虚拟化网络安全分析
2021-04-14程明
程 明
(安徽电信规划设计有限责任公司,安徽 合肥 230031)
0 引 言
在云计算技术的快速发展下,以云环境为基本依托的虚拟化技术得到了广泛应用。从实际应用情况来看,虚拟化技术形式具有环境隔离、动态配置、底层控制以及接口兼容等多个方面的特征,在这个技术的支持下能够为网络安全监督控制提供重要支持,最终有效保证网络系统的安全性和稳定性。但是从实际应用层面来看,虚拟化技术在使用的时候没有从根本上解决传统计算环境所面临的安全问题,且在使用期间对虚拟化技术自身也会带来比较多的威胁,这些威胁不仅包含原有网络的固有威胁,而且也会引入新的安全威胁[1]。
1 虚拟化网络环境基本情况分析
1.1 虚拟化网络内涵
网络虚拟化的实现会具体落实在计算机节点、网络设备以及网络信息通信层面上。受虚拟化平台特点的影响,虚拟化网络在运行过程中和以往网络相比呈现出来的特点如下。第一,网络系统中的计算机实体会从物理服务器转变到虚拟机械设备上;第二,在网络平台上呈现出来的二元网络设备能够为信息的使用提供必要的连接服务支持,这些设备包含传统网络平台上固有的物理网络设备和虚拟化管理设备[2];第三,在虚拟化网络环境下,组网方式会从单纯的物理互联网转变为虚拟网络、物理互联网共同作用的复合型网络。
1.2 虚拟化网络下的信息连接方式
网络的形成离不开各个对象之间的配合,这些网络平台的特点共同形成了虚拟化网络的特点。基于无线技术的虚拟化网络如图1所示,在整个虚拟化网络运作中,不同对象之间会形成一种新关系的综合。整合信息资源的情况下使用各个处理器来处理数据信息,这个期间所牵扯到的服务器众多,各个设备和服务器之间的关联属性不同,各个对象在各类数据信息的交互过程中建立形成新的网络环境,彼此之间的连接关系如下。第一,外部网络连接。外部网络的连接广泛存在于各个虚拟机、外部网络系统中,整个连接会从外部网络来访问各个虚拟机的网络服务接口和链路[3]。第二,业务信息连接。业务信息连接广泛存在于各个虚拟化环境中,在其作用下能够实现对各类信息的交互管理,在信息整合利用之后打造出完善的虚拟化网络。第三,物理信息的管理连接。虚拟机设备和服务系统的稳定运行离不开物理层面的管理控制。其中,物理信息连接被人们广泛使用到远程虚拟服务器的管理上,通过一系列的物理连接能够优化系统平台的作用,合理调控系统运作。第四,虚拟管理连接。虚拟管理连接广泛存在于管理属性的虚拟机械设备上和监控属性的虚拟机械设备上。通过虚拟管理连接能够帮助管理者合理优化配置各个虚拟平台上的虚拟机械设备,从而有效保障各类数据信息的安全。第五,受限的虚拟管理连接。受限的虚拟管理连接广泛存在于管理虚拟机和虚拟监控器上,连接中存在的管理信息通道能够帮助管理者在某一个时刻内对某一个虚拟机实施管理操作。
图1 基于无线技术的虚拟化网络
1.3 虚拟化网络的特点
1.3.1 信息资源的共享性
在虚拟化网络架构中,虚拟管理器会对各层级的硬件进行管理,根据需要来调度各个虚拟机的运作,借助虚拟机来实现信息资源的共享应用。借助网络虚拟化技术形式能够有效提升服务器网络的利用效率,强化各类信息的整合应用。在虚拟化网络平台的支持下会通过虚拟机的形式来实现对轻量负载的合并处理,通过将信息应用在物理机上来达到均衡负载的目的。
1.3.2 信息技术的排他性
虚拟网络空间中的计算机操作系统在一定程度上能够整合信息,并根据需要来为各类信息的使用成立独立的地址空间。在这期间,系统内部的故障信息会呈现出独立的状态,根据不同环境的属性和需要来予以使用。由此决定了虚拟网络系统背景下的信息技术有着自身的应用条件限定,技术应用具有排他性的特点[4]。
1.3.3 信息的隔离性
借助隔离性能能够全面测试出一个虚拟机出现故障后对其他虚拟机所产生的影响。在整个虚拟化网络平台中,虚拟中央处理器(Central Processing Unit,CPU)调度能够对虚拟机的性能产生影响,虚拟机管理器能够有效隔离虚拟机的性能,使得虚拟机的CPU公平性得到保障。信息隔离能够有效保障虚拟网络系统的安全,即使在一个虚拟机器被攻击后也不影响其他虚拟机的运行[5]。
1.4 虚拟化网络的安全问题
虚拟化是基础设施,也就是服务云和私有云运作的重要影响因素。在信息时代背景下,虚拟化被人们广泛应用在计算机网络平台上。从实际操作角度来看,虚拟化也是公、私有云交付虚拟界面的一种技术形式。受虚拟化网络自身特点的影响,在虚拟化网络运作的时候会出现以下几个方面的安全问题。
1.4.1 对物理网和虚拟局域网的威胁
不管是物理层面的划分,还是虚拟层面的划分,虚拟化网络系统中的每一个网段都有着各自设定的目的和需求。在纷繁的信息背景下,为了能够保障网络平台的安全,需要做好网段间的隔离工作。
在实际应用操作层面上,所有的网络通信都会进入到特定的物理端口中,但是受虚拟网络服务器物理端口限制的影响,不是所有的信息都能够被有效应用。
在虚拟化平台的内部,虚拟机不同的虚拟局域网(Virtual Local Area Network,VLAN)流量都可以通过平台上的虚拟交换机中继来汇入到公用物理端口,由此会为网络信息攻击者从VLAN中逃逸提供网络通信支持。和传统意义上的网络一样,虚拟化网络在运行的时候容易出现VLAN跳跃攻击、CAM/MAC洪泛攻击、地址解析协议(Address Resolution Protocol,ARP)欺骗、生成树攻击、拒绝服务(Denial of Service,DoS)攻击以及MAC地址欺骗性攻击等。文章现以VLAN跳跃攻击作为研究案例来予以全面分析和说明。
攻击者会从自己所在的VLAN段中逃离出来,之后会拦截和修改其他VLAN流量,在信息流量篡改的过程中达到攻击VLAN段的目的。在具体实施操作的时候,VLAN跳跃攻击是对动态化协议的管理。攻击的过程中,攻击者会创建出具有VLAN标识的流量信息,这种方式会在虚拟化环境中得到充体现。
例如,在 VMware ESN/ESXi平台中,主机系统运作的时候能够支持3个类型的VLAN标识,这些标识的类型十分丰富多样,包含外部交换机标识(External SwitchTagging,EST)、虚拟交换机标识(Virtual Switch Tagging,VST)以及虚拟客户标识(Virtual Guest Tagging,VGT)。通过使用这些标识能够有效确定VLAN数据帧适合使用怎样的传播方式,在客户标识模式的影响下,数据信息会在各个虚拟网络和物理网络中进行传递。这个过程中,如果虚拟客户标识被应用到了802.1q中继中,恶意攻击系统的VM用户会利用机制作用下的数据帧来制造出虚假的信息。期间,虚拟网络系统的攻击者还可以模拟物理交换机、虚拟交换机的中继协商模式,从而实现自身对VLAN流量信息发送和接收的自由处理[6]。
1.4.2 虚拟化网络的威胁
(1)对物理管理连接的威胁
对物理管理网络的有序访问会让攻击者获取一套完整的虚拟化系统,在系统运作的时候,攻击者会根据自己的需要随意关闭、启动或操控物理服务器。
(2)对虚拟机迁移连接所产生的威胁
虚拟机迁移会牵扯到多个类型数据信息的传输,这些信息在迁移的过程中会被分割出独一无二的LAN或者VLAN,从而网络数据的传输。如果虚拟机迁移网络遭受到攻击,则会严重威胁到系统的运行。
(3)虚拟管理连接的威胁
虚拟管理通信实体会被放置在一个单独的网段,通过对虚拟管理通信信息的访问,攻击者会肆意篡改虚拟网络的拓扑结构。
(4)对存储连接的威胁
虚拟化存储对信息的安全属性有着较高的要求,虚拟化网络平台中所包含的各类敏感数据、带有攻击属性的数据会对虚拟平台带来威胁[7]。
2 虚拟化网络信息管理使用的安全措施
(1)针对虚拟机迁移和虚拟存储网络信息的截取攻击,相关人员可以通过打造相应的安全通信通道来优化管理,在管理信息时所使用的技术包含安全套接层(Secure Sockets Layer,SSL)技术和IPsec技术。(2)传统意义上的二层网络以及节点存在多个用来防御攻击的措施,但是受软硬件组件限制的影响,无法从设计层面解决虚拟化网络系统所面临的安全威胁。为此,在进行软件设计的时候要制定出安全的操作程序,并在程序制定完成之后对程序系统开展必要的强化测试,通过测试来减少漏洞的出现[8]。(3)VLAN跳跃攻击可以通过禁止GVT以及配置端口转发模式来限制数据信息的传输,将数据信息选择特定的标记来进行传输。另外,在内部VLAN传输关键数据信息的时候要注重使用另外一个VLAN进行控制,在VLAN的支持下将传输的信息和其他信息进行隔离,通过隔离能够有效防范攻击者对端口的操作。(4)对于生成树来说,面对外界对生成树的攻击可以通过一系列传统措施来对整个系统进行防护处理。(5)为了能够减少动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)地址范围不足所诱发的数据使用风险,对物理交换机和虚拟交换机的使用来说,要注重采取必要的措施予以防范[9]。例如,在VMware ESX中,管理人员不能够使用客户机来改变虚拟MAC地址的访问局限,虚拟网络更不会接收到来自客户机的数据包。(6)为了能够减缓外部各个因素变化对系统运作所产生的攻击,系统管理人员在操作系统的过程中需要实现对存储流量和其他关联数据流量的区分处理,并使用IPSec技术和SSL技术来保证信息的传输安全[10]。(7)加强对业务信息连接的防护处理,通过对业务信息连接隔离的方式来防范外界不良环境对信息使用的干扰。在信息使用的时候,可以借助数据管理区域来和系统内部的网络连接在一起,最终实现对数据信息的有效防护,减少恶意攻击用户行为的发生[11]。
3 结 论
文章通过对虚拟化网络环境特点的分析来剖析当前网络所面临的安全威胁,通过打造威胁矩阵来对以上风险进行全面分析。根据虚拟网络运作可能存在的风险来给出对应的安全措施,在虚拟化的网络环境下来保证整个网络平台信息的安全,做好一系列的网络安全防护工作,从而更好地促进现代虚拟网络平台的建设发展。