高校云安全解決方案初探

李富宇 大連外國語大學(xué)

高校云安全解決方案初探

李富宇 大連外國語大學(xué)

1 虛擬化帶來的變與不變

隨著高校越來越多的業(yè)務(wù)和數(shù)據(jù)從分散部署模式逐步走向大集中模式。與此同時，實現(xiàn)業(yè)務(wù)計算集中模式的數(shù)據(jù)中心，也必然成為攻擊者關(guān)注的焦點，或者成為影響業(yè)務(wù)安全穩(wěn)定運(yùn)行的核心如何使數(shù)據(jù)中心運(yùn)行在安全的環(huán)境下，使其免受黑客攻擊、病毒、木馬、惡意程序的入侵，已成為高校業(yè)務(wù)連續(xù)性運(yùn)行的重要前提。

高校數(shù)據(jù)中心安全建設(shè)，在現(xiàn)階段應(yīng)當(dāng)以數(shù)據(jù)中心平臺和云資源池平臺為重點，采用合適的安全技術(shù)和進(jìn)行制度化的安全管理，保障信息與網(wǎng)絡(luò)系統(tǒng)穩(wěn)定可靠地運(yùn)行、信息與網(wǎng)絡(luò)資源受控合法地使用。數(shù)據(jù)中心虛擬化后，帶來的最大變化是虛擬機(jī)之間的物理邊界消失，這使得對虛擬機(jī)的安全控制變得困難。不變的是對業(yè)務(wù)的安全防護(hù)。

2 常見的解決方案分析

虛擬化安全可以采用以下5種架構(gòu)，用于虛擬化環(huán)境中網(wǎng)絡(luò)安全控制的實現(xiàn)：

2.1 在每個虛擬機(jī)上部署主機(jī)代理

網(wǎng)絡(luò)安全控制可以在每個終端上實現(xiàn)，從而替代網(wǎng)絡(luò)基礎(chǔ)設(shè)施的實現(xiàn)方案。主機(jī)代理程序借助主機(jī)防火墻和加密封裝的能力，來對進(jìn)出虛擬機(jī)的流量執(zhí)行策略控制。這樣的策略可以被提升至應(yīng)用層級別（取決于所選的特定產(chǎn)品）—這意味著，代理程序可對應(yīng)用程序的收發(fā)流量，以及收發(fā)流量的類型執(zhí)行控制。這是非常細(xì)粒度的控制，比通常的網(wǎng)絡(luò)安全設(shè)備所提供的功能效果更精準(zhǔn)。

一些主機(jī)代理能對網(wǎng)絡(luò)流量做更多的控制，它們能提供基于主機(jī)的入侵防御能力，以及應(yīng)用程序控制和反惡意軟件的功能。

主機(jī)代理允許管理員在必要的時候遷移虛擬機(jī)，對應(yīng)的安全策略也將跟隨虛擬機(jī)一同遷移。然而，學(xué)校必須為主機(jī)代理選擇合適的虛擬機(jī)操作系統(tǒng)，這一要求限制了操作系統(tǒng)方面的選擇。一般情況下，這些產(chǎn)品可適用于Windows和Linux系統(tǒng)，而對其他操作系統(tǒng)的支持就有所局限了。主機(jī)代理必須在每個虛擬機(jī)上安裝部署，因此，安全機(jī)制是依賴于系統(tǒng)管理員（或由負(fù)責(zé)虛擬機(jī)創(chuàng)建者）執(zhí)行安裝任務(wù)。主機(jī)代理的管理是獨(dú)立于虛擬化環(huán)境以及其它網(wǎng)絡(luò)的安全機(jī)制。

2.2 利用交換機(jī)的能力

如同在物理基礎(chǔ)設(shè)施的環(huán)境下，虛擬交換機(jī)可以被用來執(zhí)行網(wǎng)絡(luò)安全策略。如圖1所示，虛擬交換機(jī)可將終端劃分到端口組或虛擬局域網(wǎng)（VLAN）內(nèi)。流量可以在同一個端口組內(nèi)或VLAN內(nèi)傳輸，此外則不允許訪問（而無需事先通過其他一些規(guī)則限制或路由機(jī)制）。策略可以對每個終端進(jìn)行控制，甚至是對每個終端的TCP端口進(jìn)行控制，但交換機(jī)僅能針對數(shù)據(jù)包報頭信息進(jìn)行控制，而無法基于數(shù)據(jù)內(nèi)容控制。若是協(xié)議封裝或SDN的應(yīng)用場景中（見控制部分），實際的機(jī)制又有所不同。

圖1 利用虛擬交換機(jī)來做網(wǎng)絡(luò)安全控制

虛擬交換機(jī)的策略執(zhí)行能力，在很大程度上依賴于配置和管理系統(tǒng)。這些往往是由虛擬化環(huán)境管理員的能力所決定，這意味著，在這種架構(gòu)中，策略的執(zhí)行是與虛擬化環(huán)境正確的管理聯(lián)系在一起的。策略與虛擬機(jī)一起遷移，是由于虛擬交換機(jī)將相關(guān)策略關(guān)聯(lián)在了虛擬機(jī)的虛擬網(wǎng)卡上。

虛擬交換機(jī)本身不提供監(jiān)控機(jī)制，但是支持監(jiān)控網(wǎng)絡(luò)傳輸。在SDN環(huán)境，虛擬交換機(jī)可以提供一個監(jiān)控接口，提供流量數(shù)據(jù)，或者復(fù)制流量并且轉(zhuǎn)發(fā)到監(jiān)控系統(tǒng)。

2.3 使用基于Hypervisor的控制

在一個虛擬化環(huán)境中，Hypervisor控制流量如何從一個虛擬機(jī)傳輸?shù)搅硪粋€虛擬機(jī)。Hypervisor內(nèi)部的嵌入式網(wǎng)絡(luò)安全控制允許在傳輸上應(yīng)用細(xì)粒度策略控制。虛擬化廠商們提供API來允許應(yīng)用可以在Hypervisor中實施策略或者監(jiān)控傳輸流量。一般來講，有兩部分給到應(yīng)用：可以攔截監(jiān)聽傳輸?shù)腍ypervisor核心模塊和運(yùn)行在虛擬機(jī)中可以細(xì)粒度檢查的應(yīng)用（參見圖2）。在虛擬化環(huán)境中虛擬機(jī)應(yīng)用可能需要存在于每個物理服務(wù)器上?；谶@種方式的變種也存在。例如，它可能要在核心模塊中增加很多細(xì)粒度的監(jiān)控功能。

圖2 基于Hypervisor的網(wǎng)絡(luò)安全控制

因為網(wǎng)絡(luò)安全控制是建立在Hypervisor里的，所以策略可以非常精細(xì)化并且可以為每個獨(dú)立的虛擬機(jī)在虛擬機(jī)網(wǎng)卡級別執(zhí)行。依靠安裝在檢測應(yīng)用的功能，不論是執(zhí)行還是監(jiān)控，策略都是可以生效的。

因為控制是綁定到Hypervisor的，虛擬化環(huán)境管理員必須配合安裝和操作這些控制。雖然基于Hypervisor的控制可以提供策略執(zhí)行和監(jiān)控（包括通過使用不同管理系統(tǒng)的不同控制），如果擔(dān)心惡意環(huán)境，可以使用基于Hypervisor的控制需要一種或者另一種，但不是兩個都使用，除非環(huán)境確實是良性的，并且是通過其他控制證實。

2.4 使用非基于Hypervisor的網(wǎng)絡(luò)安全控制

網(wǎng)絡(luò)安全控制可以不通過安裝在Hypervisor里來添加到虛擬環(huán)境中。在這種構(gòu)架中，二層應(yīng)用（類似入侵防御設(shè)備）或者三層應(yīng)用（類似防火墻）可以用來執(zhí)行策略或者監(jiān)控網(wǎng)絡(luò)傳輸。這類安全應(yīng)用可以是安裝在虛擬機(jī)里的軟件（參見圖3）。網(wǎng)絡(luò)傳輸采用類似現(xiàn)在物理網(wǎng)絡(luò)的方式路由到控制器：每個虛擬機(jī)的默認(rèn)網(wǎng)關(guān)設(shè)置到網(wǎng)絡(luò)防火墻上，SDN控制器可以為將特別的網(wǎng)絡(luò)傳輸路由到監(jiān)控或者策略執(zhí)行控制，來設(shè)置對應(yīng)的流表條目。虛擬網(wǎng)絡(luò)配置可以用來路由VLAN之間的傳輸?shù)綄?yīng)的網(wǎng)關(guān)。

圖3 在虛擬機(jī)里裝軟件的基于非Hypervisor的網(wǎng)絡(luò)安全控制

策略執(zhí)行控制（類似防火墻，數(shù)據(jù)防泄露系統(tǒng)和Web應(yīng)用防火墻）和監(jiān)控機(jī)制（類似入侵檢測系統(tǒng)或者網(wǎng)絡(luò)行為分析收集器）都可以通過策略部署。策略在路由到控制機(jī)制的傳輸上執(zhí)行。策略可以基于指定的虛擬機(jī)（特別是在用SDN的時候）但是更像是基于一個網(wǎng)段或者子網(wǎng)。這種構(gòu)架除了可被使用外，也可用在增加基于交換的控制。

2.5 利用云自身網(wǎng)絡(luò)層機(jī)制實現(xiàn)網(wǎng)絡(luò)安全控制

網(wǎng)絡(luò)安全控制可以不通過安裝在Hypervisor里來添加到虛擬環(huán)境中，也無需借助SDN方式實現(xiàn)流量牽引。

這種架構(gòu)借助云平臺自身的網(wǎng)絡(luò)通信機(jī)制實現(xiàn)，通過vlan標(biāo)簽轉(zhuǎn)換技術(shù)實現(xiàn)流量牽引，僅將管理員關(guān)心的業(yè)務(wù)虛擬機(jī)的流量進(jìn)行牽引，管理員不關(guān)心的業(yè)務(wù)虛擬機(jī)流量不被牽引（參見圖4）。借助云平臺提供的虛擬交換機(jī)：創(chuàng)建一個引流專用的虛擬交換機(jī)，并在該交換機(jī)上創(chuàng)建一個私有vlan（僅在本地生效）；將希望被保護(hù)的業(yè)務(wù)虛擬機(jī)接到引流虛擬交換機(jī)的私有vlan中；虛擬防火墻通過trunk與引流交換機(jī)相連；虛擬防火墻將檢測后的流量通過trunk鏈路發(fā)送給被保護(hù)業(yè)務(wù)虛擬機(jī)原來所在的虛擬交換機(jī)。

圖4 利用云平臺自身網(wǎng)絡(luò)層機(jī)制實現(xiàn)流量牽引

因為該架構(gòu)沒有借助云平臺自身的API接口，而是通過云平臺提供的虛擬交換機(jī)進(jìn)行流量牽引，因此需要額外創(chuàng)建引流用交換機(jī)。

3 總結(jié)

上述五種安全架構(gòu)都從一定程度解決了虛擬化安全問題，然而其側(cè)重點并不相同，有的側(cè)重于終端安全防護(hù)，有的側(cè)重網(wǎng)絡(luò)層安全防護(hù)。高校可根據(jù)自身建設(shè)方向選擇相應(yīng)的架構(gòu)，或同時采用多種架構(gòu)。

李富宇，大連外國語大學(xué)，副教授，研究方向：網(wǎng)絡(luò)安全、大數(shù)據(jù)。

本論文是2016年遼寧省教育廳一般項目《基于微隔離技術(shù)的云計算安全研究》（項目編號2016JYT02）的研究成果。