控制數據流 確保云安全

云計算特有的虛擬化、多租戶與跨域共享等特點給企業信息安全帶來了前所未有的挑戰，而從數據流的角度來考慮不失為解決云安全的一個方法。

云計算是一種基于互聯網使用或交付服務的技術或商業模式，通常涉及通過互聯網來提供動態易擴展且經常是虛擬化的資源。云計算一經推出，就受到了業界極大推崇，并推出了一系列基于云計算平臺的服務。然而在云計算服務中安全問題一直令人擔憂，云計算特有的數據和服務外包、虛擬化、多租戶和跨域共享等特點，給安全帶來了前所未有的挑戰。本文在考慮云計算技術、云計算模型與體系架構等方面對云安全的影響之外，從數據流的角度來探討云計算平臺下的安全問題。

云平臺下數據流向的分類

從云平臺數據流的方向來看，大致可分為以下幾類（如圖1所示）。

1.外部訪問虛擬機實例。外部用戶訪問虛擬機上發布的業務，流量走向為：互聯網進入 -> 云平臺核心區 -> 云平臺接入區 -> 物理機網卡 -> 虛擬機實例。

2.虛擬機實例訪問外部。由虛擬機訪問互聯網，流量走向與上一種情況相反，虛擬機實例 -> 物理機網卡 -> 平臺接入區 -> 云平臺核心區 -> 互聯網。

3.跨物理機的虛擬機實例之間訪問。虛擬機實例1->物理機1網卡->接入交換機1->核心交換->接入交換機2->物理機2網卡->虛擬機實例3。

4.同一物理機上的各虛擬機實例之間互相訪問（隱蔽信道）。流量路線為：物理機1上的虛擬機實例1訪問虛擬機實例 2。

5.物理機和虛擬機實例之間的訪問（虛擬機逃逸）。為物理機和虛擬機實例之間的雙向流量，物理機與虛擬機實例互相訪問。

不同數據流向適用不同防護方法

針對外部訪問虛擬機實例的情形，此種情況下與傳統IDC的防護思路一樣，不同之處在于部分串聯設備部署方式需要考慮調整。一是因為云平臺扁平化是趨勢，能少串一個設備是一個設備；二來設備吞吐向來也不是云計算的優勢，云平臺下數十G的鏈路串上去也載荷過大，可以考慮旁路部署按需防護。

針對虛擬機實例訪問外部的情形，通常云平臺虛擬機實例用來對外提供服務的情況和案例比較多，較少有主動訪問互聯網的情況。不過有一種較為常見的場景就是虛擬機被攻擊者控制后用作跳板，往外進行大流量的分布式拒絕服務攻擊。在這種情形下一方面會消耗服務器的CPU資源，另一方面也會消耗云平臺的大量帶寬。因此有必要對由內往外的流量進行監測，這里就可以使用NTA，將進行分布式拒絕服務攻擊的虛擬機實例路由直接丟棄。

針對跨物理機的虛擬機實例之間訪問的情形，由于跨物理機的虛擬機實例訪問會經過傳統的交換機，因此該場景下可采用傳統的安全措施來進行防護，如訪問控制列表、入侵檢測系統、入侵防御系統等。如果沒有這類需求，可直接通過劃分VLAN的方式隔離。

針對同一物理機和虛擬機之間的訪問（虛擬機逃逸）的情形，由于Hypervisor存在一些已知的漏洞，這就為攻擊者從已控制的虛擬機利用 Hypervisor的漏洞滲透到Hypervisor 提供了可能。雖然利用這種方式的技術難度相對較高，但是由于所有的VM都由Hypervisor來控制（啟動、停止、暫停、重啟虛擬機，監控和配置虛擬機資源等），因此危害相當大。要解決這個問題必須得修復Hypervisor的漏洞，這一方面依賴于能否發現這些已知漏洞（可采用漏洞掃描工具或滲透測試服務），另一方面依賴于虛擬化廠商提供的補丁。同時，筆者認為可以采用VEPA或者類似VEPA之類的技術，將VM到Hypervisor的雙向流量引出到外部的交換機轉發，這樣就為監測這類攻擊提供了可能。

同一物理機上的不同虛擬之間互訪

針對同一物理機上的虛擬機實例之間訪問（隱蔽信道）的情形，常見的虛擬化軟件缺省采用VEB（即vSwitch）來完成同一個物理機上的虛擬機實例之間通信。由于多數 vSwitch 只進行二層轉發，導致虛擬機實例互訪流量不可見，固而是云平臺下的一大安全隱患。

vSwitch的轉發過程為：正常情況下，vSwitch處理過程與傳統交換機類似，如果從物理網卡收到報文，查詢MAC表轉發。如果從虛擬機實例收到報文，目的MAC在外部則從物理網卡轉發，在內部則查詢MAC表轉發。

目前的思路有兩種：一種是通過 vSwitch來解決。vSwitch在二層轉發基礎上還可實現其他功能，根據VMware公布的資料，至少包括VLAN、安全功能、流量管理、甚至負載均衡等功能，但是由于實現這些功能需要消耗大量服務器的CPU資源，使用效果有待考驗。

另一種解決辦法是采用IEEE標準組織提出的802.1Qbg EVB（邊緣虛擬橋技術）和802.1Qbh BPE（橋接口擴展標準技術）兩條標準。這里主要探討應用范圍更廣的802.1Qbg EVB，其包含了傳統的vSwitch功能的VEB模式、VEPA 和通道技術。VEB上面已經說過了，簡單說一下另外兩種處理方式。

一種是VEPA。VEPA組件從虛擬機實例1接收到數據后，先轉發到物理網卡，物理網卡首先轉發出去到接入交換機，再由接入交換機根據MAC表原端口轉回，VEPA收到從接入交換機來的報文才查表進行內部轉發，最終數據到達虛擬機實例2和虛擬機實例3（如圖2）。

通過這種方式可以將所有虛擬機實例之間的交互數據通過接入交換機上進行轉發，因此可以在交換機上實施訪問控制策略，隔離不相關的業務，對流量進行分析實現入侵檢測和審計等功能。

另一種是通道技術，多通道技術方案將交換機端口或網卡劃分為多個邏輯通道，并且各通道間邏輯隔離。每個邏輯通道可由用戶根據需要定義成VEB、VEPA或Dircetor IO的任何一種。每個邏輯通道作為一個獨立的到外部網絡的通道進行處理。多通道技術借用了 802.1ad S-TAG 標準，通過一個附加的S-TAG和VLAN-ID來區分網卡或交換機端口上劃分的不同邏輯通道。如圖4所示，多個VEB或VEPA共享同一個物理網卡。

從理論上來說，虛擬機之間可以套用安全域劃分的概念，依靠多通道技術進行合理地虛擬安全域劃分，同一個虛擬安全域內采用 VEB 技術，域內虛擬機互訪不受限制，保證了足夠的交換性能；虛擬安全域之間采用VEPA技術，將流量引到交換機上，部署訪問控制與流量監控策略等；對于單獨的安全域，尤其是獨立業務的虛擬機，采用 Dircetor IO，與其他虛擬機流量隔離，直接轉發到外部，在外部交換機上監控其流量。

以上從數據流走向的視角介紹了5種不同訪問情形下各自不同的防護方法，來為云安全提供一定支撐。實際上，想要妥善地解決云安全的問題，通過單一的手段是遠遠不夠的，需要建立一個完備的體系，這涉及多個層面，需要從法律、技術、監管三個層面同時進行。