云計(jì)算安全防護(hù)

隨著業(yè)務(wù)的快速發(fā)展，數(shù)據(jù)中心空間、能耗、運(yùn)維管理壓力日趨凸顯，應(yīng)用系統(tǒng)的部署除了購(gòu)買(mǎi)服務(wù)器費(fèi)用外，還包括數(shù)據(jù)中心空間的費(fèi)用、空調(diào)電力的費(fèi)用、監(jiān)控的費(fèi)用、人工管理 的費(fèi)用，相當(dāng)昂貴。如果這些服務(wù)器的利用率不高，對(duì)企業(yè)來(lái)說(shuō)，無(wú)疑是一種巨大的浪費(fèi)。

在企業(yè)中，虛擬化使其用戶(hù)能夠獲得在效率、成本方面的顯著收益以及在綜合數(shù)據(jù)中心更具環(huán)保、增加可擴(kuò)展性和改善資源實(shí)施時(shí)間方面的利益，但同時(shí)，數(shù)據(jù)中心的虛擬系統(tǒng)面臨許多與物理服務(wù)器相同的安全挑戰(zhàn)，從而增加了風(fēng)險(xiǎn)暴露，再加上在保護(hù)這些IT資源方面存在大量特殊挑戰(zhàn)，最終將抵消虛擬化的優(yōu)勢(shì)。從2000年至今，互聯(lián)網(wǎng)的發(fā)展日新月異，新的應(yīng)用層出不窮，從Web1.0到 Web3.0（Web3.0只是由業(yè)內(nèi)人員制造出來(lái)的概念詞語(yǔ)，最常見(jiàn)的解釋是，網(wǎng)站內(nèi)的信息可以直接和其他網(wǎng)站相關(guān)信息進(jìn)行交互，能通過(guò)第三方信息平臺(tái)同時(shí)對(duì)多家網(wǎng)站的信息進(jìn)行整合使用；用戶(hù)在互聯(lián)網(wǎng)上擁有自己的數(shù)據(jù)，并能在不同網(wǎng)站上使用；完全基于web，用瀏覽器即可實(shí)現(xiàn)復(fù)雜系統(tǒng)程序才能實(shí)現(xiàn)的系統(tǒng)功能；用戶(hù)數(shù)據(jù)審計(jì)后，同步于網(wǎng)絡(luò)數(shù)據(jù)），從2G網(wǎng)絡(luò)升級(jí)到4G網(wǎng)絡(luò)。互聯(lián)網(wǎng)接入從笨重的臺(tái)式機(jī)，到輕巧的筆記本電腦，到現(xiàn)在的上網(wǎng)本和手機(jī)終端。隨著互聯(lián)網(wǎng)的發(fā)展，人們的工作和生活已經(jīng)發(fā)生了翻天覆地的變化，與此同時(shí)，信息技術(shù)的發(fā)展也帶來(lái)了安全威脅的發(fā)展，安全威脅的攻擊，從單純的攻擊單臺(tái)電腦，到攻擊局域網(wǎng)、攻擊公司網(wǎng)絡(luò)，到現(xiàn)在整個(gè)互聯(lián)網(wǎng)充斥著各種攻擊威脅。

在目前的網(wǎng)絡(luò)安全大環(huán)境下，現(xiàn)有的防病毒安全系統(tǒng)已經(jīng)無(wú)法承載日新月異的威脅攻擊。為了確保企業(yè)的業(yè)務(wù)連續(xù)性，避免病毒對(duì)企業(yè)的數(shù)據(jù)，應(yīng)用和網(wǎng)絡(luò)帶來(lái)威脅，必須對(duì)行業(yè)內(nèi)用戶(hù)的安全系統(tǒng)進(jìn)行結(jié)構(gòu)化的完善，尤其在虛擬化和云計(jì)算的安全防護(hù)上，在過(guò)去的幾年中，大部分用戶(hù)都存在一定的不足。

1.云計(jì)算環(huán)境下的安全威脅

云計(jì)算是目前非常熱門(mén)的一個(gè)研究領(lǐng)域，其實(shí)它并不是一種全新的技術(shù)，而是許多技術(shù)的融合體，包括分布式計(jì)算、動(dòng)態(tài)和拓展等各種各樣的技術(shù)算法，而虛擬化是云計(jì)算里最重要的一個(gè)技術(shù)。

虛擬化技術(shù)是在軟、硬件之間引入虛擬層，為應(yīng)用提供獨(dú)立的運(yùn)行環(huán)境，屏蔽硬件平臺(tái)的動(dòng)態(tài)性、分布性、差異性等，支持硬件資源的共享與復(fù)用，并為每個(gè)用戶(hù)提供相互獨(dú)立、隔離的計(jì)算機(jī)環(huán)境，同時(shí)方便整個(gè)系統(tǒng)的軟、硬件資源的高效、動(dòng)態(tài)管理與維護(hù)。

虛擬化是目前云計(jì)算最為重要的技術(shù)支撐，需要整個(gè)虛擬化環(huán)境中的存儲(chǔ)、計(jì)算及網(wǎng)絡(luò)安全等資源的支持。在這個(gè)方面，基于服務(wù)器的虛擬化技術(shù)走在了前面，已開(kāi)始廣泛的部署應(yīng)用，基于該虛擬化環(huán)境，系統(tǒng)的安全威脅和防護(hù)要求也產(chǎn)生了新的變化：

（1）傳統(tǒng)風(fēng)險(xiǎn)依舊，防護(hù)對(duì)象擴(kuò)大

一方面，一些安全風(fēng)險(xiǎn)并沒(méi)有因?yàn)樘摂M化的產(chǎn)生而規(guī)避。盡管單個(gè)物理服務(wù)器可以劃分成多個(gè)虛擬機(jī)，但是針對(duì)每個(gè)虛擬機(jī)，其業(yè)務(wù)承載和服務(wù)提供和原有的單臺(tái)服務(wù)器基本相同，因此，傳統(tǒng)模型下的服務(wù)器所面臨的問(wèn)題虛擬機(jī)也同樣會(huì)遇到，諸如對(duì)業(yè)務(wù)系統(tǒng)的訪(fǎng)問(wèn)安全、不同業(yè)務(wù)系統(tǒng)之間的安全隔離、服務(wù)器或虛擬機(jī)的操作系統(tǒng)和應(yīng)用程序的漏洞攻擊、業(yè)務(wù)系統(tǒng)的病毒防護(hù)等；另一方面，服務(wù)器虛擬化的出現(xiàn)，擴(kuò)大了需要防護(hù)的對(duì)象范圍，如IPS入侵防御系統(tǒng)就需要考慮以Hypervisor和vCenter為代表的特殊虛擬化軟件，由于其本身所處的特殊位置和在整個(gè)系統(tǒng)中的重要性，任何安全漏洞被利用，都將可能導(dǎo)致整個(gè)虛擬化環(huán)境的全部服務(wù)器的配置混亂或業(yè)務(wù)中斷。

（2）VM之間產(chǎn)生新安全訪(fǎng)問(wèn)風(fēng)險(xiǎn)

和傳統(tǒng)的安全防護(hù)不同，虛擬機(jī)環(huán)境下同一個(gè)服務(wù)器上不同的VM可能屬于同一個(gè)物理VLAN內(nèi)，如果相鄰VM之間的流量交換不通過(guò)外部交換機(jī)，而是基于服務(wù)器內(nèi)部的虛擬交換網(wǎng)絡(luò)解決，此時(shí)在不可控的情況下，網(wǎng)絡(luò)管理員將面臨兩個(gè)新的安全問(wèn)題，例如：如何判斷VM之間的二層流量交換是規(guī)則允許范圍內(nèi)的合法訪(fǎng)問(wèn)還是非法訪(fǎng)問(wèn)?更進(jìn)一步，即使不同VM之間的流量允許交換，如何判斷這些流量是否存在諸如針對(duì)應(yīng)用層安全漏洞的網(wǎng)絡(luò)攻擊行為?

2.云計(jì)算環(huán)境下的安全防護(hù)方向

在利用現(xiàn)有的經(jīng)驗(yàn)?zāi)Ｐ徒鉀Q好當(dāng)前存在的普遍性安全威脅后，現(xiàn)階段虛擬化環(huán)境下的安全防護(hù)還需要重點(diǎn)考慮VM之間的流量安全。分析流量的轉(zhuǎn)發(fā)路徑，我們可以將用戶(hù)流量劃分成縱向流量和橫向流量?jī)蓚€(gè)維度，并基于每個(gè)維度的安全需求提供有針對(duì)性的解決方案。

（1）縱向流量的安全防護(hù)

這部分縱向流量包括從客戶(hù)端到服務(wù)器側(cè)的正常流量訪(fǎng)問(wèn)請(qǐng)求，以及不同VM之間的三層轉(zhuǎn)發(fā)的流量。這些流量的共同特點(diǎn)是其交換必然經(jīng)過(guò)外置的硬件安全防護(hù)層，我們也稱(chēng)之為縱向流量控制層。

一方面，這些流量的防護(hù)方式，和傳統(tǒng)的數(shù)據(jù)中心的安全防護(hù)相比沒(méi)有本質(zhì)區(qū)別，用戶(hù)可以直接借鑒原有經(jīng)驗(yàn)進(jìn)行，例如防護(hù)的設(shè)備類(lèi)型仍然是以防火墻和入侵防御系統(tǒng)等產(chǎn)品為主，在部署的方式上要求防火墻或入侵防御設(shè)備具備INLINE阻斷安全攻擊的能力，部署的位置可以旁?huà)煸趨R聚層或者是串接在核心層和匯聚層之間，同時(shí)對(duì)于設(shè)備的性能可擴(kuò)展和穩(wěn)定性等常規(guī)指標(biāo)也完全適用。

另一方面，在虛擬化環(huán)境下的云安全部署，因?yàn)榭赡艽嬖诙嘧鈶?hù)的服務(wù)模型，因此，對(duì)于設(shè)備的虛擬化實(shí)現(xiàn)程度又有了更高的要求，除了常規(guī)的虛擬化實(shí)例進(jìn)行轉(zhuǎn)發(fā)隔離和安全策略獨(dú)立配置外，還要求實(shí)現(xiàn)對(duì)于不同租戶(hù)的獨(dú)立的資源管理配置和策略管理.每個(gè)虛擬實(shí)例的管理員可以隨時(shí)監(jiān)控、調(diào)整本租戶(hù)的策略的配置實(shí)現(xiàn)情況等。這些新的技術(shù)要求，對(duì)于虛擬化環(huán)境下的縱向流量防護(hù)有著重要的影響。

（2）橫向流量安全防護(hù)

VM之間的橫向流量安全是在虛擬化環(huán)境下產(chǎn)生的特有問(wèn)題，在這種情況下，同一個(gè)服務(wù)器的不同VM之間的流量將直接在服務(wù)器內(nèi)部實(shí)現(xiàn)交換，導(dǎo)致外層網(wǎng)絡(luò)安全管理員無(wú)法對(duì)這些流量進(jìn)行監(jiān)控或者實(shí)施各種高級(jí)安全策略如防火墻規(guī)則或者入侵防御規(guī)則。

在服務(wù)器的虛擬化過(guò)程中，以VMware為代表的虛擬化廠(chǎng)商，通過(guò)在服務(wù)器Hypervisor層集成vSwitch虛擬交換機(jī)特性，也可以實(shí)現(xiàn)一些基本的訪(fǎng)問(wèn)允許或拒絕規(guī)則，但是并沒(méi)有也很難集成更高級(jí)的安全檢測(cè)防護(hù)引擎，以實(shí)現(xiàn)VM之間的流量漏洞攻擊的行為檢測(cè)。要做到更深度的安全檢測(cè)，目前主要有兩種技術(shù)方式：基于虛擬機(jī)的安全服務(wù)模型，以及利用EVB（Edge Virtual Bridging邊緣虛擬橋）技術(shù)實(shí)現(xiàn)流量重定向的安全檢測(cè)模型。

3.云計(jì)算環(huán)境下安全防護(hù)的方法

（1）基于虛擬機(jī)的安全防護(hù)

在虛擬化技術(shù)推進(jìn)的過(guò)程中，一些廠(chǎng)商很敏銳地觀察到了VM之間直接交換流量無(wú)法通過(guò)外部防火墻等設(shè)備進(jìn)行檢測(cè)，因此想通過(guò)直接在服務(wù)器內(nèi)部部署虛擬機(jī)安全軟件，通過(guò)對(duì)VMware開(kāi)放的API接口的利用，將所有VM之間的流量交換在進(jìn)入到vSwitch之前，先引入到虛擬機(jī)安全軟件進(jìn)行檢查。此時(shí)可以根據(jù)需求將不同的VM劃分到不同的安全域，并配置各種安全域間隔離和互訪(fǎng)的策略。同時(shí)，一些技術(shù)能力強(qiáng)的軟件廠(chǎng)商，還考慮在軟件中集成IPS深度報(bào)文檢測(cè)技術(shù)，判斷VM之間的流量交換是否存在漏洞攻擊。這種方式的優(yōu)點(diǎn)是部署比較簡(jiǎn)單，只需要在服務(wù)器上開(kāi)辟資源并運(yùn)行虛擬機(jī)軟件運(yùn)行即可。

（2）基于重定向技術(shù)的防護(hù)模型

既然VM之間的流量交換一直在服務(wù)器內(nèi)部，不利于安全策略的部署，也不利于管理界限的明晰，因此正在進(jìn)行標(biāo)準(zhǔn)化EVB技術(shù)，計(jì)劃通過(guò)VEPA（Virtual Ethernet Port Aggregator，虛擬以太端口匯聚器，簡(jiǎn)稱(chēng)VEPA，是由HP、IBM、Dell、Juniper和Brocade等公司發(fā)起的，統(tǒng)一管理和監(jiān)控各種虛擬機(jī)的橋接標(biāo)準(zhǔn)）等技術(shù)實(shí)現(xiàn)將這些流量引入到外部的交換機(jī)。在接入交換機(jī)轉(zhuǎn)發(fā)這些流量之前，可以通過(guò)鏡像或者重定向等技術(shù)，將流量先引入到專(zhuān)業(yè)的安全設(shè)備進(jìn)行深度報(bào)文檢查、安全策略配置或是允許/拒絕其訪(fǎng)問(wèn)。

這種實(shí)現(xiàn)方式的優(yōu)點(diǎn)在于外置硬件安全設(shè)備的高性能，在不損失服務(wù)器能力的情況下，可以使用數(shù)目較少的高端安全設(shè)備來(lái)實(shí)現(xiàn)萬(wàn)兆甚至十萬(wàn)兆的安全檢測(cè)能力，管理員也可以充分利用先前的經(jīng)驗(yàn)，很容易實(shí)現(xiàn)對(duì)這些外置安全設(shè)備的管理維護(hù)，同時(shí)因?yàn)樵摌?biāo)準(zhǔn)的相對(duì)開(kāi)放性，相關(guān)的網(wǎng)絡(luò)安全廠(chǎng)商都可以參與到這個(gè)方案當(dāng)中來(lái)，減少了客戶(hù)對(duì)于單一網(wǎng)絡(luò)安全廠(chǎng)商的依賴(lài)。

對(duì)于該方式下安全策略跟隨VM遷移的問(wèn)題，在網(wǎng)絡(luò)管理組件及時(shí)感知到VM虛擬機(jī)遷移時(shí)，通過(guò)內(nèi)部的消息傳送，安全管理組件可以及時(shí)獲取到此次遷移的相關(guān)參數(shù)如新的接入交換機(jī)ID及端口VLAN等屬性；此時(shí)再比對(duì)自身保存的拓?fù)潢P(guān)系圖定位到新的虛擬機(jī)遷移位置所對(duì)應(yīng)的安全產(chǎn)品ID，從而實(shí)現(xiàn)虛擬機(jī)的安全策略profile的遷移，這也是一種簡(jiǎn)單易行的解決方案。

綜上所述，現(xiàn)階段基于虛擬機(jī)的安全軟件部署方式，在小型的虛擬化環(huán)境中，更容易得到較好的用戶(hù)體驗(yàn)，但是在大規(guī)模高性能的應(yīng)用環(huán)境中，基于高性能的專(zhuān)業(yè)硬件設(shè)備來(lái)搭建安全防護(hù)層，更容易滿(mǎn)足對(duì)性能的要求，在總的投資上也更有優(yōu)勢(shì)。未來(lái)一段時(shí)間內(nèi)，這兩種方式將作為主要的技術(shù)方式而存在，用戶(hù)可以根據(jù)自身的實(shí)際應(yīng)用環(huán)境進(jìn)行選擇。