一種改進的基于Docker的網絡安全實驗平臺構建方法*

李春林，劉正軍，王 冶，徐 銳

（網絡空間安全四川省重點實驗室，四川 成都 610041）

0 引 言

當前網絡空間安全已經成為各國的發展重點，網絡空間攻防博弈也已經從個人、團隊等以盈利為目的發展為政治斗爭[1]。為了提升網絡攻防水平，美、英、日等國家紛紛建立網絡安全實驗平臺開展網絡攻防理論研究、網絡設備測試等，當前比較著名的網絡安全實驗平臺有美國的，National Cyber Range、Emulab，英國BreakingPoint和日本Starbed等[2-3]。網絡安全實驗平臺的建設必須具備網絡拓撲可重構、網絡節點類型可定義、主機支持多配制多系統、虛擬網絡能夠重現真實網絡環境等4項要求[4]。虛擬化技術和仿真技術由于較大程度滿足上述要求，且具有較低的技術門檻和經費需求，使得一般的科院院所也有能力構建中小型的網絡安全實驗平臺開展相關實驗工作，因此被廣泛用于網絡安全實驗平臺中[5]。尤其在國內相關研究中，通過利用OpenStack等開源軟件構建基于虛擬化技術的網絡靶場、網絡攻防實訓平臺成為眾多高校科研院所的選擇[6-8]。但基于OpenStack等虛擬化技術為網絡安全實驗平臺存在兩點不足，一是當實驗環境需要部署大量業務時，通過基于虛擬機的業務部署存在部署慢、占用資源大的問題[9]；另一個則是由于虛擬機運行需要占用較大的硬件資源[10]。

針對上述問題，陳一鳴提出一種基于Docker的漏洞驗證框架的設計[11]，以及謝睿等提出基于Docker的課程實驗平臺[12]，這些方案通過將原來需要基于虛擬機的業務部署方式改為基于Docker進行部署，從而可以在單個虛擬機上動態部署多個業務，大大加快了部署時間減少了硬件資源消耗。但該方法在安全隔離方面，相比Kernel-based Virtual Machine(KVM)等虛擬化方案安全性較差，無法實現與宿主系統的高安全隔離[13]。因此，在實驗平臺中包含Docker宿主節點安全，以及如何從Docker宿主節點建立安全通道采集業務狀態信息等實驗數據都成為現有基于Docker業務部署方案需要解決的問題。

本文在現有基于Docker的業務部署方案基礎上，針對其中的安全隔離、數據采集安全通道建立等問題，利用Kubernetes的Docker管理平臺提出一種改進的網絡安全實驗平臺構建方法。該方法基于多域安全隔離的思路，將實驗平臺劃分基礎資源域、實驗數據域、業務管理域、實驗場景域四個域，通過虛擬化技術將基礎實驗設施、業務鏡像等基礎資源與其他安全域進行邏輯，通過網絡隔離保證基礎資源域安全性；針對實驗數據域需要采集實驗場景中數據的取消，通過建立基于兩級防火墻數據建立單向數據采集流的安全采集通道實施保護；業務管理域、實驗場景域由于與安全實驗聯系緊密，具有較多的數據通道，因此僅在實驗開始前建立，并在實驗結束后刪除，從而消除安全隱患。

1 基于Docker網絡安全實驗平臺原理介紹

基于Docker網絡安全實驗平臺利用OpenStack等開源基礎設施即服務（Infrastructure as a Service，IaaS）平臺提供基礎設施調度，并在此基礎上基于Kubernetes等Docker管理平臺實現業務部署，進一步考慮業務部署中對場景隔離、監控評估[14]等方面的需求，其系統構成如圖1所示。

圖1 基于Docker網絡安全實驗平臺系統構成

圖1 中包含了基于OpenStack的網絡安全實驗基礎設施、基于Kubernetes的容器管理、業務鏡像以及實驗數據存儲集群四個部分。

（1）OpenStack提供網絡安全實驗基礎設施，以及通過虛擬化手段實現實驗場景級隔離。針對不同的實驗場景，通過加載不同Kubernetes主節點，為各場景建立獨立的業務部署系統。

（2）Kubernetes為業務部署提供統一管理平臺，實現業務的下發、部署、狀態監控等概功能；

（3）業務鏡像用于存放業務鏡像，不同的實驗平臺景共享業務鏡像；

（4）業務狀態監控數據庫用于存放各個業務運行狀態數據，為實驗數據提供業務狀態級數據。

2 改進的網絡安全實驗平臺

2.1 安全域劃分

借鑒網絡空間安全靶場設計中域的概念[1]，按照安全等級將系統劃分為基礎資源域、實驗數據域、業務管理域、實驗場景域四個不同的安全域，他們之間的關系如圖2所示。

圖2 實驗平臺安全域劃分

（1）基礎資源域

其中基礎資源具有最高的安全等級，為整個網絡安全實驗平臺提供虛擬機、Docker鏡像等公共資源。實驗開始前，與業務管理域臨時建立連接用于分配業務資源，實驗開始后與其他域完全隔離。

（2）實驗數據域

實驗數據域用于采集存儲實驗數據，比如通過部署業務狀態信息存儲數據庫存放業務運行狀態等數據。該域中的數據用于支撐實驗狀態監控、實驗評估等，因此數據會進入分析、評估等實驗系統，其安全等級高于業務管理域和實驗場景域；但其在實驗過程中與業務管理和實驗場景域存在數據通道，因此安全等級低于基礎資源域。

（3）業務管理域

業務管理域指由各實驗平臺景中Kubernetes主節點構成的域，該節點負責從拉取業務鏡像部署到實驗環境，同時在實驗過程中采集各個node的業務狀態信息，供實驗分析、評估使用。由于業務域中的節點在實驗開始后，要從實驗場景中采集數據，因此存在較高的安全溢出風險，其安全等級僅高于實驗場景域，業務域中的Kubernetes各主節點之間彼此隔離，在相應的實驗平臺景完成實驗后，隨實驗場景一起刪除，消除安全隱患。

（4）實驗場景域

實驗場景域是網絡安全實驗開展的網絡空間，所有實驗業務均被部署在該域中，各個業務的安全漏洞等問題被充分暴露，因此具有最低的安全等級。任何安全實驗結束后，所有業務節點均隨著實驗場景一起刪除。

2.2 各域之間的安全隔離關系

本節根據各個域的安全屬性，對各個域之間的安全隔離關系進行說明，如圖3所示。

圖3 按區域隔離關系

在本方案中，基礎資源域有最高的安全等級，其僅在實驗開始前與業務域有數據交互，實驗開始后與其他域網絡邏輯隔離，具備最高等級安全保護；實驗數據域與業務管理域之間通過防火墻進行隔離，通過會話控制、IP限制、端口控制等方式進行安全保護，安全防護低于基礎資源域；業務管理域與實驗數據域之間同樣通過防火墻進行會話、IP限制、端口控制等方式進行安全保護。

2.3 基于多安全域的平臺構建

在引入不同的安全域后，對本文給出一種如圖4的改進安全實驗平臺系統架構。

圖4 基于安全域的安全實驗平臺系統構成

在業務的具體部署中，每個業務基于場景進行隔離，每個場景內有一個Kubernetes主節點（master）和若干個node節點，主節點從業務鏡像拉取相應的資源將業務部署到指定的虛擬機，具體過程如圖5所示。

圖5 業務部署過程

業務部署過程：

第一步：由實驗平臺發起業務部署請求，請求首先傳遞到OpenStack管理服務器，由管理服務器根據業務部署的場景，分配相應的虛擬機資源，首先生成一個包含Kubernetes主節點和多個node節點，業務部署基礎環境，如圖6所示。

圖6 生成業務部署基礎環境

第二步：Kubernetes主節點根據需要部署的業務，從業務鏡像服務器獲取相應的鏡像資源，并將相應的業務部署到相應的node節點上，如圖7所示。由于單個node可以部署多個業務，顯著降低了虛擬的使用量，從而大大增加了資源利用率。

圖7 生成業務部署虛擬機

第三步：在Kubernetes主節點和業務狀態監控數據庫之間建立數據連接，用于采集業務狀態信息。同時，通過防火墻實施安全隔離，僅允許監控數據通過防火墻，從而實現監控數據與實驗平臺的安全隔離。

3 安全性分析

3.1 基礎資源域安全性

OpenStack通過創建虛擬機部署業務，各個docker運行在虛擬機之上，因此相比將docker直接部署到基礎設施，由虛擬機提供了更高的安全隔離。同時，當實驗結束后所有的虛擬機都會被刪除，進一步確保了基礎設施的安全性。從而有效彌補了現有docker環境安全性的不足。

對于基礎資源域中的容器鏡像資源，由于網絡安全實驗平臺并不是真實業務環境，通過控制鏡像服務器與Kubernetes主節點連接時間實現安全隔離。即將業務鏡像拉取安排在實驗開始前，一旦鏡像下載完成立即斷開業務鏡像與實驗管理域的連接，從而確保了安全性。

3.2 實驗數據域安全性

實驗數據域中僅用于存儲包括業務狀態信息等實驗數據，其安全威脅主要來自數據采集過程中，由業務管理域滲透過來的安全威脅。因此實驗數據域和業務管理域之間通過增加防火墻進行安全隔離，且實驗數據域的安全等級高于業務管理域，阻止任何從業務管理域發起的會話請求。

3.3 業務管理域安全性

業務管理域中負責對實驗場景中的業務進行部署和監控，因此和實驗場景中存在大量的數據交互。其安全威脅主要來自兩個方面：實驗過程中通過業務管理和數據采集通道溢出的攻擊；實驗過程中不同場景之間通過業務管理域跳轉的跨場景攻擊溢出。

由于業務管理域必須直接與實驗場景域交互，因此通過增加防火墻的手段，阻斷除業務管理和采集數據通路以外的數據通道。

針對跨場景攻擊溢出，通過為每個場景配置獨立的Kubernetes主節點，阻斷場景間的連接通路，從而可以消除安全風險。

3.4 安全性實驗場景域

實驗場景域中開展各類網絡安全實驗，也是對實驗平臺造成安全威脅的源頭。通過在實驗開始前創建新的實驗場景，實驗完成后刪除實驗場景的方式進行管理。

3.5 數據采集通道安全性

數據采集通道橫跨實驗數據域、業務管理域和實驗場景域三個域，是域間安全威脅傳遞的唯一通道。本文通過一種基于數據推拉的方式建立數據采集通道，其中實驗數據域通過拉的方式從業務管理域獲取數據，實驗場景域通過推的方式發送數據，過程如圖8所示。

圖8 業務狀態數據采集推拉過程

在實驗過程中，由于各個節點業務狀態變化的不一致，通過拉取方式難以實現獲取效率與開銷的平衡，因此實驗場景中的node節點通過推的方式將業務運行狀態發送給業務管理域中的Kubernetes主節點；而實驗數據域僅需要跟業務域中的Kubernetes主節點進行通信，其開銷遠遠小于Kubernetes主節點與nodes之間的開銷，因此采用拉的方式獲取數據。

由于采用不同數據獲取方式，實驗數據域采用拉的方式從業務管理域獲取數據，其防火墻策略設置為阻止由業務管理域主動向實驗數據域發起的會話請求；業務管理域和實驗場景域之間則可以由實驗管理域中的節點主動向業務管理域發起會話請求。

因此由實驗場景域通過數據采集通道的攻擊溢出在傳播到業務管理域后，將難以進一步傳遞到實驗數據采集域，從而確保采集通道的安全。

4 結 語

本方案提出一種改進的基于docker的網絡安全實驗平臺構建方法，針對當前基于docker網絡安全實驗平臺存在的實驗安全隔離等問題，通過引入安全域，利用虛擬機安全隔離、防火墻等安全措施提出解決方案，通過安全性分析，本文提出的方案極大提高了網絡安全實驗平臺的安全性。但該方案仍然面臨虛擬機溢出攻擊等風險，考慮到該系統面向網絡安全實驗，因此在設置實驗場景時應予以充分考慮。