云计算环境下虚拟网络的安全防护关键技术
2021-11-05福州墨尔本理工职业学院
福州墨尔本理工职业学院 刘 勍
IaaS云计算环境下的虚拟网络安全防护是亟待解决的云计算安全问题。考虑到用户对网络和数据管控的能力弱化,为此要在防范虚拟网络外部安全风险的同时,重点关注虚拟网络的内部安全风险,采用集成化、模块化的理念和方法,构建云计算环境下虚拟网络的安全防护体系,引入SDN的理念和方法,提出一种基于虚拟网络设备的数据转发控制策略,利用SDN控制器进行云计算环境下虚拟网络的实时在线监控,避免恶意人员直接对虚拟网络设备进行非授权操作。基于可信调用层次关联的思想,采用基于可信调用层次关联的租户行为构建方法,描述和分析租户的正常行为。并通过基于行为追溯的虚拟网络内部风险监测策略,利用完整准确的各个节点接口,对不同节点、不同层次采集的行为信息进行比对分析,监测发现虚拟网络的安全风险,从而较好地提高云计算环境下虚拟网络的安全性能。
1 基于虚拟网络设备的数据转发控制技术
1.1 应用原理
基于SDN的虚拟网络设备数据转发控制采用集中控制的理念和方法,实现对虚拟网络设备数据流表的监控,能够实现对网络资源的灵活调配和使用,体现出流量集中化管理、配置简便等优势特点,较好地适用于虚拟网络故障的快速修复,实现虚拟网络的平滑升级。其功能实现主要依赖于两大构件,即:交换机和控制器,其中:交换机主要是通过安全通道与socket相连接,并利用流表控制数据包的转发操作,基于openflow协议进行流表内匹配字段、计数器和动作字段的有序执行。而控制器主要是在各种应用软件及开放API的交互条件下,进行流表监控管理,阻断恶意运维管理人员的违法行为。
1.2 流表监控
主要由SDN控制器监控虚拟网络设备的流表,以OpenFlow交换机设备为例,通过SDN控制器检查其流表流量及变化情况,生成正常流表并进行下发操作,并在数据传送过程中进行流表信息的比对,分析流表的变化状态。其具体流程如图1所示。
图1 SDN控制器的流表控制流程图
1.3 转发控制
在上述SDN控制器的流表监控中判定出恶意流表的存在,对此要针对流表的转发行为进行阻断控制。其流程为:由SDN控制器监控恶意流表的存在,再将其发送至转发控制单元,依循一定的策略将信息发送至虚拟交换机,对原有流表修改的情况进行修正,对之前不存在的流表注入则直接删除恶意流表。另外,要对控制器端的流表进行备份,确保租户对流表信息的安全访问。
2 基于可信调用层次关联的租户行为构建方法
对于恶意调用虚拟网络服务接口的操作,要采用基于可信调用层次关联的租户行为构建方法,对云计算环境下虚拟网络的调用流程进行关联分析,提出相应的租户正常行为模型,及时发现虚拟网络的内部安全风险,规避恶意操控租户整个虚拟网络配置的行为。
2.1 云计算环境下的可信调用分析
租户通过认证授权获取云平台的唯一token,进入到云平台管理界面之中,调用云平台的各种接口,在相应的控制节点、计算节点之中进行虚拟机的创建和私有网络的创建,并进行相关更改、删除、解除映射等操作。
在租户进行上下层接口或进程的行为过程中,即视为一次层次间的可信调用,对应接口和插件要根据需求调用虚拟化进程,完成对虚拟化设备的更新操作。而恶意网络运维管理人员能够非法利用自身权限进行虚拟网络设备的间接操控,恶意调用接口创建额外的网络地址,或更改虚拟网络绑定的IP地址。然而,可信调用分析必须与层次关联分析相结合,才能对多个接口调用进行准确判定,采用关联的方式获悉当前行为的发起点,从而判定某接口或进程调用行为的合法性。
2.2 基于源码分析的层次关联
在对云计算环境下虚拟网络租户行为的分析过程中,要结合运用基于源码的分析策略,构建虚拟网络租户正常行为模型,设置租户正常的行为流程——有限状态机流程,在该流程中的各个状态点与租户当前层次行为相对应,再通过各节点状态信息的采集和分析,最终获悉云计算环境中虚拟网络租户的正常行为状态。
以Openstack云平台为例,不同层次的租户对应相应层次的网络服务操作,形成租户正常状态下的数据结构。为了准确地分析网络租户的正常行为,需要定义各层次源代码的行为关键词,通过行为关键词搜索网络租户正常行为的特点和规律性,并形成对应层次的租户关键词数据库。在对各层次的租户关键词数据库进行算法分析时,要在遍历各个层次的前提下,将租户当前行为与关键词库中的正常行为相比对,假若两者相一致,则进入到下一层次。
2.3 租户行为状态机的生成
云计算环境下虚拟网络的租户行为构建主要采用有限状态机的方式进行描述,因而可以将其转化为租户行为状态机的生成问题,反映云环境中各层次调用后所处的状态。其生成流程主要包括有:(1)定义各个层次的相关源代码关键词;(2)将当前租户行为与各层次关键词库相比对,获悉与当前行为相对应的函数或关键词;(3)结合层次关联分析得出状态机中生成的对应行为状态,依据相关行为逻辑创建新的状态节点;(4)最终完成云环境下整个租户正常行为状态机的构建。
3 基于行为追溯的虚拟网络内部风险监测策略
云计算环境下虚拟网络的恶意威胁监测尤其重要。为此,本文提出一种基于行为追溯的虚拟网络内部风险监测策略。
3.1 内部威胁行为采集
在设立虚拟网络租户行为采集点的前提下,对身份验证的租户进行网络管理,其信息采集点的位置覆盖虚拟网络各个单元,包括网络服务控制模块、服务插件、远程过程调用、服务代理、管理接口、虚拟化进程等,并通过调用时间和行为关键词生成租户当前调用流程,从而及时发现恶意运维管理人员的违法行为。以虚拟网络服务模块的内部威胁行为采集为例,通过远程调用接口处添加日志信息的方式,生成虚拟网络租户行为的相关记录,最后将这些日志记录信息进行打印和输出,通常将这些日志信息输出到云计算平台下各个节点之中,如控制节点、网络节点、计算节点,并通过行为追溯的方式生成与各调用接口日志信息相对应的多层次行为。
3.2 内部威胁行为匹配
由上述内部威胁行为采集可知,可以利用行为追溯算法对采集的调用行为进行分析,并将其与正常可信行为相比对和匹配,判定该调用行为的合法性。考虑到恶意内部威胁行为可能存在于云计算环境中虚拟网络的任一节点,最终归于网络虚拟设备之中。为此,要在对恶意内部威胁行为进行判定时,采用由上而下的匹配算法,将实际调用行为最底层的当前行为与正常行为对应节点相匹配,如若实际调用行为与租户正常行为不相匹配,则表明当前的配置管理命令并非由租户正常发出,而是由恶意内部运维管理人员的非法操作而发起的,应当将其判定为恶意行为。反之,则将其判定为非授权的恶意行为。
小结:综上所述,云计算环境中虚拟网络的安全防护不仅要注重外部威胁,还要加强内部威胁的防护。本文重点从内部威胁安全防护的角度出发,采用数据转发控制方法、基于可信调用层次关联的租户行为构建方法和基于行为追溯的虚拟网络内部威胁监测方法,提高云环境虚拟网络的安全性。后续还要进一步引入机器学习算法构建高效的租户行为模型,并结合区块链分布式数据库技术,提高虚拟网络流表信息的安全与完整。