徐曉貝

中國電子科技集團(tuán)第二十八研究所 210017

引言

云計(jì)算是計(jì)算機(jī)和互聯(lián)網(wǎng)的又一次新的革命，它將計(jì)算和存儲(chǔ)轉(zhuǎn)移到了云端，用戶可以通過使用輕量級的便攜式終端來進(jìn)行復(fù)雜的計(jì)算和大容量的存儲(chǔ)。從技術(shù)的角度來看，云計(jì)算不僅僅是一種新的概念，并行計(jì)算和虛擬化是實(shí)現(xiàn)云計(jì)算應(yīng)用的主要技術(shù)手段。由于硬件技術(shù)的快速發(fā)展，使得一臺普通的物理服務(wù)器所具有的性能遠(yuǎn)遠(yuǎn)超過普通的單一用戶對硬件性能的需求。因此，通過虛擬化的手段，將一臺物理服務(wù)器虛擬為多臺虛擬機(jī)，提供虛擬化服務(wù)成為了構(gòu)建公有云和企業(yè)私有云的技術(shù)基礎(chǔ)。

虛擬化在帶來技術(shù)變革的同時(shí)，也提出了新的虛擬網(wǎng)絡(luò)安全監(jiān)控問題。傳統(tǒng)的網(wǎng)絡(luò)安全監(jiān)控通常采用在安全域的網(wǎng)絡(luò)邊界以及需要監(jiān)聽的安全域內(nèi)的網(wǎng)絡(luò)鏈路上旁路式部署網(wǎng)絡(luò)安全監(jiān)控產(chǎn)品，如入侵檢測系統(tǒng)（Intrusion Detection Systems, IDS）、安全審計(jì)系統(tǒng)（Audit）等。虛擬化技術(shù)對網(wǎng)絡(luò)工程的最大影響是使得傳統(tǒng)的物理網(wǎng)絡(luò)邊界不再清晰的存在，從而無法找到網(wǎng)絡(luò)安全域的網(wǎng)絡(luò)流的物理匯聚點(diǎn)，也就使得傳統(tǒng)網(wǎng)絡(luò)安全監(jiān)控產(chǎn)品無法找到合適的部署位置來保護(hù)虛擬網(wǎng)絡(luò)安全域的邊界安全。同時(shí)，由于虛擬交換機(jī)的存在，部署在同一物理主機(jī)上且同時(shí)屬于一個(gè)虛擬局域網(wǎng)內(nèi)的兩臺虛擬主機(jī)之間的網(wǎng)絡(luò)流量通常會(huì)通過虛擬交換機(jī)直接在物理主機(jī)內(nèi)部進(jìn)行交換（假設(shè)不使用虛擬以太網(wǎng)端口匯聚器（Virtual Ethernet Port Aggregator, VEPA）模式來配置虛擬網(wǎng)絡(luò)），這就使得連接在物理交換機(jī)上的傳統(tǒng)網(wǎng)絡(luò)安全監(jiān)控產(chǎn)品無法獲得其上的網(wǎng)絡(luò)流量，從而造成監(jiān)控上的缺失，產(chǎn)生隱蔽信道的問題。本文首先對虛擬化網(wǎng)絡(luò)環(huán)境中的安全威脅進(jìn)行了分析，其次針對隱蔽信道問題和虛擬化環(huán)境導(dǎo)致物理網(wǎng)絡(luò)邊界消失所引起的網(wǎng)絡(luò)安全管理問題進(jìn)行了探討，最后結(jié)合本文提出的可視化云安全管配中心和虛擬化網(wǎng)絡(luò)安全監(jiān)控產(chǎn)品給出了一套虛擬網(wǎng)絡(luò)環(huán)境下的完整的安全解決方案，并分別說明了不同形態(tài)的虛擬化安全產(chǎn)品的功能和性能特點(diǎn)。

1 虛擬化網(wǎng)絡(luò)環(huán)境的安全威脅分析

對比傳統(tǒng)網(wǎng)絡(luò)環(huán)境，虛擬化技術(shù)引入了虛擬機(jī)、虛擬網(wǎng)絡(luò)和虛擬機(jī)監(jiān)控器，因此我們可以把整個(gè)需要防護(hù)的系統(tǒng)從上到下分為應(yīng)用程序、虛擬機(jī)操作系統(tǒng)、虛擬機(jī)（包括運(yùn)行態(tài)虛擬機(jī)和虛擬機(jī)鏡像）、虛擬網(wǎng)絡(luò)、虛擬機(jī)監(jiān)視器（可能還包括宿主機(jī)操作系統(tǒng)：如kvm）、物理網(wǎng)絡(luò)這樣幾個(gè)層面。其中應(yīng)用程序、虛擬機(jī)操作系統(tǒng)、宿主機(jī)操作系統(tǒng)和物理網(wǎng)絡(luò)這幾個(gè)層面所需要防護(hù)的仍然是主要來自于傳統(tǒng)的物理網(wǎng)絡(luò)環(huán)境的安全威脅。而虛擬網(wǎng)絡(luò)和虛擬機(jī)監(jiān)控器引入的虛擬化特有的安全威脅主要包括：虛擬機(jī)監(jiān)控器自身的脆弱性的安全威脅、虛擬機(jī)發(fā)生狀態(tài)轉(zhuǎn)移過程中的安全威脅（如虛擬機(jī)被遷移到不安全環(huán)境中的問題）、虛擬機(jī)鏡像的管理和訪問控制的安全問題、網(wǎng)絡(luò)虛擬化后所產(chǎn)生的網(wǎng)絡(luò)物理邊界消失的問題以及虛擬網(wǎng)絡(luò)環(huán)境中的隱蔽信道問題。其中虛擬機(jī)監(jiān)控器自身的脆弱性問題主要依靠虛擬化廠商不斷對其軟件產(chǎn)品的完善來改進(jìn)，而由于虛擬化管理中心（如VMWare的vCenter）的存在，對虛擬機(jī)和虛擬機(jī)鏡像的安全防護(hù)主要依靠對虛擬化管理中心的訪問控制和審計(jì)來保證，本文主要討論由虛擬化網(wǎng)絡(luò)所引入的安全威脅。

在傳統(tǒng)網(wǎng)絡(luò)安全領(lǐng)域，隱蔽信道（Covert Channel）一直是導(dǎo)致信息泄露的重要威脅之一。隱蔽信道的概念最早由Lampson 于1973 年提出[1]，Lampson把隱蔽信道劃分為存儲(chǔ)信道、時(shí)間信道和合法信道三類。隱蔽信道問題主要關(guān)注對程序執(zhí)行過程的限制，阻止程序在執(zhí)行過程中通過隱蔽信道向其他未授權(quán)的程序傳輸信息。我國《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB17859-1999）、美國《可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則》（TCSEC）以及國際標(biāo)準(zhǔn)化組織ISO 在1999 年發(fā)布的《信息技術(shù)安全評估通用準(zhǔn)則》（ISO/IEC 15408，即CC 標(biāo)準(zhǔn)）都有明確描述：隱蔽信道是指允許進(jìn)程以危害系統(tǒng)安全策略的方式傳輸信息的通信信道。

圖1 隱蔽信道原理圖

圖1給出了隱蔽信道的原理圖，其中BLP model為強(qiáng)制訪問控制模型[2]，如圖1所示，即使使用了強(qiáng)制訪問控制模型，隱蔽信道仍然為攻擊者提供了一種從高安全級主體向低安全級別主體傳輸信息的途徑。顯然，隱蔽信道并不是一種直接的攻擊方式，而是入侵者在成功入侵后，竊取合法用戶數(shù)據(jù)的通道。例如，在通過植入木馬等方式入侵用戶的計(jì)算機(jī)后，再通過隱蔽信道拷貝出用戶的隱私資料數(shù)據(jù)。隨著安全技術(shù)的發(fā)展，隱蔽信道研究現(xiàn)已涉及信息安全產(chǎn)品的多個(gè)領(lǐng)域，主要包括：數(shù)據(jù)庫隱蔽信道、網(wǎng)絡(luò)信道、“合法”信道、推理信道[3]等。針對上述幾種隱蔽信道，當(dāng)前的主流安全防護(hù)手段都可實(shí)施監(jiān)控和攔截，包括常規(guī)硬件防火墻、IDS/IPS、安全網(wǎng)關(guān)（或UTM）等。

虛擬化環(huán)境下，傳統(tǒng)的隱蔽信道問題仍然存在，而在傳統(tǒng)物理網(wǎng)絡(luò)中，應(yīng)對這些問題的解決方案也仍然有效，但是虛擬化技術(shù)引入了新的網(wǎng)絡(luò)工程問題，如圖2所示，在同一臺物理虛擬化服務(wù)器上，虛擬主機(jī)A和虛擬主機(jī)B屬于同一個(gè)虛擬局域網(wǎng)，它們之間通信的流量是不會(huì)被轉(zhuǎn)發(fā)到物理網(wǎng)絡(luò)中的，而是由虛擬交換機(jī)直接在物理虛擬化服務(wù)器的內(nèi)存中就進(jìn)行了交換，這樣它們之間的流量對于連接在物理交換機(jī)上的物理網(wǎng)絡(luò)安全產(chǎn)品來說就是不可見的。這不僅僅是一條存在于虛擬化環(huán)境下的隱蔽信道，也為網(wǎng)絡(luò)入侵檢測和審計(jì)帶來了新的技術(shù)挑戰(zhàn)，傳統(tǒng)的硬件形態(tài)的網(wǎng)關(guān)、審計(jì)產(chǎn)品、入侵檢測產(chǎn)品和防火墻類產(chǎn)品都無法捕獲只在虛擬交換機(jī)內(nèi)部進(jìn)行交換的網(wǎng)絡(luò)流量。

圖2 基于虛擬化環(huán)境的隱蔽信道示意圖

2 網(wǎng)絡(luò)安全產(chǎn)品的虛擬化

虛擬機(jī)通過虛擬交換機(jī)互聯(lián)形成了虛擬網(wǎng)絡(luò)，如圖3所示，雖然在物理實(shí)現(xiàn)上，虛擬交換機(jī)又連接到了物理網(wǎng)卡，通過物理交換機(jī)進(jìn)行了互聯(lián)，但是本質(zhì)上，從虛擬化的視角來看，虛擬機(jī)只能看見虛擬交換機(jī)。因此，要解決虛擬機(jī)間的網(wǎng)絡(luò)流量在虛擬交換機(jī)的內(nèi)部交換從而造成流量無法被物理硬件網(wǎng)絡(luò)安全產(chǎn)品捕獲的這個(gè)問題，我們必須也從虛擬機(jī)的視角來部署我們的網(wǎng)絡(luò)安全產(chǎn)品。圖3給出了一種虛擬機(jī)形態(tài)的IDS和UTM的部署方式，在這個(gè)方案中，傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品被裝入了虛擬機(jī)里，直接連接在了虛擬交換機(jī)上，這樣即使流量只在虛擬交換機(jī)內(nèi)部進(jìn)行交換而不被轉(zhuǎn)發(fā)到物理交換機(jī)中，虛擬機(jī)形態(tài)的網(wǎng)絡(luò)安全產(chǎn)品（下稱安全虛擬機(jī)，本文主要以旁路式監(jiān)聽的虛擬IDS為例進(jìn)行論述）也能夠捕獲到其通信流量。以VMWare的ESXi平臺為例，把安全虛擬機(jī)和要被監(jiān)控的虛擬機(jī)連接在同一個(gè)虛擬交換機(jī)上，并設(shè)置混雜端口組，監(jiān)聽所要監(jiān)控的虛擬機(jī)所在vlan，這樣就能夠把該vlan內(nèi)經(jīng)過此虛擬交換機(jī)端口的流量鏡像到安全虛擬機(jī)的監(jiān)聽端口，從而實(shí)現(xiàn)旁路式的流量監(jiān)控。

圖3 一種虛擬機(jī)形態(tài)的IDS和UTM的部署方式

3 虛擬化安全管理

網(wǎng)絡(luò)安全并不是針對某一個(gè)或幾個(gè)特定的節(jié)點(diǎn)為目標(biāo)進(jìn)行安全防護(hù)，通常安全防護(hù)解決方案的防護(hù)目標(biāo)是一個(gè)網(wǎng)絡(luò)，這樣就需要首先根據(jù)這個(gè)網(wǎng)絡(luò)中主機(jī)的業(yè)務(wù)分類，進(jìn)行網(wǎng)絡(luò)安全域的劃分。網(wǎng)絡(luò)安全域通常由具有相同等級安全屬性的且可以互聯(lián)互通的一組網(wǎng)絡(luò)中的主機(jī)構(gòu)成，在企業(yè)級的網(wǎng)絡(luò)中，常常按照企業(yè)的業(yè)務(wù)系統(tǒng)進(jìn)行安全域的劃分。在劃分安全域后根據(jù)安全域的安全需求，在安全域的邊界部署相應(yīng)的網(wǎng)絡(luò)安全產(chǎn)品對該安全域內(nèi)的主機(jī)進(jìn)行安全防護(hù)。當(dāng)企業(yè)完成了服務(wù)器的P→V的遷移，把其物理服務(wù)器都遷移到了虛擬化環(huán)境中后，為了保證業(yè)務(wù)系統(tǒng)的可用性，其虛擬網(wǎng)絡(luò)的邏輯拓?fù)湟晥D是和遷移前物理網(wǎng)絡(luò)拓?fù)湟晥D完全一致的。而實(shí)際上，完成虛擬化遷移后的物理拓?fù)鋮s發(fā)生了很大的變化，虛擬機(jī)可遷移的特性使得其在物理虛擬化服務(wù)器上的位置并不固定，這就帶來了兩個(gè)問題：首先，無法確定所需要監(jiān)控的業(yè)務(wù)鏈路（這里鏈路后可能是一臺主機(jī)也可能是一個(gè)網(wǎng)絡(luò)）的物理位置，即傳統(tǒng)的物理安全產(chǎn)品，需要使用如交換機(jī)物理端口鏡像的功能來捕獲所要監(jiān)控的鏈路的網(wǎng)絡(luò)數(shù)據(jù)包；其次，無法從物理網(wǎng)絡(luò)拓?fù)湟晥D去管理和規(guī)劃整個(gè)虛擬化網(wǎng)絡(luò)的安全域，這是由于物理網(wǎng)絡(luò)拓?fù)湟晥D是變化的，管理起來復(fù)雜程度很高，并且對于虛擬化的用戶來說，他也不應(yīng)該直接看到虛擬化底層的物理拓?fù)洹?/p>

前文所述的安全虛擬機(jī)可以解決虛擬化網(wǎng)絡(luò)中數(shù)據(jù)包捕獲的問題，由于安全虛擬機(jī)本身也連接在虛擬交換機(jī)上，因此其邏輯拓?fù)涓W(wǎng)絡(luò)中的被監(jiān)控主機(jī)處于一個(gè)平面，這樣所有經(jīng)過虛擬機(jī)的虛擬網(wǎng)卡和虛擬交換機(jī)的網(wǎng)絡(luò)數(shù)據(jù)包就都可以被從虛擬網(wǎng)絡(luò)這個(gè)層面捕獲到。但是安全虛擬機(jī)如何能被準(zhǔn)確的部署到所需要被監(jiān)控的業(yè)務(wù)虛擬機(jī)所在的虛擬交換機(jī)上，被監(jiān)控的虛擬機(jī)遷移到其它物理虛擬化服務(wù)器上的虛擬交換機(jī)上后，安全虛擬機(jī)是否能夠跟隨遷移過去這都是需要解決的問題。由于用戶（指由虛擬機(jī)組成的業(yè)務(wù)網(wǎng)絡(luò)的管理運(yùn)維人員）通常只了解其邏輯上的網(wǎng)絡(luò)拓?fù)洌鐅Center等虛擬化平臺的管理中心只能提供物理網(wǎng)絡(luò)拓?fù)?，因此，在企業(yè)完成了服務(wù)器虛擬化遷移部署后，如何解決虛擬網(wǎng)絡(luò)的安全監(jiān)控問題，成為目前企業(yè)私有云需要面對的主要問題之一。

4 云安全管配平臺

由于安全虛擬機(jī)不能掌握全局的網(wǎng)絡(luò)拓?fù)湫畔?，vCenter等虛擬化管理平臺既不能理解用戶的業(yè)務(wù)網(wǎng)絡(luò)邏輯拓?fù)洌膊荒芑诎踩虻陌踩呗耘渲霉芾戆踩摂M機(jī)。因此，為了解決安全虛擬機(jī)的部署和管理問題，我們提出一種基于虛擬網(wǎng)絡(luò)可視化安全管理配置中心和虛擬化網(wǎng)絡(luò)安全監(jiān)控產(chǎn)品相結(jié)合的虛擬網(wǎng)絡(luò)安全監(jiān)控解決方案，虛擬網(wǎng)絡(luò)可視化安全管理配置中心（下稱安全管配中心）從vCenter獲得虛擬網(wǎng)絡(luò)的拓?fù)湫畔?，并以網(wǎng)絡(luò)的邏輯拓?fù)湟晥D的方式展示給用戶，在此視圖的基礎(chǔ)上，用戶可以規(guī)劃和配置其業(yè)務(wù)網(wǎng)絡(luò)的安全域，安全虛擬機(jī)以組件模板的方式提供給用戶，在網(wǎng)絡(luò)拓?fù)湟晥D上，用戶可以直接拖放安全虛擬機(jī)到某個(gè)需要保護(hù)的安全域上，這樣安全管配中心就會(huì)根據(jù)其從vCenter處獲得虛擬化網(wǎng)絡(luò)的物理拓?fù)湫畔ⅲ堰@些安全虛擬機(jī)分發(fā)到相應(yīng)的虛擬交換機(jī)上，再通過配置界面進(jìn)行適當(dāng)配置后即可使用。當(dāng)業(yè)務(wù)虛擬機(jī)發(fā)生遷移，從一臺物理主機(jī)遷移到另外一臺物理主機(jī)后，其物理拓?fù)涓淖兊膱?zhí)行者是vCenter，而云安全管配平臺會(huì)通過同步機(jī)制獲得該物理拓?fù)涞淖兓畔?，并把相?yīng)的安全虛擬機(jī)跟隨遷移到相應(yīng)的物理主機(jī)上，在業(yè)務(wù)虛擬機(jī)的遷移過程中，其邏輯拓?fù)淦鋵?shí)并未發(fā)生變化，因此，安全管配中心所呈現(xiàn)給用戶的業(yè)務(wù)網(wǎng)絡(luò)邏輯拓?fù)湟晥D也不會(huì)發(fā)生變化，安全虛擬機(jī)的跟隨遷移也完全采用自動(dòng)化的方式完成。安全管配中心主要從運(yùn)維管理層面屏蔽了虛擬化帶來的技術(shù)差異和細(xì)節(jié)，讓運(yùn)維管理人員以維護(hù)傳統(tǒng)網(wǎng)絡(luò)安全的方式去維護(hù)虛擬網(wǎng)絡(luò)。

5 虛擬網(wǎng)絡(luò)安全解決方案

圖4給出了一個(gè)完整的基于可視化安全運(yùn)維管理中心和多種虛擬化網(wǎng)絡(luò)安全監(jiān)控產(chǎn)品相結(jié)合的虛擬網(wǎng)絡(luò)安全監(jiān)控解決方案，安全管配中心通過vCenter獲得虛擬網(wǎng)絡(luò)拓?fù)湫畔?，并調(diào)用vCenter的接口實(shí)現(xiàn)部署安全虛擬機(jī)到相應(yīng)的業(yè)務(wù)網(wǎng)絡(luò)平臺中。

圖4 虛擬化網(wǎng)絡(luò)安全解決方案

根據(jù)不同的安全需求和性能需求，安全管配中心管理三種不同形態(tài)的虛擬網(wǎng)絡(luò)安全監(jiān)控產(chǎn)品。其中虛擬機(jī)形態(tài)的虛擬IDS和虛擬UTM用于進(jìn)行網(wǎng)絡(luò)安全防護(hù)，虛擬IDS采用旁路的方式連接在虛擬交換機(jī)上，虛擬UTM采用串接方式串在兩個(gè)虛擬交換機(jī)之間；基于內(nèi)省API的安全虛擬機(jī)通過VMM層捕獲虛擬機(jī)內(nèi)部的操作系統(tǒng)和應(yīng)用程序行為，如進(jìn)程切換信息、磁盤IO操作等，以實(shí)現(xiàn)對虛擬機(jī)操作系統(tǒng)的無代理安全監(jiān)控；在整個(gè)虛擬化網(wǎng)絡(luò)的外邊界，采用硬件自虛擬化的方式，對整個(gè)企業(yè)的網(wǎng)絡(luò)流量、上網(wǎng)行為進(jìn)行管理，硬件自虛擬化是一種以硬件自身為虛擬化平臺，虛擬出多個(gè)虛擬安全產(chǎn)品（如虛擬網(wǎng)關(guān)）以此實(shí)現(xiàn)對其所連接的網(wǎng)絡(luò)中多種不同安全域的不同安全業(yè)務(wù)需求。在整個(gè)解決方案中，安全管配中心起到了大腦的作用，其拓?fù)浒l(fā)現(xiàn)能力和實(shí)時(shí)監(jiān)控拓?fù)渥兓哪芰?，使其具有對整個(gè)虛擬網(wǎng)絡(luò)全局拓?fù)渥兓母兄芰?，從而能夠方便的部署安全虛擬機(jī)到虛擬拓?fù)渲械娜我馕恢?，并能夠?qū)崿F(xiàn)在業(yè)務(wù)虛擬機(jī)發(fā)生遷移后控制安全虛擬機(jī)的跟隨遷移。

在這幾種安全虛擬化產(chǎn)品中，除了硬件自虛擬化安全產(chǎn)品不需要占用虛擬化平臺資源外，安全虛擬機(jī)形態(tài)的安全產(chǎn)品都需要利用虛擬化平臺的計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資源來實(shí)現(xiàn)對其上的虛擬機(jī)的安全防護(hù)。其中基于內(nèi)省API的安全虛擬機(jī)由于必須從VMM平臺捕獲業(yè)務(wù)虛擬機(jī)操作系統(tǒng)的行為，因此，其必須被部署在與被監(jiān)控業(yè)務(wù)虛擬機(jī)同一臺物理虛擬化服務(wù)器上，由于每臺物理虛擬化服務(wù)器上僅需要部署一臺這樣的安全虛擬機(jī)，因此性能開銷主要是計(jì)算方面的開銷。而虛擬UTM和虛擬IDS則需要根據(jù)物理虛擬化服務(wù)器上存在安全域的個(gè)數(shù)進(jìn)行相等數(shù)量的部署，既會(huì)消耗一定的計(jì)算資源也會(huì)消耗網(wǎng)絡(luò)IO帶寬。

6 結(jié)語

虛擬網(wǎng)絡(luò)可視化安全管理配置中心和虛擬化安全產(chǎn)品共同構(gòu)成的虛擬化安全防護(hù)體系為企業(yè)私有云的安全防護(hù)提供了可靠、全面的安全解決方案。安全管配中心通過對虛擬網(wǎng)絡(luò)拓?fù)涞母兄赃壿嬐負(fù)淇梢暬姆绞胶喕颂摂M化技術(shù)對網(wǎng)絡(luò)管理帶來的復(fù)雜性，以其通過vCenter REST API接口實(shí)現(xiàn)的對虛擬網(wǎng)絡(luò)的控制能力和對虛擬機(jī)的自動(dòng)部署能力實(shí)現(xiàn)對虛擬機(jī)形態(tài)的安全產(chǎn)品的部署和管控。

[1]BW Lampson.A note on the confinement problem.Communications of the ACM，1973，4

[2]D Bell.The bell-lapadula model.Journal of computer security，1996，6

[3]王永吉，吳敬征，曾海濤等隱蔽信道研究.軟件學(xué)報(bào)，2010，6