基于SDS的虛擬化數(shù)據(jù)中心安全探討

李姍姍，李 濤（中國聯(lián)通網(wǎng)絡(luò)技術(shù)研究院，北京100048）

1 概述

近年來，隨著IT技術(shù)的不斷演化與發(fā)展，傳統(tǒng)的數(shù)據(jù)中心正在逐步向虛擬化數(shù)據(jù)中心（VDC——Virtual Data Center）轉(zhuǎn)型。虛擬化數(shù)據(jù)中心是一種利用云計算架構(gòu)，將虛擬化技術(shù)運用于數(shù)據(jù)中心的一種新型的數(shù)據(jù)中心形態(tài)。VDC通過將物理資源抽象整合，動態(tài)地完成資源分配和調(diào)度，實現(xiàn)了數(shù)據(jù)中心的自動化部署，提高了資源的利用率和部署的靈活性，同時極大地降低了數(shù)據(jù)中心的建設(shè)成本。

虛擬化技術(shù)的引入，在改變傳統(tǒng)數(shù)據(jù)中心架構(gòu)的同時，也給安全防護(hù)帶來了新的挑戰(zhàn)，如資源共享引發(fā)的網(wǎng)絡(luò)安全邊界模糊、虛擬機之間流量不可見等問題，因此虛擬化安全風(fēng)險防護(hù)是虛擬化數(shù)據(jù)中心安全的核心所在。近年來，軟件定義安全（SDS——Software Defined Security）不斷發(fā)展，其利用軟件編程的方式對安全資源進(jìn)行靈活的業(yè)務(wù)編排、調(diào)度和管理，為虛擬化安全防護(hù)技術(shù)的發(fā)展注入新活力。

2 虛擬化數(shù)據(jù)中心簡介

2.1 虛擬化數(shù)據(jù)中心架構(gòu)

虛擬化數(shù)據(jù)中心利用虛擬化技術(shù)將計算、存儲和網(wǎng)絡(luò)3種資源虛擬化為一個完整的、彈性化的基礎(chǔ)設(shè)施資源池，從而實現(xiàn)底層物理設(shè)備與邏輯資源的解耦。在該資源池內(nèi)，物理設(shè)備與網(wǎng)絡(luò)鏈路不再單獨地存在與使用，而是作為整個資源池內(nèi)的一部分進(jìn)行統(tǒng)一動態(tài)的管理與調(diào)度，實現(xiàn)數(shù)據(jù)中心的自動化部署，對用戶實現(xiàn)按需分配與服務(wù)，提高了資源交付的靈活性和資源的利用率，降低了數(shù)據(jù)中心的建設(shè)成本。

2.2 虛擬化數(shù)據(jù)中心面臨安全挑戰(zhàn)

由于虛擬化數(shù)據(jù)中心采用全新的服務(wù)計算模式、動態(tài)虛擬化管理方式和多租戶共享運營模式，所以在傳統(tǒng)安全風(fēng)險基礎(chǔ)上，面臨更多安全挑戰(zhàn)。

2.2.1 虛擬環(huán)境安全風(fēng)險

a）逃逸風(fēng)險：攻擊者突破虛擬機管理器Hypervisor，獲得物理機host的管理權(quán)限，并控制host上運行的其他虛擬機，這被稱為VM Escape。攻擊者在獲得物理機管理權(quán)限后，既可以攻擊同一host上的其他虛擬機，也可控制所有虛擬機對外發(fā)起攻擊。VM Escape是虛擬化環(huán)境中最嚴(yán)重的安全威脅。

b）遷移攻擊：將虛擬機從一臺host遷移到另一臺。在虛擬機遷移的過程中，虛擬磁盤會被重新創(chuàng)建。攻擊者通過改變虛擬機磁盤的源配置文件和相關(guān)特性來打破其中的安全措施，如密碼、重要認(rèn)證等。

c）安全補丁風(fēng)險：同一host上有多個VM時，每個VM需要對補丁進(jìn)行定期的更新和維護(hù)。若個別VM不能及時補漏，則會成為嚴(yán)重的安全漏洞，被攻擊者加以利用。

d）資源搶占風(fēng)險：由于同一物理機下的虛擬機共享底層硬件資源，若某一臺虛擬機因受到攻擊或被非法利用對host的資源進(jìn)行惡意搶占，從而使其他虛擬機資源嚴(yán)重不足而影響其正常運行。除此之外，資源搶占還會降低同一host下虛擬機的密度，導(dǎo)致成本的增加。

2.2.2 虛擬機軟件自身安全風(fēng)險

構(gòu)建虛擬化環(huán)境的軟件是直接運行在裸機上的，提供創(chuàng)建、運行和銷毀虛擬機的能力，但其本身也可能存在安全漏洞；攻擊者利用這些安全漏洞進(jìn)行攻擊，將會造成不可估量的后果。目前市場上已經(jīng)出現(xiàn)了多款針對虛擬化層的惡意攻擊軟件，如RedPill、BluePill、SubVirt等。

2.2.3 虛擬化網(wǎng)絡(luò)安全風(fēng)險

在虛擬化網(wǎng)絡(luò)環(huán)境下，大二層扁平網(wǎng)絡(luò)結(jié)構(gòu)雖然解決了低效路徑、帶寬利用率低等問題，但若配置不當(dāng)，可能會引起廣播風(fēng)暴、MAC表劇增等安全問題。同時，由于同一host內(nèi)VM間的流量對外不可見，傳統(tǒng)的安全防護(hù)措施難以監(jiān)控東西向流量，這就導(dǎo)致VM間的攻擊不易被發(fā)現(xiàn)和防范。

2.3 虛擬化數(shù)據(jù)中心安全防護(hù)需求

通過對虛擬化安全風(fēng)險分析，虛擬化數(shù)據(jù)中心的安全防護(hù)需求應(yīng)包括以下4個方面。

a）防范來自外部的威脅（如DDoS、SQL注入等）和非授權(quán)訪問，即南北向流量安全防護(hù)。與傳統(tǒng)南北向流量安全防護(hù)相比，在虛擬化環(huán)境下，用戶需求更復(fù)雜，對設(shè)備的虛擬化程度要求更高，因此對南北向流量防護(hù)提出了新的技術(shù)要求。

b）防范VM之間的安全威脅和非授權(quán)訪問，即在虛擬化環(huán)境下產(chǎn)生的東西向流量安全問題。

c）提供東西向、南北向流量的安全防護(hù)措施，相關(guān)安全策略可支撐資源的靈活加入、離開或遷移，提升安全管理能力。

d）提供保護(hù)虛擬化系統(tǒng)及管理平臺的安全防護(hù)能力。

3 虛擬化安全防護(hù)技術(shù)

3.1 基于Hypervisor的安全防護(hù)技術(shù)

基于Hypervisor的安全解決方案以虛擬化廠商及傳統(tǒng)防病毒廠商為代表。在虛擬化層Hypervisor引入安全虛擬機，安全虛擬機可以實現(xiàn)防火墻、防病毒等各種安全功能。安全虛擬機通過調(diào)用Hypervisor對外開放的API，對虛擬機的數(shù)據(jù)流量及資源使用情況進(jìn)行監(jiān)控，從而實現(xiàn)安全防護(hù)功能。

基于Hypervisor的安全防護(hù)技術(shù)不適合多租戶應(yīng)用場景，同時由于安全虛擬機和被監(jiān)控虛擬機共享host，存在資源性能瓶頸。

3.2 基于網(wǎng)絡(luò)虛擬化的安全防護(hù)技術(shù)

基于網(wǎng)絡(luò)虛擬化的安全解決方案以網(wǎng)絡(luò)設(shè)備/安全設(shè)備制造商為代表。將網(wǎng)絡(luò)安全硬件設(shè)備虛擬化，具有一定軟件可編程能力；同時與底層虛擬交換機進(jìn)行耦合，通過二層網(wǎng)絡(luò)或隧道方式，將被監(jiān)控的虛擬機流量重定向到虛擬化的安全防護(hù)產(chǎn)品進(jìn)行檢測。

基于網(wǎng)絡(luò)虛擬化的安全防護(hù)技術(shù)當(dāng)前局限于網(wǎng)絡(luò)層面的安全防護(hù)，4至7層的安全防護(hù)還有待提升。

3.3 基于SDS的安全防護(hù)技術(shù)

SDN和NFV技術(shù)的出現(xiàn)為虛擬化安全防護(hù)帶來了新的發(fā)展機遇。SDN架構(gòu)具備的控制與轉(zhuǎn)發(fā)分離、開放可編程等優(yōu)良特性，使SDN控制器具備了全局視野，可以為各個防護(hù)對象和數(shù)據(jù)流標(biāo)記各種安全屬性；NFV技術(shù)通過對軟硬件解耦，能快速為虛擬化環(huán)境部署各種類型的安全資源。結(jié)合SDN和NFV 2種技術(shù)優(yōu)勢，業(yè)界提出軟件定義安全即SDS的概念，其原理是利用虛擬化技術(shù)，將底層的物理資源抽象成安全能力，形成安全資源池，并通過軟件編程的方式根據(jù)業(yè)務(wù)需求進(jìn)行安全服務(wù)能力編排和管理，完成定制化的安全功能，從而實現(xiàn)一種彈性、靈活的安全防護(hù)。

綜上分析，基于Hypervisor和基于網(wǎng)絡(luò)虛擬化的安全防護(hù)技術(shù)都是通過提升網(wǎng)絡(luò)與虛擬化層的安全感知能力，并將安全防護(hù)延伸到虛擬化層面，實現(xiàn)更精細(xì)化的安全防護(hù)，仍屬于傳統(tǒng)安全防護(hù)解決方案；而SDS技術(shù)及理念的興起，使虛擬化安全防護(hù)技術(shù)有了全新的突破。

4 基于SDS的虛擬化數(shù)據(jù)中心安全解決方案

4.1 基于SDS的虛擬化數(shù)據(jù)中心安全架構(gòu)

基于SDS的虛擬化數(shù)據(jù)中心安全架構(gòu)利用虛擬化技術(shù)，將安全資源抽象為安全資源池，依托安全控制管理模塊，借助可編程能力，將安全功能模塊化，并根據(jù)用戶的個性化需求，抽象形成虛擬安全服務(wù)網(wǎng)關(guān)，進(jìn)行靈活安全控制，最終實現(xiàn)了軟件定義安全的思想，即控制和數(shù)據(jù)分離，邏輯和實現(xiàn)分離。具體架構(gòu)如圖1所示。

圖1 基于SDS的虛擬化數(shù)據(jù)中心安全架構(gòu)

a）安全控制管理模塊：用于獲取相關(guān)安全狀態(tài)，根據(jù)用戶的需求定義和維護(hù)安全策略，同時對安全策略進(jìn)行檢測和下發(fā)。

b）虛擬化安全服務(wù)網(wǎng)關(guān)：利用虛擬化技術(shù)，將安全資源池內(nèi)的相關(guān)資源按需抽象為各種類型的安全服務(wù)網(wǎng)關(guān)，為用戶提供所需的安全防護(hù)功能。安全服務(wù)網(wǎng)關(guān)通過不同的部署方式，對數(shù)據(jù)中心內(nèi)外通信的南北向流量和內(nèi)部通信的東西向流量進(jìn)行防護(hù)。

c）安全資源池：安全資源池提供各種類型的安全資源，為虛擬化安全網(wǎng)關(guān)提供相應(yīng)的物理資源基礎(chǔ)。

d）安全服務(wù)：根據(jù)實際的資源，為用戶提供多種不同類型的安全服務(wù)，使得用戶可以根據(jù)自身需求，定制包括業(yè)務(wù)識別與控制、安全分析與檢測、身份認(rèn)證及審計等定制化安全服務(wù)。

4.2 基于SDS的虛擬化數(shù)據(jù)中心安全防護(hù)模型

基于SDS的虛擬化數(shù)據(jù)中心安全架構(gòu)中，通過調(diào)整虛擬化安全服務(wù)網(wǎng)關(guān)的部署方式，能夠提供可靠、靈活和全面的安全防護(hù)。下面針對虛擬化數(shù)據(jù)中心南北向流量和東西向流量不同的安全防護(hù)需求，分別介紹以下2類安全防護(hù)模型。

4.2.1 基于SDS的南北向流量防護(hù)模型

在南北向流量防護(hù)過程中，虛擬化安全服務(wù)網(wǎng)關(guān)部署在邊界位置。根據(jù)租戶需要，可為其創(chuàng)建并分配獨享的虛擬化安全服務(wù)網(wǎng)關(guān)，也可以多個租戶共享一個虛擬化安全服務(wù)網(wǎng)關(guān)。不同的虛擬化安全服務(wù)網(wǎng)關(guān)在邏輯上相互獨立，互不影響。因此，當(dāng)虛擬安全服務(wù)網(wǎng)關(guān)為租戶獨享模式時，可以由租戶按需自行管理安全服務(wù)網(wǎng)關(guān)，自主配置安全策略，這種方式既減輕服務(wù)提供商的維護(hù)工作量，也滿足了不同租戶的獨立管理需求；當(dāng)安全服務(wù)網(wǎng)關(guān)為共享模式時，可以降低服務(wù)提供商的成本，從而實現(xiàn)資源的靈活配置和高效利用。南北向流量防護(hù)模型如圖2所示。

4.2.2 基于SDS的東西向流量防護(hù)模型

隨著SDN和NFV技術(shù)的發(fā)展，在虛擬化數(shù)據(jù)中心東西向流量防護(hù)過程中，各個虛機之間的流量不僅局限于同一臺主機內(nèi)部，更多的是不同主機上虛機之間的通信需求，因此為了提供更完善的東西向流量防護(hù)，部署如圖3所示的防護(hù)模型。

對基于SDS的東西向流量防護(hù)模型進(jìn)行詳細(xì)解析，其防護(hù)流程如圖4所示。

a）定義安全防護(hù)策略。用戶根據(jù)自己的實際需

圖2 基于SDS的南北向流量防護(hù)模型

圖3 基于SDS的東西向流量防護(hù)模型求，對需要監(jiān)控和檢測的虛擬機之間的流量進(jìn)行策略定義。可根據(jù)IP五元組、MAC地址信息或虛擬機上的屬性（如名字、性能等）進(jìn)行精細(xì)化定義，并根據(jù)防護(hù)策略，配置東西向流量在經(jīng)過安全網(wǎng)關(guān)時的動作，如accept、drop或reject等。

b）實現(xiàn)引流。當(dāng)vSwitch在接收到虛擬機生成的第1個數(shù)據(jù)包后，自動將該包上報至安全控制管理模塊；根據(jù)預(yù)先定義的安全防護(hù)策略，安全控制管理模塊將安全防護(hù)策略下發(fā)到vSwitch；vSwitch基于接收到的安全策略，形成相應(yīng)的安全轉(zhuǎn)發(fā)規(guī)則；后續(xù)報文將根據(jù)安全轉(zhuǎn)發(fā)規(guī)則決定是否對數(shù)據(jù)包進(jìn)行安全檢查。

圖4 基于SDS的東西向流量防護(hù)流程

c）實現(xiàn)安全防護(hù)。利用NFV技術(shù)將安全資源抽象成各種安全能力，用戶根據(jù)實際需求，對安全能力靈活編排，形成提供不同安全能力的虛擬化安全網(wǎng)關(guān)。當(dāng)流量經(jīng)過虛擬化安全網(wǎng)關(guān)時，根據(jù)安全策略，自動完成各項安全檢查，執(zhí)行相關(guān)安全動作；通過安全檢查的流量將被轉(zhuǎn)發(fā)至目的虛擬機。

d）實現(xiàn)策略遷移。當(dāng)安全管理模塊檢測到虛擬機遷移后，會自動將以該虛擬機為源或目的節(jié)點的流轉(zhuǎn)發(fā)策略轉(zhuǎn)移至新的接入或上行端口，同時自動更新相關(guān)安全策略，保證安全防護(hù)規(guī)則隨虛機的遷移進(jìn)行動態(tài)自適應(yīng)。

5 結(jié)束語

隨著云計算的不斷發(fā)展，虛擬化在數(shù)據(jù)中心中的應(yīng)用越來越普遍，與之相關(guān)的安全防護(hù)能力也不斷演進(jìn)。本文基于SDS理念，提出了一種基于SDS的虛擬化數(shù)據(jù)中心安全解決方案，給出了基于SDS的虛擬化數(shù)據(jù)中心安全架構(gòu)及安全防護(hù)模型。該方案基于SDN和NFV技術(shù)，形成可定制的安全服務(wù)網(wǎng)關(guān)，靈活地滿足不同用戶的安全防護(hù)需求，具有較好的可擴展性，同時為后續(xù)數(shù)據(jù)中心安全防護(hù)建設(shè)提供參考。