虛擬化安全解決方案

文/東方有線網絡有限公司網管中心 王遠偉

虛擬化安全解決方案

文/東方有線網絡有限公司網管中心 王遠偉

1.背景

在云計算進行得如火如荼的今天，其安全問題日益突出。眾所周知云計算的典型特征是將IT的各類資源進行池化，并以可度量的服務形式提供或交付給用戶。虛擬化技術是實現資源池化的基礎，其實現了物理資源的邏輯抽象和統一表示。通過虛擬化技術可以提高資源的利用率，并能根據用戶業務需求的變化，快速、靈活地進行自由部署。要建設一個成熟的云平臺，必須實現服務器虛擬化、網絡虛擬化、存儲虛擬化三大關鍵技術。可以說是虛擬化為我們帶來了“云”，同時也是云計算區別于傳統計算模式的重要標志。

2.虛擬化引起的安全挑戰

虛擬化的目的就是虛擬化出一個或多個租戶相互隔離的執行環境，用于運行操作系統及應用或者進行數據通訊。然而，由于虛擬化技術大規模的應用，打破了傳統的網絡邊界的劃分方式，網絡邊界變的模糊和動態，特別是虛擬機的網絡通信方式發生了徹底的改變。這些都給傳統安全帶來了挑戰，具體如下：

VM通訊流量不可視：同一物理機內部的虛擬機之間進行數據交換時并不經過傳統的網絡接入層交換機，直接導致虛擬機之間的流量不可視，無法實現虛擬機之間的隔離控制，無法做到流量數據監控和審計等。

網絡邊界不固定：分布式資源調度或者虛擬機遷移造成邊界動態變化，VM新遷移的運行環境可能存在安全風險。同時虛擬化的網絡結構，使得傳統的分區分域防護變得難以實現。

資源惡意競爭：多虛擬機共享同一硬件環境，經常出現惡意搶占資源，例如一臺VM對另一臺VM發起DDOS攻擊，影響服務水平。

虛擬機間無法隔離：同一臺服務器上不同租戶間的VM之間無法做到有效的隔離，因為眾多租戶的應用和數據共享同一套虛擬化軟件和基礎設施。

虛擬化平臺自身安全：因虛擬化平臺自身存在漏洞，因此由虛擬機做為跳板通過網絡攻擊虛擬化平臺管理API接口或由虛擬機通過漏洞直接攻擊底層的虛擬化平臺，將導致整個云平臺癱瘓。

管理員權限過度集中：在傳統數據中心，服務器、網絡、存儲與數據等通常分別由不同管理員進行管理，但在虛擬化環境管理，往往都由同一管理員負責，并缺少對管理員的權限控制，操作審計以及合規性檢查。

基于主機安全技術手段無法應用：目前傳統的安全措施和工具都是基于物理機開發的，在虛擬機環境下針對單個VM并不適用。

虛擬機安全管理復雜：要管理同一時刻上千臺的虛擬機的安全狀態和策略，無論是管理難度和強度都是巨大的。

3.虛擬化安全解決方案

因此在深入分析由于虛擬化軟件和服務器虛擬化引起的各類安全問題基礎上，并結合分析當前主流的虛擬化安全解決思路，在傳統安全防護的基礎上，應深入hypervisor層增加安全控制手段，直接將安全網關虛擬化以軟件的形式安裝在hypervisor層的三層防御體系思路，從網絡層面，系統層面，管理層面三個層面對虛擬化環境進行安全保護。重點解決不同虛擬機之間的網絡訪問控制層面上的安全防護和hypervisor層的安全。

防御體系思路上通過部署虛擬安全網關，該網關具備相關物理硬件設備的一切安全功能，由集中管理平臺、虛擬化安全網關vGate、客戶系統內安全代理、虛擬化平臺接入引擎四個組件構成，并以虛擬機形式安裝和運行。通過接入引擎將需要進行安全檢查的流量指向VGate，由Vgate實現對所有虛擬機之間以及虛擬化平臺本身的網絡通信進行掃描、防護和控制。從而做到安全檢查和流量監控審計等，虛擬安全網關不僅能提供高效的安全處理，還能通過集中管理平臺實現虛擬機策略的集中管理，并提供靈活的策略和網絡配置。

4.方案效果

1.實現全面的安全防護：基于安全高效的虛擬化安全網關實現了對管理層、系統層、網絡層的安全防護，徹底解決了主機虛擬化和網絡虛擬化產生的安全問題，同時加強了對hypervisor層的監控。

2.實現全景安全監控：采用集中管理平臺對全網安全事件以及虛擬機運行狀態集中監控和報警。

3.實現高效虛擬機安全管理： 通過TP實現對單個虛擬機的安全策略配置，并自動實現相應的策略部署、動態遷移等。提升管理和維護效率，降低用戶管理成本。

4.實現安全服務虛擬化：虛擬安全網關系統支持虛擬化功能，在邏輯上分為多個虛擬網關系統，具備獨立的管理員和策略配置系統，可以為多租戶的應用提供獨立的安全服務。