一、虚拟化环境面临的安全问题在企业IT逐步向公有云迁移部分业务,实现企业混合云建设的过程中,如何保证企业云中的数据安全是一个非常重要的考量内容。虽然基于硬件架构建设IaaS的云计算模型,可以通过在运营商侧使能虚拟防火墙及配置合理的安全防护手段来实现用户的安全,但是在运营过程中仍然存在很多的局限。
对运营商来说,在面临云计算规模扩展的情况下,云化的安全资源池的扩展性不足,往往涉及到硬件设备的招标、采购、运输、布线等环节,整体实施的效率比较低下。同时面对多租户共享的硬件资源,租户安全策略的变更也需要云服务商进行审核,以避免影响多租户共享设备的稳定运行,大大增加了运营管理的复杂度。
对于租户来说,在向云计算服务商购买了相关的安全服务后,他们希望可以完全掌握该设备资源且专为自己所用,以避免用户数据泄露的风险。
另一方面,传统的网络结构设计中,流量是以“客户端-服务器”的“南北向”为主,传统的防火墙设备能够对网络中的流量进行安全防护及业务隔离。但在云计算环境中,大量的数据都存储在分布广泛、类型众多的服务器中,服务器内部众多的虚拟机(VM)之间存在直接的二层流量交换(即“东西向”流量),而这种二层交换并不需要经过外置的物理交换机,因此这些流量只存在服务器内部,而不会传送到服务器外部的物理防火墙中,导致物理防火墙无法对其进行安全防护,管理员对该部分流量既不可控也不可见,难以做到有效隔离与防护。
这种情况下,传统的网络安全方案已经不能完全满足要求,如何适应虚拟环境,对网络安全设备提出了新的要求。在云计算时代,虚拟化成为安全产品的必备功能,安全部署必须无缝贴合云计算虚拟化的结构,云计算环境下的安全防护需要有针对性的解决方案。
二、 虚拟化软件安全网关通过虚拟化软件安全网关在云端的部署,将成为解决上述问题的有效方式。目前,通过NFV云计算模型进行安全业务部署是云计算环境中常见的建设方式。传统构建云计算数据中心,因为涉及到专业硬件安全设备的招标、采购、安装过程中的机房区域规划、机架布线、供电系统设计,以及后续的硬件设备运维等问题,业务部署周期较长,无法适应租户业务快速部署上线的需求,尤其是后续租户需求发生变更需要升级扩容时会更为复杂。基于NFV的建设思路正好可以解决这些固有的局限性,一方面可以充分利用运营商的丰富的服务器计算资源,避免了专业化硬件的安装维护;另一方面基于统一的云管理平台,也可以快速实现软件安全网关快速的业务部署和策略调整。
使用NFV虚拟多业务安全网关,能够提供完善的安全防护功能,可以增强动态虚拟化环境的安全性。通过不同的部署方式,不论是数据中心内外部的“南北向”流量,还是数据中心内部虚拟机之间的“东西向”流量,虚拟化软件安全网关都能够提供高性能、高可靠性、灵活部署和可扩展的全面安全防护。如图1所示,VFW运行在虚拟平台中,由iMC集中管理,可以部署在边界位置,作为边界网关,实现“南北向”流量防护,也可部署在租户内部VM之间,做透明部署,实现“东西向”流量防护。
在实际应用中,根据用户的不同需求可以有多种类型组网模型,下面分别进行说明。
虚拟私有云(VPC)环境下的安全防护
对于普通的云计算VPC模型的租户,既可以将VFW/VLB等安全业务安装在业务服务器内,也可以部署独立的安全业务网关服务器(如图2所示)。云计算服务商也可以选择分布式VFW/VLB模型,建设高性能的安全业务资源池,此时多个VM虚拟机或者独立的服务器资源逻辑上被认为是单一管理节点,对外提供高性能的安全业务。这种情况下,虚拟多业务安全网关可以独立分配给不同租户,由于虚拟网关逻辑上相互独立,不会相互影响,因此可以由租户自行负责虚拟网关的管理,自主实现安全策略的配置管理,大大减轻服务提供商的维护工作量,满足租户完全独立管理需求。
VM-VM安全防护基本模型
前面VPC模型中,虚拟化安全网关作为边界网关,对南北向流量进行防护,但对于东西向流量并不需要经过网关,应如何对该流量进行防护呢?实际上,虚拟化安全网关作为一个特殊的虚拟机运行在虚拟平台中,正常情况下VM间访问流量直接经过vSwitch互访,当需要对其进行安全防护时,管理员要实现配置vSwitch中的引流策略, vSwitch根据流表内容对流量进行匹配,根据引流策略配置将需要防护流量引流到VFW中,由VFW对虚拟机间流量进行防护处理,最后经VFW处理过的流量再回到vSwtich中进行正常转发,如图3所示。通过部署虚拟化安全网关,管理员能够对服务器内部VM之间的流量进行管控,有效解决“东西向”流量安全防护问题,包括:
- 设置安全策略控制对VM虚拟机之间的访问,对VM之间的流量访问进行允许或禁止;
- 对VM之间的流量互访进行攻击检测,及时发现内部攻击行为。
基于SDN架构的VM-VM安全防护
VM-VM防护基本模型中,每台主机中需要安装虚拟化安全网关,对主机内VM-VM流量进行防护。但随着SDN以及NFV不断推进,要求能够实现更大范围内的VM-VM间流量进行防护,而不能局限于本地主机。因此基于上述VM间防护基本模型,进一步发展出基于SDN架构的VM-VM安全防护,提供更为完善的VM间防护,部署模型如图4所示。其防护详细流程如下。
软件定义流量策略。首先将需要进行安全防护的VM之间的流量进行精确定义,用户可以通过IP地址/MAC地址或者是基于VM的名字进行策略定义,并进行允许或拒绝等动作的配置。
软件决定转发。虚拟交换机在接收到VM的流量后,自动该该流量首包上送到SDN Controller,之后根据预先配置的安全策略,形成OpenFlow的流表下发到本地虚拟交换机。后续报文经过虚拟交换机时将检查转发表项,对符合规则的报文转发到软件安全处理引擎。
软件实现安全。初始化过程中,管理中心将负责对虚拟机安全软件完成必要的安装和初始化配置,并为该虚拟机分配合理的硬件资源并对该安全业务能力进行设定,同时根据租户的需求下发各种安全策略。在流量到达本虚拟机时,该软件安全网关将完成各项安全检查;完成安全检查的流量将自动转发到目地VM虚拟机。
软件实现业务编排。对于部分业务需要进行多安全业务处理时,可以在服务器内部配置多个安全业务处理引擎,此时可以通过管理层对这部分流量的转发路径进行定义,并生成具体的路由配置策略、或者是通过隧道等方式,实现对报文在多业务之间路径选择的智能化以及报文封装转发的自动化。
VM迁移安全自动防护
在虚拟环境中,VM的迁移非常常见,因此安全防护需要跟随VM迁移实现自动防护;当虚拟机迁移,vSwtich中对VM的引流策略以及相关的安全策略要能够自动迁移到新主机,确保VM安全防护不因迁移而发生变化;
如图5所示,假设VM1由Server1迁移到Server2中,涉及到的引流策略及安全策略迁移如下。
重定向引流策略迁移:
- VM1为源对应的目地VM反向报文策略全部迁移到新上行口;
- VM1为目地的策略配置如VM10-VM1,如果VM10/VM1同在一个服务器,则该引流策略从VM1的接入端口转移到本服务器的上行口,如果不在同一服务器则该策略本身已经在上行口,可不迁移。
安全策略迁移:
- 安全策略由iMC管理系统统一管理,各主机中VFW安全策略由SSM集中下发,能够保持被管理安全策略的一致性,因此不论VM迁移到哪个Server,都能够受到相同的安全防护;
- 特别的,当VM迁移时,通知iMC SSM管理系统,SSM过滤出与VM有关安全策略,自动下发到新Server所在VFW中,保证VM安全防护不变;
三、结束语在虚拟化环境中,通过使用虚拟化软件安全网关解决方案,能够带来如下好处:
- 灵活部署,按需扩展,无需改变网络即可对虚拟机提供保护;
- 支持细粒度的安全策略,确保虚拟机避免内外部安全威胁;
- 增强虚拟化环境的安全性,为虚拟机之间的数据流量提供全面的安全防护。
总之,目前越来越多的厂商推出虚拟化产品,虚拟化安全网关是虚拟化环境中安全防护的有效解决方案,能够有效监控和保护虚拟环境的安全,以避免虚拟化环境与外部网络遭受内外部威胁的侵害,从而为虚拟化数据中心和云计算网络带来全面的安全防护,帮助企业构建完善的数据中心和云计算网络安全解决方案。
原文:
http://www.sdnlab.com/3947.html