企業(yè)私有云虛擬網(wǎng)絡安全監(jiān)控研究

徐曉貝

中國電子科技集團第二十八研究所 210017

引言

云計算是計算機和互聯(lián)網(wǎng)的又一次新的革命，它將計算和存儲轉(zhuǎn)移到了云端，用戶可以通過使用輕量級的便攜式終端來進行復雜的計算和大容量的存儲。從技術(shù)的角度來看，云計算不僅僅是一種新的概念，并行計算和虛擬化是實現(xiàn)云計算應用的主要技術(shù)手段。由于硬件技術(shù)的快速發(fā)展，使得一臺普通的物理服務器所具有的性能遠遠超過普通的單一用戶對硬件性能的需求。因此，通過虛擬化的手段，將一臺物理服務器虛擬為多臺虛擬機，提供虛擬化服務成為了構(gòu)建公有云和企業(yè)私有云的技術(shù)基礎。

虛擬化在帶來技術(shù)變革的同時，也提出了新的虛擬網(wǎng)絡安全監(jiān)控問題。傳統(tǒng)的網(wǎng)絡安全監(jiān)控通常采用在安全域的網(wǎng)絡邊界以及需要監(jiān)聽的安全域內(nèi)的網(wǎng)絡鏈路上旁路式部署網(wǎng)絡安全監(jiān)控產(chǎn)品，如入侵檢測系統(tǒng)（Intrusion Detection Systems, IDS）、安全審計系統(tǒng)（Audit）等。虛擬化技術(shù)對網(wǎng)絡工程的最大影響是使得傳統(tǒng)的物理網(wǎng)絡邊界不再清晰的存在，從而無法找到網(wǎng)絡安全域的網(wǎng)絡流的物理匯聚點，也就使得傳統(tǒng)網(wǎng)絡安全監(jiān)控產(chǎn)品無法找到合適的部署位置來保護虛擬網(wǎng)絡安全域的邊界安全。同時，由于虛擬交換機的存在，部署在同一物理主機上且同時屬于一個虛擬局域網(wǎng)內(nèi)的兩臺虛擬主機之間的網(wǎng)絡流量通常會通過虛擬交換機直接在物理主機內(nèi)部進行交換（假設不使用虛擬以太網(wǎng)端口匯聚器（Virtual Ethernet Port Aggregator, VEPA）模式來配置虛擬網(wǎng)絡），這就使得連接在物理交換機上的傳統(tǒng)網(wǎng)絡安全監(jiān)控產(chǎn)品無法獲得其上的網(wǎng)絡流量，從而造成監(jiān)控上的缺失，產(chǎn)生隱蔽信道的問題。本文首先對虛擬化網(wǎng)絡環(huán)境中的安全威脅進行了分析，其次針對隱蔽信道問題和虛擬化環(huán)境導致物理網(wǎng)絡邊界消失所引起的網(wǎng)絡安全管理問題進行了探討，最后結(jié)合本文提出的可視化云安全管配中心和虛擬化網(wǎng)絡安全監(jiān)控產(chǎn)品給出了一套虛擬網(wǎng)絡環(huán)境下的完整的安全解決方案，并分別說明了不同形態(tài)的虛擬化安全產(chǎn)品的功能和性能特點。

1 虛擬化網(wǎng)絡環(huán)境的安全威脅分析

對比傳統(tǒng)網(wǎng)絡環(huán)境，虛擬化技術(shù)引入了虛擬機、虛擬網(wǎng)絡和虛擬機監(jiān)控器，因此我們可以把整個需要防護的系統(tǒng)從上到下分為應用程序、虛擬機操作系統(tǒng)、虛擬機（包括運行態(tài)虛擬機和虛擬機鏡像）、虛擬網(wǎng)絡、虛擬機監(jiān)視器（可能還包括宿主機操作系統(tǒng)：如kvm）、物理網(wǎng)絡這樣幾個層面。其中應用程序、虛擬機操作系統(tǒng)、宿主機操作系統(tǒng)和物理網(wǎng)絡這幾個層面所需要防護的仍然是主要來自于傳統(tǒng)的物理網(wǎng)絡環(huán)境的安全威脅。而虛擬網(wǎng)絡和虛擬機監(jiān)控器引入的虛擬化特有的安全威脅主要包括：虛擬機監(jiān)控器自身的脆弱性的安全威脅、虛擬機發(fā)生狀態(tài)轉(zhuǎn)移過程中的安全威脅（如虛擬機被遷移到不安全環(huán)境中的問題）、虛擬機鏡像的管理和訪問控制的安全問題、網(wǎng)絡虛擬化后所產(chǎn)生的網(wǎng)絡物理邊界消失的問題以及虛擬網(wǎng)絡環(huán)境中的隱蔽信道問題。其中虛擬機監(jiān)控器自身的脆弱性問題主要依靠虛擬化廠商不斷對其軟件產(chǎn)品的完善來改進，而由于虛擬化管理中心（如VMWare的vCenter）的存在，對虛擬機和虛擬機鏡像的安全防護主要依靠對虛擬化管理中心的訪問控制和審計來保證，本文主要討論由虛擬化網(wǎng)絡所引入的安全威脅。

在傳統(tǒng)網(wǎng)絡安全領域，隱蔽信道（Covert Channel）一直是導致信息泄露的重要威脅之一。隱蔽信道的概念最早由Lampson 于1973 年提出[1]，Lampson把隱蔽信道劃分為存儲信道、時間信道和合法信道三類。隱蔽信道問題主要關(guān)注對程序執(zhí)行過程的限制，阻止程序在執(zhí)行過程中通過隱蔽信道向其他未授權(quán)的程序傳輸信息。我國《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999）、美國《可信計算機系統(tǒng)評估準則》（TCSEC）以及國際標準化組織ISO 在1999 年發(fā)布的《信息技術(shù)安全評估通用準則》（ISO/IEC 15408，即CC 標準）都有明確描述：隱蔽信道是指允許進程以危害系統(tǒng)安全策略的方式傳輸信息的通信信道。

圖1 隱蔽信道原理圖

圖1給出了隱蔽信道的原理圖，其中BLP model為強制訪問控制模型[2]，如圖1所示，即使使用了強制訪問控制模型，隱蔽信道仍然為攻擊者提供了一種從高安全級主體向低安全級別主體傳輸信息的途徑。顯然，隱蔽信道并不是一種直接的攻擊方式，而是入侵者在成功入侵后，竊取合法用戶數(shù)據(jù)的通道。例如，在通過植入木馬等方式入侵用戶的計算機后，再通過隱蔽信道拷貝出用戶的隱私資料數(shù)據(jù)。隨著安全技術(shù)的發(fā)展，隱蔽信道研究現(xiàn)已涉及信息安全產(chǎn)品的多個領域，主要包括：數(shù)據(jù)庫隱蔽信道、網(wǎng)絡信道、“合法”信道、推理信道[3]等。針對上述幾種隱蔽信道，當前的主流安全防護手段都可實施監(jiān)控和攔截，包括常規(guī)硬件防火墻、IDS/IPS、安全網(wǎng)關(guān)（或UTM）等。

虛擬化環(huán)境下，傳統(tǒng)的隱蔽信道問題仍然存在，而在傳統(tǒng)物理網(wǎng)絡中，應對這些問題的解決方案也仍然有效，但是虛擬化技術(shù)引入了新的網(wǎng)絡工程問題，如圖2所示，在同一臺物理虛擬化服務器上，虛擬主機A和虛擬主機B屬于同一個虛擬局域網(wǎng)，它們之間通信的流量是不會被轉(zhuǎn)發(fā)到物理網(wǎng)絡中的，而是由虛擬交換機直接在物理虛擬化服務器的內(nèi)存中就進行了交換，這樣它們之間的流量對于連接在物理交換機上的物理網(wǎng)絡安全產(chǎn)品來說就是不可見的。這不僅僅是一條存在于虛擬化環(huán)境下的隱蔽信道，也為網(wǎng)絡入侵檢測和審計帶來了新的技術(shù)挑戰(zhàn)，傳統(tǒng)的硬件形態(tài)的網(wǎng)關(guān)、審計產(chǎn)品、入侵檢測產(chǎn)品和防火墻類產(chǎn)品都無法捕獲只在虛擬交換機內(nèi)部進行交換的網(wǎng)絡流量。

圖2 基于虛擬化環(huán)境的隱蔽信道示意圖

2 網(wǎng)絡安全產(chǎn)品的虛擬化

虛擬機通過虛擬交換機互聯(lián)形成了虛擬網(wǎng)絡，如圖3所示，雖然在物理實現(xiàn)上，虛擬交換機又連接到了物理網(wǎng)卡，通過物理交換機進行了互聯(lián)，但是本質(zhì)上，從虛擬化的視角來看，虛擬機只能看見虛擬交換機。因此，要解決虛擬機間的網(wǎng)絡流量在虛擬交換機的內(nèi)部交換從而造成流量無法被物理硬件網(wǎng)絡安全產(chǎn)品捕獲的這個問題，我們必須也從虛擬機的視角來部署我們的網(wǎng)絡安全產(chǎn)品。圖3給出了一種虛擬機形態(tài)的IDS和UTM的部署方式，在這個方案中，傳統(tǒng)的網(wǎng)絡安全產(chǎn)品被裝入了虛擬機里，直接連接在了虛擬交換機上，這樣即使流量只在虛擬交換機內(nèi)部進行交換而不被轉(zhuǎn)發(fā)到物理交換機中，虛擬機形態(tài)的網(wǎng)絡安全產(chǎn)品（下稱安全虛擬機，本文主要以旁路式監(jiān)聽的虛擬IDS為例進行論述）也能夠捕獲到其通信流量。以VMWare的ESXi平臺為例，把安全虛擬機和要被監(jiān)控的虛擬機連接在同一個虛擬交換機上，并設置混雜端口組，監(jiān)聽所要監(jiān)控的虛擬機所在vlan，這樣就能夠把該vlan內(nèi)經(jīng)過此虛擬交換機端口的流量鏡像到安全虛擬機的監(jiān)聽端口，從而實現(xiàn)旁路式的流量監(jiān)控。

圖3 一種虛擬機形態(tài)的IDS和UTM的部署方式

3 虛擬化安全管理

網(wǎng)絡安全并不是針對某一個或幾個特定的節(jié)點為目標進行安全防護，通常安全防護解決方案的防護目標是一個網(wǎng)絡，這樣就需要首先根據(jù)這個網(wǎng)絡中主機的業(yè)務分類，進行網(wǎng)絡安全域的劃分。網(wǎng)絡安全域通常由具有相同等級安全屬性的且可以互聯(lián)互通的一組網(wǎng)絡中的主機構(gòu)成，在企業(yè)級的網(wǎng)絡中，常常按照企業(yè)的業(yè)務系統(tǒng)進行安全域的劃分。在劃分安全域后根據(jù)安全域的安全需求，在安全域的邊界部署相應的網(wǎng)絡安全產(chǎn)品對該安全域內(nèi)的主機進行安全防護。當企業(yè)完成了服務器的P→V的遷移，把其物理服務器都遷移到了虛擬化環(huán)境中后，為了保證業(yè)務系統(tǒng)的可用性，其虛擬網(wǎng)絡的邏輯拓撲視圖是和遷移前物理網(wǎng)絡拓撲視圖完全一致的。而實際上，完成虛擬化遷移后的物理拓撲卻發(fā)生了很大的變化，虛擬機可遷移的特性使得其在物理虛擬化服務器上的位置并不固定，這就帶來了兩個問題：首先，無法確定所需要監(jiān)控的業(yè)務鏈路（這里鏈路后可能是一臺主機也可能是一個網(wǎng)絡）的物理位置，即傳統(tǒng)的物理安全產(chǎn)品，需要使用如交換機物理端口鏡像的功能來捕獲所要監(jiān)控的鏈路的網(wǎng)絡數(shù)據(jù)包；其次，無法從物理網(wǎng)絡拓撲視圖去管理和規(guī)劃整個虛擬化網(wǎng)絡的安全域，這是由于物理網(wǎng)絡拓撲視圖是變化的，管理起來復雜程度很高，并且對于虛擬化的用戶來說，他也不應該直接看到虛擬化底層的物理拓撲。

前文所述的安全虛擬機可以解決虛擬化網(wǎng)絡中數(shù)據(jù)包捕獲的問題，由于安全虛擬機本身也連接在虛擬交換機上，因此其邏輯拓撲跟網(wǎng)絡中的被監(jiān)控主機處于一個平面，這樣所有經(jīng)過虛擬機的虛擬網(wǎng)卡和虛擬交換機的網(wǎng)絡數(shù)據(jù)包就都可以被從虛擬網(wǎng)絡這個層面捕獲到。但是安全虛擬機如何能被準確的部署到所需要被監(jiān)控的業(yè)務虛擬機所在的虛擬交換機上，被監(jiān)控的虛擬機遷移到其它物理虛擬化服務器上的虛擬交換機上后，安全虛擬機是否能夠跟隨遷移過去這都是需要解決的問題。由于用戶（指由虛擬機組成的業(yè)務網(wǎng)絡的管理運維人員）通常只了解其邏輯上的網(wǎng)絡拓撲，而如vCenter等虛擬化平臺的管理中心只能提供物理網(wǎng)絡拓撲，因此，在企業(yè)完成了服務器虛擬化遷移部署后，如何解決虛擬網(wǎng)絡的安全監(jiān)控問題，成為目前企業(yè)私有云需要面對的主要問題之一。

4 云安全管配平臺

由于安全虛擬機不能掌握全局的網(wǎng)絡拓撲信息，vCenter等虛擬化管理平臺既不能理解用戶的業(yè)務網(wǎng)絡邏輯拓撲，也不能基于安全域的安全策略配置管理安全虛擬機。因此，為了解決安全虛擬機的部署和管理問題，我們提出一種基于虛擬網(wǎng)絡可視化安全管理配置中心和虛擬化網(wǎng)絡安全監(jiān)控產(chǎn)品相結(jié)合的虛擬網(wǎng)絡安全監(jiān)控解決方案，虛擬網(wǎng)絡可視化安全管理配置中心（下稱安全管配中心）從vCenter獲得虛擬網(wǎng)絡的拓撲信息，并以網(wǎng)絡的邏輯拓撲視圖的方式展示給用戶，在此視圖的基礎上，用戶可以規(guī)劃和配置其業(yè)務網(wǎng)絡的安全域，安全虛擬機以組件模板的方式提供給用戶，在網(wǎng)絡拓撲視圖上，用戶可以直接拖放安全虛擬機到某個需要保護的安全域上，這樣安全管配中心就會根據(jù)其從vCenter處獲得虛擬化網(wǎng)絡的物理拓撲信息，把這些安全虛擬機分發(fā)到相應的虛擬交換機上，再通過配置界面進行適當配置后即可使用。當業(yè)務虛擬機發(fā)生遷移，從一臺物理主機遷移到另外一臺物理主機后，其物理拓撲改變的執(zhí)行者是vCenter，而云安全管配平臺會通過同步機制獲得該物理拓撲的變化信息，并把相應的安全虛擬機跟隨遷移到相應的物理主機上，在業(yè)務虛擬機的遷移過程中，其邏輯拓撲其實并未發(fā)生變化，因此，安全管配中心所呈現(xiàn)給用戶的業(yè)務網(wǎng)絡邏輯拓撲視圖也不會發(fā)生變化，安全虛擬機的跟隨遷移也完全采用自動化的方式完成。安全管配中心主要從運維管理層面屏蔽了虛擬化帶來的技術(shù)差異和細節(jié)，讓運維管理人員以維護傳統(tǒng)網(wǎng)絡安全的方式去維護虛擬網(wǎng)絡。

5 虛擬網(wǎng)絡安全解決方案

圖4給出了一個完整的基于可視化安全運維管理中心和多種虛擬化網(wǎng)絡安全監(jiān)控產(chǎn)品相結(jié)合的虛擬網(wǎng)絡安全監(jiān)控解決方案，安全管配中心通過vCenter獲得虛擬網(wǎng)絡拓撲信息，并調(diào)用vCenter的接口實現(xiàn)部署安全虛擬機到相應的業(yè)務網(wǎng)絡平臺中。

圖4 虛擬化網(wǎng)絡安全解決方案

根據(jù)不同的安全需求和性能需求，安全管配中心管理三種不同形態(tài)的虛擬網(wǎng)絡安全監(jiān)控產(chǎn)品。其中虛擬機形態(tài)的虛擬IDS和虛擬UTM用于進行網(wǎng)絡安全防護，虛擬IDS采用旁路的方式連接在虛擬交換機上，虛擬UTM采用串接方式串在兩個虛擬交換機之間；基于內(nèi)省API的安全虛擬機通過VMM層捕獲虛擬機內(nèi)部的操作系統(tǒng)和應用程序行為，如進程切換信息、磁盤IO操作等，以實現(xiàn)對虛擬機操作系統(tǒng)的無代理安全監(jiān)控；在整個虛擬化網(wǎng)絡的外邊界，采用硬件自虛擬化的方式，對整個企業(yè)的網(wǎng)絡流量、上網(wǎng)行為進行管理，硬件自虛擬化是一種以硬件自身為虛擬化平臺，虛擬出多個虛擬安全產(chǎn)品（如虛擬網(wǎng)關(guān)）以此實現(xiàn)對其所連接的網(wǎng)絡中多種不同安全域的不同安全業(yè)務需求。在整個解決方案中，安全管配中心起到了大腦的作用，其拓撲發(fā)現(xiàn)能力和實時監(jiān)控拓撲變化的能力，使其具有對整個虛擬網(wǎng)絡全局拓撲變化的感知能力，從而能夠方便的部署安全虛擬機到虛擬拓撲中的任意位置，并能夠?qū)崿F(xiàn)在業(yè)務虛擬機發(fā)生遷移后控制安全虛擬機的跟隨遷移。

在這幾種安全虛擬化產(chǎn)品中，除了硬件自虛擬化安全產(chǎn)品不需要占用虛擬化平臺資源外，安全虛擬機形態(tài)的安全產(chǎn)品都需要利用虛擬化平臺的計算、存儲和網(wǎng)絡資源來實現(xiàn)對其上的虛擬機的安全防護。其中基于內(nèi)省API的安全虛擬機由于必須從VMM平臺捕獲業(yè)務虛擬機操作系統(tǒng)的行為，因此，其必須被部署在與被監(jiān)控業(yè)務虛擬機同一臺物理虛擬化服務器上，由于每臺物理虛擬化服務器上僅需要部署一臺這樣的安全虛擬機，因此性能開銷主要是計算方面的開銷。而虛擬UTM和虛擬IDS則需要根據(jù)物理虛擬化服務器上存在安全域的個數(shù)進行相等數(shù)量的部署，既會消耗一定的計算資源也會消耗網(wǎng)絡IO帶寬。

6 結(jié)語

虛擬網(wǎng)絡可視化安全管理配置中心和虛擬化安全產(chǎn)品共同構(gòu)成的虛擬化安全防護體系為企業(yè)私有云的安全防護提供了可靠、全面的安全解決方案。安全管配中心通過對虛擬網(wǎng)絡拓撲的感知以邏輯拓撲可視化的方式簡化了虛擬化技術(shù)對網(wǎng)絡管理帶來的復雜性，以其通過vCenter REST API接口實現(xiàn)的對虛擬網(wǎng)絡的控制能力和對虛擬機的自動部署能力實現(xiàn)對虛擬機形態(tài)的安全產(chǎn)品的部署和管控。

[1]BW Lampson.A note on the confinement problem.Communications of the ACM，1973，4

[2]D Bell.The bell-lapadula model.Journal of computer security，1996，6

[3]王永吉，吳敬征，曾海濤等隱蔽信道研究.軟件學報，2010，6