虚拟网络安全分析

云计算使用虚拟网络技术将逻辑网络和物理网络分离，以满足云计算多租户、按需服务的特征，但同时也带来了新的安全问题。

网络虚拟化面临的安全问题

网络虚拟化主要面临如下一些问题

1、物理安全设备存在监控死角

在虚拟化环境中，虚拟机与外界进行数据交换的数据流有两类，即跨物理主机的虚拟机数据和同一物理主机内部的虚拟机数据流。前者一般通过隧道或VLAN等方式进行传输，可以使用IDS/IPS等安全设备在传输通道上进行监控，但后者只在物理主机中通过虚拟交换机进行交换，传统的安全设备无法对其进行监控。攻击者可以在内部虚拟网络中发动任何攻击，而不会被安全设备所察觉。如图4-11所示，攻击者在虚拟机VM1中攻击VM2，数据流量没有经过物理交换机，也不会传输到防火墙IDS。可见，虚拟化改变了数据的流向，增大了物理设备不可见的区域，增加了整个虚拟网络的安全管理难度。

2、虚拟网络的数据流难以理解

虽然安全设备无法获得物理主机内部的VM间数据包，但是可以获取跨物理主机间VM的数据流。尽管如此，传统的安全设备还是不能理解这些数据流，也就是无法应用正确的安全策略。例如，在图4-12中，租户X和租户Y分别在两台物理主机上租用了一台虚拟机，当租户X从VM1向VM3发数据包时，防火墙能接收到物理主机1到物理主机2的数据包，但是不知道到底是租户X还是租户Y的程序在发送数据包，也不知道是哪台VM在通信。此外，很多虚拟机之间数据包是经过虚拟网络隧道传输的，所以传统的网络安全设施可能无法解析这些封装后的数据流。

3、安全策略难以迁移

虚拟化解决方案的优点是弹性和快速。例如，当VM从一台物理主机无缝快速地迁移到另一台物理主机时，或当增加或删除VM时，网络虚拟化管理工具可快速调整网络拓扑，在旧物理网络中删除VM的网络资源（地址、路由策略），并在新的物理网络中分配VM的网络资源。相应地，安全解决方案也应将原网络设备和安全设备的安全控制（ACL和QoS）跟随迁移，然而现有安全产品缺乏对安全策略迁移的支持，导致安全边界不能适应虚拟网络的变化。

4、网络流量不可见

在传统网络中，所有数据包经由交换或路由设备，这些设备可以感知并学习当前环境的数据流量，可以针对目前的网络状况动态调整路由策略。但基于OpenFlow的SDN架构中的网络控制器只会收到底层设备发来的部分数据包，并不了解控制域中大部分直接被转发的数据流具体内容。

5、控制器的单点失效

除了传统网络升级到SDN后网络层的新问题外，SDN本身也会存在漏洞，特别是复杂的SDN的控制器。数据平面和控制平面的分离主要是通过控制器实现的，所以控制器就成为网络虚拟化的重要设施。然而，控制器需要应对各种动态的网络拓扑，解析各种类型的数据包，接收上层应用的信息，并控制底层网络设备的行为，所以其功能实现将会非常复杂，也就可能存在不少漏洞。若攻击者攻破控制器，就可以向所有的网络设施发送指令，导致整个网络瘫痪；或将某些数据流重定到恶意VM，造成敏感信息的泄露。

6、多应用不一致策略导致绕过控制器

控制器控制整个网络的拓扑，处理几百甚至上千个应用的路由策略，每个应用的路由路径可能不同，如果这些不同应用产生的路由项之间存在不一致，就可能出现非法路径。Porras等人提出图4-13所示的攻击场景，系统根据安全策略应禁止主机10.0.0.2与主机10.0.0.4通信，但如果控制器中有三项看似合法的不同应用需要的路由策略，那么当数据包从10.0.0.2传输到10.0.0.3时，会在交换机上被替换掉源和目的地址，成为从10.0.0.1传输到10.0.0.4的数据包，最终被允许转发，而这原本应该是被禁止的。可见，控制器中的路由项如果不一致，攻击者就有可乘之机，可以绕过控制器实施攻击。

7、控制信息难难

除了攻击控制器外，控制器和网络设备间的通信也可能存在安全问题。虽然OpenFlow协议规定两者通信可使用加密通道，但如何保证交互双方可信是一个问题。一方面，若攻击者假冒网络控制器发送恶意控制命令，即可改变网拓扑、破坏安全策略，或修改数据流绕过防火墙。另一方面，攻击者也可通过控制某些网络设施，向控制器发送伪造的数据包，影响控制器对网络流量的判断。如果不解决网络虚拟化后产生的安全威胁，就可能会破坏整个网络的可用性和可靠性，造成租户的隐私泄露，并给攻击者后续攻击内部VM提供条件。

SDN面临的安全威胁

SDN的集中控制、可编程等特征带来的益处显而易见，但这样的网络结构也会产生一定的安全隐患。负责管理OpenFlow协议的开放网络联盟（ONF）曾指出两个潜在的SDN安全问题，也是必须封堵的两个网络攻击途径；集中控制是一个“潜在的单点攻击和故障源”；控制器与数据转发设备之间的南向接口很容易“受到攻击而降低网络的可用性、性能和完整性”。

具体来说，SDN集中化控制的网络结构使SDN控制器成为攻击者的主要攻击目标，因为它既是一个集中的网络干扰点，也是一个潜在的单点故障源。Voodoo Security安全咨询师和IANS领导成员Dave Shackleford说：“如果不注意控制器，那么它会成为攻击者的最主要目标，他们可能会轻松攻破它，修改代码库，改变流量控制，从而在一些位置过滤或藏匿数据，任由攻击者操控数据”。

此外，控制器与转发设备之间的南向接口也很容易成为攻击者的目标。由于缺乏健全的身认证机制，攻击者可以控制甚至伪造虚拟转发设备，从而通过伪造、篡改数据包等方式导致转发平面的性能下降、可用性和完整性遭到破坏，攻击者甚至还能够通过伪造大量的请求流表数据包等方法威胁控制平面的安全。

↑↑↑长按图片识别二维码关註↑↑↑

原文始发于微信公众号（全栈网络空间安全）：虚拟网络安全分析