IDC虛擬化安全防護技術應用研究

唐建軍 劉帥辰

【摘要】? ? 近年來，虛擬化技術已普遍應用于各運營商，尤其是IDC資源應用較廣多，但目前虛擬化資源池安全防護主要靠傳統監控與防護手段，難以發現云資源池中惡意網絡行為，缺乏發現與監控可疑行為的能力，同時工信部及國家對運營商互聯網接入業務的各種考核要求越來越多。為了有效落實各項考核要求，有效解決虛擬化安全防護，本文結合虛擬化系統特點，提出了相關虛擬化導流、虛擬安全產品部署技術及實際案例，旨在提升運營商安全監管能力，進一步鞏固和提升用戶占有率。

【關鍵詞】? ? Hypervisor? ? 云安全? ? 虛擬化導流

引言：隨著云計算的廣泛應用，作為其核心技術的虛擬化技術的安全性也成為了業界關注的焦點問題。在云環境下，流量的南北向和東西向較為明顯，傳統的安全設備可對南北向流量進行防護，卻難以對東西向流量起作用。IDC虛擬資源池通常借助于防火墻等傳統安全設備做出口接入控制和邊界防護，缺乏深入到云內的應用層安全措施，租戶缺乏安全接入管控和接入業務審計，無法有效應對來自互聯網側和云平臺上不同租戶之間的惡意掃描、DDOS攻擊、SQL注入、病毒木馬、及基于各種漏洞的入侵等行為。

一、防護方法與技術

1.1? 虛擬化導流技術

虛擬化導流技術包括策略控制中心和導流虛擬機。策略控制中心是虛擬化網絡監控系統的管理控制中心，也是系統和用戶的交互界面。用戶通過策略控制中提供的交互界面可以從vCenter、ESXi中獲取信息，可以向系統添加和管理網絡安全設備;通過策略控制中心還可以劃分和管理虛擬安全域，制定和下方安全域導流策略，查看導流虛擬機的統計信息等。

導流虛擬機是虛擬化網絡監控系統的數據報文處理組件。導流虛擬機接收來自策略控制中心下發的虛擬安全域策略;從虛擬交換機中抓取網絡報文，依據策略對報文進行過濾，并將報文轉發到指定的目標位置;導流虛擬機接收策略中心的控制，并向策略中心反饋統計信息。

（1）通過端口組配置VLAN隔離方式導流

由于虛擬交換機的VLAN端口組有獨立的VLAN域，因此不同VLAN端口組在交換機的二層上是隔離的，即在不同VLAN端口組之間是不能互聯互通。

（2）通過VDS端口鏡像抓取東西向流量

配置VDS端口鏡像抓取流量時，只需要在配置時選擇要鏡像流量的源虛機（VM1、VM2…）和目的虛機端口（VTAP），不需要開啟虛擬交換機端口組的混雜模式，因此VTAP導流虛機發送出去的隧道報文不會再被抓取回來，不會形成流量環。

（3）使用VEPA鏡像導流

采用刀框交換板將特定網口流量進行鏡像配置，發送到交換面板另外一個網口，該網口與VEPA控制中心直連，或者該網口直接連接到SDN交換機，通過虛擬化威脅檢測系統進行流量獲取并匯總分析。

1.2? 虛擬化安全產品技術

虛擬化安全產品將傳統安全產品的眾多產品的功能，例如：入侵防御IPS系統， WEB應用安全網關，數據庫審計系統等，通過虛擬化部署的方式，實現對虛擬化中數據流的安全監測、檢測與防護。在虛擬化安全管理平臺中，可實現多種類型的檢測產品、審計產品、網關產品集中部署與管理。

二、實施方案

3.1? 建設思路

（1）建設獨立的虛擬化安全平臺

構建獨立的虛擬化安全平臺，將安全能力軟件化，將虛擬化安全構建為平臺化。虛擬化安全獨立于云資源池部署，實現虛擬化安全與業務資源池的弱耦合，保證云平臺升級切換時，安全不受影響。

（2）實現流量分布式采集

根據網絡結構和平臺軟件部署的應用特點，應采用“流量分布式采集、安全虛擬化自主分流”的方式。

（3）實現虛擬環境的安全域流量可視化

展現虛擬安全域的網絡流連接情況，使得網絡安全管理人員可以從不同層次查看虛擬安全域的IP資產情況，資產之間的實際流量連接關系拓撲等。

（4）實現虛擬化環境流量的入侵檢測

對虛擬流量中的病毒、蠕蟲、木馬、DDoS、掃描、SQL注入、XSS、緩沖區溢出、欺騙劫持等威脅進行檢測能力，防止利用虛擬機被作為攻擊跳板的行為。

（5）實現虛擬化環境流量的數據庫行為審計

對虛擬化環境下的網絡操作行為和數據庫操作行為進行解析、分析、記錄、匯報，用來幫助用戶事前規劃預防，事中實時監視、違規行為響應，事后合規報告、事故追蹤溯源，促進核心資產數據庫、服務器等的正常運營。

3.2? 網絡實施

IDC虛擬化安全平臺與云平臺之間采用虛擬導流技術將流量導出。流量經流轉發平臺編排后，以租戶為區分交付給虛擬化安全里的各類安全單元，由各安全單元對流量進行分析處理，實現東西向流量安全防護與可視化。部署結構簡化如下圖1。

流轉發平臺的流量交付有兩種模型：流量的負載分擔和流量的復制。流量的負載分擔，是可將流量基于IP進行分流，分配至不同的網絡接口，通常可用于將大流量分解為小流量，由多個低性能安全組件共同處理大流量的場景;流量的復制，是流調度平臺可將流量復制多份到多個網絡接口，通常可用于將流量復制給多個安全組件，同時進行對流量的多維度分析的場景。

3.3? 云資源池流量牽引

通過云導流系統將需要監控的流量從虛擬網絡環境中導出到物理安全設備中，具體的安全業務邏輯由物理安全設備來處理。這種方式對用戶業務和網絡影響小;用物理安全設備處理安全業務可以獲取極高的性能，只需要占用少量的虛擬化資源即可。

云導流系統是虛擬化網絡監控系統的數據報文處理組件。云導流系統本質是一臺具有特殊功能的虛擬機。云導流系統接收來自策略控制中心下發的虛擬安全域策略，從虛擬交換機中抓取網絡報文，依據策略對報文進行過濾，并將報文轉發到指定的目標位置;云導流系統接收策略中心的控制，并向策略中心反饋統計信息。當有虛擬機遷移時，與虛機配套的安全策略將先于虛機復制到目的導流虛機中，保障虛機遷移前后的策略一致。

通過虛擬導流器，將需要監控的流量分流到虛擬化安全平臺中，安全平臺系統部署快捷簡單，需要占用少量的虛擬化資源即可?？梢栽诎踩脚_上根據需求以軟件形態實現Floweye、IDS及審計類等產品。

四、結束語

目前所有已建的IDC虛擬化資源池，基本上采用物理常規安全產品，沒有專業的虛擬化安全檢測、審計產品，缺乏云資源池實時監控與防護技術手段，不能發現云資源池中惡意網絡行為，缺乏實現發現與監控可疑行為的能力。本系統建設后，有效補充云資源池安全防護手段，提高發現和處理能力，對滿足國家三級等保要求，做好網絡信息安全保障工作有重要意義。

參? 考? 文? 獻

[1] 王笑帝，張云勇. 劉鏑等. 云計算虛擬化安全技術研究[J].電信科學，2015154

[2] 宮月，李超，吳薇. 虛擬化安全技術研究[J]. 信息網絡安全，2016（9）：73-78.

唐建軍（1980.04.24—），男，漢族，新疆人，研究生（碩士），通信工程師? 現任職務：通信咨詢設計師，研究方向：網絡與信息安全

劉帥辰（1984.03.02—），男，漢族，新疆人，本科，助理工程師? 現任職務：通信咨詢設計師，研究方向：IT支撐網、核心網