唐建军 刘帅辰
【摘要】 近年来,虚拟化技术已普遍应用于各运营商,尤其是IDC资源应用较广多,但目前虚拟化资源池安全防护主要靠传统监控与防护手段,难以发现云资源池中恶意网络行为,缺乏发现与监控可疑行为的能力,同时工信部及国家对运营商互联网接入业务的各种考核要求越来越多。为了有效落实各项考核要求,有效解决虚拟化安全防护,本文结合虚拟化系统特点,提出了相关虚拟化导流、虚拟安全产品部署技术及实际案例,旨在提升运营商安全监管能力,进一步巩固和提升用户占有率。
【关键词】 Hypervisor 云安全 虚拟化导流
引言:随着云计算的广泛应用,作为其核心技术的虚拟化技术的安全性也成为了业界关注的焦点问题。在云环境下,流量的南北向和东西向较为明显,传统的安全设备可对南北向流量进行防护,却难以对东西向流量起作用。IDC虚拟资源池通常借助于防火墙等传统安全设备做出口接入控制和边界防护,缺乏深入到云内的应用层安全措施,租户缺乏安全接入管控和接入业务审计,无法有效应对来自互联网侧和云平台上不同租户之间的恶意扫描、DDOS攻击、SQL注入、病毒木马、及基于各种漏洞的入侵等行为。
一、防护方法与技术
1.1 虚拟化导流技术
虚拟化导流技术包括策略控制中心和导流虚拟机。策略控制中心是虚拟化网络监控系统的管理控制中心,也是系统和用户的交互界面。用户通过策略控制中提供的交互界面可以从vCenter、ESXi中获取信息,可以向系统添加和管理网络安全设备;通过策略控制中心还可以划分和管理虚拟安全域,制定和下方安全域导流策略,查看导流虚拟机的统计信息等。
导流虚拟机是虚拟化网络监控系统的数据报文处理组件。导流虚拟机接收来自策略控制中心下发的虚拟安全域策略;从虚拟交换机中抓取网络报文,依据策略对报文进行过滤,并将报文转发到指定的目标位置;导流虚拟机接收策略中心的控制,并向策略中心反馈统计信息。
(1)通过端口组配置VLAN隔离方式导流
由于虚拟交换机的VLAN端口组有独立的VLAN域,因此不同VLAN端口组在交换机的二层上是隔离的,即在不同VLAN端口组之间是不能互联互通。
(2)通过VDS端口镜像抓取东西向流量
配置VDS端口镜像抓取流量时,只需要在配置时选择要镜像流量的源虚机(VM1、VM2…)和目的虚机端口(VTAP),不需要开启虚拟交换机端口组的混杂模式,因此VTAP导流虚机发送出去的隧道报文不会再被抓取回来,不会形成流量环。
(3)使用VEPA镜像导流
采用刀框交换板将特定网口流量进行镜像配置,发送到交换面板另外一个网口,该网口与VEPA控制中心直连,或者该网口直接连接到SDN交换机,通过虚拟化威胁检测系统进行流量获取并汇总分析。
1.2 虚拟化安全产品技术
虚拟化安全产品将传统安全产品的众多产品的功能,例如:入侵防御IPS系统, WEB应用安全网关,数据库审计系统等,通过虚拟化部署的方式,实现对虚拟化中数据流的安全监测、检测与防护。在虚拟化安全管理平台中,可实现多种类型的检测产品、审计产品、网关产品集中部署与管理。
二、实施方案
3.1 建设思路
(1)建设独立的虚拟化安全平台
构建独立的虚拟化安全平台,将安全能力软件化,将虚拟化安全构建为平台化。虚拟化安全独立于云资源池部署,实现虚拟化安全与业务资源池的弱耦合,保证云平台升级切换时,安全不受影响。
(2)实现流量分布式采集
根据网络结构和平台软件部署的应用特点,应采用“流量分布式采集、安全虚拟化自主分流”的方式。
(3)实现虚拟环境的安全域流量可视化
展现虚拟安全域的网络流连接情况,使得网络安全管理人員可以从不同层次查看虚拟安全域的IP资产情况,资产之间的实际流量连接关系拓扑等。
(4)实现虚拟化环境流量的入侵检测
对虚拟流量中的病毒、蠕虫、木马、DDoS、扫描、SQL注入、XSS、缓冲区溢出、欺骗劫持等威胁进行检测能力,防止利用虚拟机被作为攻击跳板的行为。
(5)实现虚拟化环境流量的数据库行为审计
对虚拟化环境下的网络操作行为和数据库操作行为进行解析、分析、记录、汇报,用来帮助用户事前规划预防,事中实时监视、违规行为响应,事后合规报告、事故追踪溯源,促进核心资产数据库、服务器等的正常运营。
3.2 网络实施
IDC虚拟化安全平台与云平台之间采用虚拟导流技术将流量导出。流量经流转发平台编排后,以租户为区分交付给虚拟化安全里的各类安全单元,由各安全单元对流量进行分析处理,实现东西向流量安全防护与可视化。部署结构简化如下图1。
流转发平台的流量交付有两种模型:流量的负载分担和流量的复制。流量的负载分担,是可将流量基于IP进行分流,分配至不同的网络接口,通常可用于将大流量分解为小流量,由多个低性能安全组件共同处理大流量的场景;流量的复制,是流调度平台可将流量复制多份到多个网络接口,通常可用于将流量复制给多个安全组件,同时进行对流量的多维度分析的场景。
3.3 云资源池流量牵引
通过云导流系统将需要监控的流量从虚拟网络环境中导出到物理安全设备中,具体的安全业务逻辑由物理安全设备来处理。这种方式对用户业务和网络影响小;用物理安全设备处理安全业务可以获取极高的性能,只需要占用少量的虚拟化资源即可。
云导流系统是虚拟化网络监控系统的数据报文处理组件。云导流系统本质是一台具有特殊功能的虚拟机。云导流系统接收来自策略控制中心下发的虚拟安全域策略,从虚拟交换机中抓取网络报文,依据策略对报文进行过滤,并将报文转发到指定的目标位置;云导流系统接收策略中心的控制,并向策略中心反馈统计信息。当有虚拟机迁移时,与虚机配套的安全策略将先于虚机复制到目的导流虚机中,保障虚机迁移前后的策略一致。
通过虚拟导流器,将需要监控的流量分流到虚拟化安全平台中,安全平台系统部署快捷简单,需要占用少量的虚拟化资源即可。可以在安全平台上根据需求以软件形态实现Floweye、IDS及审计类等产品。
四、结束语
目前所有已建的IDC虚拟化资源池,基本上采用物理常规安全产品,没有专业的虚拟化安全检测、审计产品,缺乏云资源池实时监控与防护技术手段,不能发现云资源池中恶意网络行为,缺乏实现发现与监控可疑行为的能力。本系统建设后,有效补充云资源池安全防护手段,提高发现和处理能力,对满足国家三级等保要求,做好网络信息安全保障工作有重要意义。
参 考 文 献
[1] 王笑帝,张云勇. 刘镝等. 云计算虚拟化安全技术研究[J].电信科学,2015154
[2] 宫月,李超,吴薇. 虚拟化安全技术研究[J]. 信息网络安全,2016(9):73-78.
唐建军(1980.04.24—),男,汉族,新疆人,研究生(硕士),通信工程师 现任职务:通信咨询设计师,研究方向:网络与信息安全
刘帅辰(1984.03.02—),男,汉族,新疆人,本科,助理工程师 现任职务:通信咨询设计师,研究方向:IT支撑网、核心网