基于虚拟化的私有云安全防护模型

2019-05-18谢胜军王翔周洋

中国教育网络 2019年4期

文/谢胜军王翔周洋

基于虚拟技术的私有云可以节约运维成本、简化业务管理、充分利用资源、产生更高的IT效率，成为云计算的基础，因此正在被各个领域广泛应用。在虚拟环境下，资源、数据、服务都高度集中，如果出现安全问题，其影响范围也会无限放大，因此虚拟化系统的安全威胁和防护要求也必须有新的应对办法[1]。

现有基于虚拟化的私有云中传统的安全风险并没有完全规避。尽管单个物理服务器可以划分成多个虚拟机，但是针对每个虚拟机的业务承载及服务提供和原有的单台服务器基本相同，因此传统模式下的服务器所面临的安全问题并没有得到规避，诸如对业务系统访问的安全控制、不同业务系统之间的安全隔离、虚拟机的操作系统和应用程序的漏洞保护、业务系统的病毒防护等。

私有云中的服务器虚拟化，扩大了安全防护系统的对象范围，如IPS入侵防御系统就需要考虑以Hypervisor和vCenter为代表的特殊虚拟化软件，由于其本身所处的特殊位置和在整个系统中的重要性，任何安全漏洞被利用，都将可能导致整个私有云的虚拟化环境内的全部服务器的配置混乱或业务中断。

在传统的网络结构设计中，流量是以“客户端——服务器”的“南北向”为主，传统的硬件防火墙能够对网络中的流量进行安全防护及业务隔离。但在私有云的虚拟环境中，大量的数据都存储在类型众多的服务器中，服务器内部众多的虚拟机（VM）之间、特别是同一个VLAN的虚拟机之间存在直接的二层流量交换（即“东西向”流量）[2]，而这种“东西向”流量并不需要经过外置的物理交换机，因此这些流量只存在服务器内部，而不会传送到服务器外部的硬件防火墙中，导致硬件防火墙无法对其进行过滤及安全防护，管理员对该部分流量既不可控也不可见，难以做到VM之间有效的隔离与防护。

为了解决上述问题，本文提出基于NFV、vSwitch中的流量重定向以及SDN等技术实现私有云内部VM之间的访问控制及VM的安全策略随迁模型。

虚拟化软件安全网关（VSG）

深入分析私有云中服务器虚拟化引起的各类安全问题，结合分析当前主流的虚拟化安全防护解决思路，可以深入到hypervisor层增加安全控制手段，直接将安全网关虚拟化以软件的形式安装在hypervisor层形成一个三层防御体系。从网络、系统、管理三个层面对私有云中的虚拟化环境进行安全保护，重点解决VM之间网络访问控制和hypervisor层的安全防护，如图1所示。

通过虚拟化软件安全网关在私有云环境中的部署，能够有效解决以上问题。目前，基于网络功能虚拟化（NFV）[3]的建设思路正好可以解决这些固有的局限性，一方面可以充分利用现有的服务器计算资源，避免了专业化硬件的安装维护，节约了成本；另一方面基于统一的私有云管理平台，也可实现软件安全网关快速的业务部署和策略调整。

图1 虚拟化软件安全网关防御体系

图2 虚拟化软件安全网关（VSG）防护模型

使用虚拟化软件安全网关，能够提供完善的安全防护功能，可以增强动态虚拟化环境的安全性。通过不同的部署方式，不论是数据中心内外部的“南北向”流量，还是数据中心内部VM之间的“东西向”流量，虚拟化软件安全网关都能够提供可靠灵活及全面的安全防护。如图2所示，虚拟软件安全网关（VSG）运行在虚拟平台中，由虚拟机管理平台集中管理，可以部署在边界位置，作为边界网关，实现“南北向”流量防护；也可部署在私有云内部VM之间，做透明部署，实现“东西向”流量防护。

在私有云虚拟环境的实际应用中，根据用户的不同需求可以有多种类型组网模型。

私有云中虚拟机的安全防护

安全防护服务模型

对基于虚拟化的私有云用户来说，既可以将VFW/VLB等安全业务安装在业务服务器内，也可以部署独立的安全业务网关服务器。信息管理部门也可以选择分布式VFW/VLB模型，建设高性能的安全业务资源池，此时多个VM虚拟机或者独立的服务器资源逻辑上被认为是单一管理节点，对外提供高性能的安全业务（如图3所示）。在这种情况下，虚拟多业务安全网关可以独立分配给不同用户。由于虚拟网关逻辑上相互独立，不会相互影响，因此可以由用户自行负责虚拟网关的管理，自主实现安全策略的配置管理，大大减轻信息管理部门的维护工作量，满足用户完全独立管理的需求。

图3 VPC安全防护服务模型

VM-VM安全防护基本模型

前面在VPC模型中，虚拟化安全网关（VSG）作为边界网关，对南北向流量进行防护，但对于东西向流量并不需要经过网关。实际上，VSG作为一个特殊的虚拟机运行在虚拟平台中，正常情况下VM间访问流量直接经过vSwitch互访，当需要对其进行安全防护时，管理人员需要通过配置vSwitch中的引流策略， vSwitch根据流表内容对流量进行匹配，同时根据引流策略配置将需要防护的流量引流到虚拟防火墙（VFW）[4]中，由VFW对虚拟机间流量进行防护处理，最后再把VFW处理过的流量重新定向回vSwitch中进行正常的转发，如图4所示。通过部署虚拟化安全网关，管理人员能够对服务器内部VM之间的流量进行管控，有效解决“东西向”流量安全防护问题，包括：设置安全策略控制对VM虚拟机之间的访问，对VM之间的互访进行允许或禁止；对VM之间的流量互访进行攻击检测，及时发现内部攻击行为。

图4 VM-VM安全防护模型

基于SDN架构的VM-VM安全防护

VM-VM防护基本模型中，每台主机中需要安装虚拟化安全网关（VSG），对主机内VM-VM流量进行防护。但随着SDN以及NFV不断成熟，要求能够实现更大范围内的VM-VM间流量安全防护，而不能局限于本地主机。因此基于上述VM间防护基本模型，进一步发展出基于SDN架构的VM-VM安全防护，提供更为完善的VM间防护，部署模型如图5所示，其防护详细流程如下：

软件定义流量策略。首先将需要进行安全防护的VM之间的流量进行精确定义，用户可以通过IP地址/MAC地址或者是基于VM的名字进行策略定义，并进行允许或拒绝等动作的配置。

软件决定转发。虚拟交换机在接收到VM的流量后，自动将该流量首包上送到SDN Controller，之后根据预先配置的安全策略，形成OpenFlow的流表下发到本地vSwitch[5]。后续报文经过vSwitch时将检查转发表项，对符合规则的报文转发到VFW。

图5 基于SDN的VM-VM安全防护模型

软件实现安全。初始化过程中，信息管理部门将负责对虚拟机安全软件完成必要的安装和初始化配置，为该虚拟机分配合理的硬件资源并对其安全业务能力进行设定，同时根据用户的需求下发各种安全策略。在流量到达本虚拟机时，该软件安全网关将完成各项安全检查，完成安全检查的流量将自动转发到目的VM虚拟机。

软件实现业务编排。对于部分业务需要进行多安全业务处理时，可以在服务器内部配置多个安全业务处理引擎，此时可以通过管理层对这部分流量的转发路径进行定义，并生成具体的路由配置策略，或者是通过隧道等方式，实现对报文在多业务之间路径选择的智能化以及报文封装转发的自动化。

私有云中VM迁移后安全防护

图6 VM迁移安全策略跟随迁移

在虚拟环境中，VM的迁移非常常见，因此安全防护需要跟随VM迁移实现自动防护；当虚拟机迁移，vSwitch中对VM的引流策略以及相关的安全策略要能够自动跟随VM迁移到新的主机，确保VM安全防护不因迁移而发生变化。如图6所示，假设VM1由Server1迁移到Server2中，涉及引流策略及安全策略两个部分的迁移。

重定向引流策略迁移：

VM1为源域的多个策略全部迁移到新的接入位置；

VM1为源对应的目地VM反向报文策略全部迁移到新上行口；

VM1为目地的策略配置如VM5-VM1，如果VM5/VM1同在一个服务器，则该引流策略从VM1的接入端口转移到本服务器的上行口，如果不在同一服务器则该策略本身已经在上行口，可不迁移。

安全策略迁移：

安全策略由私有云管理平台统一管理，各主机中VFW安全策略由VSG集中下发，能够保持被管理安全策略的一致性，因此不论VM迁移到哪个Server，都能够受到相同的安全防护；

当VM迁移时，通知私有云管理平台由VSG过滤出与该VM有关的安全策略，自动下发到新Server所在的VFW中，保证该VM安全防护不变。