论文部分内容阅读
摘 要:随着云计算技术的快速发展,数据中心虚拟化走向应用,面对资源的虚拟化,其安全问题也日益凸显。
关键词:虚拟机;安全;防护
传统的网络结构设计以“客户端—服务器”的“南北向”流量为主,传统防火墙设备可实现对网络中的流量进行安全防护及业务隔离,但在云环境中,大量的数据都存储在分布广泛、类型众多的服务器中,服务器内部众多的虚拟机(VM)间存在直接的二层流量交换(即“东西向”流量),这些流量只存在服務器内部,并不需要经过外部的物理交换机,不流经服务器外部的物理防火墙中,导致物理防火墙无法对其进行安全防护,管理员对于该部分流量既不可见亦不可控,难以做到有效隔离与防护;同时,云计算环境中存在众多用户,由于大的共享环境,不同安全需求的用户可能运行在同一台物理机上,这种用户共享带来的安全问题,传统安全措施也难以处理,传统的网络安全方案已经不能完全满足要求,如何解决这些安全问题,对网络安全设备提出了新的要求。
在云计算时代,虚拟化成了防火墙的必备功能,安全部署必须无缝贴合云计算虚拟化的结构,云计算环境下的安全防护需要有针对性的解决方案,下面就讨论几种针对VM间流量防护的方便有效的解决方案。
一、VEPA方案
利用“体外循环”方案,将服务器内部虚拟机流量全部牵引到服务器外部,然后引导给专用的安全设备对其进行过滤和防护。即通过VEPA(Virtual Ethernet Port Aggregator,虚拟以太网端口聚合器)技术,将虚拟机产生的网络流量全部交由与服务器相连的物理交换机进行处理,即使同一台服务器的虚拟机间流量,也发往外部物理交换机进行转发处理,然后对于需要进行安全防护的流量重定向到旁挂的物理防火墙中,由物理防护墙对流量进行防护处理,处理完毕后再返回服务器内部。
图一 “体外循环”方案示意图
如图一所示,由VM1发往VM2或VM3的报文,首先被发往外部交换机,查表后,报文沿原路返回服务器。这种工作模式通常可以形象的描述为“发卡弯(hairpin turn)”转发。但这种方案要将所有服务器内部流量流量都要引导到外部处理,增加了流量处理的负荷,会影响服务器和交换机性能;同时流量引导要外部接入交换机配合,需要专用的物理交换设备。
二、嵌入式方案
直接在服务器内部部署VFW,即虚拟化防火墙,对服务器内部流量进行防护,这种情况下流量直接在服务器内部处理,减少了流量绕道外部处理的性能损耗。VFW实际是作为一个特殊的虚拟机嵌入在虚拟平台中,所有流量(包括东西向和南北向流量)都将经过VFW,VFW安全引擎根据管理员配置安全策略,对流量进行过滤,防护攻击,这种方案要求在每台主机中都安装VFW,当存在跨主机的东西向流量时会经过两层VFW处理,如下图所示;
图二 嵌入hypervisor(虚拟机监视器)层防护方案示意图
三、基于SDN架构的业务链方案
数据报文在网络中传递时,需要经过各种各样的业务节点(Service Node),才能保证网络能够按照设计要求,提供给用户安全、快速、稳定的服务。这些业务节点包括防火墙(FireWalls)、入侵检测(Intrusion Prevention System)、负载均衡(Load Balancing)等。通常,网络流量需要按照业务逻辑所要求的既定的顺序,穿过这些业务点,这就是所谓的业务链(Service Chain)。随着SDN(软件定义网络)以及网络功能虚拟化(Network Functions Virtualization)的不断推进,利用业务链方案也可以实现对VM-VM间流量的安全防护。
在该方案中, SDN Controller控制着需要进行安全防护的流量,配置业务链策略并下发到交换网络中,交换网络根据业务链策略将流量引导至VFW,VFW作为Services Chain中的一个Services Node,对业务流量进行防护处理,该方案适应于多种应用场景,包括Overlay网络及传统网络;
(一)Overlay网络
Overlay网络中,VFW可以作为资源池,为不同租户提供不同的安全防护业务,VCFC下发业务链策略,流量被引导至VFW,VFW支持VxLAN VETP功能,获取在VxLAN报文中携带的service path信息,对业务流量进行安全处理,处理完成后,根据services path信息将流量转发到下一个业务节点;
(二)传统网络
传统网络要求在虚拟交换机中实现业务链Proxy(代理)功能,这时VxLAN封装的业务链仅作为传递数据的专用隧道。OVS支持识别并匹配VxLAN报文中的Service Path ID等字段,获取到Service Path ID等信息后,完成“VNI + Service Path ID”到传统网络的“Port + VLAN”映射,当发现VFW等业务节点在本地网络中时,直接将报文转发到VFW,VFW开启单臂透明转发模式,完成业务处理后,将合法报文送回,vSwtich继续完成后续转发。
综上,通过部署VFW,管理员能够对VM之间的流量进行管控,一方面设置安全策略控制VM虚拟机之间的互访,对这些VM之间的流量设定允许或禁止动作;另一方面也可完成对VM之间流量的攻击检测,及时发现内部攻击行为,确保网络安全。■
关键词:虚拟机;安全;防护
传统的网络结构设计以“客户端—服务器”的“南北向”流量为主,传统防火墙设备可实现对网络中的流量进行安全防护及业务隔离,但在云环境中,大量的数据都存储在分布广泛、类型众多的服务器中,服务器内部众多的虚拟机(VM)间存在直接的二层流量交换(即“东西向”流量),这些流量只存在服務器内部,并不需要经过外部的物理交换机,不流经服务器外部的物理防火墙中,导致物理防火墙无法对其进行安全防护,管理员对于该部分流量既不可见亦不可控,难以做到有效隔离与防护;同时,云计算环境中存在众多用户,由于大的共享环境,不同安全需求的用户可能运行在同一台物理机上,这种用户共享带来的安全问题,传统安全措施也难以处理,传统的网络安全方案已经不能完全满足要求,如何解决这些安全问题,对网络安全设备提出了新的要求。
在云计算时代,虚拟化成了防火墙的必备功能,安全部署必须无缝贴合云计算虚拟化的结构,云计算环境下的安全防护需要有针对性的解决方案,下面就讨论几种针对VM间流量防护的方便有效的解决方案。
一、VEPA方案
利用“体外循环”方案,将服务器内部虚拟机流量全部牵引到服务器外部,然后引导给专用的安全设备对其进行过滤和防护。即通过VEPA(Virtual Ethernet Port Aggregator,虚拟以太网端口聚合器)技术,将虚拟机产生的网络流量全部交由与服务器相连的物理交换机进行处理,即使同一台服务器的虚拟机间流量,也发往外部物理交换机进行转发处理,然后对于需要进行安全防护的流量重定向到旁挂的物理防火墙中,由物理防护墙对流量进行防护处理,处理完毕后再返回服务器内部。
图一 “体外循环”方案示意图
如图一所示,由VM1发往VM2或VM3的报文,首先被发往外部交换机,查表后,报文沿原路返回服务器。这种工作模式通常可以形象的描述为“发卡弯(hairpin turn)”转发。但这种方案要将所有服务器内部流量流量都要引导到外部处理,增加了流量处理的负荷,会影响服务器和交换机性能;同时流量引导要外部接入交换机配合,需要专用的物理交换设备。
二、嵌入式方案
直接在服务器内部部署VFW,即虚拟化防火墙,对服务器内部流量进行防护,这种情况下流量直接在服务器内部处理,减少了流量绕道外部处理的性能损耗。VFW实际是作为一个特殊的虚拟机嵌入在虚拟平台中,所有流量(包括东西向和南北向流量)都将经过VFW,VFW安全引擎根据管理员配置安全策略,对流量进行过滤,防护攻击,这种方案要求在每台主机中都安装VFW,当存在跨主机的东西向流量时会经过两层VFW处理,如下图所示;
图二 嵌入hypervisor(虚拟机监视器)层防护方案示意图
三、基于SDN架构的业务链方案
数据报文在网络中传递时,需要经过各种各样的业务节点(Service Node),才能保证网络能够按照设计要求,提供给用户安全、快速、稳定的服务。这些业务节点包括防火墙(FireWalls)、入侵检测(Intrusion Prevention System)、负载均衡(Load Balancing)等。通常,网络流量需要按照业务逻辑所要求的既定的顺序,穿过这些业务点,这就是所谓的业务链(Service Chain)。随着SDN(软件定义网络)以及网络功能虚拟化(Network Functions Virtualization)的不断推进,利用业务链方案也可以实现对VM-VM间流量的安全防护。
在该方案中, SDN Controller控制着需要进行安全防护的流量,配置业务链策略并下发到交换网络中,交换网络根据业务链策略将流量引导至VFW,VFW作为Services Chain中的一个Services Node,对业务流量进行防护处理,该方案适应于多种应用场景,包括Overlay网络及传统网络;
(一)Overlay网络
Overlay网络中,VFW可以作为资源池,为不同租户提供不同的安全防护业务,VCFC下发业务链策略,流量被引导至VFW,VFW支持VxLAN VETP功能,获取在VxLAN报文中携带的service path信息,对业务流量进行安全处理,处理完成后,根据services path信息将流量转发到下一个业务节点;
(二)传统网络
传统网络要求在虚拟交换机中实现业务链Proxy(代理)功能,这时VxLAN封装的业务链仅作为传递数据的专用隧道。OVS支持识别并匹配VxLAN报文中的Service Path ID等字段,获取到Service Path ID等信息后,完成“VNI + Service Path ID”到传统网络的“Port + VLAN”映射,当发现VFW等业务节点在本地网络中时,直接将报文转发到VFW,VFW开启单臂透明转发模式,完成业务处理后,将合法报文送回,vSwtich继续完成后续转发。
综上,通过部署VFW,管理员能够对VM之间的流量进行管控,一方面设置安全策略控制VM虚拟机之间的互访,对这些VM之间的流量设定允许或禁止动作;另一方面也可完成对VM之间流量的攻击检测,及时发现内部攻击行为,确保网络安全。■