下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、云计算安全隔离方案深度分析【 摘 要 】 在以虚拟化为主要技术平台的云计算环境中,能够提供有效可行的安全隔离方案,将直接决定整个云计算安全解决方案的安全防护能力。论文基于一般性的安全防护需求给出了一种较为通用的安全域规划方法,并在此基础上从虚拟机网络驱动层、虚拟交换机层、虚拟机监控器网络驱动层、二层物理网络层、三层物理网络层这五个不同的层面,针对可部署安全隔离防护设备的方案进行了深入的分析,比较了方案之间的优缺点,为用户选择合适的云安全隔离方案提供了有价值的参考。【 关键词 】 云计算;虚拟化;VLAN;Openflow;安全隔离1 引言随着现在云计算市场竞争的激烈程度加剧以及用户对云计算环境
2、安全要求的提高,越来越多的集成商和云服务提供商开始注重基于其云计算环境的集成方案提供安全应用的接入接口,并以此作为其竞标云计算集成方案的亮点之一。在云计算环境中实现网络安全所要解决的一个重要技术问题就是对网络安全域的逻辑划分以及基于划分的网络安全域进行不同域间的隔离。用户所使用不同的云平台、采用不同集成商的方案、选用不同厂家的网络设备,都将会使得云环境中的安全域及虚拟机间的隔离方案有所不同。本文将针对在不同层面实现云计算安全隔离的方案进行分析,对比各类技术方案的优劣以及其对不同云计算环境安全需求的适应性,为云计算使用者对云安全解决方案的选择提供参考。2 控制网络流的途径这里我们所说的隔离,并不
3、是让属于不同安全域间的虚拟机完全无法相互访问和通信,而是让被划分在不同的安全域边界内的虚拟机间的通信必须经过相应的网络安全设备的检测和过滤,在网络安全设备确认数据包安全后,跨安全域间的通信才能够进行。这就对网络安全提出了一个新的问题,即如何控制网络流使之经过实现部署在云计算环境中的虚拟或物理的安全设备。这个问题我们可以从三个更具体的方面来分析。第一,用户的安全需求是什么。传统网络环境下,用户通常关心的是出入一个物理网络边界的流量的网络安全问题,这个边界是物理存在的,比如连接接入交换机和汇聚交换机的一根网线。当外网的机器需要访问内网机器时,是无法绕过这个边界直接访问,因此在传统物理环境下,用户的
4、需求通常是对这个物理存在的边界上流量的安全监控。在云计算环境中,整个网络和其上所有虚拟机都存在于一个大二层的网络环境中,为了实现逻辑上的隔离,通常使用划分VLAN(或VXLAN)的方式来隔离具有不同安全需求的虚拟机,这时就出现了对虚拟机安全隔离的三种不同的安全需求:其一是只监控外网到云计算环境内部的通信;其二是只监控不同VLAN间的虚拟机间的通信(包含第一种需求);其三是需要监控任意两台虚拟机间的通信(包含前两种需求)。第二,网络安全域的边界如何划分。为了从网络层面保证虚拟机间的有效隔离,网络安全域的划分需要消除与VLAN间的多对一关系,即不能存在多个不同的网络安全域划分在同一个VLAN下的情
5、况,这样在这些不同网络安全域间的虚拟机间的通信将可以通过虚拟交换机直接交换机而不被转发到物理网络上,使得安全监控产品的部署受到很大的局限性。第三,安全设备的部署方式是什么。从安全设备的部署方式上,我们可以将其分为两类:一类是透明部署在二层网络环境中;另一类是以网关形式部署在三层网络环境中。通常透明部署的方式更多的被应用在实际的生产环境中,因为透明部署将不需要修改用户已有的业务网络的配置。而将安全设以网关方式部署在三层网络环境中的好处是,可以利用路由规则使得需要被监控的网络流量经过安全设备。综合考虑以上三点,我们可以得出一个较为合理且应用较广的云计算环境中的安全需求定义和规划模型,即以VLAN划
6、分需要隔离的业务网络,安全域的划分需要消除安全域与VLAN间的多对一关系,通过监控VLAN或安全域边界上的网络流量实现安全监控和隔离,安全设备通常工作在二层网络模式下,以透明方式进行部署。那么回到最初的问题,即在这样的安全需求和规划模型下,如何控制网络流,使之能够在出入VLAN或安全域边界时经过部署在云环境中的安全设备。3 网络流控制方法云计算是一个庞大而复杂的系统,这就使得我们可以在多个位置上寻找到合适的网络流控制方法来解决安全隔离问题。我们需要先了解云计算的技术架构,才能够更好地选择适合的安全隔离方案。在云计算环境中,它的软件系统的核心显然是虚拟化平台,而硬件环境的支持主要是实现虚拟化的硬
7、件服务器和支撑整个云计算环境的网络。安全作为云计算环境中的另外一个重要的组成部件,想要顺利的集成进云计算这个系统中,无法避免将面临三种技术选择:与虚拟化平台整合、与网络环境整合或完全解耦合的独立存在。从云计算和虚拟化的整体技术架构进行剖析,可以在五个不同的层面通过对网络流的控制实现虚拟机间的安全隔离。如图1所示,这五个不同的层面分别是虚拟机网络驱动层、虚拟交换机层、虚拟机监控器网络驱动层、二层物理网络层、三层物理网络层。其中虚拟机网络驱动层和虚拟机监控器网络驱动层需要系统提供API级的支持,其他三层则需要交换机和网络协议级的支持实现。4 安全隔离方案我们逐层分析在不同层面实现安全隔离时的实现原
8、理和部署方式,以及此类安全隔离方案的优缺点。方案一:在虚拟机网卡驱动层实现安全隔离的方案,如图2所示,利用安装在虚拟机内的网络驱动层代理程序截获进出该虚拟机的网络流,实现将需要被监控的流量牵引至部署在云环境内的虚拟或物理安全设备上,由安全设备完成检测和过滤后,送回代理程序,再送至虚拟机的业务程序中。该方案的优势是能够实现任意虚拟机间的通信隔离和监控,并且完全与虚拟化环境解耦合,不依赖于任何虚拟化平台,可跨平台部署,比较适合安全公司在用户已经完成云计算环境的建设后,追加相应的安全功能。但该方案也存在明显的缺陷,即需要在每台虚拟机上安装代理,管理复杂,且有可能影响业务虚拟机的稳定性,并且对整个虚拟
9、化环境的计算和网络资源消耗也较高。方案二:在虚拟交换机层实现安全隔离的方案,如图3所示,虚拟交换机通常是工作在二层模式下,无法进行对其内部交换的流量的任意控制和牵引,但若虚拟交换机开启了Openflow协议的支持,则可以实现基于Openflow流表对其内部流量的控制,通常需要将被监控的流量都牵引至部署在同一台物理机上的安全虚拟机中进行检测和过滤。该方案的优势仍然是支持任意两台虚拟机间的安全隔离,相对于方案一,在虚拟交换机层面实现的网络流控制功能具有更好的性能和健壮性,且VMware平台的5.5以上基于NSX的虚拟网络实现和Open vSwitch都直接支持Openflow模式。该方案需要安全管
10、理平台或安全设备的管理中心与虚拟交换机的控制中心相耦合,但安全设备自身与虚拟化平台并没有耦合性,因此能够支持安全设备直接虚拟化后的部署。该方案所存在的问题是需要在虚拟交换机上打开Openflow协议支持,这将使得网络管理和配置和传统模式大相径庭,目前还不被所有用户接受,并且在安全虚拟机中执行安全隔离任务也会消耗较高的虚拟化系统资源。该方案属于跟虚拟网络层耦合的方案,因为在虚拟化环境中,虚拟交换机通常为可替换的组件,但网络流量的牵引需要通过调用虚拟交换机的配置接口修改Openflow规则来实现,因此虚拟交换机能否提供此类接口将影响方案实施的可行性。方案三:在虚拟机监控器网络驱动层实现安全隔离的方
11、案,图4给出了VMware平台上的VMSafe Net API的实现原理图,进入虚拟机监控器的网络流在进入虚拟交换机前,将被虚拟机监控器所提供的VMSafe Net API导入到安全虚拟机中,安全虚拟机使用特殊的驱动来获取由VMM快通道驱动模块提供的数据包,而安全功能的实现则需要基于安全接口封装层来实现,该层封装了通过特殊驱动层获取数据包的操作,相当于对安全业务实现层提供了相应的库函数。由于底层驱动级别的特殊API的支持,因此该方案最大的优势是可提供零拷贝的数据包截获,从而获得更高的监控性能,并且能够和虚拟化平台较好的整合而不会影响虚拟化平台的稳定性。但同时由于对虚拟机监控器底层API的依赖,
12、使得该方案与虚拟化平台紧密耦合,因此通常不具有跨平台性,并且通常需要全新的开发相应的支持虚拟机监控器API的安全功能,而无法直接使用从硬件安全设备移植代码。在安全业务实现层面,该方案必须把所有安全功能都集中在一台虚拟机内实现,使得该虚拟机比较容易成为安全产品性能的瓶颈。方案四:在二层接入物理交换机层实现安全隔离方案,在基于MAC地址学习的物理交换机上是无法实现安全隔离功能的,因此必须让二层接入物理交换机层支持Openflow协议,通过关闭MAC地址学习功能,开启Openflow来实现在物理接入层上对需要隔离的流量的牵引。这里存在两种不同的实现思路,其一是使用全SDN网络,即虚拟交换机和二层接入
13、物理交换机都要开启Openflow协议支持,这样完全控制任意两台虚拟机间的通信路径,但是这就使得安全隔离方案在网络流的转发路径控制时要同时跟虚拟化平台中的虚拟交换机和物理交换机的管理中心进行交互和整合。由于在实际项目中,不能保证虚拟化平台的提供商和网络提供商是同一厂商,且不能保证他们在网络建设方案上就安全隔离方案的选择和使用达成一致,甚至会出现需要虚拟化平台提供商、网络提供商和安全提供商三方共同构建安全解决方案的情况,因此基于虚拟网络和物理网络全SDN实现安全隔离的方式较难实施。第二种思路是在虚拟网络层通过VLAN对虚拟机进行隔离,在物理接入交换机上开启Openflow协议。相对于全SDN网络
14、的模式,只在物理网络开启Openflow在管理上相对简单和高效,但该方案无法对在同一台物理机上属于同一VLAN内的不同虚拟机进行有效的隔离,并且在二层环境下,缺乏有效的流量汇聚能力,若完全通过接入交换机把属于同一安全域边界的流量向一个物理端口进行汇聚,会因为虚拟机的物理位置的分布而造成接入交换机网络带宽的极大占用。方案五:在三层汇聚物理交换机层实现安全隔离方案,由于虚拟交换机和接入交换机都工作在二层模式下,因此所有跨VLAN的网络流量都将上行至三层汇聚物理交换机进行交换,即三层汇聚交换机是整个网络中所有跨VLAN流量的汇聚点,而这种特性与虚拟化平台无关,因此当用户的安全需求满足前文所给出的安全
15、需求定义和规划模型时,都可以应用该方案实现对安全域边界流量的网络安全隔离。该方案的最大优势是充分解耦合了安全隔离方案的实施与虚拟化环境的关系,仅需要在三层汇聚层与网络环境相整合,能够充分利用硬件安全设备的性能和功能优势,完全不占用虚拟化环境的资源,稳定性和性能都超过前面的各种方案。在三层网络环境中,静态路由或Openflow都是可以控制网络流量通过串行安全设备的方式,为了满足之前给出的安全设备工作在二层透明模式的需求,利用Openflow实现流量牵引是更好的解决方案。图5给出了在启明星辰泰合云安全管理平台管理下的云安全隔离方案,在方案中,该方案要求在物理网络环境中开启Openflow协议支持,
16、云安全管理平台基于用户在其上所定义的安全域划分规则,通过网络环境中SDN控制器提供的API修改服务链(Service Chain),使得跨安全域边界的网络流被牵引至安全资源池,如图中所示,VLAN100和VLAN200被划分在了安全域1,VLAN300在安全域2。那么当VLAN100和VLAN200内的任意虚拟机间进行通信时,我们认为属于同一安全域内的通信,可不隔离,而当VLAN100或VLAN200内的虚拟机和VLAN300内的虚拟机通信时,这部分流量将被通过安全管理平台下发给SDN控制器的服务链修改策略进行修改,使得这部分流量被牵引到串行安全资源池中,并在安全资源池中基于流量的业务特性进行
17、进一步的细分,使得相应的业务流量通过对应的安全设备(如http流量通过WAF设备)。该方案存在两个方面的局限,其一是需要物理网络环境支持Openflow,其二是无法隔离粒度在虚拟机级别的通信。5 结束语综上所述,在云计算环境中,网络安全隔离方案的实施过程中,需要考虑到包括虚拟化、网络和安全等不同供应商合作问题,虚拟化平台API支持问题,用户对网络配置方式的接受问题(如是否使用SDN模式),网络平台网络流管控接口支持问题,安全隔离控制粒度问题(如虚拟机级别还是网络安全域边界级别的控制),安全隔离方案性能、功能和稳定性问题等。特别是由于云环境建设和安全建设的不同期,往往造成安全厂商后介入,而只能采
18、用与云平台和网络环境都完全解耦的解决方案,而对于云平台和网络环境的建设方,往往或不承担安全建设的任务或希望整合打包更多自有安全产品而并未开放足够的可用安全管理调用的管理控制接口,这些都使得云安全特别是云安全隔离解决方案的实施困难重重。我们也期待更多的云服务商和网络服务商更加重视对云计算环境安全的支持,为安全提供更多标准的管控接口,使得安全解决方案能够很好的被整合进整个云环境中。参考文献【1】 鲁松.计算机虚拟化技术及应用.北京:机械工业出版社,2008.3.【2】 胡嘉玺.虚拟智慧VMware Vsphere运维实录.北京:清华大学出版社,2011.2.【3】 王春海.虚拟化技术与动手实验.机
19、械工业出版社,2008.3.【4】 张东.大话存储-网络存储系统原理精解与最佳实践.清华大学出版社,2008.11.【5】 李明.网络虚拟化技术在云计算数据中心的应用.2012.2.【6】 孟静.云计算.中国信息化,2008.【7】 林立宇,陈云海,张敏.云计算技术及运营可行性分析.通信热点,2008. 姜国华,李晓林,季英珍.基于SOA的框架模型研究.电脑与信息技术,2007. 宋坤,周智海.面向服务的软件体系结构.海洋技术,2007. 曹会敏,林碧英.SOA服务设计原则的研究.中国电力教育,2007. 斯桃枝.局域网技术与局域网组建.北京:人民邮电出版社,2009-4. Richard D
20、eal. CCNA学习指南Cisco Certified Network Associate (Exam 640-802)(中文版).北京:人民邮电出版社,2009-4. 杨威,贾祥福,杨陟卓.局域网组建、管理与维护.北京:人民邮电出版社,2009-2. 张晖,杨云.计算机网络实训教程.北京:人民邮电出版社,2008-11. 张基温.计算机网络技术(第2版).北京:高等教育出版社,2008-9. 吴献文.计算机网络安全基础与技能训练.西安电子科技大学出版社,2008. 期刊论文.云计算环境下OpenFlow网络研究与实验探索.实验室研究与探索,2013, 32(12).学位论文.SDN在电力通信网中的适应性研究.2014. 期刊论文.OpenFlow网络中虚拟网络分片的动态迁移.网络安全技术与应用,2013(9). 期刊论文.一种支持细粒度并行的SDN虚拟化编程框架.软件学报,2014(10). 谭钦红.无线局域网安全与认证的研究
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
评论
0/150
提交评论