出品丨北京一等一技术咨询有限公司
独家授权,未经许可不得转载
作为云计算的基础,可以说没有虚拟化就没有云计算,如果没有虚拟化技术,那么一台物理服务器只能运行一台服务器,虚拟化技术将一台物理机可以虚拟为多个虚拟机,资源利用率高,再配合虚拟化平台相关功能特性,可以提供更好的高可用性。
基础设施即服务(IaaS)云上面的云主机其实都是虚拟机,但是在平常使用感觉不到,和真正服务器一样,目前比较有代表性虚拟化技术有 Linux KVM、Vmware ESXi、思杰 Xen和微软 Hyper-V。
典型虚拟化架构见图1,宿主机是运行虚拟机监视器的物理服务器,虚拟机监视器 (hypervisor)是运行在基础物理服务器和操作系统之间的中间软件层,可允许多个操作系统和应用共享硬件。南北向流量通常指客户端到虚拟机服务器的流量,东西向流量指虚拟机服务器之间流量。
图1
虚拟化技术在应用过程中,也发现一些不足之处,例如操作繁琐、性能衰减和资源利用率不够等问题,于是一种新型技术Docker容器诞生了,与传统虚拟化相比是轻量级虚拟化,在很多方面具有优势,但是在资源隔离和安全性方面还有不足,虚拟化和容器未来在不同场景下互相配合将成为主流趋势。
虚拟化技术打破了传统的网络边界的划分方式,对传统的安全技术产生了巨大挑战,具体表现如下:
■ 虚拟机之间的网络流量不可见
在虚拟化环境中,多台虚拟机都在一个硬件服务器内运行,虚拟机之间通过虚拟化平台提供的虚拟交换机进行连接,通信流量并没有通过外部交换设备,导致对这部分的流量失去监控。
■ 虚拟机之间缺乏有效安全防护
虚拟化技术对东西向流量大部分都是裸奔状态,没有提供隔离和防护措施,如果某台虚拟机出现安全问题,可能对整个云平台产生严重的安全威胁。
■ 边界动态变化造成的安全威胁
在虚拟化环境中,虚拟机可能会随时迁移到其他服务器上,当虚拟机迁移到新主机上,如果新主机上没有对应的安全保护策略,就可能对迁移后的虚拟机造成安全威胁。
■ 同主机上多虚拟机资源竞争
在虚拟化环境中,多台虚拟机共享一套硬件资源,如果某一台虚拟机遭受拒绝服务攻击而恶意抢占资源,会影响同台主机上的其他虚拟机的正常运行。在极端情况下同一个虚拟机同时在两个hypervisor上面运行,从而出现这种争用资源的场景即是所谓的“脑裂”,造成虚拟机故障。
■ 虚拟化恶意软件威胁
很多恶意软件和病毒开始集成反虚拟化软件技术,可通过查看内存和硬件属性,内存位置、进程和函数的行为等,判断是否在虚拟环境,会执行不同的动作和行为,甚至可以停止自身运行来逃避安全检测。
■ 虚拟化平台系统自身安全威胁
Hypervisor为虚拟化的核心,负责管理底层硬件资源,并负责为上层虚拟机分配各种关键资源,一旦 Hypervisor被攻击破解,Hypervisor上的所有虚拟机将无任何安全保障。目前虚拟化平台已暴露出很多漏洞,可能会产生安全威胁包括虚拟机逃逸、虚拟机跳跃风险、病毒木马恶意代码感染,平台系统篡改,平台系统拒绝服务等。
等保2.0对云计算系统提出了云计算扩展要求,针对虚拟化安全要求主要如下:
■ 可以实现不同云服务客户虚拟网络之间的隔离,支持检测到虚拟机网络内部的网络攻击行为和异常流量。
■ 可设置不同虚拟机之间的访问控制策略,在虚拟机迁移时,可以将针对该虚拟机设置的访问控制策略一并迁移。
■ 能够检测到虚拟机的资源隔离失效、非授权新建或重启虚拟机、虚拟机间恶意代码感染的等情况,并进行告警。
在深入剖析虚拟化环境各个层面问题,从宿主机、虚拟机监视器、虚拟网络和虚拟机四个层面阐述虚拟化安全实践方案,为日常安全工作提供参考。
■ 宿主机
宿主机主要是利用传统安全保护机制,采用机房环境访问控制和服务器物理硬件设备控制等安全措施。
■ 虚拟机监视器(Hypervisor)
Hypervisor是底层组件,可以当成单独操作系统进行安全加固和优化配置,针对不同平台,目前已经有很多成熟加固优化措施,主要如下:
补丁修复:把Hypervisor当成操作系统打补丁加固系统,例如在VMware平台上发现很多重大漏洞可以使用VMware更新管理器给ESXI系统打补丁。
优化默认配置:许多管理平台默认配置存在安全隐患,需要更改设置或删除默认内容,例如管理平台自带的证书都不安全,在使用前可以替换为安全证书,实现管理平台与客户端安全通信,部分虚拟化管理程序还存在很多Liunx网络组件和不需要账户。
保护关键配置文件:管理平台配置文件非常重要,对其权限进行设置并监控修改情况。
■ 虚拟网络
虚拟网络安全主要实现虚拟机南北向流量防护和东西向流量安全防护
南北向流量防护:虚拟机南北向流量防护通常采用传统的防火墙和入侵防御等安全设备实现,部署在云平台边界或虚拟化平台与物理网络边界处。
东西向流量防护:数据中心大约80%流量都是东西向的,东西向流量是虚拟化防护重点,目前常见3种主流方案。
1、外部引流:如图2,由于传统安全设备很难部署虚拟化平台中,通过修改网络配置将虚拟机之间流量引流到外部硬件安全设备上,这种方案网络配置复杂而且经过多个网络节点通信效率低,也无法实现二层流量控制和策略动态迁移,实际应用效果不好。
图2
2、虚拟网络引流:如图3,将防火墙等安全系统部署到虚拟机上,通过改变虚拟网络结构,可将虚拟机划分到不同VLAN,将虚拟机之间流量牵引到虚拟化防火墙上实现安全防护和隔离,虽然解决虚拟机之间东西向访问控制,但是改变网络结构配置复杂,无法实现安全策略动态迁移,还很容易形成单点故障和网络环路。
图3
3、流量重定向:前两种方案都存在各自问题,后来又出现分布式虚拟化防火墙方案,如图4,虚拟化分布式防火墙调用虚拟机化平台API接口,实现虚拟机流量在虚拟网卡上重定向到虚拟化防火墙,经过虚拟化防火墙过滤后流量再发送到虚拟机交换机。防火墙策略应用到每个虚拟机网卡,即使二层流量也可以执行安全策略,通过统一的管理界面来管理所有的虚拟防火墙,集中配置所有防火墙的安全策略,可以自动与虚拟机一起迁移。
这种方案优点完美解决东西向流量精细化控制、网络转发效率和策略动态迁移问题,但是常常需要根据版本定制开发或组件支持,成本相对较高,例如VMware平台需要购买NSX虚拟化平台。
图4
■ 虚拟机
除了对其进行进行操作系统和应用软件加固外,部署防病毒措施是常见做法。在虚拟化环境部署防病毒措施有三种方案,1、代理模式,和传统主机部署防病毒客户端一样,在虚拟主机上部署防病毒软件,优点是技术成熟适配简单,病毒查杀率高,缺点是部署复杂,统一查杀会占用大量资源。2、无代理模式,防病毒软件直接和hyervisor层对接,通过调用API接口读取虚拟机文件,对虚拟机上的文件进行实时防护和病毒扫描。优点是部署简单、运维方便、占用资源少效率高,缺点是需要与云平台适配,病毒查杀率低。3、轻代理模式,在虚拟机上部署精简的反病毒代理,很多功能在服务器端或云端实现,对系统影响小资源占用低,能保证查杀率情况下减少资源占用。
虚拟化是未来网络的重要支撑技术,安全必须适应虚拟化环境,通过对虚拟化技术风险分析,可以清晰看到,面对越来越复杂的云计算虚拟化环境,随着Hypervisor暴露出的漏洞越来越多,Hypervisor 的安全加固和优化是必不可少,虚拟网络和虚拟机安全可根据使用场景和投入采取合适方案,采取差异化技术作为互相补充,确保满足云计算虚拟化平台合规要求同时实现整体系统的安全性,进而为建设云安全提供的支撑。
本文始发于微信公众号(等级保护测评):云虚拟化安全合规与行业实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论