虛擬化數據中心的安全設計
來源:eworks 更新時間:2013-06-09

 本文針對虛擬化數據中心的安全需求,提出一種虛擬化數據中心的安全設計方案。分析了虛擬化後數據中心面臨的安全問題,從通道隔離、接入控制和網絡安全策略可隨虛擬機遷移3個方面建立了數據中心虛擬化後的三維安全模型,將兩層交換機用多條鏈路進行捆綁連接,實現基於物理端口的負載均衡和冗余備份,並利用交換機和防火牆來實現訪問控制。分析結果表明,該設計實現了數據中心虛擬化的安全保護。
引言
    數據中心虛擬化是指利用虛擬化技術構建基礎設施池,主要包括計算、存儲和網絡3種資源。數據中心虛擬化後不再獨立地看待某台設備和鏈路,而是計算、存儲和網絡的深度融合,當作按需分配的整體資源來對待。從主機等計算資源角度看,數據中心虛擬化包含多合一、一分多2個方向,都提供了計算資源按需調度的手段。存儲虛擬化的核心就是實現物理存儲設備到單一邏輯資源池的映射,是為了便於應用和服務進行數據管理,對存儲子系統或存儲服務進行的內部功能抽像、隱藏和隔離的行為。在現代信息技術中,虛擬化技術以其對資源的高效整合、提高硬件資源利用率、節省能源、節約投資等優點而得到廣泛應用。但虛擬化技術在為用戶帶來利益的同時,也對用戶的數據安全和基礎架構提出了新的要求。如何在安全的範疇使用虛擬化技術,成為迫在眉睫需要解決的問題。因此,筆者對虛擬化數據中心的安全設計進行研究。
1 虛擬化後數據中心面臨的安全問題
    1)服務器利用率和端口流量大幅提升,對數據中心網絡承載性能提出巨大挑戰,對網絡可靠性要求更高;
    2)各種應用部署在同一台服務器上,網絡流量在同一台服務器上疊加,使得流量模型更加復雜;
    3)虛擬機的部署和遷移,使安全策略的部署更復雜,需要一個動態安全機制對數據中心進行防護;
    4)在應用虛擬存儲技術後,面對異構存儲設備的特點,存在如何統一監管的問題;虛擬化後不同密級信息混合存儲在同一個物理介質上,將造成越權訪問等問題。
2 數據中心安全風險分析
    2.1高資源利用率帶來的風險集中
    通過虛擬化技術,提高了服務器的利用效率和靈活性,也導致服務器負載過重,運行性能下降。虛擬化後多個應用集中在1台服務器上,當物理服務器出現重大硬件故障是更嚴重的風險集中問題。虛擬化的本質是應用只與虛擬層交互,而與真正的硬件隔離,這將導致安全管理人員看不到設備背後的安全風險,服務器變得更加不固定和不穩定。
    2.2網絡架構改變帶來的安全風險
    虛擬化技術改變了網絡結構,引發新的安全風險。在部署虛擬化技術之前,可在防火牆上建立多個隔離區,對不同的物理服務器采用不同的訪問控制規則,可有效保證攻擊限制在一個隔離區內,在部署虛擬化技術後,一台虛擬機失效,可能通過網絡將安全問題擴散到其他虛擬機。
    2.3虛擬機脫離物理安全監管的風險
    1台物理機上可以創建多個虛擬機,且可以隨時創建,也可被下載到桌面系統上,常駐內存,可以脫離物理安全監管的範疇。很多安全標准是依賴於物理環境發揮作用的,外部的防火牆和異常行為監測等都需要物理服務器的網絡流量,有時虛擬化會繞過安全措施。存在異構存儲平台的無法統一安全監控和無法有效資源隔離的風險。
    2.4虛擬環境的安全風險
    1)黑客攻擊。
    控制了管理層的黑客會控制物理服務器上的所有虛擬機,而管理程序上運行的任何操作系統都很難偵測到流氓軟件等的威脅。
    2)虛擬機溢出。
    虛擬機溢出的漏洞會導致黑客威脅到特定的虛擬機,將黑客攻擊從虛擬服務器升級到控制底層的管理程序。
    3)虛擬機跳躍。
    虛擬機跳躍會允許攻擊從一個虛擬機跳轉到同一個物理硬件上運行的其它虛擬服務器。
    4)補丁安全風險。
    物理服務器上安裝多個虛擬機後,每個虛擬服務器都需要定期進行補丁更新、維護,大量的打補丁工作會導致不能及時補漏而產生安全威脅。安全研究人員在虛擬化軟件發現了嚴重的安全漏洞,即可通過虛擬機在主機上執行惡意代碼。黑客還可以利用虛擬化技術隱藏病毒和惡意軟件的蹤跡。

 3 數據中心的安全設計
    3.1 數據中心的安全需求
    傳統的數據中心關注業務流量的訪問控制,數據中心虛擬化後增加了主機動態遷移和業務混存的安全風險,因此在安全模型中需要將主機動態遷移到其它物理服務器,並將業務的有效隔離作為第三維的關注點。虛擬化數據中心的安全需求包含3個方面:一是通道隔離,即不同的應用、業務和用戶進行安全隔離,確保用戶群組獲得正確的資源和網絡流量,保證高可用;二是接入控制,即網絡安全策略應支撐集群中成員的動態加入、離開或遷移;三是網絡安全策略可隨虛擬機遷移。數據中心虛擬化後三維安全模型如1所示。
  130150614651030396_new.jpg (456×248)
圖1 數據中心虛擬化後安全模型
    3.2 虛擬化數據中心的安全設計
    1)數據中心網絡架構高可用設計
    在新一代數據中心虛擬化網絡架構中,通過IRF (intelligent resilient framework)技術將多台網絡設備虛擬化成1台設備統一管理和使用,整體無環設計並提高可用性。在IRF架構下,基本原則就是服務器雙網卡接在不同交換機上,彙聚交換機堆疊後,將兩層交換機用多條鏈路進行捆綁連接,實現基於物理端口的負載均衡和冗余備份,如圖2。
  130150614780427797_new.jpg (407×153)
圖2 端口捆綁技術
    數據中心架構規劃設計時,還需要按照模塊化、層次化原則進行。從可靠性角度看,三層架構和二層架構均可以實現數據中心網絡的高可用,而二層扁平化網絡架構更適合大規模服務器虛擬化集群和虛擬機的遷移。模塊化設計是指針對不同功能或相同功能不同性能、不同規模的應用進行功能分析的基礎上,劃分出一系列功能模塊。在內部網中根據應用系統的重要性、流量特征和用戶特征的不同,可大致劃分幾個區域,以數據中心核心區為中心,其它功能區與核心區相連,成為數據中心網絡的邊緣區域,如圖3所示。
    2)網絡安全的部署設計。
    虛擬化數據中心關注的重點是實現整體資源的靈活調配,因此在考慮訪問控制時,要優先考慮對計算資源靈活性調配的程度。網絡安全的控制點盡量上移,服務器網關盡量不設在防火牆,避免靈活性的降低。根據應用的重要程度不同,利用交換機和防火牆來實現訪問的工作模式如圖4所示。
  130150614927756224_new.jpg (607×333)
圖3 數據中心的模塊化設計130150615063483987_new.jpg (800×443)
圖4 不同涉密等級網關安全控制模型
    服務器網關設置在彙聚交換機上的工作模式:彙聚交換機作為Web/AP/DB服務器的網關,Web/AP/DB服務器二層分區之間互訪經過彙聚交換機ACL做訪問控制,防火牆做邊界安全控制。同一業務在同一VRF(虛擬路由表)內,而Web/AP/DB分布在同一VRF的不同二層分區內,Web/AP/DB通過交換機三層轉發訪問;不同業務之間的訪問,跨VRF通過防火牆控制。
    服務器網關設置在防火牆上的工作模式:服務器網關設置在防火牆上,通過靜態路由下一跳指向彙聚交換機的三層接口,三組服務器網關地址各不相同,各組服務器內的虛擬機只能在本VLAN內遷移,如Web/AP/DB 3種服務器部署在不同ULAN,L2分區之間互訪需經過防火牆實現訪問控制,屬於強隔離措施。
    3)安全策略的動態遷移。
    數據中心需針對不同類型的應用系統制定不同級別的防護策略。虛擬化環境下,應用系統和服務器是自由匹配和隨需遷移的,每一次虛擬機遷移都對應安全策略的改變和調整,因此發生虛擬機創建或遷移時,需要利用虛擬機軟件保證虛擬機在服務器上的快速遷移,同時要保證網絡配置的實時遷移,以確保虛擬機業務的連續性。目前業界最優的解決方法,即在服務器鄰接的物理交換機采用VPORT的概念。一個虛擬機綁定一個或幾個VPORT,虛擬機遷移時,只需在鄰接的物理交換機上將虛擬機對應的網絡配置(profile)綁定到VPORT上,而不會對其他虛擬機的VPORT產生影響。
    4)存儲虛擬化的安全保護。
    在應用存儲虛擬化後,虛擬化管理軟件應能全面管理IP SAN, FC SAN, NAS等不同虛擬對像,通過上層應用封裝對用戶提供一致的管理界面,屏蔽底層對像的差異性。通過基於主機的授權、基於用戶認證和授權來實現存儲資源隔離和訪問控制。采用基於虛擬機技術的行為監控技術,獲得上層操作系統真實的硬件訪問行為,避免惡意代碼通過修改操作系統造成信息隱瞞。應部署與主機獨立的、基於存儲的入侵檢測系統,對存儲設備所有讀寫操作進行抓取和分析,以檢測存儲設備中文件/屬性的改變、檢測文件模式的非正常修改、監控文件結構的完整性;掃描檢測可疑文件等。
4 管理策略
    1)制定虛擬機管理制度,明確管理責任。
    2)制定專門的虛擬機審核、追蹤流程,防止虛擬機蔓延而導致的管理受控。
    3)所有物理機、管理程序、虛擬機的配置和數量都建在固定模板中,確保配置可控、可管,並將虛擬機管理放入安全策略。
    4)利用虛擬化監控工具,檢測出未授權的拷貝和“克隆”虛擬機的行為,確保敏感信息在正確的管控中。
5 結束語
    筆者介紹了虛擬化數據中心存在的安全風險和采取的安全策略,分析結果和實踐證明,該策略正確可行。虛擬化數據中心是當前與未來的發展方向,數據中心網絡要實現高可用、高安全,單純靠技術手段並不能解決所有問題,還需要完善的運維流程、規章制度和管理體制,這將是一個長期、循序漸進的過程。