)境內(nèi)部流量牽引至物理網(wǎng)絡(luò)
如果能把虛擬平臺內(nèi)部的“不可見”流量牽引至物理環(huán)境,那么這部分流量對于傳統(tǒng)安全防護(hù)設(shè)備來說就“可見”了,就可以采用傳統(tǒng)的安全防護(hù)措施處理虛擬平臺內(nèi)部的攻擊。而且這樣做的好處是安全設(shè)備不會占用服務(wù)器自身的計算資源,且安全設(shè)備有著更高的可擴(kuò)展性,從而實現(xiàn)更經(jīng)濟(jì)、更有效的安全隔離與防護(hù),這種思路在業(yè)界也已經(jīng)有了多種方案。
1. vSwitch引流方案
在VMware ESX/ESXi環(huán)境下,我們也可以使用內(nèi)置的vSwitch(虛擬交換機(jī))來實現(xiàn)流量牽引。vSwitch是由VMware ESX/ESXi內(nèi)核提供,是一個虛擬化的交換機(jī),主要用于同一臺物理服務(wù)器VM之間互聯(lián)。一個ESX/ESXi環(huán)境下可以配置多個vSwitch,每個vSwitch可以使用一塊或多塊物理服務(wù)器的物理網(wǎng)卡,但是一塊物理網(wǎng)卡只能對應(yīng)一個專屬的vSwitch。ESX/ESXi部署后會默認(rèn)安裝第一臺虛擬交換機(jī)vSwitch0,用于虛擬機(jī)主控臺。
利用vSwitch的上述特性,如果為同一個物理服務(wù)器上的多個VM分別配置給不同的vSwitch,那么每一個vSwitch之間的通信流量肯定都是相互隔離的。如圖2所示,如果一個vSwitch上的VM需要與同一臺物理服務(wù)器上的另一個vSwitch上VM通信,那么這部分流量就必須經(jīng)過所對應(yīng)的物理網(wǎng)卡,從而將流量牽引至物理網(wǎng)絡(luò),這樣就能使用傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)機(jī)制來對VM之間的流量進(jìn)行監(jiān)控與防護(hù)。
2. VEPA引流方案
利用vSwitch與物理網(wǎng)卡配合的方式可以牽引出虛擬平臺內(nèi)部不同vSwitch下VM之間流量,那么同一個vSwitch下各VM之間的網(wǎng)絡(luò)流量如何處理,是否能夠牽引出物理網(wǎng)絡(luò)?這又是一個新問題。
目前業(yè)界已經(jīng)有了邊緣虛擬橋接EVB(Edge Virtual Bridging)標(biāo)準(zhǔn),即IEEE 802.1Qbg標(biāo)準(zhǔn)。標(biāo)準(zhǔn)中的虛擬以太端口匯聚器VEPA(Virtual Ethernet Port Aggregator)技術(shù)就是解決將VM之間產(chǎn)生的網(wǎng)絡(luò)流量全部牽引至與服務(wù)器外部上聯(lián)的物理交換機(jī)進(jìn)行處理轉(zhuǎn)發(fā)的問題。也就是說在VEPA環(huán)境下,虛擬環(huán)境內(nèi)部VM之間網(wǎng)絡(luò)通信流量不會再采用VEB(可以理解為vSwitch)機(jī)制在虛擬化平臺內(nèi)部來處理,而是被強(qiáng)制牽引至服務(wù)器物理網(wǎng)卡外部,由網(wǎng)卡上聯(lián)的VEPA交換機(jī)接收并處理后才轉(zhuǎn)發(fā)回虛擬平臺內(nèi)部。
與vSwitch技術(shù)方案類似,VEPA牽引流量的方案采用純軟件方式即可實現(xiàn)。
3. VN-Tag引流方案
除了VEPA技術(shù)之外,思科的私有虛擬化網(wǎng)絡(luò)控制協(xié)議VN-Tag(目前是IEEE 802.1 Qbh)也能夠?qū)崿F(xiàn)將虛擬平臺內(nèi)部VM之間流量牽引至外部物理交換機(jī)來處理轉(zhuǎn)發(fā),實現(xiàn)方式主要是在傳統(tǒng)以太網(wǎng)幀基礎(chǔ)上增加VN-Tag幀頭以標(biāo)識每個VM所綁定的虛擬接口。但是與VEPA技術(shù)方案不同的是,VN-Tag技術(shù)的實現(xiàn)會受到服務(wù)器物理網(wǎng)卡和交換設(shè)備硬件支持的制約。
河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年,專注服務(wù)器托管租用,是國家工信部認(rèn)定的綜合電信服務(wù)運營商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù),另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù),使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時售后服務(wù)電話:
0371-60135900
虛擬主機(jī)/智能建站 24小時售后服務(wù)電話:
0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報電話:
0371-60135995
服務(wù)熱線:
0371-60135900