企業私有云虛擬網絡安全監控研究

徐曉貝

中國電子科技集團第二十八研究所 210017

引言

云計算是計算機和互聯網的又一次新的革命，它將計算和存儲轉移到了云端，用戶可以通過使用輕量級的便攜式終端來進行復雜的計算和大容量的存儲。從技術的角度來看，云計算不僅僅是一種新的概念，并行計算和虛擬化是實現云計算應用的主要技術手段。由于硬件技術的快速發展，使得一臺普通的物理服務器所具有的性能遠遠超過普通的單一用戶對硬件性能的需求。因此，通過虛擬化的手段，將一臺物理服務器虛擬為多臺虛擬機，提供虛擬化服務成為了構建公有云和企業私有云的技術基礎。

虛擬化在帶來技術變革的同時，也提出了新的虛擬網絡安全監控問題。傳統的網絡安全監控通常采用在安全域的網絡邊界以及需要監聽的安全域內的網絡鏈路上旁路式部署網絡安全監控產品，如入侵檢測系統（Intrusion Detection Systems, IDS）、安全審計系統（Audit）等。虛擬化技術對網絡工程的最大影響是使得傳統的物理網絡邊界不再清晰的存在，從而無法找到網絡安全域的網絡流的物理匯聚點，也就使得傳統網絡安全監控產品無法找到合適的部署位置來保護虛擬網絡安全域的邊界安全。同時，由于虛擬交換機的存在，部署在同一物理主機上且同時屬于一個虛擬局域網內的兩臺虛擬主機之間的網絡流量通常會通過虛擬交換機直接在物理主機內部進行交換（假設不使用虛擬以太網端口匯聚器（Virtual Ethernet Port Aggregator, VEPA）模式來配置虛擬網絡），這就使得連接在物理交換機上的傳統網絡安全監控產品無法獲得其上的網絡流量，從而造成監控上的缺失，產生隱蔽信道的問題。本文首先對虛擬化網絡環境中的安全威脅進行了分析，其次針對隱蔽信道問題和虛擬化環境導致物理網絡邊界消失所引起的網絡安全管理問題進行了探討，最后結合本文提出的可視化云安全管配中心和虛擬化網絡安全監控產品給出了一套虛擬網絡環境下的完整的安全解決方案，并分別說明了不同形態的虛擬化安全產品的功能和性能特點。

1 虛擬化網絡環境的安全威脅分析

對比傳統網絡環境，虛擬化技術引入了虛擬機、虛擬網絡和虛擬機監控器，因此我們可以把整個需要防護的系統從上到下分為應用程序、虛擬機操作系統、虛擬機（包括運行態虛擬機和虛擬機鏡像）、虛擬網絡、虛擬機監視器（可能還包括宿主機操作系統：如kvm）、物理網絡這樣幾個層面。其中應用程序、虛擬機操作系統、宿主機操作系統和物理網絡這幾個層面所需要防護的仍然是主要來自于傳統的物理網絡環境的安全威脅。而虛擬網絡和虛擬機監控器引入的虛擬化特有的安全威脅主要包括：虛擬機監控器自身的脆弱性的安全威脅、虛擬機發生狀態轉移過程中的安全威脅（如虛擬機被遷移到不安全環境中的問題）、虛擬機鏡像的管理和訪問控制的安全問題、網絡虛擬化后所產生的網絡物理邊界消失的問題以及虛擬網絡環境中的隱蔽信道問題。其中虛擬機監控器自身的脆弱性問題主要依靠虛擬化廠商不斷對其軟件產品的完善來改進，而由于虛擬化管理中心（如VMWare的vCenter）的存在，對虛擬機和虛擬機鏡像的安全防護主要依靠對虛擬化管理中心的訪問控制和審計來保證，本文主要討論由虛擬化網絡所引入的安全威脅。

在傳統網絡安全領域，隱蔽信道（Covert Channel）一直是導致信息泄露的重要威脅之一。隱蔽信道的概念最早由Lampson 于1973 年提出[1]，Lampson把隱蔽信道劃分為存儲信道、時間信道和合法信道三類。隱蔽信道問題主要關注對程序執行過程的限制，阻止程序在執行過程中通過隱蔽信道向其他未授權的程序傳輸信息。我國《計算機信息系統安全保護等級劃分準則》（GB17859-1999）、美國《可信計算機系統評估準則》（TCSEC）以及國際標準化組織ISO 在1999 年發布的《信息技術安全評估通用準則》（ISO/IEC 15408，即CC 標準）都有明確描述：隱蔽信道是指允許進程以危害系統安全策略的方式傳輸信息的通信信道。

圖1 隱蔽信道原理圖

圖1給出了隱蔽信道的原理圖，其中BLP model為強制訪問控制模型[2]，如圖1所示，即使使用了強制訪問控制模型，隱蔽信道仍然為攻擊者提供了一種從高安全級主體向低安全級別主體傳輸信息的途徑。顯然，隱蔽信道并不是一種直接的攻擊方式，而是入侵者在成功入侵后，竊取合法用戶數據的通道。例如，在通過植入木馬等方式入侵用戶的計算機后，再通過隱蔽信道拷貝出用戶的隱私資料數據。隨著安全技術的發展，隱蔽信道研究現已涉及信息安全產品的多個領域，主要包括：數據庫隱蔽信道、網絡信道、“合法”信道、推理信道[3]等。針對上述幾種隱蔽信道，當前的主流安全防護手段都可實施監控和攔截，包括常規硬件防火墻、IDS/IPS、安全網關（或UTM）等。

虛擬化環境下，傳統的隱蔽信道問題仍然存在，而在傳統物理網絡中，應對這些問題的解決方案也仍然有效，但是虛擬化技術引入了新的網絡工程問題，如圖2所示，在同一臺物理虛擬化服務器上，虛擬主機A和虛擬主機B屬于同一個虛擬局域網，它們之間通信的流量是不會被轉發到物理網絡中的，而是由虛擬交換機直接在物理虛擬化服務器的內存中就進行了交換，這樣它們之間的流量對于連接在物理交換機上的物理網絡安全產品來說就是不可見的。這不僅僅是一條存在于虛擬化環境下的隱蔽信道，也為網絡入侵檢測和審計帶來了新的技術挑戰，傳統的硬件形態的網關、審計產品、入侵檢測產品和防火墻類產品都無法捕獲只在虛擬交換機內部進行交換的網絡流量。

圖2 基于虛擬化環境的隱蔽信道示意圖

2 網絡安全產品的虛擬化

虛擬機通過虛擬交換機互聯形成了虛擬網絡，如圖3所示，雖然在物理實現上，虛擬交換機又連接到了物理網卡，通過物理交換機進行了互聯，但是本質上，從虛擬化的視角來看，虛擬機只能看見虛擬交換機。因此，要解決虛擬機間的網絡流量在虛擬交換機的內部交換從而造成流量無法被物理硬件網絡安全產品捕獲的這個問題，我們必須也從虛擬機的視角來部署我們的網絡安全產品。圖3給出了一種虛擬機形態的IDS和UTM的部署方式，在這個方案中，傳統的網絡安全產品被裝入了虛擬機里，直接連接在了虛擬交換機上，這樣即使流量只在虛擬交換機內部進行交換而不被轉發到物理交換機中，虛擬機形態的網絡安全產品（下稱安全虛擬機，本文主要以旁路式監聽的虛擬IDS為例進行論述）也能夠捕獲到其通信流量。以VMWare的ESXi平臺為例，把安全虛擬機和要被監控的虛擬機連接在同一個虛擬交換機上，并設置混雜端口組，監聽所要監控的虛擬機所在vlan，這樣就能夠把該vlan內經過此虛擬交換機端口的流量鏡像到安全虛擬機的監聽端口，從而實現旁路式的流量監控。

圖3 一種虛擬機形態的IDS和UTM的部署方式

3 虛擬化安全管理

網絡安全并不是針對某一個或幾個特定的節點為目標進行安全防護，通常安全防護解決方案的防護目標是一個網絡，這樣就需要首先根據這個網絡中主機的業務分類，進行網絡安全域的劃分。網絡安全域通常由具有相同等級安全屬性的且可以互聯互通的一組網絡中的主機構成，在企業級的網絡中，常常按照企業的業務系統進行安全域的劃分。在劃分安全域后根據安全域的安全需求，在安全域的邊界部署相應的網絡安全產品對該安全域內的主機進行安全防護。當企業完成了服務器的P→V的遷移，把其物理服務器都遷移到了虛擬化環境中后，為了保證業務系統的可用性，其虛擬網絡的邏輯拓撲視圖是和遷移前物理網絡拓撲視圖完全一致的。而實際上，完成虛擬化遷移后的物理拓撲卻發生了很大的變化，虛擬機可遷移的特性使得其在物理虛擬化服務器上的位置并不固定，這就帶來了兩個問題：首先，無法確定所需要監控的業務鏈路（這里鏈路后可能是一臺主機也可能是一個網絡）的物理位置，即傳統的物理安全產品，需要使用如交換機物理端口鏡像的功能來捕獲所要監控的鏈路的網絡數據包；其次，無法從物理網絡拓撲視圖去管理和規劃整個虛擬化網絡的安全域，這是由于物理網絡拓撲視圖是變化的，管理起來復雜程度很高，并且對于虛擬化的用戶來說，他也不應該直接看到虛擬化底層的物理拓撲。

前文所述的安全虛擬機可以解決虛擬化網絡中數據包捕獲的問題，由于安全虛擬機本身也連接在虛擬交換機上，因此其邏輯拓撲跟網絡中的被監控主機處于一個平面，這樣所有經過虛擬機的虛擬網卡和虛擬交換機的網絡數據包就都可以被從虛擬網絡這個層面捕獲到。但是安全虛擬機如何能被準確的部署到所需要被監控的業務虛擬機所在的虛擬交換機上，被監控的虛擬機遷移到其它物理虛擬化服務器上的虛擬交換機上后，安全虛擬機是否能夠跟隨遷移過去這都是需要解決的問題。由于用戶（指由虛擬機組成的業務網絡的管理運維人員）通常只了解其邏輯上的網絡拓撲，而如vCenter等虛擬化平臺的管理中心只能提供物理網絡拓撲，因此，在企業完成了服務器虛擬化遷移部署后，如何解決虛擬網絡的安全監控問題，成為目前企業私有云需要面對的主要問題之一。

4 云安全管配平臺

由于安全虛擬機不能掌握全局的網絡拓撲信息，vCenter等虛擬化管理平臺既不能理解用戶的業務網絡邏輯拓撲，也不能基于安全域的安全策略配置管理安全虛擬機。因此，為了解決安全虛擬機的部署和管理問題，我們提出一種基于虛擬網絡可視化安全管理配置中心和虛擬化網絡安全監控產品相結合的虛擬網絡安全監控解決方案，虛擬網絡可視化安全管理配置中心（下稱安全管配中心）從vCenter獲得虛擬網絡的拓撲信息，并以網絡的邏輯拓撲視圖的方式展示給用戶，在此視圖的基礎上，用戶可以規劃和配置其業務網絡的安全域，安全虛擬機以組件模板的方式提供給用戶，在網絡拓撲視圖上，用戶可以直接拖放安全虛擬機到某個需要保護的安全域上，這樣安全管配中心就會根據其從vCenter處獲得虛擬化網絡的物理拓撲信息，把這些安全虛擬機分發到相應的虛擬交換機上，再通過配置界面進行適當配置后即可使用。當業務虛擬機發生遷移，從一臺物理主機遷移到另外一臺物理主機后，其物理拓撲改變的執行者是vCenter，而云安全管配平臺會通過同步機制獲得該物理拓撲的變化信息，并把相應的安全虛擬機跟隨遷移到相應的物理主機上，在業務虛擬機的遷移過程中，其邏輯拓撲其實并未發生變化，因此，安全管配中心所呈現給用戶的業務網絡邏輯拓撲視圖也不會發生變化，安全虛擬機的跟隨遷移也完全采用自動化的方式完成。安全管配中心主要從運維管理層面屏蔽了虛擬化帶來的技術差異和細節，讓運維管理人員以維護傳統網絡安全的方式去維護虛擬網絡。

5 虛擬網絡安全解決方案

圖4給出了一個完整的基于可視化安全運維管理中心和多種虛擬化網絡安全監控產品相結合的虛擬網絡安全監控解決方案，安全管配中心通過vCenter獲得虛擬網絡拓撲信息，并調用vCenter的接口實現部署安全虛擬機到相應的業務網絡平臺中。

圖4 虛擬化網絡安全解決方案

根據不同的安全需求和性能需求，安全管配中心管理三種不同形態的虛擬網絡安全監控產品。其中虛擬機形態的虛擬IDS和虛擬UTM用于進行網絡安全防護，虛擬IDS采用旁路的方式連接在虛擬交換機上，虛擬UTM采用串接方式串在兩個虛擬交換機之間；基于內省API的安全虛擬機通過VMM層捕獲虛擬機內部的操作系統和應用程序行為，如進程切換信息、磁盤IO操作等，以實現對虛擬機操作系統的無代理安全監控；在整個虛擬化網絡的外邊界，采用硬件自虛擬化的方式，對整個企業的網絡流量、上網行為進行管理，硬件自虛擬化是一種以硬件自身為虛擬化平臺，虛擬出多個虛擬安全產品（如虛擬網關）以此實現對其所連接的網絡中多種不同安全域的不同安全業務需求。在整個解決方案中，安全管配中心起到了大腦的作用，其拓撲發現能力和實時監控拓撲變化的能力，使其具有對整個虛擬網絡全局拓撲變化的感知能力，從而能夠方便的部署安全虛擬機到虛擬拓撲中的任意位置，并能夠實現在業務虛擬機發生遷移后控制安全虛擬機的跟隨遷移。

在這幾種安全虛擬化產品中，除了硬件自虛擬化安全產品不需要占用虛擬化平臺資源外，安全虛擬機形態的安全產品都需要利用虛擬化平臺的計算、存儲和網絡資源來實現對其上的虛擬機的安全防護。其中基于內省API的安全虛擬機由于必須從VMM平臺捕獲業務虛擬機操作系統的行為，因此，其必須被部署在與被監控業務虛擬機同一臺物理虛擬化服務器上，由于每臺物理虛擬化服務器上僅需要部署一臺這樣的安全虛擬機，因此性能開銷主要是計算方面的開銷。而虛擬UTM和虛擬IDS則需要根據物理虛擬化服務器上存在安全域的個數進行相等數量的部署，既會消耗一定的計算資源也會消耗網絡IO帶寬。

6 結語

虛擬網絡可視化安全管理配置中心和虛擬化安全產品共同構成的虛擬化安全防護體系為企業私有云的安全防護提供了可靠、全面的安全解決方案。安全管配中心通過對虛擬網絡拓撲的感知以邏輯拓撲可視化的方式簡化了虛擬化技術對網絡管理帶來的復雜性，以其通過vCenter REST API接口實現的對虛擬網絡的控制能力和對虛擬機的自動部署能力實現對虛擬機形態的安全產品的部署和管控。

[1]BW Lampson.A note on the confinement problem.Communications of the ACM，1973，4

[2]D Bell.The bell-lapadula model.Journal of computer security，1996，6

[3]王永吉，吳敬征，曾海濤等隱蔽信道研究.軟件學報，2010，6